通过

管理 Azure Stack HCI 网关连接

  • 项目

适用范围:Azure Stack HCI 版本 22H2、Windows Server 2022、Windows Server 2019、Windows Server 2016

本文介绍在部署软件定义的网络 (SDN) 后,如何使用 Windows Admin Center 创建、删除和更新网关连接。 网关用于在虚拟网络与另一个网络(本地或远程)之间路由网络流量。 有三种类型的网关连接:Internet 协议安全性 (IPsec)、通用路由封装 (GRE) 和第 3 层 (L3)。

注意

在创建网关连接之前,需要先部署 SDN 网关。 此外,在创建 IPsec 连接之前,需要先部署软件负载均衡器 (SLB)。

有关 SDN 网关的详细信息,请参阅什么是 SDN 的 RAS 网关。 有关 SDN 部署的详细信息,请参阅使用 SDN Express 部署 SDN 基础结构

创建新的 IPsec 网关连接

IPsec 网关连接用于通过 Internet 在 SDN 虚拟网络与外部客户网络之间提供安全的站点到站点加密连接。

SDN IPsec 网关连接。

  1. 在 Windows Admin Center 中的“所有连接”下,选择要在其上创建网关连接的群集。
  2. 在“工具”下,向下滚动到“网络”并选择“网关连接” 。
  3. 在“网关连接”下选择“库存”选项卡,然后选择“新建” 。
  4. 在“创建新的网关连接”下,输入连接名称
  5. 选择要为其设置网关连接的虚拟网络
  6. 将“连接类型”设置为“IPSEC” 。
  7. 选择用于连接的网关池。 默认将创建名为“DefaultAll”的网关池。 可以选择此网关池,或创建新的网关池。 可以使用 New-NetworkControllerGatewayPool PowerShell cmdlet 创建新的网关池。 可以直接在网络控制器 VM 上运行此 cmdlet,也可以使用凭据远程运行。
  8. 选择一个网关子网。 这是虚拟网络中专用于网关连接的子网。 将在网关 VM 上预配此子网中的 IP 地址。 如果尚未配置某个网关子网,请将其添加到虚拟网络,然后创建网关连接。 此子网可能较小,例如带有 /30、/29 或 /28 前缀。
  9. 提供“允许的最大入站带宽(KBPS)”和“允许的最大出站带宽(KBPS)”值 。 确保提供与网关总容量相当的值。 总容量是你在部署该网关的过程中提供的。 若要详细了解网关容量以及 IPsec 连接带宽对其造成的影响,请参阅网关容量计算
  10. 提供连接的目标 IP。 这是远程网关的公共 IP 地址。
  11. 为你的连接添加路由。 每个路由都必须有一个路由指标和一个目标子网前缀 。 任何发往这些子网前缀的数据包都将通过网关连接来传送。
  12. 提供用于连接的 IPsec 共享机密。 此机密必须与远程网关上配置的身份验证类型(预共享密钥)和共享机密相匹配。
  13. 根据需要提供 IPsec 高级设置。
  14. 单击“创建”以配置连接。
  15. 在“网关连接”列表中,确认连接配置状态是否为“成功” 。

创建新的 GRE 网关连接

基于 GRE 的隧道可以实现租户虚拟网络与外部网络之间的连接。 由于 GRE 协议是轻量级协议,并且大多数网络设备都提供对 GRE 的支持,因此它是不需要加密数据的隧道的理想选择。

SDN GRE 网关连接。

  1. 在 Windows Admin Center 中的“所有连接”下,选择要在其上创建网关连接的群集。
  2. 在“工具”下,向下滚动到“网络”并选择“网关连接” 。
  3. 在“网关连接”下选择“库存”选项卡,然后选择“新建” 。
  4. 在“创建新的网关连接”下,输入连接名称。
  5. 选择要为其设置网关连接的虚拟网络
  6. 将“连接类型”设置为“GRE” 。
  7. 选择用于连接的网关池。 默认将创建名为“DefaultAll”的网关池。 可以选择此网关池,或创建新的网关池。 可以使用 New-NetworkControllerGatewayPool PowerShell cmdlet 创建新的网关池。 可以直接在网络控制器 VM 上运行此 cmdlet,也可以使用凭据远程运行。
  8. 选择一个网关子网。 这是虚拟网络中专用于网关连接的子网。 将在网关 VM 上预配此子网中的 IP 地址。 如果尚未配置某个网关子网,请将其添加到虚拟网络,然后创建网关连接。 此子网可能较小,例如带有 /30、/29 或 /28 前缀。
  9. 提供“允许的最大入站带宽(KBPS)”和“允许的最大出站带宽(KBPS)”值 。 确保提供与网关总容量相当的值。 总容量是你在部署该网关的过程中提供的。 若要详细了解网关容量以及 GRE 连接带宽对其造成的影响,请参阅网关容量计算
  10. 提供连接的目标 IP。 这是远程网关的公共 IP 地址。
  11. 为你的连接添加路由。 每个路由都必须有一个路由指标和一个目标子网前缀。 任何发往这些子网前缀的数据包都将通过网关连接来传送。
  12. 提供用于连接的 GRE 密钥。 此密钥必须与远程网关上配置的 GRE 密钥相匹配。
  13. 单击“创建”以配置连接。
  14. 在“网关连接”列表中,确认连接配置状态是否为“成功” 。

创建 L3 连接

L3 转发可以实现数据中心内物理基础结构与 SDN 虚拟网络之间的连接。 使用 L3 转发连接,租户网络 VM 可以通过 SDN 网关连接到物理网络。 在这种情况下,SDN 网关充当 SDN 虚拟网络与物理网络之间的路由器。

SDN L3 网关连接。

  1. 在 Windows Admin Center 中的“所有连接”下,选择要在其上创建网关连接的群集。

  2. 在“工具”下,向下滚动到“网络”并选择“网关连接” 。

  3. 在“网关连接”下选择“库存”选项卡,然后选择“新建” 。

  4. 在“创建新的网关连接”下,输入连接名称。

  5. 选择要为其设置网关连接的虚拟网络

  6. 将“连接类型”设置为“L3” 。

  7. 选择用于连接的网关池。 默认将创建名为“DefaultAll”的网关池。 可以选择此网关池,或创建新的网关池。 还可以使用 New-NetworkControllerGatewayPool PowerShell cmdlet 创建网关池。 可以直接在网络控制器 VM 上运行此 cmdlet,也可以使用凭据远程运行。

  8. 选择一个网关子网。 这是虚拟网络中专用于网关连接的子网。 将在网关 VM 上预配此子网中的 IP 地址。 如果尚未配置某个网关子网,请将其添加到虚拟网络,然后创建网关连接。 此子网可能较小,例如带有 /30、/29 或 /28 前缀。

  9. 提供“允许的最大入站带宽(KBPS)”和“允许的最大出站带宽(KBPS)”值 。 确保提供与网关总容量相当的值。 总容量是你在部署该网关的过程中提供的。 若要详细了解网关容量以及 L3 连接带宽对其造成的影响,请参阅网关容量计算

    注意

    对于 L3 连接,不强制要求指定最大入站和出站带宽。 但是,提供的值仍会用来减少可用网关容量,这样,为网关预配的容量就不会过高或不足。

  10. 为你的连接添加路由。 每个路由都必须有一个路由指标和一个目标子网前缀。 任何发往这些子网前缀的数据包都将通过网关连接来传送。

  11. 为“L3 逻辑网络”选择一个网络。 此网络表示要与虚拟网络通信的物理网络。 必须将此网络配置为 SDN 逻辑网络。

  12. 从“L3 逻辑网络”中选择“L3 逻辑子网” 。 确保为该子网配置 VLAN。

  13. 为“L3 IP 地址/子网掩码”提供 IP 地址。 此 IP 地址必须属于前面提供的 L3 逻辑子网。 此 IP 地址是在 SDN 网关接口上配置的。 必须以无类别域际路由 (CIDR) 格式提供 IP 地址。

  14. 提供一个 L3 对等方 IP 地址。 此 IP 地址必须属于前面提供的 L3 逻辑子网。 从虚拟网络发往物理网络的流量到达 SDN 网关后,此 IP 将充当下一个跃点。

  15. 单击“创建”以配置连接。

  16. 在“网关连接”列表中,确认连接配置状态是否为“成功” 。

    注意

    如果你计划部署包含 BGP 路由功能的 L3 网关连接,请确保已为架顶 (ToR) 服务器 BGP 设置配置了以下值:

    • update-source:指定 BGP 更新的源地址,即 L3 VLAN。 例如,VLAN 250。
    • ebgp multihop:这指定所需的其他跃点,因为 BGP 邻居距离它有多个跃点。

查看所有网关连接

可以轻松查看群集中的所有网关连接。

查看 SDN 网关连接。

  1. 在 Windows Admin Center 中的“所有连接”下,选择要查看其网关连接的群集。

  2. 在“工具”下,向下滚动到“网络”并选择“网关连接” 。

  3. 右侧的“库存”选项卡列出了可用网关连接,并提供了用于管理各个网关连接的命令。 可以:

    • 查看网关连接的列表
    • 更改网关连接的设置
    • 删除网关连接

查看网关连接详细信息

可以在特定网关连接的专属页面中查看其详细信息。

查看 SDN 网关详细信息。

  1. 在“工具”下,向下滚动并选择“网关连接” 。

  2. 单击右侧的“库存”选项卡,然后选择该网关连接。 在后续页面上,可以执行以下操作:

    • 查看该连接的详细信息(类型、关联的虚拟网络、属性或连接状态)
    • 该连接所在的网关。
    • 与远程实体建立的连接的视觉表示形式。
    • 查看连接统计信息(入站/出站字节数、数据传输速率,或丢弃的数据包数)
    • 更改连接设置。

更改网关连接设置

可以更改 IPsec、GRE 和 L3 连接的连接设置。

更改 SDN 网关连接设置。

  1. 在“工具”下,向下滚动并选择“网关连接” 。

  2. 单击右侧的“库存”选项卡,选择网关连接,然后选择“设置” 。

  3. 对于 IPsec 连接:

    • 在“常规”选项卡上,可以更改允许的最大入站带宽、允许的最大出站带宽、连接的目标 IP,添加/更改/删除路由,以及更改 IPsec 预共享密钥。
    • 单击“IPsec 高级设置”可更改高级设置。

  4. 对于 GRE 连接:在“常规”选项卡上,可以更改允许的最大入站带宽、允许的最大出站带宽、连接的目标 IP,添加/更改/删除路由,以及更改 GRE 密钥 。

  5. 对于 L3 连接:在“常规”选项卡上,可以更改允许的最大入站带宽、允许的最大出站带宽,添加/更改/删除路由,更改 L3 逻辑网络、L3 逻辑子网、L3 IP 地址和 L3 对等方 IP 。

删除网关连接

可以删除不再需要的网关连接。

删除 SDN 网关连接。

  1. 在“工具”下,向下滚动并选择“网关连接” 。
  2. 单击右侧的“库存”选项卡,然后选择一个网关连接。 单击 “删除”
  3. 在确认对话框中,单击“是”。 单击“刷新”检查是否已删除该网关连接。

后续步骤