Was ist Remote Access Service (RAS) Gateway für Software Defined Networking?
Gilt für: Azure Local, Versionen 23H2 und 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Dieser Artikel enthält eine Übersicht über das RAS-Gateway (Remote Access Service) für Software Defined Networking (SDN) in Azure Local und Windows Server.
RAS Gateway ist ein softwarebasierter Border Gateway Protocol (BGP) fähiger Router, der für Cloud Service Provider (CSPs) und Unternehmen entwickelt wurde, die mandantenfähige virtuelle Netzwerke mit Hyper-V Network Virtualization (HNV) hosten. Sie können RAS-Gateways verwenden, um Netzwerkdatenverkehr zwischen einem virtuellen Netzwerk und einem anderen Netzwerk (lokal oder remote) weiterzuleiten.
RAS-Gateway erfordert Netzwerkcontroller, der die Bereitstellung von Gatewaypools durchführt, Mandantenverbindungen auf jedem Gateway konfiguriert und Netzwerkdatenverkehr zu einem Standbygateway wechselt, wenn ein Gateway fehlschlägt.
Hinweis
Mehrinstanzenfähigkeit bezeichnet die Fähigkeit einer Cloudinfrastruktur, die Arbeitsauslastungen virtueller Computer mehrerer Mandanten zu unterstützen, diese dabei jedoch voneinander zu trennen, während alle Arbeitsauslastungen aber weiterhin in derselben Infrastruktur ausgeführt werden. Mehrere Arbeitsauslastungen eines einzelnen Mandanten können miteinander verbunden und remote verwaltet werden. Es gibt jedoch keine Verbindung zwischen diesen Systemen und den Arbeitsauslastungen anderer Mandanten, und auch die Remoteverwaltung durch andere Mandanten ist nicht möglich.
Features
RAS-Gateway bietet viele Features für virtuelles privates Netzwerk (VPN), Tunneling, Forwarding und dynamisches Routing.
Site-to-Site-IPsec-VPN
Mithilfe dieser RAS-Gatewayfunktion können Sie zwei Netzwerke an verschiedenen physischen Standorten über das Internet mithilfe einer Site-to-Site-VPN-Verbindung (S2S; virtuelles privates Netzwerk) miteinander verbinden. Hierbei handelt es sich um eine verschlüsselte Verbindung, die das IKEv2-VPN-Protokoll verwendet.
Für CSPs, die viele Mandanten in ihren Rechenzentren hosten, kann das RAS-Gateway als mehrinstanzenfähige Gatewaylösung verwendet werden. Mandanten können auf ihre Ressourcen über Standard-zu-Standort-VPN-Verbindungen von Remotestandorten aus zugreifen. Das RAS-Gateway erlaubt den Fluss von Netzwerkdatenverkehr zwischen virtuellen Ressourcen in Ihrem Rechenzentrum und dem jeweiligen physischen Netzwerk.
Site-to-Site-GRE-Tunnel
Tunnel, die auf GRE (Generic Routing Encapsulation) basieren, ermöglichen Konnektivität zwischen virtuellen Mandantennetzwerken und externen Netzwerken. Da das GRE-Protokoll leicht und die Unterstützung für GRE auf den meisten Netzwerkgeräten verfügbar ist, ist es eine ideale Wahl für Tunneling, bei denen die Verschlüsselung von Daten nicht erforderlich ist.
Die GRE-Unterstützung in S2S-Tunneln löst das Problem der Weiterleitung zwischen virtuellen Mandantennetzwerken und externen Mandantennetzwerken mithilfe eines mehrinstanzenfähigen Gateways.
Ebene-3-Weiterleitung
Die Layer-3-Weiterleitung (L3) ermöglicht die Konnektivität zwischen der physischen Infrastruktur im Rechenzentrum und der virtualisierten Infrastruktur in der Hyper-V-Netzwerkvirtualisierungs-Cloud. Mithilfe der L3-Weiterleitungsverbindung können VMs im Mandantennetzwerk über das SDN-Gateway eine Verbindung mit einem physischen Netzwerk herstellen, das bereits in der SDN-Umgebung konfiguriert ist. In diesem Fall fungiert das SDN-Gateway als Router zwischen dem virtualisierten Netzwerk und dem physischen Netzwerk.
Das folgende Diagramm zeigt ein Beispiel für das L3-Weiterleitungssetup in Azure Local, das mit SDN konfiguriert ist:
- Es gibt zwei virtuelle Netzwerke in der lokalen Azure-Instanz: SDN virtual network 1 mit Adresspräfix 10.0.0.0/16 und SDN virtual network 2 mit Adresspräfix 16.0.0.0/16.
- Jedes virtuelle Netzwerk verfügt über eine L3-Verbindung mit dem physischen Netzwerk.
- Da die L3-Verbindungen für unterschiedliche virtuelle Netzwerke gelten, verfügt das SDN-Gateway über ein separates Fach für jede Verbindung, um Isolationsgarantien bereitzustellen.
- Jedes SDN-Gatewayfach verfügt über eine Schnittstelle im virtuellen Netzwerkraum und eine Schnittstelle im physischen Netzwerkraum.
- Jede L3-Verbindung muss einem eindeutigen VLAN im physischen Netzwerk zugeordnet werden. Dieses VLAN muss sich vom VLAN des HNV-Anbieters unterscheiden, der als zugrunde liegendes physisches Netzwerk für virtualisierten Netzwerkdatenverkehr verwendet wird.
- In diesem Beispiel wird statisches Routing verwendet.
Im Folgenden sind die Details zu den einzelnen Verbindungen aufgeführt, die in diesem Beispiel verwendet werden:
| Netzwerkelement | Verbindung 1 | Verbindung 2 |
|---|---|---|
| Gateway-Subnetzpräfix | 10.0.1.0/24 | 16.0.1.0/24 |
| L3-IP-Adresse | 15.0.0.5/24 | 20.0.0.5/24 |
| L3-Peer-IP-Adresse | 15.0.0.1 | 20.0.0.1 |
| Routen für die Verbindung | 18.0.0.0/24 | 22.0.0.0/24 |
Überlegungen zum Routing bei der Verwendung von L3-Weiterleitung
Für statisches Routing müssen Sie eine Route im physischen Netzwerk konfigurieren, um das virtuelle Netzwerk zu erreichen. Beispielsweise eine Route mit dem Adresspräfix 10.0.0.0/16 mit dem nächsten Hop als L3-IP-Adresse der Verbindung (15.0.0.5).
Für dynamisches Routing mit BGP müssen Sie dennoch eine statische /32-Route konfigurieren, da die BGP-Verbindung zwischen der internen Schnittstelle des Gatewayfachs und der L3-Peer-IP liegt. Bei Verbindung 1 wäre das Peering zwischen 10.0.1.6 und 15.0.0.1. Daher benötigen Sie für diese Verbindung eine statische Route auf dem physischen Switch mit Zielpräfix 10.0.1.6/32 mit dem nächsten Hop als 15.0.0.5.
Wenn Sie die L3-Gatewayverbindungen mit BGP-Routing bereitstellen möchten, müssen Sie die BGP-Einstellungen (Top of Rack, ToR) mit den folgenden Einstellungen konfigurieren:
- update-source: Dies gibt die Quelladresse für BGP-Updates an, d. h. L3 VLAN. Beispiel: VLAN 250.
- ebgp multihop: Dies gibt mehr Hops an, die erforderlich sind, da der BGP-Nachbar mehr als einen Hop entfernt ist.
Dynamisches Routing mit BGP
BGP reduziert die Notwendigkeit einer manuellen Routenkonfiguration auf Routern, da es sich um ein dynamisches Routingprotokoll handelt, und lernt automatisch Routen zwischen Standorten, die mithilfe von Standort-zu-Standort-VPN-Verbindungen verbunden sind. Wenn Ihre Organisation über mehrere Standorte verfügt, die mit BGP-fähigen Routern verbunden sind, z. B. RAS-Gateway, ermöglicht BGP es den Routern, bei Netzwerkunterbrechungen oder Fehlern automatisch gültige Routen zu berechnen und zu verwenden.
Der im RAS-Gateway enthaltene BGP-Routenfeflektor bietet eine Alternative zur BGP-Full-Mesh-Topologie, die für die Routensynchronisierung zwischen Routern erforderlich ist. Weitere Informationen finden Sie unter Was ist ein Routenreflektor?
Funktionsweise des RAS-Gateways
Das RAS-Gateway leitet Netzwerkdatenverkehr zwischen dem physischen Netzwerk und VM-Netzwerkressourcen weiter, unabhängig vom Standort. Sie können den Netzwerkdatenverkehr am selben physischen Standort oder an vielen verschiedenen Standorten weiterleiten.
Sie können das RAS-Gateway in Hochverfügbarkeitspools bereitstellen, die mehrere Funktionen gleichzeitig verwenden. Gatewaypools enthalten mehrere Instanzen des RAS-Gateways für Hochverfügbarkeit und Failover.
Sie können einen Gatewaypool problemlos zentral hoch- oder herunterskalieren, indem Sie virtuelle Gatewaycomputer im Pool hinzufügen oder entfernen. Das Entfernen oder Hinzufügen von Gateways stört nicht die Dienste, die von einem Pool bereitgestellt werden. Sie können auch ganze Pools von Gateways hinzufügen oder entfernen. Weitere Informationen finden Sie unter RAS-Gatewayhochverfügbarkeit.
Jeder Gatewaypool bietet „M+N“-Redundanz. Dies bedeutet, dass „M“ aktive Gateway-VMs von „N“ virtuellen Standbygatewaycomputern gesichert werden. „M+N“-Redundanz bietet Ihnen mehr Flexibilität bei der Ermittlung des Zuverlässigkeitsniveaus, das Sie bei der Bereitstellung des RAS-Gateways benötigen.
Sie können allen Pools oder einer Teilmenge von Pools eine einzelne öffentliche IP-Adresse zuweisen. Dadurch wird die Anzahl der öffentlichen IP-Adressen erheblich reduziert, die Sie verwenden müssen, da es möglich ist, dass alle Mandanten über eine einzige IP-Adresse eine Verbindung mit der Cloud herstellen können.
Nächste Schritte
Verwandte Informationen finden Sie außerdem unter: