Qu’est-ce que la passerelle RAS (Remote Access Service) pour la mise en réseau définie par logiciel ?
S’applique à : Azure Local, versions 23H2 et 22H2 ; Windows Server 2022, Windows Server 2019, Windows Server 2016
Cet article fournit une vue d’ensemble de la passerelle RAS (Remote Access Service) for Software Defined Networking (SDN) dans Azure Local et Windows Server.
La passerelle RAS est un routeur logiciel prenant en charge le protocole BGP (Border Gateway Protocol) conçu pour les fournisseurs de services Cloud (CSP) et les entreprises qui hébergent des réseaux virtuels multilocataires à l’aide de la virtualisation de réseau Hyper-V (HNV). Vous pouvez utiliser la passerelle RAS pour router le trafic réseau entre un réseau virtuel et un autre réseau, qu’il soit local ou distant.
La passerelle RAS nécessite un contrôleur de réseau, qui effectue le déploiement de pools de passerelles, configure les connexions de locataire sur chaque passerelle et bascule les flux de trafic réseau vers une passerelle de secours en cas d’échec d’une passerelle.
Remarque
Une architecture multilocataire désigne la possibilité pour une infrastructure cloud de prendre en charge les charges de travail des machines virtuelles de plusieurs locataires. Les charges, bien qu’isolées les unes des autres, sont exécutées dans la même infrastructure. Les multiples charges de travail d’un locataire seul peuvent être interconnectées et être gérées à distance mais ces systèmes n’offrent aucune interconnexion avec les charges de travail d’autres locataires et ces derniers ne peuvent pas eux-mêmes les gérer à distance.
Fonctionnalités
La passerelle RAS offre de nombreuses fonctionnalités pour le réseau privé virtuel (VPN), le tunneling, le transfert et le routage dynamique.
VPN IPSec de site à site
Cette fonctionnalité de la passerelle RAS vous permet de connecter deux réseaux à des localisations physiques différentes sur Internet à l’aide d’une connexion de réseau privé virtuel (VPN) de site à site (S2S). Il s’agit d’une connexion chiffrée utilisant le protocole VPN IKEv2.
Pour les fournisseurs de solutions cloud qui hébergent de nombreux locataires dans leur centre de données, la passerelle RAS fournit une solution de passerelle multilocataire qui permet aux locataires d’accéder à leurs ressources et de les gérer via des connexions VPN de site à site à partir de sites distants. La passerelle RAS permet le flux du trafic réseau entre les ressources virtuelles de votre centre de données et leur réseau physique.
Tunnels GRE de site à site
Les tunnels GRE (Generic Routing Encapsulation) permettent la connectivité entre les réseaux virtuels locataires et les réseaux externes. Étant donné que le protocole GRE est léger et que la prise en charge de GRE est disponible sur la plupart des appareils réseau, il s’agit d’un choix idéal pour le tunneling où le chiffrement des données n’est pas nécessaire.
La prise en charge de l’encapsulation GRE dans les tunnels S2S résout le problème de transfert entre les réseaux virtuels locataires et les réseaux externes locataires à l’aide d’une passerelle multilocataire.
Transfert de couche 3
Le transfert de couche 3 (L3) permet la connectivité entre l’infrastructure physique du centre de données et l’infrastructure virtualisée dans le cloud de virtualisation du réseau Hyper-V. En utilisant la connexion de transfert L3, les machines virtuelles réseau client peuvent se connecter à un réseau physique via la passerelle SDN, qui est déjà configurée dans l’environnement SDN. Dans ce cas, la passerelle SDN agit comme un routeur entre le réseau virtualisé et le réseau physique.
Le diagramme suivant montre un exemple de configuration du transfert L3 dans Azure Local configuré avec SDN :
- Il existe deux réseaux virtuels dans l’instance locale Azure : le réseau virtuel SDN 1 avec le préfixe d’adresse 10.0.0.0/16 et le réseau virtuel SDN 2 avec le préfixe d’adresse 16.0.0.0/16.
- Chaque réseau virtuel dispose d’une connexion L3 au réseau physique.
- Étant donné que les connexions L3 concernent différents réseaux virtuels, la passerelle SDN dispose d’un compartiment distinct pour chaque connexion afin de fournir des garanties d’isolation.
- Chaque compartiment de passerelle SDN a une interface dans l’espace réseau virtuel et une interface dans l’espace réseau physique.
- Chaque connexion L3 doit être mappées à un réseau local virtuel unique sur le réseau physique. Ce réseau local virtuel doit être différent du VLAN du fournisseur HNV, qui est utilisé comme réseau physique de transfert de données sous-jacent pour le trafic réseau virtualisé.
- Cet exemple utilise le routage statique.
Voici les détails de chaque connexion utilisée dans cet exemple :
Élément réseau | Connexion 1 | Connexion 2 |
---|---|---|
Préfixe de sous-réseau de passerelle | 10.0.1.0/24 | 16.0.1.0/24 |
Adresse IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
Adresse IP homologue L3 | 15.0.0.1 | 20.0.0.1 |
Itinéraires sur la connexion | 18.0.0.0/24 | 22.0.0.0/24 |
Considérations relatives au routage lors de l’utilisation du transfert L3
Pour le routage statique, vous devez configurer un itinéraire sur le réseau physique pour atteindre le réseau virtuel. Par exemple, un itinéraire avec le préfixe d’adresse 10.0.0.0/16 avec le tronçon suivant comme adresse IP L3 de la connexion (15.0.0.5).
Pour le routage dynamique avec BGP, vous devez toujours configurer une route statique /32, car la connexion BGP se trouve entre l’interface interne du compartiment de passerelle et l’adresse IP homologue L3. Pour la connexion 1, le peering est compris entre 10.0.1.6 et 15.0.0.1. Par conséquent, pour cette connexion, vous avez besoin d’un itinéraire statique sur le commutateur physique avec le préfixe de destination 10.0.1.6/32 avec le tronçon suivant comme 15.0.0.5.
Si vous envisagez de déployer des connexions de passerelle L3 avec le routage BGP, veillez à configurer les paramètres BGP du commutateur Top of Rack (ToR) avec les éléments suivants :
- update-source : spécifie l’adresse source des mises à jour BGP, qui est L3 VLAN. Par exemple, VLAN 250.
- ebgp multihop : cela spécifie plus de tronçons sont requis, car le voisin BGP est à plusieurs tronçons.
Routage dynamique avec BGP
Le protocole BGP réduit la nécessité d’une configuration manuelle des itinéraires sur les routeurs, car il s’agit d’un protocole de routage dynamique et apprend automatiquement les itinéraires entre les sites connectés à l’aide de connexions VPN de site à site. Si votre organisation dispose de plusieurs sites connectés à l’aide de routeurs compatibles BGP, tels que la passerelle RAS, BGP permet aux routeurs de calculer et d’utiliser automatiquement des itinéraires valides entre eux en cas d’interruption ou de défaillance du réseau.
Le réflecteur de route BGP inclus dans la passerelle RAS fournit une alternative à la topologie à maillage complet BGP qui est nécessaire pour la synchronisation des routes entre les routeurs. Pour plus d’informations, consultez Qu’est-ce que le réflecteur de route ?.
Fonctionnement de la passerelle RAS
La passerelle RAS route le trafic réseau entre le réseau physique et les ressources du réseau machines virtuelles, quelle que soit la localisation. Vous pouvez router le trafic réseau à la même localisation physique ou à plusieurs localisations différentes.
Vous pouvez déployer la passerelle RAS dans des pools à haute disponibilité qui utilisent plusieurs fonctionnalités à la fois. Les pools de passerelles contiennent plusieurs instances de la passerelle RAS pour offrir la haute disponibilité et le basculement.
Vous pouvez facilement effectuer un scale-up ou un scale-down d’un pool de passerelles en ajoutant ou en supprimant des machines virtuelles de passerelle dans le pool. La suppression ou l’ajout de passerelles n’interrompt pas les services fournis par un pool. Vous pouvez également ajouter et supprimer des pools de passerelles complets. Pour plus d’informations, consultez Haute disponibilité de la passerelle RAS.
Chaque pool de passerelles fournit une redondance M+N. Cela signifie que « M » machines virtuelles de passerelle actives sont secondées par « N » machines virtuelles de passerelle de secours. La redondance M+N offre une plus grande flexibilité pour déterminer le niveau de fiabilité dont vous avez besoin quand vous déployez la passerelle RAS.
Vous pouvez affecter une adresse IP publique unique à tous les pools ou à une partie des pools. Cela réduit considérablement le nombre d’adresses IP publiques que vous devez utiliser, car il est possible que tous les locataires se connectent au cloud sur une seule adresse IP.
Étapes suivantes
Pour consulter des informations connexes, reportez-vous également à :