Sdílet prostřednictvím

Co je brána služby vzdáleného přístupu (RAS) pro softwarově definované sítě?

  • Článek

Platí pro: Azure Local, verze 23H2 a 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Tento článek obsahuje přehled brány služby vzdáleného přístupu (RAS) pro softwarově definované sítě (SDN) v Azure Local a Windows Serveru.

Brána RAS je softwarově podporující směrovač protokolu BGP (Border Gateway Protocol) určený pro poskytovatele cloudových služeb a podniky, které hostují víceklientskou virtuální síť pomocí virtualizace sítě Hyper-V (HNV). Bránu RAS můžete použít ke směrování síťového provozu mezi virtuální sítí a jinou sítí, ať už místní, nebo vzdálenou.

Brána RAS vyžaduje síťový adaptér, který provádí nasazení fondů bran, konfiguruje připojení klientů na každé bráně a v případě selhání brány přepne toky síťového provozu do pohotovostní brány.

Poznámka:

Víceklientská architektura je schopnost cloudové infrastruktury podporovat úlohy virtuálních počítačů více tenantů, ale izolovat je od sebe, zatímco všechny úlohy běží na stejné infrastruktuře. Několik úloh jednoho klienta je možné vzájemně propojit a spravovat vzdáleně, ale tyto systémy nevytvářejí propojení s úlohami ostatních klientů, ani ostatní klienti tyto úlohy nemůžou vzdáleně spravovat.

Funkce

Brána RAS nabízí řadu funkcí pro virtuální privátní síť (VPN), tunelování, předávání a dynamické směrování.

Site-to-Site IPsec VPN

Tato funkce brány RAS umožňuje propojit dvě sítě v různých fyzických umístěních přes internet pomocí připojení vpn (Site-to-Site) virtuální privátní sítě (VPN). Jedná se o šifrované připojení pomocí protokolu IKEv2 VPN.

Pro poskytovatele cloudových služeb, které hostují mnoho tenantů v datacentru, poskytuje služba RAS Gateway řešení s více tenanty, které umožňuje klientům přistupovat k prostředkům a spravovat je přes připojení VPN typu site-to-site ze vzdálených lokalit. Brána RAS umožňuje tok síťového provozu mezi virtuálními prostředky ve vašem datacentru a jejich fyzickou sítí.

Tunely GRE typu Site-to-Site

Tunely založené na protokolu GRE (Generic Routing Encapsulation) umožňují připojení mezi virtuálními sítěmi tenanta a externími sítěmi. Vzhledem k tomu, že protokol GRE je jednoduchý a podpora gre je dostupná na většině síťových zařízení, je ideální volbou pro tunelování, kde není vyžadováno šifrování dat.

Podpora GRE v tunelech S2S řeší problém předávání mezi virtuálními sítěmi tenanta a externími sítěmi tenantů pomocí víceklientské brány.

Předávání vrstvy 3

Předávání vrstvy 3 (L3) umožňuje připojení mezi fyzickou infrastrukturou v datacentru a virtualizovanou infrastrukturou v cloudu virtualizace sítě Hyper-V. Pomocí připojení pro předávání L3 se síťové virtuální počítače tenanta můžou připojit k fyzické síti přes bránu SDN, která je už nakonfigurovaná v prostředí SDN. V tomto případě brána SDN funguje jako směrovač mezi virtualizovanou sítí a fyzickou sítí.

Následující diagram znázorňuje příklad nastavení předávání L3 v Azure Local nakonfigurované s využitím SDN:

Diagram příkladu předávání L3

  • V místní instanci Azure existují dvě virtuální sítě: virtuální síť SDN 1 s předponou adresy 10.0.0.0/16 a virtuální sítí SDN 2 s předponou adresy 16.0.0.0/16.
  • Každá virtuální síť má připojení L3 k fyzické síti.
  • Vzhledem k tomu, že připojení L3 jsou pro různé virtuální sítě, má brána SDN samostatnou část pro každé připojení, aby poskytovala záruky izolace.
  • Každá část brány SDN má jedno rozhraní v prostoru virtuální sítě a jedno rozhraní ve fyzickém síťovém prostoru.
  • Každé připojení L3 musí být mapovat na jedinečnou síť VLAN ve fyzické síti. Tato síť VLAN se musí lišit od sítě VLAN poskytovatele HNV, která se používá jako podkladová data předávací fyzickou síť pro virtualizovaný síťový provoz.
  • Tento příklad používá statické směrování.

Tady jsou podrobnosti o každém připojení použitém v tomto příkladu:

Síťový prvek Připojení 1 Připojení 2
Předpona podsítě brány 10.0.1.0/24 16.0.1.0/24
IP adresa L3 15.0.0.5/24 20.0.0.5/24
IP adresa partnerského uzlu L3 15.0.0.1 20.0.0.1
Trasy v připojení 18.0.0.0/24 22.0.0.0/24

Důležité informace o směrování při použití předávání L3

Pro statické směrování musíte nakonfigurovat trasu ve fyzické síti, aby se dostala k virtuální síti. Například trasa s předponou adresy 10.0.0.0/16 s dalším segmentem směrování jako IP adresou L3 připojení (15.0.0.5).

U dynamického směrování pomocí protokolu BGP musíte stále nakonfigurovat statickou trasu /32, protože připojení protokolu BGP je mezi interním rozhraním oddílu brány a IP adresou partnerského vztahu L3. V případě připojení 1 by partnerský vztah byl mezi 10.0.1.6 a 15.0.0.1. Proto pro toto připojení potřebujete statickou trasu na fyzickém přepínači s cílovou předponou 10.0.1.6/32 s dalším segmentem směrování jako 15.0.0.5.

Pokud plánujete nasadit připojení brány L3 se směrováním BGP, nezapomeňte nakonfigurovat nastavení protokolu BGP přepínače Top of Rack (ToR) následujícím postupem:

  • update-source: Určuje zdrojovou adresu pro aktualizace protokolu BGP, což je L3 VLAN. Například síť VLAN 250.
  • Multihop protokolu ebgp: Určuje více segmentů směrování, protože soused protokolu BGP je více než jeden segment směrování pryč.

Dynamické směrování pomocí protokolu BGP

Protokol BGP snižuje potřebu ruční konfigurace tras na směrovačích, protože se jedná o protokol dynamického směrování a automaticky zjišťuje trasy mezi lokalitami připojenými pomocí připojení VPN typu site-to-site. Pokud má vaše organizace více lokalit připojených pomocí směrovačů s podporou protokolu BGP, jako je brána RAS, protokol BGP umožňuje směrovačům automaticky vypočítat a používat platné trasy v případě přerušení nebo selhání sítě.

Reflektor tras protokolu BGP, který je součástí brány RAS, poskytuje alternativu k topologii úplné sítě protokolu BGP, která je nutná pro synchronizaci tras mezi směrovači. Další informace najdete v tématu Co je reflektor trasy?

Jak funguje brána RAS

Brána RAS směruje síťový provoz mezi fyzickou sítí a síťovými prostředky virtuálních počítačů bez ohledu na umístění. Síťový provoz můžete směrovat ve stejném fyzickém umístění nebo mnoha různých umístěních.

Bránu RAS můžete nasadit ve fondech s vysokou dostupností, které používají více funkcí najednou. Fondy bran obsahují několik instancí brány ras pro zajištění vysoké dostupnosti a převzetí služeb při selhání.

Fond brány můžete snadno škálovat nahoru nebo dolů přidáním nebo odebráním virtuálních počítačů brány ve fondu. Odebrání nebo přidání bran nenaruší služby poskytované fondem. Můžete také přidat a odebrat celé fondy bran. Další informace najdete v tématu Vysoká dostupnost brány RAS.

Každý fond bran poskytuje redundanci M+N. To znamená, že počet aktivních virtuálních počítačů brány M se zálohuje podle počtu N pohotovostních virtuálních počítačů brány. Redundance M+N poskytuje větší flexibilitu při určování úrovně spolehlivosti, kterou potřebujete při nasazování brány RAS.

Ke všem fondům nebo podmnožině fondů můžete přiřadit jednu veřejnou IP adresu. Tím výrazně snížíte počet veřejných IP adres, které musíte použít, protože je možné, aby se všichni tenanti připojili ke cloudu na jedné IP adrese.

Další kroky

Související informace najdete také: