Действия после развертывания для сетевого контроллера Post-Deployment Steps for Network Controller

Применяется к: Windows Server 2019, Windows Server 2016 Applies to: Windows Server 2019, Windows Server 2016

При установке сетевого контроллера можно выбрать развертывания Kerberos или не Kerberos. When you install Network Controller, you can choose Kerberos or non-Kerberos deployments.

Для — развертываний без протокола Kerberos необходимо настроить сертификаты. For non-Kerberos deployments, you must configure certificates.

Настройка сертификатов для развертываний без протокола Kerberos Configure certificates for non-Kerberos deployments

Если компьютеры или виртуальные машины виртуальных ( машин ) для сетевого контроллера и клиента управления не — присоединены к домену, необходимо настроить — проверку подлинности на основе сертификатов, выполнив следующие действия. If the computers or virtual machines (VMs) for Network Controller and the management client are not domain-joined, you must configure certificate-based authentication by completing the following steps.

Создайте сертификат на сетевом контроллере для проверки подлинности компьютера. Create a certificate on the Network Controller for Computer authentication. Имя субъекта сертификата должно совпадать с именем DNS компьютера или виртуальной машины сетевого контроллера. The certificate subject name must be same as the DNS name of the Network Controller computer or VM.

Создайте сертификат в клиенте управления. Create a certificate on the management client. Этот сертификат должен быть доверенным сетевым контроллером. This certificate must be trusted by the Network Controller.

Зарегистрируйте сертификат на компьютере или виртуальной машине сетевого контроллера. Enroll a certificate on the Network Controller computer or VM. Сертификат должен соответствовать следующим требованиям. The certificate must meet the following requirements.

Как для проверки подлинности сервера, так и для проверки подлинности клиента необходимо настроить расширенное расширенное использование ключа ( ) или расширения политик приложений. Both the Server Authentication purpose and the Client Authentication purpose must be configured in Enhanced Key Usage (EKU) or Application Policies extensions. Идентификатор объекта для проверки подлинности сервера — 1.3.6.1.5.5.7.3.1. The object identifier for Server Authentication is 1.3.6.1.5.5.7.3.1. Идентификатор объекта для проверки подлинности клиента — 1.3.6.1.5.5.7.3.2. The object identifier for Client Authentication is 1.3.6.1.5.5.7.3.2.

Имя субъекта сертификата должно быть разрешено в: The certificate subject name should resolve to:

IP-адрес компьютера или виртуальной машины сетевого контроллера, если сетевой контроллер развертывается на одном компьютере или на виртуальной машине. The IP address of the Network Controller computer or VM, if Network Controller is deployed on a single computer or VM.

IP-адрес, если сетевой контроллер развертывается на нескольких компьютерах, нескольких виртуальных машинах или в обоих случаях. The REST IP address, if Network Controller is deployed on multiple computers, multiple VMs, or both.

Этот сертификат должен быть доверенным для всех клиентов RESTFUL. This certificate must be trusted by all the REST clients. Сертификат также должен быть доверенным для мультиплексора балансировки нагрузки программного обеспечения (МУЛЬТИПЛЕКСОРа) и узлов подсистемамми, управляемых сетевым контроллером. The certificate must also be trusted by the Software Load Balancing (SLB) Multiplexer (MUX) and the southbound host computers that are managed by Network Controller.

Сертификат может быть зарегистрирован в центре сертификации (ЦС) или являться самозаверяющим сертификатом. The certificate can be enrolled by a Certification Authority (CA) or can be a self-signed certificate. Самозаверяющие сертификаты не рекомендуются для рабочих развертываний, но они подходят для тестовых сред. Self-signed certificates are not recommended for production deployments, but are acceptable for test lab environments.

Один и тот же сертификат должен быть подготовлен на всех узлах сетевого контроллера. The same certificate must be provisioned on all the Network Controller nodes. После создания сертификата на одном узле можно экспортировать сертификат (с закрытым ключом) и импортировать его на другие узлы. After creating the certificate on one node, you can export the certificate (with private key) and import it on the other nodes.

Дополнительные сведения см. в разделе Сетевой контроллер. For more information, see Network Controller.

Что такое сетевой контроллер? What is Network Controller?

Применимо к Azure Stack ХЦИ версии 20H2; Windows Server 2019; Windows Server 2016 Applies to Azure Stack HCI, version 20H2; Windows Server 2019; Windows Server 2016

Сетевой контроллер является основой управления программно-определяемой сетью (SDN). Network Controller is the cornerstone of Software Defined Networking (SDN) management. Это очень масштабируемая серверная роль, обеспечивающая централизованную программируемую автоматизацию для управления, настройки, мониторинга и устранения неполадок инфраструктуры виртуальной сети. It is a highly scalable server role that provides a centralized, programmable point of automation to manage, configure, monitor, and troubleshoot virtual network infrastructure.

С помощью сетевого контроллера можно автоматизировать настройку и управление сетевой инфраструктурой, а не выполнять настройку сетевых устройств и служб вручную. Using Network Controller, you can automate the configuration and management of network infrastructure instead of performing manual configuration of network devices and services.

Как работает сетевой контроллер How Network Controller works

Сетевой контроллер предоставляет один прикладной программный интерфейс (API), который позволяет сетевому контроллеру взаимодействовать с сетевыми устройствами, службами и компонентами (Подсистемамми API) и управлять ими, а второй API, позволяющий приложениям управления сообщать сетевому контроллеру, какие сетевые параметры и службы они необходимы (обмена API). Network Controller provides one application programming interface (API) that allows Network Controller to communicate with and manage network devices, services, and components (Southbound API), and a second API that allows management applications to tell the Network Controller what network settings and services they need (Northbound API).

С помощью API Подсистемамми сетевой контроллер может управлять сетевыми устройствами и сетевыми службами, а также собирать всю необходимую информацию о сети. With the Southbound API, Network Controller can manage network devices and network services, and gather all of the information you need about the network. Сетевой контроллер постоянно отслеживает состояние сетевых устройств и служб и обеспечивает исправление всех отклонений в конфигурации из требуемого состояния. Network Controller continually monitors the state of network devices and services, and ensures that any configuration drift from the desired state is remediated.

Северный API-интерфейс сетевого контроллера реализован как интерфейс REST. The Network Controller Northbound API is implemented as a REST interface. Она обеспечивает возможность управления сетью центра обработки данных из приложений управления. It provides the ability to manage your datacenter network from management applications. Для управления пользователи могут использовать REST API напрямую или использовать Windows PowerShell на основе REST API или приложений управления с графическим пользовательским интерфейсом, таким как Windows Admin Center или System Center Virtual Machine Manager. For management, users can use the REST API directly, or use Windows PowerShell built on top of the REST API, or management applications with a graphical user interface such as Windows Admin Center or System Center Virtual Machine Manager.

Функции сетевого контроллера Network Controller features

Сетевой контроллер позволяет управлять функциями SDN, такими как виртуальные сети, брандмауэры, Load Balancer программного обеспечения и шлюз RAS. Network Controller allows you to manage SDN features such as virtual networks, firewalls, Software Load Balancer, and RAS Gateway. Ниже приведены некоторые из многих функций. The following are some of its many features.

Управление виртуальной сетью Virtual network management

Этот компонент сетевого контроллера позволяет развертывать и настраивать виртуализацию сети Hyper-V, настраивать виртуальные сетевые адаптеры на отдельных виртуальных машинах, а также сохранять и распределять политики виртуальной сети. This Network Controller feature allows you to deploy and configure Hyper-V Network Virtualization, configure virtual network adapters on individual VMs, and store and distribute virtual network policies. С помощью этой функции можно создавать виртуальные сети и подсети, подключать виртуальные машины (ВМ) к этим сетям и разрешать обмен данными между виртуальными машинами в одной виртуальной сети. With this feature, you can create virtual networks and subnets, attach virtual machines (VMs) to these networks, and enable communication between VMs in the same virtual network.

Сетевой контроллер поддерживает сети на основе виртуальных локальных сетей (VLAN), сетевое инкапсуляцию сетевой виртуализации (NVGRE) и виртуальную расширяемую локальную сеть (ВКСЛАН). Network Controller supports Virtual Local Area Network (VLAN) based networks, Network Virtualization Generic Routing Encapsulation (NVGRE) and Virtual Extensible Local Area Network (VXLAN).

Управление брандмауэром Firewall management

Этот компонент сетевого контроллера позволяет настраивать правила управления доступом к брандмауэрам и управлять ими для виртуальных машин рабочей нагрузки как на внутреннем (Восток-Запад), так и во внешнем (северном/Южной) сетевом трафике в центре обработки данных. This Network Controller feature allows you to configure and manage allow/deny firewall Access Control rules for your workload VMs for both internal (East/West) and external (North/South) network traffic in your datacenter. Правила брандмауэра подключены к виртуальным машинам рабочей нагрузки с портом vSwitch, поэтому они распределяются по рабочим нагрузкам в центре обработки данных и перемещаются вместе с рабочими нагрузками. The firewall rules are plumbed in the vSwitch port of workload VMs, and so they are distributed across your workloads in the datacenter and move along with your workloads.

С помощью API обмена можно определить правила брандмауэра для входящего и исходящего трафика виртуальных машин рабочей нагрузки. Using the Northbound API, you can define the firewall rules for both incoming and outgoing traffic from the workload VMs. Также можно создать отдельное правило брандмауэра для внесения в журнал всех данных, пропущенных или отклоненных в соответствии с правилами. You can also configure each firewall rule to log the traffic that was allowed or denied by the rule.

Управление Load Balancer программного обеспечения Software Load Balancer management

Программное обеспечение Load Balancer позволяет включать несколько серверов для размещения одной рабочей нагрузки, обеспечивая высокий уровень доступности и масштабируемости. Software Load Balancer allows you to enable multiple servers to host the same workload, providing high availability and scalability. С помощью Load Balancer программного обеспечения можно настроить и управлять балансировкой нагрузки, преобразованием входящих сетевых адресов (NAT) и исходящим доступом к Интернету для рабочих нагрузок, подключенных к традиционным сетям VLAN и виртуальным сетям. With Software Load Balancer, you can configure and manage load balancing, inbound Network Address Translation (NAT), and outbound access to the Internet for workloads connected to traditional VLAN networks and virtual networks.

Управление шлюзом Gateway management

Шлюз службы удаленного доступа (RAS) позволяет развертывать, настраивать и управлять виртуальными машинами, входящими в пул шлюзов, обеспечивая сетевое подключение к рабочим нагрузкам клиентов. Remote Access Service (RAS) Gateway allows you to deploy, configure, and manage VMs that are members of a gateway pool, providing external network connectivity to your customer workloads. При использовании шлюзов между виртуальной и удаленной сетями поддерживаются следующие типы подключения: With gateways, the following connectivity types are supported between your virtual and remote networks:

• Подключение шлюза виртуальной частной сети (VPN) типа «сеть — сеть» с помощью IPsec Site-to-site virtual private network (VPN) gateway connectivity using IPsec
• Подключение VPN-шлюза типа «сеть — сеть» с помощью протокола GRE Site-to-site VPN gateway connectivity using Generic Routing Encapsulation (GRE)
• Возможность пересылки уровня 3 Layer 3 forwarding capability

Подключения шлюза поддерживают протокол BGP (BGP) для управления динамическими маршрутами. Gateway connections support Border Gateway Protocol (BGP) for dynamic route management.

Цепочки виртуальных устройств Virtual appliance chaining

Эта функция сетевого контроллера позволяет подключать устройства виртуальной сети к виртуальным сетям. This Network Controller feature allows you to attach virtual network appliances to your virtual networks. Эти устройства можно использовать для расширенного брандмауэра, балансировки нагрузки, обнаружения вторжений и предотвращения, а также многих других сетевых служб. These appliances can be used for advanced firewalling, load balancing, intrusion detection and prevention, and many other network services. Можно добавить виртуальные устройства, выполняющие функции маршрутизации и зеркального отображения портов, определяемые пользователем. You can add virtual appliances that perform user-defined routing and port mirroring functions. При использовании определяемой пользователем маршрутизации виртуальное устройство используется в качестве маршрутизатора между виртуальными подсетями в виртуальной сети. With user-defined routing, the virtual appliance gets used as a router between the virtual subnets on the virtual network. При зеркальном отображении портов весь сетевой трафик, входящий или исходящий из наблюдаемого порта, дублируется и отправляется в виртуальное устройство для анализа. With port mirroring, all network traffic that is entering or leaving the monitored port is duplicated and sent to a virtual appliance for analysis.

Дополнительные сведения об определяемых пользователем маршрутах см. в статье Использование виртуальных сетевых устройств в виртуальной сети. To learn more about user-defined routes, see Use Network Virtual Appliances on a Virtual Network.

Рекомендации по развертыванию сетевого контроллера Network Controller deployment considerations

Не развертывайте роль сервера сетевого контроллера на физических узлах. Do not deploy the Network Controller server role on physical hosts. Сетевой контроллер следует развернуть на собственных выделенных виртуальных машинах. The Network Controller should be deployed on its own dedicated VMs.

Сетевой контроллер можно развернуть как в домене, так и в среде, отличной от домена. You can deploy Network Controller in both domain and non-domain environments. В средах домена сетевой контроллер проверяет подлинность пользователей и сетевых устройств с помощью Kerberos. в средах, не являющихся доменами, необходимо развернуть сертификаты для проверки подлинности. In domain environments, Network Controller authenticates users and network devices by using Kerberos; in non-domain environments, you must deploy certificates for authentication.

Для развертываний сетевых контроллеров очень важно обеспечить высокий уровень доступности и возможность легко масштабироваться с учетом потребностей центра обработки данных. It’s critical for Network Controller deployments to provide high availability and the ability for you to easily scale up or down with your datacenter needs. Чтобы обеспечить высокий уровень доступности для приложения сетевого контроллера, используйте по крайней мере три виртуальных машины. Use at least three VMs in order to provide high availability for the Network Controller application.

Для обеспечения высокой доступности и масштабируемости сетевой контроллер использует Service Fabric. To achieve high availability and scalability, Network Controller relies on Service Fabric. Service Fabric предоставляет платформу распределенных систем для создания масштабируемых, надежных и легко управляемых приложений. Service Fabric provides a distributed systems platform to build scalable, reliable, and easily managed applications. Дополнительные сведения о сетевом контроллере см. в Service Fabric приложении. Learn more about Network Controller as a Service Fabric Application.

Следующие шаги Next steps

Связанные сведения см. также в следующих статьях: For related information, see also: