Che cos'è il gateway RAS (Remote Access Service) per la rete software-defined?
Si applica a: Locale di Azure, versioni 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Questo articolo offre una panoramica del gateway RAS (Remote Access Service) per SDN (Software Defined Networking) in Azure Local e Windows Server.
Gateway RAS è un router compatibile con BGP (Border Gateway Protocol) basato su software progettato per provider di servizi cloud e aziende che ospitano reti virtuali multi-tenant usando Virtualizzazione rete Hyper-V (HNV). È possibile usare il gateway RAS per instradare il traffico di rete tra una rete virtuale e un'altra rete, locale o remota.
Il gateway RAS richiede controller di rete, che esegue la distribuzione dei pool di gateway, configura le connessioni tenant in ogni gateway e passa il traffico di rete a un gateway di standby in caso di errore di un gateway.
Nota
La multi-tenancy è la capacità di un'infrastruttura cloud di supportare i carichi di lavoro delle macchine virtuali (VM) di più tenant, ma isolarli l'uno dall'altro, mentre tutti i carichi di lavoro vengono eseguiti nella stessa infrastruttura. I carichi di lavoro multipli di un singolo tenant possono connettersi tra loro ed essere gestiti in modalità remota, ma questi sistemi non sono collegati con i carichi di lavoro di altri tenant né altri tenant possono gestirli in modalità remota.
Funzionalità
Il gateway RAS offre molte funzionalità per la rete privata virtuale (VPN), il tunneling, l'inoltro e il routing dinamico.
VPN IPsec da sito a sito
Questa funzionalità gateway RAS consente di connettere due reti in posizioni fisiche diverse attraverso Internet usando una connessione vpn (Site-to-Site) virtual private network (VPN). Si tratta di una connessione crittografata, che usa il protocollo VPN IKEv2.
Per i provider di servizi di configurazione che ospitano molti tenant nel data center, il gateway RAS offre una soluzione gateway multi-tenant che consente ai tenant di accedere e gestire le risorse tramite connessioni VPN da sito a sito da siti remoti. Il gateway RAS consente il flusso del traffico di rete tra le risorse virtuali nel data center e la relativa rete fisica.
Tunnel GRE da sito a sito
I tunnel basati su GRE (Generic Routing Encapsulation) consentono la connettività tra reti virtuali tenant e reti esterne. Poiché il protocollo GRE è leggero e il supporto per GRE è disponibile nella maggior parte dei dispositivi di rete, è una scelta ideale per il tunneling in cui la crittografia dei dati non è necessaria.
Il supporto gre nei tunnel S2S risolve il problema dell'inoltro tra reti virtuali tenant e reti esterne tenant usando un gateway multi-tenant.
Inoltro di livello 3
L'inoltro di livello 3 (L3) consente la connettività tra l'infrastruttura fisica nel data center e l'infrastruttura virtualizzata nel cloud di virtualizzazione della rete Hyper-V. Usando la connessione di inoltro L3, le macchine virtuali di rete tenant possono connettersi a una rete fisica tramite il gateway SDN, già configurato nell'ambiente SDN. In questo caso, il gateway SDN funge da router tra la rete virtualizzata e la rete fisica.
Il diagramma seguente illustra un esempio della configurazione dell'inoltro L3 in Azure Local configurata con SDN:
- Nell'istanza locale di Azure sono presenti due reti virtuali: rete virtuale SDN 1 con prefisso di indirizzo 10.0.0.0/16 e rete virtuale SDN 2 con prefisso indirizzo 16.0.0.0/16.
- Ogni rete virtuale ha una connessione L3 alla rete fisica.
- Poiché le connessioni L3 si trovano per reti virtuali diverse, il gateway SDN ha un raggruppamento separato per ogni connessione per garantire l'isolamento.
- Ogni raggruppamento di gateway SDN ha un'interfaccia nello spazio di rete virtuale e un'interfaccia nello spazio di rete fisico.
- Ogni connessione L3 deve eseguire il mapping a una VLAN univoca nella rete fisica. Questa VLAN deve essere diversa dalla VLAN del provider HNV, che viene usata come rete fisica di inoltro dei dati sottostante per il traffico di rete virtualizzato.
- In questo esempio viene usato il routing statico.
Ecco i dettagli di ogni connessione usata in questo esempio:
| Elemento di rete | Connessione 1 | Connessione 2 |
|---|---|---|
| Prefisso subnet del gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Indirizzo IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Indirizzo IP peer L3 | 15.0.0.1 | 20.0.0.1 |
| Route sulla connessione | 18.0.0.0/24 | 22.0.0.0/24 |
Considerazioni sul routing quando si usa l'inoltro L3
Per il routing statico, è necessario configurare una route nella rete fisica per raggiungere la rete virtuale. Ad esempio, una route con prefisso indirizzo 10.0.0.0/16 con l'hop successivo come indirizzo IP L3 della connessione (15.0.0.5).
Per il routing dinamico con BGP, è comunque necessario configurare una route /32 statica perché la connessione BGP è tra l'interfaccia interna del raggruppamento gateway e l'IP peer L3. Per Connection 1, il peering sarà compreso tra 10.0.1.6 e 15.0.0.1. Per questa connessione è quindi necessaria una route statica sul commutatore fisico con prefisso di destinazione 10.0.1.6/32 con l'hop successivo come 15.0.0.5.
Se si prevede di distribuire connessioni gateway L3 con il routing BGP, assicurarsi di configurare le impostazioni BGP (Top of Rack) switch BGP con quanto segue:
- update-source: specifica l'indirizzo di origine per gli aggiornamenti BGP, ovvero L3 VLAN. Ad esempio, VLAN 250.
- multihop ebgp: questo specifica più hop sono necessari perché il vicino BGP è più di un hop.
Routing dinamico con BGP
BGP riduce la necessità di configurare manualmente le route sui router perché si tratta di un protocollo di routing dinamico e apprende automaticamente le route tra siti connessi usando connessioni VPN da sito a sito. Se l'organizzazione dispone di più siti connessi tramite router abilitati per BGP, ad esempio gateway RAS, BGP consente ai router di calcolare e usare automaticamente route valide tra loro in caso di interruzione o errore di rete.
Il reflector di route BGP incluso nel gateway RAS offre un'alternativa alla topologia mesh completa BGP necessaria per la sincronizzazione delle route tra router. Per altre informazioni, vedere Che cos'è il reflector di route?
Funzionamento del gateway RAS
Il gateway RAS instrada il traffico di rete tra la rete fisica e le risorse di rete VM, indipendentemente dalla posizione. È possibile instradare il traffico di rete nella stessa posizione fisica o in più posizioni diverse.
È possibile distribuire il gateway RAS in pool a disponibilità elevata che usano più funzionalità contemporaneamente. I pool di gateway contengono più istanze del gateway RAS per la disponibilità elevata e il failover.
È possibile scalare facilmente un pool di gateway verso l'alto o verso il basso aggiungendo o rimuovendo le macchine virtuali gateway nel pool. La rimozione o l'aggiunta di gateway non interrompe i servizi forniti da un pool. È inoltre possibile aggiungere e rimuovere l'intero pool di gateway. Per ulteriori informazioni, vedere RAS Gateway un'elevata disponibilità.
Ogni pool di gateway offre ridondanza M+N. Ciò significa che il numero "M" di macchine virtuali gateway attive viene eseguito il backup da un numero "N" di macchine virtuali del gateway di standby. M + N ridondanza offre una maggiore flessibilità nella determinazione del livello di affidabilità che è necessario quando si distribuisce Gateway RAS.
È possibile assegnare un singolo indirizzo IP pubblico a tutti i pool o a un subset di pool. In questo modo si riduce notevolmente il numero di indirizzi IP pubblici che è necessario usare, perché è possibile che tutti i tenant si connettano al cloud in un singolo indirizzo IP.
Passaggi successivi
Per ulteriori informazioni, vedere anche: