微軟公有雲系列,前面的幾篇文章相信可以讓大家能對網絡虛拟化有了一些基本的了解。那麼接下來,我将實作網絡虛拟化在真實的環境中,更重要的一些功能,nvgre的網關功能。
第一個demo是通過nvgre的網關功能,實作nat,就是讓租戶的虛拟機能夠通路外網,同時外網能通過開放的端口來通路租戶在公有雲提供的虛拟機。
第二個demo是通過nvgre的網關功能,實作site to site 的vpn通路,當租戶租用了我們公有雲平台提供的虛拟機之後,如何跟其企業本地的資料中心能連通,這就需要利用到site to site 的vpn通路了。
gateway
虛拟gateway 介紹
補充
demo 1 環境介紹
網絡規劃
内網段(system center&ad,主控端所在網段),10.10.10.0/24
外網段(模拟個外網,準備一台client接到另外一個交換機上),10.0.15.0/24
租戶pa段(pa 的網段),192.168.0.0/24
租戶網段:172.16.10.0/24
實體交換機兩台:分别叫no.1 和 no.2。
主機角色規劃
實體gateway 角色:bjlconhyp05 (主控端)
虛拟網關角色:gtw_01 (虛拟機),放置在bjlcosnhyp05實體機上的一台虛拟機。
承載租戶角色:bjlconhyp06 (主控端),承載租戶申請使用的虛拟機。
租戶申請的虛拟機:test011
網絡拓撲
實體交換機兩台:分别叫no.1 和 no.2,no 1用于連接配接内網段和租戶網段; no.2 用于連接配接模拟外網的client 用戶端和 no.1 交換機。
用于模仿外網的client:my notebook。一張網卡直接連接配接到no.2 交換機
gtw_01 設定三個虛拟網卡,
bjlconhyp06,有兩張實體網卡,
test011,設定一個虛拟網卡
bjlconhyp05,三張實體網卡,分别起名front_end,back_end,manager
front_end 接的辦公網絡的網線,(相當于實際環境中的外網的辦公私有ip,ip段為10.0.15.0/24 ),但此網卡暫無需配置ip位址
back_end 接的demo環境的網線(負責租戶tenant),但此網卡暫無需配置ip位址
manager 接的demo環境的網線(負責管理網絡),配的靜态ip 10.10.10.26
-------------------------------------------------------------------------------------------------
備注:
若bjlconhyp05兩個實體網卡的環境,可參考以下的方式
front_end連接配接到outbound logical switch外網,這個邏輯交換機上,,
back_end連接配接到了inbound logical switch内網,這個邏輯交換機上,并且建立一個用于管理的mgmt虛拟網卡
------------------------------------------------------------------------------------
前提條件
分别把bjlconhyp05,bjlconhyp06,bjlconhyp01都加入到scvmm管理庫中。
設定實體網關主控端
接下來通過scvmm找到bjlconhyp05這台實體網關主機,在屬性中找到“host access”并且勾選“将這台主機作為專用的網絡虛拟化網關”,請注意:windows 2012 r2之前的版本的主機是看不到這個選項的,做不了
建立logical network
分别建立3個logical network,1個叫tenant(租戶),1個叫manager(管理),1個叫front(前端出外網)
tenant
勾上這個代表,啟用nvgre,因為是租戶網絡使用的logical network,是以要啟用nvgre。
下圖設定的ip段,為pa段. (舉例:例如兩台實體主機中的分别兩台虛拟機要通信,需要借助此pa的ip來進行封裝通信 );同時設定了站點,來确定哪些主機可以使用此logical network
最後完成建立。
manager
同樣為其指定站點包括哪些主機組,但因為我們沒有啟用nvgre,是以此處ip段的意義則不是做pa使用。而是作為管理網絡的ip段,我們可以使用此處的ip段範圍去動态配置設定給那些管理網絡的機器,也可以單獨給管理網絡的ip段去手動指定靜态ip.
front
分别為logical network 建立ip pool
tenant的ip pool(pa pool)
manager 的ip pool
front 的ip pool
總的邏輯網絡的截圖如下:
建立3個uplink port profile(建立uplink,是為了後續建立logical switch使用)
uplink tenant
勾選之前在logical networks 裡定義的站點範圍所包括的host主機
uplink manager
uplink front
建立3個logical switch
tenant的switch
manager的logical switch
front 的logical switch
總覽
配置實體機gateway (bjlcosnhyp05)
管理網卡勾上
建立關聯3個logical switch
同時建立一個mgmt的虛拟網卡,用于直接捕獲原來給網卡設定的固定ip,否則沒了管理網絡的ip.那麼此主機就會立刻跟管理網絡,跟scvmm失去聯系導緻失敗。
建立完後如下圖:
建立gtw_01 虛拟網關 (虛拟機)
通過模闆建立一個虛拟機出來(當然也可以手動去建立一個虛拟機windows server 2012 r2),這個虛機就是在實體網關伺服器上的虛拟網關了,基于windows rras功能來建立。也可以手動安裝好windowsserver2012 r2 系統之後,然後手動安裝相對應的角色。如下:
參考下圖,添加remote access & remote admin tool的role和feature。
并且給此虛拟機三個網卡。
注意:虛拟機中的每個網卡接對應的logicalswitch
mgmt 管理網卡連接配接
front 網卡連接配接
tenant租戶網卡連接配接(無連接配接)
注意:front網卡給 配上ip
manager 配上ip
tenant無需配置ip,做相當于接上switch,做2層可通信,而不直接從ip 三層去通信。
建立network services
看看其相關配置
為其命名為gw
模式選擇:microsoft windows server gateway
選擇運作賬戶
連接配接字元串:vmhost=承載虛拟網關的主控端的fqdn;gatewayvm=虛拟網關的虛拟機的fqdn;backendswitch=連接配接租戶的logicalswitch名
選擇test,這裡看到都已經passed,說明測試通過。
下面選擇需要使用gateway網關的host主機組
配置完成後,我們把對應的站點和網卡綁定上
分别建立3個 vm network(2個非nvgre類型,1個租戶的nvgre類型)
管理manager(非nvgre類型)
模拟外網front(非nvgre類型)
租戶tenant (nvgre類型)
我們可以看到,nvgre類型的vm network 左邊那欄,會多出許多配置,首先命名tenant1,并且選擇對應得logical netework
給tenant租戶建立一個子網,劃分一個網段
這裡選擇nat功能(若前面的network service沒配置好,是不會出現這項)
這裡會顯示ip pool,其實就是我們之前為front設定的pa pool,這裡給個pool,是以會預設從第一個位址開始配置設定,作為pa
權限賬戶配置選擇
選擇對應的主機組可使用此tenant 的vm network,此處其實隻需給vm host和gateway 主機組即可
到此一切配置完成。
測試結果
bjlcosnhyp06是承載租戶虛拟機的主機,測試,挂上logicalswitch。
裡面的測試虛拟機test011則綁定個vm network
結果:
虛拟機獲得了指定的vmnetworks 的網絡的ip
并且ping 到模拟外網是通的,說明nat已經生效
測試模拟外網連接配接到租戶内網虛拟機
假設租戶内網虛拟機開放了iis web服務,則外網想通路此租戶内網虛拟機,那麼需要對外開放指定80&443端口
那麼我們可以通過在下圖配置的時候,add指定的ip和端口
demo nat的實驗到此結束。後續會給大家送上site to site 的vpn. 并且site to site & nat 是可以并存做在同一台虛拟網關上的。
本文出自 “” 部落格,請務必保留此出處