Estendere le subnet on-premises in Azure utilizzando la rete estesa per Azure

La rete estesa per Azure consente di estendere una subnet locale in Azure per consentire alle macchine virtuali locali di mantenere gli indirizzi IP privati locali originali durante la migrazione ad Azure.

La rete viene estesa usando un tunnel VXLAN bidirezionale tra due macchine virtuali Windows Server 2019 che agiscono come appliance virtuali, una in esecuzione in locale e l'altra in esecuzione in Azure, ognuna connessa anche alla subnet da estendere. Ogni subnet che si intende estendere richiede una coppia di appliance. È possibile estendere più subnet usando più coppie.

Planning

Per prepararsi all'uso della rete estesa per Azure, è necessario identificare la subnet da estendere, quindi seguire questa procedura:

Capacity planning

È possibile estendere fino a 250 indirizzi IP usando la rete estesa per Azure. È possibile prevedere una velocità effettiva aggregata di circa 700 Mbps, con una certa variabilità a seconda della velocità della CPU della rete estesa per le appliance virtuali di Azure.

Configurazione in Azure

Prima di usare Windows Admin Center, è necessario seguire questa procedura tramite il portale di Azure:

1. Creare una rete virtuale in Azure che contiene almeno due subnet, oltre alle subnet necessarie per la connessione gateway. Una delle subnet create deve usare la stessa subnet CIDR della subnet locale da estendere. La subnet deve essere univoca all'interno del dominio di routing in modo che non si sovrapponga ad alcuna subnet locale.

2. Configurare un gateway di rete virtuale per usare una connessione da sito a sito o ExpressRoute per connettere la rete virtuale alla rete locale.

3. Creare una macchina virtuale Windows Server 2022 Azure Edition in Azure in grado di eseguire la virtualizzazione annidata. Si tratta di uno dei tuoi due dispositivi virtuali. Connettere l'interfaccia di rete primaria alla subnet instradabile e la seconda interfaccia di rete alla subnet estesa.

4. Avviare la macchina virtuale, abilitare il ruolo Hyper-V e riavviare. For example:

   Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
   

5. Creare due commutatori virtuali esterni nella macchina virtuale e connetterli a ognuna delle interfacce di rete. For example:

   New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet"
   New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
   

On-premises configuration

È anche necessario eseguire alcune configurazioni manuali nell'infrastruttura locale, inclusa la creazione di una macchina virtuale da usare come appliance virtuale locale:

1. Assicurarsi che le subnet siano disponibili nel computer fisico in cui si distribuirà la macchina virtuale locale (appliance virtuale). Ciò include la subnet che si vuole estendere e una seconda subnet che è univoca e non si sovrappone a nessuna subnet nella rete virtuale di Azure.

2. Creare una macchina virtuale Windows Server 2019 o 2022 in qualsiasi hypervisor che supporti la virtualizzazione annidata. Questa macchina virtuale è l'appliance virtuale locale. È consigliabile creare questa macchina virtuale come macchina virtuale a disponibilità elevata in un cluster. Connettere una scheda di rete virtuale alla subnet instradabile e una seconda scheda di rete virtuale alla subnet estesa.

3. Avviare la macchina virtuale, quindi eseguire questo comando da una sessione di PowerShell nella macchina virtuale per abilitare il ruolo Hyper-V e riavviare la macchina virtuale:

   Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
   

4. Eseguire i comandi seguenti in una sessione di PowerShell nella macchina virtuale per creare due commutatori virtuali esterni nella macchina virtuale e connetterli a ognuna delle interfacce di rete:

   New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet"
   New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
   

Other prerequisites

Se si dispone di un firewall tra la rete locale e Azure, è necessario configurarlo per consentire il routing asimmetrico. Questo processo può includere passaggi per disabilitare la casualità dei numeri di sequenza e abilitare il bypass dello stato TCP. Per questi passaggi, vedere la documentazione del fornitore del firewall.

Deploy

La distribuzione viene guidata tramite Windows Admin Center.

Installare e configurare Windows Admin Center

1. Scaricare e installare Windows Admin Center in qualsiasi computer in grado di eseguire Windows Admin Center, oltre alle due appliance virtuali create in precedenza.

2. In Windows Admin Center, select Settings (from the upper-right corner of the page) >Extensions. Then select Extensions:

   

3. On the Available extensions tab, select Extended network, and then select Install.

   Dopo alcuni secondi, verrà visualizzato un messaggio che indica un'installazione riuscita.

4. Connettere Windows Admin Center ad Azure. Questo passaggio è obbligatorio per eseguire operazioni in questa estensione.

5. In Windows Admin Center, go to All connections>Add and then select Add in the Windows Server tile. Immettere il nome del server (e le credenziali, se necessario) per l'appliance virtuale locale.

   .

6. Click on Extended network to begin. Al primo apertura viene visualizzata una panoramica e un pulsante di configurazione:

   

Distribuire una rete estesa per Azure

1. Click Set up to begin the configuration.

2. Click Next to proceed past the Overview.

3. On the Upload Package panel, you need to download the extended network for Azure agent package and upload it to the virtual appliance. Seguire le istruzioni nel pannello.

   Important

   Scroll down if necessary and click Upload before you click Next: Extended-Network Setup.

4. Selezionare il CIDR subnet della rete locale da estendere. L'elenco delle subnet viene letto dall'appliance virtuale. Il CIDR della subnet desiderato non verrà visualizzato in questo elenco se l'appliance virtuale non è connessa al set corretto di subnet.

5. Click Next after selecting the Subnet CIDR.

6. Selezionare la sottoscrizione, il gruppo di risorse e la rete virtuale in cui si sta estendendo:

   

   L'area (località di Azure) e la subnet vengono selezionate automaticamente. Selezionare Avanti: Installazione del gateway di rete estesa per continuare.

7. Configurare le appliance virtuali. Le informazioni del gateway locale devono essere popolate automaticamente:

   

   If it looks correct, you can click Next.

8. Per l'appliance virtuale di Azure selezionare il gruppo di risorse e la macchina virtuale da usare:

   

9. Dopo aver selezionato la macchina virtuale, selezionare il CIDR della subnet del gateway di Azure Extended-Network. Then click Next: Deploy.

10. Review the summary information then click Deploy to begin the deployment process. La distribuzione richiede circa 5-10 minuti. When deployment is complete, the following panel for managing the extended IP addresses appears, and the status should say OK:

    

Manage

Ogni indirizzo IP che si vuole raggiungere nella rete estesa deve essere configurato. È possibile configurare fino a 250 indirizzi da estendere. Per estendere un indirizzo

1. Fare clic su Aggiungi indirizzi IPv4:

   

2. Verrà visualizzato il riquadro a comparsa Aggiungi nuovi indirizzi IPv4 a destra:

   

3. Use the Add button to manually add an address. Gli indirizzi aggiunti in locale sono raggiungibili dagli indirizzi di Azure aggiunti all'elenco indirizzi di Azure e viceversa.

4. La rete estesa per Azure analizza la rete per individuare gli indirizzi IP e popola gli elenchi di suggerimenti in base a questa analisi. Per estendere questi indirizzi, è necessario usare l'elenco a discesa e selezionare la casella di controllo accanto all'indirizzo individuato. Non tutti gli indirizzi sono individuabili. Optionally, use the Add button to manually add addresses that are not discovered automatically.

   

5. Click Submit when complete. The status will change to Updating, then Progressing, and finally back to OK when the configuration is complete.

   I tuoi indirizzi sono ora ampliati. Usare il pulsante Aggiungi indirizzi IPv4 per aggiungere indirizzi aggiuntivi in qualsiasi momento. Se un indirizzo IP non è più in uso in una delle due estremità della rete estesa, selezionare la casella di controllo accanto e selezionare Rimuovi indirizzi IPv4.

Se non si vuole più usare la rete estesa per Azure, fare clic sul pulsante Rimuovi rete estesa di Azure. In questo modo l'agente viene disinstallato dalle due appliance virtuali e vengono rimossi gli indirizzi IP estesi. La rete non viene più estesa. L'installazione deve essere rieseguita dopo la rimozione, se si vuole iniziare a usare di nuovo la rete estesa.

Troubleshooting

Se si riceve un errore durante la distribuzione della rete estesa per Azure, seguire questa procedura:

1. Verificare che l'appliance virtuale locale usi Windows Server 2019 o 2022. Verificare che l'appliance virtuale di Azure usi Windows Server 2022 Azure Edition.

2. Verificare di non eseguire Windows Admin Center in una delle appliance virtuali. È consigliabile eseguire Windows Admin Center da una rete locale.

3. Assicurarsi di poter accedere in remoto alla macchina virtuale locale dal gateway Windows Admin Center usando enter-pssession.

4. Se è presente un firewall tra Azure e locale, verificare che sia configurato per consentire il traffico UDP sulla porta selezionata (impostazione predefinita 4789). Usare uno strumento come ctsTraffic per configurare un listener e un mittente. Verificare che il traffico possa essere inviato in entrambe le direzioni sulla porta specificata.

5. Usare pktmon per verificare che i pacchetti vengano inviati e ricevuti come previsto. Eseguire pktmon in ogni appliance virtuale:

   Pktmon start –etw
   

6. Avviare la rete estesa per la configurazione di Azure, quindi interrompere il tracciamento.

   Pktmon stop
   Netsh trace convert input=<path to pktmon etl file>
   

7. Aprire il file di testo generato da ogni appliance virtuale e cercare il traffico UDP sulla porta specificata (impostazione predefinita 4789). Se viene visualizzato il traffico inviato dall'appliance virtuale locale, ma non ricevuto dall'appliance virtuale di Azure, è necessario verificare il routing e il firewall tra le appliance. Se viene visualizzato il traffico inviato dall'ambiente locale ad Azure, si dovrebbe vedere che l'appliance virtuale di Azure invia un pacchetto in risposta. Se tale pacchetto non viene mai ricevuto dall'appliance virtuale locale, è necessario verificare che il routing sia corretto e che non vi sia un firewall che blocca il traffico tra di loro.

Diagnosi del percorso dati dopo la configurazione iniziale

Dopo aver configurato la rete estesa per Azure, i problemi aggiuntivi che possono verificarsi sono in genere dovuti al blocco del traffico da parte dei firewall o al superamento di MTU se l'errore è intermittente.

1. Verificare che entrambe le appliance virtuali siano in esecuzione e operative.

2. Verificare che l'agente di rete esteso sia in esecuzione in ognuna delle appliance virtuali:

   get-service extnwagent
   

3. Se lo stato non è 'In esecuzione', è possibile avviarlo con:

   start-service extnwagent
   

4. Usare packetmon come descritto nel passaggio 5 precedente mentre il traffico viene inviato tra due macchine virtuali nella rete estesa per verificare che il traffico venga ricevuto dalle appliance virtuali, inviato sulla porta UDP configurata e quindi ricevuto e inoltrato dall'altra appliance virtuale.