为主机提供商部署高度可扩展的租户网络基础结构

发布时间: 2013年6月

更新时间: 2014年8月

应用到: System Center 2012 R2, Windows Azure Pack, Windows Server 2012 R2

本指南将如何帮助你?作为中型主机提供商,你可使用本解决方案指南了解我们推荐的解决方案设计和实现步骤,以便部署可扩展的网络基础结构以支持“基础结构即服务 (IaaS)”。设置租户网络的运营费用较高,而且不易管理。

本指南可帮助你部署一个规范且经过测试的 IaaS 虚拟网络基础结构解决方案,它经济高效、灵活、可扩展且易于管理。此外,本指南为你的租户提供更为简单且经济高效的方式,来将他们的数据中心连接到你的数据中心以部署其混合云解决方案。

Tip提示
若不熟悉网络虚拟化概念,请参阅 Hyper-V 网络虚拟化概述Hyper-V 网络虚拟化技术详细信息

若不熟悉 System Center 2012 R2 虚拟机管理器 (VMM) 中的网络虚拟化概念,我们强烈建议在进行任何规划和设计之前使用下列测试实验室指南设置和运行测试实验室:测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化

测试实验室指南将帮助你了解 Virtual Machine Manager 概念,而且将帮助你能更轻松地规划、设计和部署此解决方案。

另请参阅 Microsoft System Center:构建虚拟化的网络解决方案中提供的 VMM 概念,以了解有关规划和设计基于 VMM 的解决方案中注意事项的详细信息。

本解决方案指南的内容:

下图阐释了本指南可解决的问题。必须针对每个租户设置单个网关,这将需要大量配置,但 VLAN 仅扩展到约 1,000 个租户。

连接到主机提供商的租户

不可扩展且难以管理的设计

本部分介绍了某个示例组织的方案、问题和目标。

方案

中型主机提供商向其客户提供 IaaS。他们最近开始根据客户需求提供虚拟网络服务。

主机提供商内的市场营销部门非常成功地对虚拟网络服务进行了营销,因此客户对该服务的需求正在快速增长。

问题说明

主机提供商当前的虚拟网络服务产品无法很好地扩展,而且效率较低且运营开销很大。例如:

  • 他们当前的设计需要为每个租户提供两个网关(用于冗余),而每对网关都需要一个公用 IP 地址。随着租户数量的增加,支持这些租户所需的网关数量也呈线性增加。对于主机提供商而言,这非常难以管理。为每个租户添加两个网关并不是一种面向他们的经济高效的解决方案。

  • 如果租户需要连接多个站点,则每个租户站点还需要一个单独的网关。

  • 他们当前未使用行业标准路由协议,该协议要求管理员手动管理网络路由。该操作方式效率低下,并且容易出现配置错误。

  • 当前设计利用 VLAN 进行网络隔离。其网络交换机仅支持 1,000 个 VLAN,这会限制它们超出该上限进行扩展的能力。将租户虚拟机移到另一个物理位置上的另一台主机时,通常需要更改 IP 地址并重新配置交换机。此问题使移动租户虚拟机变得十分困难,并且几乎没有在数据中心基础结构内为他们提供灵活性。

组织目标

主机提供商需要高可用性、经济高效且简单易用的管理方式,以提供具有成本竞争力的更好的服务来满足增长的客户需求。他们希望实现具有以下特性的新解决方案:

  • 能够部署网关,这些网管使每个租户都能同时连接多个租户网络和多个站点。

  • 能够使用行业标准路由协议,并支持可扩展的虚拟网络隔离协议,该协议不受当前 VLAN 技术限制。

  • 能够使用某项技术提供隔离的租户网络,该技术可随着租户数目及其工作负载的增加很好地进行扩展。

  • 具有易于使用的管理界面的可管理虚拟网络设计,该设计允许他们在一个位置集中管理其虚拟网络、IP 地址空间和网关。这让他们可以更轻松高效地同时管理许多租户。

  • 能够为租户提供常见的自助服务门户,这使他们可以高效地将其计算资源放到最符合其业务需求的位置。

  • 能够为他们的客户提供简单易懂的指南,以便客户可以通过安全的点对点虚拟专用网络 (VPN) 轻松地将其本地网络连接到主机提供商的网络。本指南将包括路由器配置指南,该指南详细描述了所需协议、设置和终结点地址。

下图显示了针对本解决方案推荐的设计,该设计使用单个点对点 VPN 隧道将每个租户的网络连接到主机提供商的多租户网关。这使主机提供商能够在单个网关群集上支持约 100 个租户,这将同时降低管理复杂性和成本。每个租户必须配置自己的网关才能连接到主机提供商的网关。然后该网关将路由每个租户的网络数据,并使用“使用通用路由封装的网络虚拟化”(NVGRE) 协议进行网络虚拟化。

多租户网络解决方案设计

混合云多租户网络解决方案体系结构

下表列出了本解决方案设计中所包含的元素,并介绍了选择此设计的原因。

 

解决方案设计元素 为何将其包括在本解决方案中?

Windows Server 2012 R2

根据本解决方案提供操作系统。我们建议使用服务器核心安装选项,以降低遭受安全攻击的风险和软件更新频率。

Windows Server 2012 R2 网关

与 Virtual Machine Manager 集成以支持同时进行的多租户点对点 VPN 连接以及使用 NVGRE 的网络虚拟化。有关此技术的概述,请参阅 Windows Server 网关

Microsoft SQL Server 2012

为 Virtual Machine Manager 和 Windows Azure Pack提供数据库服务。

System Center 2012 R2 虚拟机管理器

管理虚拟网络(使用 NVGRE 进行网络隔离)、构造管理和 IP 寻址。有关此产品的概述,请参阅在 VMM 中配置网络概述

Windows Server 故障转移群集

将所有物理主机配置为故障转移群集以实现高可用性,还可将用于托管管理和基础结构工作负载的许多虚拟机客户组配置为故障转移群集。

可将点对点 VPN 网关部署在 1+1 配置中以实现高可用性。有关故障转移群集的详细信息,请参阅故障转移群集概述

横向扩展文件服务器

以可靠、可用、可管理和高性能的方式,为服务器应用程序数据提供文件共享功能。本解决方案使用两个横向扩展文件服务器:一个适用于托管管理服务器的域,另一个适用于托管网关服务器的域。这两个域之间不存在信任关系。用于网关域的横向扩展文件服务器将实现为虚拟机客户组群集。之所以需要用于网关域的横向扩展文件服务器,是因为你无法从不受信任的域中访问某个横向扩展文件服务器。

有关此功能的概述,请参阅用于应用程序数据的横向扩展文件服务器概述

有关可能使用的存储解决方案的更深入讨论,请参阅使用 Windows Server 为 Hyper-V 工作负载提供经济高效的存储

点对点 VPN

提供了将租户站点连接到主机提供商站点的方式。此连接方法经济高效,而且 VPN 软件包含在 Windows Server 2012 R2 内的远程访问中。(远程访问将路由和远程访问服务 (RRAS) 以及直接访问连接在一起)。此外,VPN 软件和/或硬件可以从多个供应商处获取。

Windows Azure Pack

为租户提供自助服务门户,以便其管理自己的虚拟网络。Windows Azure Pack提供了通用自助服务体验、一组通用的管理 API,以及相同的网站和虚拟机托管体验。租户可以利用通用界面(如 Service Provider Foundation),这使他们可自由地将其工作负载移到最适合其业务或不断变化的要求的位置。尽管 Windows Azure Pack用于本解决方案中的自助服务门户,但你还可以使用其他自助服务门户(如果你选择这样操作)。

有关此产品的概述,请参阅适用于 Windows Server 的 Windows Azure 包

System Center 2012 R2 Orchestrator

提供 Service Provider Foundation (SPF),它会显示用于与 VMM 交互的可扩展 OData Web 服务。这使服务提供商可以设计和实现多租户自助服务门户,这些门户集成了在 System Center 2012 R2 上可用的 IaaS 功能。

通过使用网关 NAT 功能并转发用于私有云实现的网关功能,Windows Server 2012 R2 和 System Center 2012 R2 虚拟机管理器 (VMM) 将一同向主机提供商提供多租户网关解决方案,该解决方案支持多个主机到主机 VPN 租户连接,以及对租户虚拟机的 Internet 访问权限。Hyper-V 网络虚拟化借助 NVGRE 提供租户虚拟网络隔离,这使租户能够享用自己的地址空间,而且与使用 VLAN 隔离可能达到的效果相比,这会让主机提供商获得更好的可伸缩性。

该设计的组件将分隔到单独的服务器,因为它们各自具有独特的扩展、可管理性以及安全性要求。

有关 HNV 和 Windows Server 网关优点的详细信息,请参阅:

VMM 提供了一个用户界面,以管理网关、虚拟网络、虚拟机和其他构造项。

在规划此解决方案时,你需要考虑以下内容:

  • 针对运行 Hyper-V 的服务器、客户组虚拟机、SQL 服务器、网关、VMM 以及其他服务实现高可用性设计

    要确保你的设计具有容错能力,并且能够支持规定的可用性条款。

  • 租户虚拟机的 Internet 访问要求

    请考虑你的租户是否希望其虚拟机能够访问 Internet。如果是,则需要在部署网关时配置 NAT 功能。

  • 基础结构物理硬件的容量和吞吐量

    要确保你的物理网络具有足够容量,可以在 IaaS 产品扩展时进行横向扩展。

  • 点对点连接吞吐量

    需要调查可提供给租户的吞吐量,以及点对点 VPN 连接是否足够。

  • 网络隔离技术

    本解决方案使用 NVGRE 对租户网络进行隔离。你需要调查自己是否具有可优化此协议的硬件或者是否可获取该硬件。例如,网络接口卡、交换机等。

  • 身份验证机制

    本解决方案使用两个 Active Directory 域进行身份验证:一个适用于基础结构服务器,另一个适用于网关的网关群集和横向扩展文件服务器。如果没有适用于基础结构的 Active Directory 域,则你需要在开始部署前准备一个域控制器。

  • IP 寻址

    你需要规划此解决方案所使用的 IP 地址空间。

Important重要
如果你在网络环境中使用 Jumbo 帧,则你可能需要在部署之前规划一些配置调整。有关详细信息,请参阅 Windows Server 2012 R2 网络虚拟化 (NVGRE) MTU 减缩

确定你的租户要求

若要帮助规划容量,则需要确定你的租户要求。这些要求将影响需要提供给租户工作负载的资源。例如,你可能需要具有更多 RAM 和存储的更多 Hyper-V 主机,或者可能需要速度更快的 LAN 和 WAN 基础结构以支持租户工作负载生成的网络流量。

通过下列问题来帮助你规划租户要求。

 

设计注意事项 设计影响

你预计将托管多少租户,以及你预计该数字将以怎样的速度增长?

确定需要用于支持租户工作负载的 Hyper-V 主机数量。

使用 Hyper-V 资源测量可能会帮助你跟踪关于虚拟机使用情况的历史数据,并使你深入了解特定服务器的资源使用情况。有关详细信息,请参阅 Microsoft 虚拟化博客上的资源测量简介

你预计租户会将哪些类型的工作负载移到你的网络?

确定可供租户使用的 RAM、存储和网络吞吐量(LAN 和 WAN)。

你与租户的故障转移协议是什么?

将影响你部署的群集配置和其他故障转移技术。

有关物理计算规划注意事项的详细信息,请参阅面向 IT 企业的云基础结构解决方案内设计选项指南中的“3.1.6 物理计算资源:监控程序”一节。

确定你的故障转移群集策略

根据你的租户要求和你自己的风险容差,规划你的故障转移群集策略。例如,我们建议至少将管理、计算和网关主机部署为双节点群集。你可以选择向你的群集添加更多节点,还可以将运行 SQL、Virtual Machine Manager、Windows Azure Pack等的虚拟机部署为客户组群集。

对于此解决方案,需要将横向扩展文件服务器、计算 Hyper-V 主机、管理 Hyper-V 主机和网关 Hyper-V 主机配置为故障转移群集。还需要将 SQL、Virtual Machine Manager 和网关客户组虚拟机配置为故障转移群集。此配置将针对可能出现的物理计算机和虚拟机故障提供保护。

 

设计注意事项 设计影响

对于应用程序和服务不可用的情况,你的风险容差是多少?

向故障转移群集添加节点,以提高应用程序和服务的可用性。

   
   

确定你的 SQL 高可用性策略

你需要针对此解决方案选择一个 SQL 选项以实现高可用性。SQL Server 2012 具有多个选项:

  • AlwaysOn 故障转移群集实例

    此选项通过服务器实例级别(故障转移群集实例)上的冗余实现了本地高可用性。

  • AlwaysOn 可用性组

    此选项允许你最大程度地提高一个或多个用户数据库的可用性。

有关详细信息,请参阅 SQL Server 高可用性解决方案概述

关于此解决方案的 SQL 高可用性选项,我们建议使用 AlwaysOn 故障转移群集实例。使用此设计时,所有群集节点都位于同一网络中,并且共享存储是可用的,从而使你可以部署更加可靠且稳定的故障转移群集实例。若共享存储不可用且你的节点跨越不同的网络,则 AlwaysOn 可用性组这一解决方案可能更适合你。

确定你的网关要求

你需要规划所需的网关客户组群集的数量。需要部署的数量取决于你需要支持的租户数量。网关 Hyper-V 主机的硬件要求也取决于你需要支持的租户数量和租户工作负载要求。

有关 Windows Server 网关配置建议,请参阅 Windows Server 网关硬件和配置要求

出于容量规划的目的,我们建议每 100 个租户使用一个网关客户组群集。

针对此解决方案的设计旨在让用户可以通过点对点 VPN 连接到网关。因此,我们建议使用 VPN 部署 Windows Server 网关。通过使用 Microsoft 下载中心上可用的预定义服务模板,你可以配置双节点 Hyper-V 主机故障转移群集以及双节点客户组故障转移群集(有关详细信息,请参阅如何借助 VMM 将运行 Windows Server 2012 R2 的服务器用作网关)。

 

设计注意事项 设计影响

你的租户将如何连接到你的网络?

  • 若租户通过点对点 VPN 进行连接,则你可以将 Windows Server 网关用作到虚拟网络的 VPN 终止和网关。

    这是此规划和设计指南所涉及的配置。

  • 若使用非 Microsoft VPN 设备终止 VPN,则你可以将 Windows Server 网关用作到租户虚拟网络的转发网关。

  • 若租户通过分组交换网络连接到你的服务提供商网络,则你可以将 Windows Server 网关用作转发网关,以将这些租户连接到他们的虚拟网络。

Important重要
必须为需要转发网关才能连接到虚拟网络的每个租户部署单独的转发网关。

规划你的网络基础结构

对于此解决方案,你可以使用 Virtual Machine Manager 来定义逻辑网络、VM 网络、端口配置文件、逻辑交换机和网关,以组织和简化网络分配。在创建这些对象之前,你需要准备好逻辑和物理网络基础结构计划。

在本步骤中,我们将提供规划示例,以帮助你创建自己的网络基础结构计划。

该图显示了针对管理、计算和网关群集中的每个物理节点推荐的网络设计。

适用于群集节点的网络设计

计算和管理节点网络接口

需要针对生成的不同流量规划多个子网和 VLAN,例如管理/基础架构、网络虚拟化、外部(向外绑定)、群集、存储和实时迁移。可使用 VLAN 在交换机上隔离网络流量。

例如,该设计推荐下表中列出的网络。确切的线速度、地址、VLAN 等可能会因特定环境而有所不同。

子网/VLAN 计划

 

线速度 (Gb/S) 目的 地址 VLAN 备注

1

管理/基础结构

172.16.1.0/23

2040

适用于管理和基础结构的网络。地址可以为静态或动态,并在 Windows 中进行配置。

10

网络虚拟化

10.0.0.0/24

2044

适用于 VM 网络流量的网络。地址必须为静态,并且在 Virtual Machine Manager 中配置。

10

外部

131.107.0.0/24

2042

面向 Internet 的外部网络。地址必须为静态,并且在 Virtual Machine Manager 中配置。

1

群集

10.0.1.0/24

2043

用于群集通信。地址可以为静态或动态,并在 Windows 中进行配置。

10

存储

10.20.31.0/24

2041

用于存储流量。地址可以为静态或动态,并在 Windows 中进行配置。

VMM 逻辑网络计划

该设计推荐下表中列出的逻辑网络。你的逻辑网络可能会因你的特定需求而有所不同。

 

名称 IP 池和网络站点 注释

外部

  • Rack01_External

    • 131.107.0.0/24、VLAN 2042

    • 所有主机

主机网络

  • Rack01_LiveMigration

    • 10.0.3.0、VLAN 2045

    • 所有主机

  • Rack01_Storage

    • 10.20.31.0、VLAN 2041

    • 所有主机

基础结构

  • Rack01_Infrastructure

    • 172.16.0.0/24、VLAN 2040

    • 所有主机

网络虚拟化

  • Rack01_NetworkVirtualization

    • 10.0.0.0/24、VLAN 2044

    • 所有主机

VMM VM 网络计划

该设计使用下表中列出的 VM 网络。你的 VM 网络可能会因你的特定需求而有所不同。

 

名称 IP 池地址范围 注释

外部

实时迁移

10.0.3.1 – 10.0.3.254

管理

存储

10.20.31.1 – 10.20.31.254

在安装 Virtual Machine Manager 后,你可以创建逻辑交换机和上行端口配置文件。然后,在网络上配置主机以使用逻辑交换机,以及连接到该交换机的虚拟网络适配器。有关逻辑交换机和上行端口配置文件的详细信息,请参阅在 VMM 中为 VM 网络配置端口和交换机

该设计使用下列上行端口配置文件,如 VMM 中所定义:

VMM 上行端口配置文件计划

 

名称 常规属性 网络配置

Rack01_Gateway

  • 负载平衡算法:主机默认

  • 组合模式:LACP

网络站点:

  • Rack01_External、逻辑网络:外部

  • Rack01_LiveMigration、逻辑网络:主机网络

  • Rack01_Storage、逻辑网络:主机网络

  • Rack01_Infrastructure、逻辑网络:基础结构

  • Network Virtualization_0、逻辑网络:网络虚拟化

Rack01_Compute

  • 负载平衡算法:主机默认

  • 组合模式:LACP

网络站点:

  • Rack01_External、逻辑网络:外部

  • Rack01_LiveMigration、逻辑网络:主机网络

  • Rack01_Storage、逻辑网络:主机网络

  • Rack01_Infrastructure、逻辑网络:基础结构

  • Network Virtualization_0、逻辑网络:网络虚拟化

Rack01_Infrastructure

  • 负载平衡算法:主机默认

  • 组合模式:LACP

网络站点:

  • Rack01_LiveMigration、逻辑网络:主机网络

  • Rack01_Storage、逻辑网络:主机网络

  • Rack01_Infrastructure、逻辑网络:基础结构

该设计通过使用这些上行端口配置文件部署下列逻辑交换机,如 VMM 中所定义:

VMM 逻辑交换机计划

 

名称 扩展 上行 虚拟端口

VMSwitch

Microsoft Windows 筛选平台

  • Rack01_Compute

  • Rack01_Gateway

  • Rack01_Infrastructure

  • 高带宽

  • 基础结构

  • 实时迁移工作负载

  • 低带宽

  • 中带宽

该设计在最快网络链接上将最大流量负载隔离开来。例如,在单独的快速链接上将存储网络流量与网络虚拟化流量隔离开来。在必须对某些较大的流量负载使用较慢的网络链接时,你可以使用 NIC 组合。

Important重要
如果你在网络环境中使用 Jumbo 帧,则你可能需要在部署时进行一些配置调整。有关详细信息,请参阅 Windows Server 2012 R2 网络虚拟化 (NVGRE) MTU 减缩

规划你的 Windows Azure 包部署

若为租户自助服务门户使用 Windows Azure Pack,则可以配置大量选项以提供给租户。该解决方案包含一些 VM 云功能,但你可以使用更多的选项 - 这些选项不仅借助 VM 云,还借助网站云、服务总线云、SQL Server、MySQL Server 等。有关 Windows Azure Pack功能的详细信息,请参阅适用于 Windows Server 的 Windows Azure 包

在查看 Windows Azure Pack文档后,请确定要部署哪些服务。由于该解决方案仅将 Windows Azure 包用作可选组件,因此它仅通过快速部署使用某些网站云功能,以及安装在单个虚拟机上的所有 Windows Azure Pack组件。但是,如果将 Windows Azure Pack用作生产门户,你应该使用分布式部署并规划其他所需的资源。

若要针对生产分布式部署确定主机要求,请参阅 Windows Azure 包体系结构

如果你决定在生产中部署 Windows Azure Pack,请使用分布式部署。如果希望在生产中部署前评估 Windows Azure Pack功能,请使用快速部署。对于此解决方案,你可以使用快速部署来演示网站云服务。在位于计算群集的单个虚拟机上部署 Windows Azure Pack,以便可以从外部 (Internet) 网络访问 Web 门户。然后,在位于管理群集的某台虚拟机上部署运行 Service Provider Foundation 的虚拟机。

该设计包含针对该解决方案提供高可用性和可扩展性的故障转移群集。

下图显示可部署的四种类型的故障转移群集。每个故障转移群集都将解决方案所需的角色隔离开来。

物理群集和 VM

下表显示了针对该解决方案推荐的物理主机。已选择使用的节点数来表示提供高可用性所需的最低要求。你可以添加其他物理主机以进一步分布工作负载,从而满足你特定的需求。每个主机都具有 4 个物理网络适配器,以支持该设计的网络隔离要求。建议你使用 10 GB/s 或更快的网络基础结构。1 Gb/s 可满足基础结构和群集流量的要求。

物理主机建议

 

物理主机 解决方案中的角色 虚拟机角色

配置为故障转移群集的 2 个主机

管理/基础结构群集:

针对管理/基础结构工作负载(VMM、SQL、Service Provider Foundation、适用于网关域的客户组群集横向扩展文件服务器、域控制器)提供 Hyper-V 主机。

  • 客户组群集中的 SQL

  • 客户组群集中的 VMM

  • 适用于网关域的客户组群集横向扩展文件服务器

  • Service Provider Foundation 端点

配置为故障转移群集的 2 个主机

计算群集:

针对租户工作负载和Windows Azure Pack for Windows Server提供 Hyper-V 主机。

  • 租户

  • 可从公用网络访问的 Windows Azure Pack门户

配置为故障转移群集的 2 个主机

存储群集:

为管理和基础结构群集存储提供横向扩展文件服务器。

无(此群集仅托管文件共享)

配置为故障转移群集的 2 个主机

Windows Server 网关群集:

为网关虚拟机提供 Hyper-V 主机。

有关网关物理主机和网关虚拟机配置建议,请参阅 Windows Server 网关硬件和配置要求

客户组群集中的网关

Important重要
当部署 Hyper-V 主机和虚拟机时,将所有可用的更新应用到该解决方案中使用的软件和操作系统,这点十分重要。若不执行此操作,则你的解决方案可能不会按预期方式运行。

你可以使用本部分中的步骤来实现解决方案。请确保验证每一步的部署是否正确,然后再继续下一步。

note注意
如果你要打印或导出一组自定义的解决方案主题,请参阅打印/导出多个主题 – 帮助

  1. 部署(或标识)Active Directory 域。

    你的管理、计算和横向扩展文件服务器将加入此域。或者,标识可托管你的服务器的现有 Active Directory 域。

  2. 部署(或标识)另一个个 Active Directory 域。

    第二个 Active Directory 域将为网关存储托管 Hyper-V 主机网关服务器和横向扩展文件服务器。出于安全考虑,第二个 Active Directory 域不应该与基础结构域存在信任关系。

    Important重要
    请确保这两个域可以互相解析另一个域中的名称。例如,你可以将每个 DNS 服务器上的转发器都配置为指向另一个域中的 DNS 服务器。

  3. 为管理域部署存储节点和群集。

    横向扩展文件服务器将此解决方案的存储作为文件共享进行托管。该横向扩展文件服务器在管理域中的物理主机上进行配置。稍后将在管理群集上的虚拟机中实现该网关域的其他横向扩展文件服务器。有关部署横向扩展文件服务器的详细信息,请参阅部署横向扩展文件服务器

  4. 部署管理节点和群集。

    note注意
    你需要使用 Hyper-V 管理器来创建临时虚拟交换机,以便安装和配置虚拟机。在安装 VMM 后,你可以在 VMM 中定义逻辑交换机、删除 Hyper-V 中定义的虚拟交换机,并根据 VMM 中定义的逻辑交换机将主机配置为使用虚拟交换机。

    此主机群集将托管 SQL Server、VMM、Service Provider Foundation (SPF) 服务器以及横向扩展文件服务器(适用于网关域)虚拟机。适用于网关域的横向扩展文件服务器在虚拟机中实现,并将加入该网关域。有关详情,请参阅以下主题:

    Important重要
    暂时在一个主机群集节点上部署所有虚拟机。在 VMM 中配置网络功能后,请在主机群集节点之间对这些虚拟机进行负载平衡。

    1. 部署 SQL 客户组群集。

      有关部署 SQL Server 故障转移群集实例的信息,请参阅下列主题:

    2. 部署 VMM。

      有关如何执行此操作的信息,请参阅部署 System Center 2012 - Virtual Machine Manager。对于此解决方案,你可以使用 VMM 来部署和管理你的网关和其他网络功能。

      1. 在客户组群集上安装 VMM。

        有关如何执行此操作的信息,请参阅下列主题:



      2. 通过使用横向扩展文件服务器上的某个共享来添加库服务器。有关详细信息,请参阅如何添加 VMM 库服务器或 VMM 库共享。当系统提示你键入计算机名称时,请键入配置横向扩展文件服务器角色时所使用的名称。不要使用群集名称。

        Important重要
        当添加库服务器时,请确保使用与 VMM 服务帐户不同的用户帐户。若不执行此操作,则 VMM 将在添加库服务器失败时不进行任何提示,而且你也不会看到任何指示错误发生的作业历史记录。

      3. 在添加任何主机之前,请禁用“自动创建逻辑网络”设置。以后,你将通过特定设置手动创建逻辑网络。此设置位于“设置”的“网络设置”中。

      4. 将指定的 Hyper-V 主机添加为 VMM 主机。

        添加管理群集和横向扩展文件服务器群集。你以后将添加计算主机群集。

        你应在“构造”、“存储”、“文件服务器”类别中添加横向扩展文件服务器群集。你应该在“所有主机”下添加管理群集(最终添加计算群集)。为了帮助组织主机,你应该创建其他主机组(例如,“计算”和“管理”),并将相应的群集放置在这些主机组中。

        Important重要
        在为网关域部署横向扩展文件服务器时,你需要打开客户组群集的两个节点上的公用“Windows 远程管理 (HTTP-In)”端口。之所以需要打开此端口,是因为 VMM 服务器和网关群集独立存在于不受信任的域中,而且在默认情况下,不会为公用配置文件打开该端口。

        有关详细信息,请参阅在 VMM 中将 Windows Server 添加为 Hyper-V 主机概述

        若要查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

      5. 添加文件共享存储。

        添加群集后,你可以为部署到该群集中节点的虚拟机配置存储位置。打开该群集的“属性”页,然后在“文件共享存储”页上添加某个来自横向扩展文件服务器的共享。

      6. 创建规划的逻辑网络和关联的 IP 池。

        对于该解决方案,你可以创建适用于外部 (Internet) 基础结构的逻辑网络、主机网络(带有群集 IP 池和实时迁移 IP 池)以及网络虚拟化网络。请注意,这些是示例名称 - 你可以根据你的计划使用自己的名称。根据你的计划为每个逻辑网络创建相应的 IP 池,并且确保 IP 地址范围不会与任何正在使用的现有 IP 地址相重叠。

        将主机网络和逻辑网络配置为“基于 VLAN 的独立网络”,并将其他网络配置为“已连接的网络”。

        有关详细信息,请参阅如何在 VMM 中创建逻辑网络

        若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

      7. 创建适用于基础结构的 VM 网络、外部 (Internet)、实时迁移和存储逻辑网络。

        根据你的计划使用相应的地址范围,为存储和实时迁移网络创建 IP 地址池。

        有关详细信息,请参阅如何在 System Center 2012 R2 内的 VMM 中创建 VM 网络

        若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

      8. 创建上行端口配置文件。

        创建网关、计算和基础结构上行端口配置文件。配置“主机默认”负载平衡算法和链接聚合控制协议(“LACP”)组合模式(假定你的交换机支持 LACP)。为计算和网络端口配置文件的网络配置选择所有网络站点,并且为基础结构配置文件选择实时迁移、存储和基础结构站点。

        有关详细信息,请参阅在 VMM 中为 VM 网络配置端口和交换机

        若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

      9. 创建逻辑交换机。

        针对“扩展”选择“Microsoft Windows 筛选平台”、针对“上行”模式选择“组合”,并添加之前创建的三个上行端口配置文件。

        添加下列虚拟端口:高带宽、基础结构、实时迁移工作负载、低带宽以及中带宽。

      10. 在管理节点上创建成组虚拟交换机。

        向管理主机群集节点添加虚拟交换机。这是一个不具有任何关联虚拟机的节点。

        若要在 VMM 中执行此操作,请在“构造”、“服务器”窗格上找到主机节点,打开“属性”页,然后在“新建虚拟交换机”页上添加虚拟交换机。

        添加两个最快的物理适配器以形成一个组合,并选择基础结构上行端口配置文件。然后,为实时迁移和存储添加两个虚拟网络适配器。



        完成后,验证你的虚拟交换机是否与以下内容类似:



        虚拟交换机

        虚拟交换机虚拟适配器 - 实时迁移

        虚拟交换机虚拟适配器 - 存储

        Important重要
        你可能需要对这些网络适配器连接到的物理交换机端口进行一些配置更改。若要将 LACP 用于组合,你需要为 LACP 配置交换机端口。若在 Access 模式下配置交换机端口(适用于无标记的数据包),你需要在 Trunk 模式下配置它们,因为有标记的数据包将从成组的网络适配器传入。

        有关详细信息,请参阅如何通过将逻辑交换机应用于 VMM 在主机上配置网络设置

        Tip提示
        出于疑难解答的目的,可以使用以下 Windows PowerShell Cmdlet:

        Get-NetLbfoTeamGet-NetLbfoTeamMemberGet-NetLbfoTeamNic

        若要查看其他相关 Cmdlet,请键入 Get-command *lbfo*

      11. 配置你的迁移设置。

        既然你已在虚拟交换机上配置实时迁移适配器,就可以在每个节点的“属性”、“迁移设置”页上配置你的迁移设置。配置所需的设置,并确保你的实时迁移子网地址已添加且位于列表顶部。实际上,将以单个带有 32 位掩码的 IP 地址的形式输入子网:x.x.x.x/32。因此,如果实时迁移虚拟网络适配器的地址是 10.0.3.6,则“迁移设置”页可能类似于以下内容:



        迁移设置
      12. 实时迁移你的虚拟机。

        既然你使用通过 VMM 配置的虚拟交换机配置了主机,就可以将虚拟机迁移到该主机中,以便你以相同方式配置其他节点。

        若要迁移你的虚拟机,请在 VMM 中选择“VM 和服务”工作区,在运行虚拟机的管理群集中选择节点,右键单击运行的虚拟机,然后单击“迁移虚拟机”。选择另一个节点,然后移动虚拟机。

      13. 删除最初使用 Hyper-V 管理器创建的虚拟交换机。

        既然你已经移动虚拟机,你可以删除使用 Hyper-V 管理器创建的原始虚拟交换机。

      14. 使用 VMM 创建新的成组虚拟交换机。

        删除旧的虚拟交换机后,你可以创建新的成组虚拟交换机(正如你对之前节点进行的操作)。按照上述步骤,使用 VMM 在此节点上创建虚拟交换机。

      15. 实时迁移回一些虚拟机。

        既然你已使用借助 VMM 的成组虚拟交换机配置两个节点,你可以迁移回一些虚拟机。例如,移动某个 SQL 客户组群集节点,以便跨主机群集节点拆分客户组群集节点。对所有其他客户组群集执行此操作。

      此步骤完成后,你应在管理虚拟机和借助 VMM 配置的主机节点网络上安装两个管理主机群集节点。

  5. 部署计算节点和群集

    此 Hyper-V 群集会托管租户虚拟机和 Windows Azure 包门户服务器。

    你可以采用与安装管理群集类似的方式来安装计算 Hyper-V 群集:

    1. 部署 Hyper-V 主机,并加入管理域。

    2. 在群集中包含这些主机,然后向你的 VMM 计算主机组添加该群集。

    3. 为两个主机节点创建成组的虚拟交换机以及实时迁移和存储虚拟适配器(正如你对两个管理节点进行的操作)。在组合物理适配器时,请使用适用于这些适配器的计算上行端口配置文件。

    4. 添加文件共享存储。

      为部署到群集中节点的虚拟机配置存储位置。打开该群集的“属性”页,然后在“文件共享存储”页上添加某个来自横向扩展文件服务器的共享。

  6. 部署网关

    若要在 Windows Server 2012 R2 中部署 Windows Server 网关,则需要部署专用的 Hyper-V 主机群集,然后使用 VMM 部署虚拟机网关。Windows Server 网关针对多租户点对点 VPN 连接提供了一个连接点。按照类似的步骤来部署物理主机,但随后使用 VMM 服务模板来部署客户组群集虚拟机。

    若要部署 Windows Server 网关,请使用以下过程:

    1. 部署 Hyper-V 主机并加入网关域。

    2. 在群集中包含这些主机,然后向你的 VMM 网管主机组添加该群集。

    3. 为两个主机节点创建成组的虚拟交换机以及实时迁移和存储虚拟适配器(正如你对两个管理和计算节点进行的操作)。在组合物理适配器时,请使用适用于这些适配器的网关上行端口配置文件。

    4. 添加文件共享存储。

      为部署到群集中节点的虚拟机配置存储位置。打开该群集的“属性”页,然后在“文件共享存储”页上添加某个来自横向扩展文件服务器的共享。

    5. 确保可以从 VMM(其中提供 Windows Server 2012 R2 .vhd 或 .vhdx 文件)获取文件共享。由 VMM 服务模板将使用此文件部署网关虚拟机。

    6. 将主机配置为网关主机。

      必须将每个网关 Hyper-V 主机都配置为专用网络虚拟化网关。在 VMM 中右键单击某个网关主机,然后单击“属性”。单击“主机访问”,然后单击“此主机是专用网络虚拟化网关,因此不可用于放置需要网络虚拟化的虚拟机”复选框。

    7. 若要部署网关虚拟机,请按照以下主题中的过程操作:如何通过 VMM 将运行 Windows Server 2012 R2 的服务器用作网关,并使用 3-NIC HA 网关服务模板进行部署。

      用于部署网关的服务模板包括快速入门指南文档。此文档包含关于为网关部署安装基础结构的一些信息。此信息与本解决方案指南中提供的信息类似。你可以跳过快速入门指南中的基础结构步骤,这些步骤已包含在本解决方案指南中。

      当你到达最终配置步骤并运行“添加网络服务”向导时,你的“连接字符串”页将类似于以下内容:



      网络服务连接字符串



      你的网关网络服务的“连接性”属性将类似于以下内容:



      网络服务连接
    此步骤完成后,请验证日志中的两项作业是否已成功完成:

    • 更新网络服务设备

    • 添加连接网络服务设备

    Tip提示
    如果需要定期部署网关客户组群集(例如,为了满足资源要求),你可以使用服务模板设计器来自定义服务模板。例如,你可以自定义“OS 配置”设置以加入特定域、使用特定的产品密钥,或者使用特定的计算机名称配置。

    Caution小心
    不要修改可使虚拟机高度可用的网关服务模板。该网关服务模板有意将“高级\可用性”区域中的“使此虚拟机高度可用”复选框保留为未选中。虚拟机已配置为客户组群集的节点,但不要更改此设置,这一点非常重要。否则,在故障转移期间,客户地址 (CA) 将不会与新的提供程序地址 (PA) 相关联,而且网关将无法正常工作。

  7. 验证网关功能

    验证测试虚拟机与位于测试租户网络上的主机之间是否存在连接。

    使用以下步骤验证网关和 VM 网络是否正常工作。

    1. 建立点对点 VPN 连接。

      你的测试租户网络的连接方式将有所不同,具体取决于你用于建立 VPN 连接的设备。连接到网关的一种方式是使用远程访问(它结合了直接访问与路由和远程访问服务 (RRAS))。若要查看使用 RRAS 连接到网关的示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

      Tip提示
      若要连接其他 VPN 设备,则连接要求与 Windows Azure VPN 连接要求类似。有关详细信息,请参阅关于适用于虚拟网络的 VPN 设备

    2. 查看网关上的点对点 VPN 连接。

      在建立 VPN 连接后,可使用一些 Windows PowerShell 命令和新的 ping 选项来验证 VPN 连接。

      若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

    3. 部署测试租户虚拟机。

      在验证你具有到网关的成功的点对点连接后,可部署测试虚拟机,并将该它连接到托管服务提供商网络上的测试 VM 网络。

      若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

    4. 验证测试 VM 网络连接和 HNV 点对点操作。

      在部署测试虚拟机之后,你应验证它是否具有网络连接,该网络连接可通过多租户点对点网关连接到 Internet 上租户本地网络中的远程资源。

      若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

  8. 部署 Windows Server IPAM(推荐)

    Windows Server IPAM 与 VMM 集成,以管理客户和构造基础结构的 IP 地址空间。有关详细信息,请参阅部署 IPAM 服务器

    若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。



    在部署 IPAM 后,请配置 IPAM VMM 插件。有关详细信息,请参阅如何在 System Center 2012 R2 的 VMM 内添加 IPAM 服务器

    若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

    完成此步骤后,请验证是否可以在 IPAM 中看到虚拟化的地址空间。

    若要在测试环境中查看示例过程,请参阅测试实验室指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化中的“步骤 6:在 HNVHOST2 上安装和配置 IPAM”。

  9. 部署自助服务租户门户

    租户自助服务门户允许租户在主机托管服务提供商尽可能少参与的情况下,创建自己的虚拟网络和虚拟机。服务提供商可以设计和实现多租户自助服务门户,这些门户集成 System Center 2012 R2 上可用的 IaaS 功能。Service Provider Foundation 会显示与 VMM 交互的可扩展 OData Web 服务。

    Windows Azure Pack是一种 Microsoft 自助服务门户解决方案,它可通过 SPF 与 VMM 集成。它提供类似于 Windows Azure 的网站门户,因此,如果你的租户同时也是 Windows Azure 客户,则他们应该已熟悉 Windows Azure Pack中出现的用户界面。若要针对此解决方案演示 Windows Azure Pack功能,则可以使用 Windows Azure Pack快速部署。这将在单个服务器上部署所需的功能。若要在生产中部署 Windows Azure Pack,则应使用分布式部署。有关详细信息,请参阅 Windows Azure 包安装要求

    1. 创建 WAPPortal 虚拟机。

      查看快速部署的硬件和软件先决条件,然后在计算群集上创建 WAPPortal 虚拟机。

    2. 安装软件的先决条件。

      按照安装软件的先决条件中的过程操作。

    3. 安装 Windows Azure 包的快速部署。

      按照安装 Windows Azure 包的快速部署中的步骤。

    4. 查看设置虚拟机云下的主题,然后查看使用 VM 云的要求中的指南。

    5. 使用 VMM 创建云。

      例如,你可以使用“创建云”向导来创建具有以下属性的云:



       

      属性 设置

      常规

      名称:金牌

      资源

      主机组:计算

      逻辑网络

      网络虚拟化

      端口分类

      高带宽

      存储

      远程存储

      VMM-Lib(位于横向扩展文件服务器上的共享)

      容量

      云容量:设置为你所需的容量

      有关在 VMM 中创建云的详细信息,请参阅如何从主机组创建私有云

    6. 通过使用如何为 System Center 2012 SP1 安装 Service Provider Foundation 中的过程,在位于管理和基础结构群集上的单个虚拟机上安装 Service Provider Foundation。

    7. 将 SPF 配置为与 Windows Azure Pack结合使用,如“配置适用于 Windows Server 的 Windows Azure 包”一节中的为 Service Provider Foundation 配置端口所述。

      完成用于为虚拟机云注册 SPF 端点的过程后,你应该会在 Windows Azure Pack管理员门户上看到已在 VMM 中创建的云。

    8. 在 Windows Azure Pack管理员门户中,创建可用于测试的计划。例如,你可以创建名为金牌计划的计划,该计划具有以下属性:

       

      属性 设置

      名称

      金牌计划

      服务

      虚拟机云

      创建该计划后,单击它以继续配置。单击“虚拟机云”服务,并配置“VMM 管理服务器”、“虚拟机云”以及使用情况限制。单击“保存”以完成虚拟机云的配置。单击后退按钮,最后单击“更改访问权限”以公开该计划。

    9. 创建 Windows Azure Pack库资源。租户可以使用该库将虚拟机放置在他们的虚拟网络上。有关详细信息,请参阅下载和安装 Windows Azure 包库资源

    10. 在 Windows Azure Pack租户门户登录页上,单击“注册”以注册一个测试租户帐户。

      继续通过该租户门户来添加订阅并选择计划。

    11. 创建该帐户后,使用“自定义创建”为租户创建新的虚拟网络。

      在创建完该网络后,请确认它是否存在于“VM 网络”下的 VMM 中。

    12. 建立与测试租户的点对点 VPN 连接(正如你在之前创建手动测试虚拟网络时进行的操作)。

    13. 使用你之前创建的库来创建新的虚拟机角色。

    14. 在创建测试虚拟机之后,验证它是否可以通过点对点 VPN 隧道连接回租户网络。

本节介绍了用于向此解决方案添加功能的可选配置。

某些租户可能希望部署直接连接到 Internet 的虚拟机。他们可能有连接方面的需求,这些需求要求连接路径中不存在 NAT。

或者,某些租户可能需要直接连接到物理网络。例如,使用位于同一硬件的 VLAN 或分组交换网络(例如,多协议标签切换 (MPLS) 网络)。

你可以使用连接到 VM 网络(专门用于直接连接的虚拟机)的转发网关来支持这些要求。然后,在 VM 网络上为每个租户创建子网。你可以使用扩展端口访问控制列表,将每个租户虚拟机彼此隔离,并控制传入和传出虚拟机的网络流量。

下面是操作方法:

  1. 使用服务模板部署网关,方法与原始解决方案中相同。

  2. 请注意群集前端 IP 地址和新 VM 网关群集的名称。将在下一步骤中使用的连接字符串内使用此信息。

  3. 在 VMM 中创建新的网络服务以部署转发网关服务。使用类似于下面的连接字符串:

    VMHost=gateway-cl.adatum-gw.lab;GatewayVM=FGWCL01.adatum-gw.lab;BackendSwitch=VMSwitch;DirectRoutingMode=True;FrontEndServerAddress=131.107.0.55

    note注意
    请注意此连接字符串中的新参数:DirectRoutingModeFrontEndServerAddress

  4. 通过将新的转发网关用作网关设备,创建为直接路由配置的 VM 子网。

    1. 为每个租户创建单独的子网。例如:



      转发网络子网
  5. 将租户虚拟机放置在它们各自的子网中。

  6. 若要隔离虚拟机,请使用扩展端口访问控制列表并在 VMM 主机上运行 Cmdlet。配置租户虚拟机所需的端口和协议。



    Important重要
    在运行下列 Cmdlet 之前,必须在 VMM 主机上安装 Hyper-V PowerShell 模块。用于执行此操作的 PowerShell Cmdlet 是 Install-WindowsFeature hyper-v-powershell

    例如:

    $vm = get-scvirtualMachine -Name "<计算机名称>"
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn –VMName $vm.Name –Direction in  –Action Allow -Weight 15 -localport 68 -Protocol udp –Stateful $true
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name -Direction out -Action allow -Weight 12 -RemotePort 53 -Protocol udp -Stateful $true
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name -Direction out -Action allow -Weight 11 -LocalPort 443 -Protocol tcp -Stateful $true
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name -Direction out -Action allow -Weight 10 -LocalPort 80 -Protocol tcp -Stateful $true
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn –VMName $vm.Name –Direction in  –Action Allow -Weight 10 -localport 80 -Protocol tcp –Stateful $true
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name -Direction out -Action deny  -Weight 1
    Add-VMNetworkAdapterExtendedAcl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name -Direction in  -Action deny  -Weight 1
    


    从虚拟机删除端口 ACL 的示例:

    $vm = get-scvirtualMachine -Name "<计算机名称>"
    Get-VMNetworkAdapterExtendedacl -ComputerName $vm.vmhost.fqdn -VMName $vm.Name | Remove-VMNetworkAdapterExtendedAcl
    

如果你新部署的转发网关没有正确地将数据包转发到配置为直接路由的 VM 子网,请仔细检查你是否正确地按照前面的过程操作。如果你仍遇到问题,请检查以确保转发网关上的前端接口配置为转发。为此,请进行以下检查

  1. 登录到其中一个转发网关来宾群集虚拟机。

  2. 在 Windows PowerShell 管理员命令提示符下,使用 Get-NetIPInterface 检查 IP 接口。请注意与前端网络相关联的接口的 ifIndex 编号。

  3. 使用 Get-NetIPInterface –InterfaceIndex <前端接口的 ifindex> | fl,并检查转发参数。

  4. 如果禁用转发参数,则使用以下命令启用它:Get-NetIPInterface –InterfaceIndex <前端接口的 ifindex> | Set-NetIpInterface –Forwarding Enabled

  5. 对转发网关来宾群集中的每个节点重复执行此操作。

  6. 重复执行你的测试来验证转发网关是否正确地将数据包转发到 VM 网络。

显示: