Was ist Remote Access Service (RAS) Gateway für Software Defined Networking?
Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Dieser Artikel bietet eine Übersicht über RAS-Gateway für softwaredefinierte Netzwerke (Software Defined Networking, SDN) in Azure Stack HCI und Windows Server.
RAS Gateway ist ein softwarebasierter Border Gateway Protocol (BGP) fähiger Router, der für Cloud Service Provider (CSPs) und Unternehmen entwickelt wurde, die mandantenfähige virtuelle Netzwerke mit Hyper-V Network Virtualization (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.
Ras-Gateway erfordert einen Netzwerkcontroller, der die Bereitstellung von Gatewaypools durchführt, Mandantenverbindungen auf jedem Gateway konfiguriert und den Netzwerkdatenverkehr in ein Standbygateway wechselt, wenn ein Gateway ausfällt.
Hinweis
Mehrinstanzenfähigkeit bezeichnet die Fähigkeit einer Cloudinfrastruktur, die Arbeitsauslastungen virtueller Computer mehrerer Mandanten zu unterstützen, diese dabei jedoch voneinander zu trennen, während alle Arbeitsauslastungen aber weiterhin in derselben Infrastruktur ausgeführt werden. Mehrere Arbeitsauslastungen eines einzelnen Mandanten können miteinander verbunden und remote verwaltet werden. Es gibt jedoch keine Verbindung zwischen diesen Systemen und den Arbeitsauslastungen anderer Mandanten, und auch die Remoteverwaltung durch andere Mandanten ist nicht möglich.
Features
RAS-Gateway bietet viele Features für virtuelles privates Netzwerk (VPN), Tunneling, Weiterleitung und dynamisches Routing.
Site-to-Site-IPsec-VPN
Mithilfe dieser RAS-Gatewayfunktion können Sie zwei Netzwerke an verschiedenen physischen Standorten über das Internet mithilfe einer Site-to-Site-VPN-Verbindung (S2S; virtuelles privates Netzwerk) miteinander verbinden. Hierbei handelt es sich um eine verschlüsselte Verbindung, die das IKEv2-VPN-Protokoll verwendet.
Für CSPs, die viele Mandanten in ihren Rechenzentren hosten, kann das RAS-Gateway als mehrinstanzenfähige Gatewaylösung verwendet werden. Mandanten können auf ihre Ressourcen über Standard-zu-Standort-VPN-Verbindungen von Remotestandorten aus zugreifen. Das RAS-Gateway erlaubt den Fluss von Netzwerkdatenverkehr zwischen virtuellen Ressourcen in Ihrem Rechenzentrum und dem jeweiligen physischen Netzwerk.
Site-to-Site-GRE-Tunnel
Tunnel, die auf GRE (Generic Routing Encapsulation) basieren, ermöglichen Konnektivität zwischen virtuellen Mandantennetzwerken und externen Netzwerken. Da das GRE-Protokoll einfach ist und GRE auf den meisten Netzwerkgeräten unterstützt wird, ist es eine ideale Wahl für tunnelnde Daten, bei denen keine Verschlüsselung von Daten erforderlich ist.
Die GRE-Unterstützung in S2S-Tunneln löst das Problem der Weiterleitung zwischen virtuellen Mandantennetzwerken und externen Mandantennetzwerken mithilfe eines mehrinstanzenfähigen Gateways.
Ebene-3-Weiterleitung
Eine L3-Weiterleitung (Layer 3) ermöglicht eine Verbindung zwischen der physischen Infrastruktur im Rechenzentrum und der virtualisierten Infrastruktur in der Hyper-V-Netzwerkvirtualisierungscloud. Mithilfe der L3-Weiterleitungsverbindung können VMs des Mandantennetzwerks über das SDN-Gateway, das bereits in der SDN-Umgebung konfiguriert ist, eine Verbindung mit einem physischen Netzwerk herstellen. In diesem Fall fungiert das Hostnamensgateway als Router zwischen dem virtuellen und dem physischen Netzwerk.
Das folgende Diagramm zeigt ein Beispiel für das L3-Weiterleitungssetup in einem Mit SDN konfigurierten Azure Stack HCI-Cluster:
- Es gibt zwei virtuelle Netzwerke im Azure Stack HCI-Cluster: DAS virtuelle SDN-Netzwerk 1 mit dem Adresspräfix 10.0.0.0/16 und das virtuelle SDN-Netzwerk 2 mit dem Adresspräfix 16.0.0.0/16.
- Jedes virtuelle Netzwerk verfügt über eine L3-Verbindung mit dem physischen Netzwerk.
- Da die L3-Verbindungen für unterschiedliche virtuelle Netzwerke vorgesehen sind, verfügt das SDN-Gateway über ein separates Fach für jede Verbindung, um Isolationsgarantien zu bieten.
- Jedes SDN-Gatewayfach verfügt über eine Schnittstelle im virtuellen Netzwerkbereich und eine Schnittstelle im physischen Netzwerkbereich.
- Jede L3-Verbindung muss einem eindeutigen VLAN im physischen Netzwerk zugeordnet werden. Dieses VLAN muss sich vom VLAN des HNV-Anbieters unterscheiden, das als zugrunde liegendes physisches Datenweiterleitungsnetzwerk für virtualisierten Netzwerkdatenverkehr verwendet wird.
- In diesem Beispiel wird statisches Routing verwendet.
Im Folgenden finden Sie die Details zu den einzelnen Verbindungen, die in diesem Beispiel verwendet werden:
Netzwerkelement | Verbindung 1 | Verbindung 2 |
---|---|---|
Gatewaysubnetzpräfix | 10.0.1.0/24 | 16.0.1.0/24 |
L3-IP-Adresse | 15.0.0.5/24 | 20.0.0.5/24 |
L3-Peer-IP-Adresse | 15.0.0.1 | 20.0.0.1 |
Routen für die Verbindung | 18.0.0.0/24 | 22.0.0.0/24 |
Routingüberlegungen bei der Verwendung der L3-Weiterleitung
Für statisches Routing müssen Sie eine Route im physischen Netzwerk konfigurieren, um das virtuelle Netzwerk zu erreichen. Beispielsweise eine Route mit dem Adresspräfix 10.0.0.0/16 mit dem nächsten Hop als L3-IP-Adresse der Verbindung (15.0.0.5).
Für dynamisches Routing mit BGP müssen Sie dennoch eine statische /32-Route konfigurieren, da die BGP-Verbindung zwischen der internen Schnittstelle des Gatewayfachs und der L3-Peer-IP erfolgt. Für Verbindung 1 würde das Peering zwischen 10.0.1.6 und 15.0.0.1 erfolgen. Daher benötigen Sie für diese Verbindung eine statische Route auf dem physischen Switch mit dem Zielpräfix 10.0.1.6/32 mit dem nächsten Hop als 15.0.0.5.
Wenn Sie L3-Gatewayverbindungen mit BGP-Routing bereitstellen möchten, stellen Sie sicher, dass Sie die BGP-Einstellungen des ToR-Switches (Top of Rack) wie folgt konfigurieren:
- update-source: Gibt die Quelladresse für BGP-Updates an, d. h. L3 VLAN. Beispiel: VLAN 250.
- ebgp multihop: Gibt an, dass mehr Hops erforderlich sind, da der BGP-Nachbar mehr als einen Hop entfernt ist.
Dynamisches Routing mit BGP
BGP reduziert die Notwendigkeit einer manuellen Routenkonfiguration für Router, da es sich um ein dynamisches Routingprotokoll handelt, und lernt automatisch Routen zwischen Standorten, die über Site-to-Site-VPN-Verbindungen verbunden sind. Wenn Ihr organization über mehrere Standorte verfügt, die mit BGP-fähigen Routern verbunden sind, z. B. RAS-Gateway, ermöglicht BGP den Routern die automatische Berechnung und Verwendung gültiger Routen zueinander im Falle einer Netzwerkunterbrechung oder eines Ausfalls.
Der im RAS-Gateway enthaltene BGP-Routenfeflektor bietet eine Alternative zur BGP-Full-Mesh-Topologie, die für die Routensynchronisierung zwischen Routern erforderlich ist. Weitere Informationen finden Sie unter Was ist ein Routenreflektor?
Funktionsweise des RAS-Gateways
Das RAS-Gateway leitet Netzwerkdatenverkehr zwischen dem physischen Netzwerk und VM-Netzwerkressourcen weiter, unabhängig vom Standort. Sie können den Netzwerkdatenverkehr am selben physischen Standort oder an vielen verschiedenen Standorten weiterleiten.
Sie können das RAS-Gateway in Hochverfügbarkeitspools bereitstellen, die mehrere Funktionen gleichzeitig verwenden. Gatewaypools enthalten mehrere Instanzen des RAS-Gateways für Hochverfügbarkeit und Failover.
Sie können einen Gatewaypool problemlos zentral hoch- oder herunterskalieren, indem Sie virtuelle Gatewaycomputer im Pool hinzufügen oder entfernen. Das Entfernen oder Hinzufügen von Gateways beeinträchtigt nicht die Dienste, die von einem Pool bereitgestellt werden. Sie können auch ganze Pools von Gateways hinzufügen oder entfernen. Weitere Informationen finden Sie unter RAS-Gatewayhochverfügbarkeit.
Jeder Gatewaypool bietet „M+N“-Redundanz. Dies bedeutet, dass „M“ aktive Gateway-VMs von „N“ virtuellen Standbygatewaycomputern gesichert werden. „M+N“-Redundanz bietet Ihnen mehr Flexibilität bei der Ermittlung des Zuverlässigkeitsniveaus, das Sie bei der Bereitstellung des RAS-Gateways benötigen.
Sie können allen Pools oder einer Teilmenge von Pools eine einzelne öffentliche IP-Adresse zuweisen. Dadurch wird die Anzahl der öffentlichen IP-Adressen, die Sie verwenden müssen, erheblich reduziert, da es möglich ist, dass alle Mandanten über eine einzelne IP-Adresse eine Verbindung mit der Cloud herstellen.
Nächste Schritte
Verwandte Informationen finden Sie außerdem unter: