Software Defined Networking 用のリモート アクセス サービス (RAS) ゲートウェイとは?
適用対象: Azure Stack HCI、バージョン 23H2 および 22H2。Windows Server 2022、Windows Server 2019、Windows Server 2016
この記事では、Azure Stack HCI および Windows Server のソフトウェア定義ネットワーク (SDN) 用リモート アクセス サービス (RAS) ゲートウェイの概要について説明します。
RAS ゲートウェイは、Hyper-V ネットワーク仮想化 (HNV) を使用してマルチテナント仮想ネットワークをホストするクラウド サービス プロバイダー (CSP) および企業向けに設計された、ソフトウェアベースの Border Gateway Protocol (BGP) 対応ルーターです。 RAS ゲートウェイを使用すると、仮想ネットワークと別のネットワーク (ローカルまたはリモート) の間で、ネットワーク トラフィックをルーティングすることができます。
RAS ゲートウェイには、ゲートウェイ プールのデプロイを実行し、各ゲートウェイでテナント接続を構成し、ゲートウェイが失敗した場合にネットワーク トラフィック フローをスタンバイ ゲートウェイに切り替える ネットワーク コントローラーが必要です。
注意
マルチテナントは、複数のテナントの仮想マシン (VM) ワークロードをサポートするための、クラウド インフラストラクチャの機能であり、ワークロードは互いに分離されますが、すべて同じインフラストラクチャ上で実行されます。 個別のテナントの複数のワークロードは相互接続でき、リモートで管理できますが、これらのシステムが他のテナントのワークロードと相互接続したり、他のテナントがこれらをリモートで管理したりすることはできません。
特徴
RAS ゲートウェイには、仮想プライベート ネットワーク (VPN)、トンネリング、転送、動的ルーティングに関する多くの機能が用意されています。
サイト間 IPsec VPN
RAS ゲートウェイのこの機能を使用すると、サイト間 (S2S) 仮想プライベート ネットワーク (VPN) 接続を使用して、物理的に異なる場所にある 2 つのネットワークをインターネット経由で接続することができます。 この接続は、IKEv2 VPN プロトコルを使用して暗号化されます。
データセンターで多数のテナントをホストする CSP の場合は、RAS ゲートウェイにより、マルチテナント ゲートウェイ ソリューションが提供されます。これにより、テナントはリモート サイトからサイト間 VPN 接続を介してリソースにアクセスし、管理することができます。 RAS ゲートウェイを使用すると、データセンターの仮想リソースとそれらの物理ネットワークの間をネットワーク トラフィックが流れられるようになります。
サイト間 GRE トンネル
Generic Routing Encapsulation (GRE) に基づくトンネルを使用すると、テナントの仮想ネットワークと外部ネットワークを接続できます。 GRE プロトコルは軽量であり、GRE のサポートはほとんどのネットワーク デバイスで使用できるため、データの暗号化が必要ないトンネリングに最適です。
S2S トンネルでの GRE のサポートにより、マルチテナント ゲートウェイを使用したテナントの仮想ネットワークとテナントの外部ネットワークの間の転送の問題が解決されます。
レイヤー 3 転送
レイヤー 3 (L3) 転送により、データセンターの物理インフラストラクチャと、Hyper-V ネットワーク仮想化クラウドの仮想化インフラストラクチャ間の接続が可能になります。 L3 転送接続を使用すると、テナント ネットワーク VM は、SDN 環境で既に構成されている SDN ゲートウェイを介して物理ネットワークに接続できます。 この場合、SDN ゲートウェイは、仮想ネットワークと物理ネットワーク間のルーターとして機能します。
次の図は、SDN で構成された Azure Stack HCI クラスターでの L3 転送セットアップの例を示しています。
- Azure Stack HCI クラスターには、アドレス プレフィックス 10.0.0.0/16 の SDN 仮想ネットワーク 1 と、アドレス プレフィックス 16.0.0.0/16 の SDN 仮想ネットワーク 2 という 2 つの仮想ネットワークがあります。
- 各仮想ネットワークには、物理ネットワークへの L3 接続があります。
- L3 接続は異なる仮想ネットワーク用であるため、SDN ゲートウェイには接続ごとに個別のコンパートメントがあり、分離が保証されます。
- 各 SDN ゲートウェイ コンパートメントには、仮想ネットワーク空間に 1 つのインターフェイスがあり、物理ネットワーク空間に 1 つのインターフェイスがあります。
- 各 L3 接続は、物理ネットワーク上の一意の VLAN にマップする必要があります。 この VLAN は、仮想化されたネットワーク トラフィックの基になるデータ転送物理ネットワークとして使用される HNV プロバイダー VLAN とは異なる必要があります。
- この例では、静的ルーティングを使用します。
この例で使用される各接続の詳細を次に示します。
ネットワーク要素 | 接続 1 | 接続 2 |
---|---|---|
ゲートウェイ サブネット プレフィックス | 10.0.1.0/24 | 16.0.1.0/24 |
L3 IP アドレス | 15.0.0.5/24 | 20.0.0.5/24 |
L3 ピア IP アドレス | 15.0.0.1 | 20.0.0.1 |
接続上のルート | 18.0.0.0/24 | 22.0.0.0/24 |
L3 転送を使用する場合のルーティングに関する考慮事項
静的ルーティングの場合は、仮想ネットワークに到達するように物理ネットワーク上のルートを構成する必要があります。 たとえば、アドレス プレフィックスが 10.0.0.0/16 で、次ホップが接続の L3 IP アドレス (15.0.0.5) であるルートなどです。
BGP を使用した動的ルーティングの場合でも、BGP 接続はゲートウェイ コンパートメント内部インターフェイスと L3 ピア IP の間にあるため、静的 /32 ルートを構成する必要があります。 接続 1 の場合、ピアリングは 10.0.1.6 から 15.0.0.1 の間になります。 そのため、この接続には、宛先プレフィックスが 10.0.1.6/32 で次ホップが 15.0.0.5 である物理スイッチ上の静的ルートが必要です。
BGP ルーティングを使用して L3 ゲートウェイ接続をデプロイする予定の場合は、次の方法で Top of Rack (ToR) スイッチ BGP 設定を構成してください。
- update-source: BGP 更新プログラムの送信元アドレス (L3 VLAN) を指定します。 たとえば、VLAN 250 です。
- ebgp multihop: BGP ネイバーが 1 ホップ以上離れているため、より多くのホップが必要であることを指定します。
BGP を使用した動的ルーティング
BGP は動的ルーティング プロトコルであるため、ルーターでの手動ルート構成の必要性を軽減し、サイト間 VPN 接続を使用して接続されているサイト間のルートを自動的に学習します。 ORGANIZATIONに、RAS ゲートウェイなどの BGP 対応ルーターを使用して接続されている複数のサイトがある場合、ネットワークの中断や障害が発生した場合に、ルーターは自動的に相互に有効なルートを計算して使用できます。
RAS ゲートウェイに含まれる BGP ルート リフレクターにより、ルーター間のルート同期に必要な BGP 完全メッシュ トポロジの代替手段が提供されます。 詳細については、「ルート リフレクターの概要」を参照してください。
RAS ゲートウェイのしくみ
RAS ゲートウェイにより、場所に関係なく、物理ネットワークと VM ネットワーク リソース間のネットワーク トラフィックがルーティングされます。 物理的に同じ場所でも、または多くの異なる場所でも、ネットワーク トラフィックをルーティングできます。
複数の機能が同時に使用される高可用性プールに、RAS ゲートウェイを展開できます。 ゲートウェイ プールには、高可用性とフェールオーバーのために、RAS ゲートウェイの複数のインスタンスが含まれています。
プール内のゲートウェイ VM を追加または削除することで、ゲートウェイ プールを簡単にスケールアップまたはスケールダウンできます。 ゲートウェイを削除または追加しても、プールによって提供されるサービスが中断されることはありません。 また、ゲートウェイのプール全体を追加および削除することもできます。 詳細については、「RAS ゲートウェイの高可用性」を参照してください。
すべてのゲートウェイ プールで、M+N の冗長性が提供されています。 これは、"M" 個のアクティブ ゲートウェイ VM が、"N" 個のスタンバイ ゲートウェイ VM によってバックアップされることを意味します。 M+N の冗長性を使用すると、RAS ゲートウェイを展開するときに必要な信頼性のレベルを柔軟に決定できます。
1 つのパブリック IP アドレスを、すべてのプールに、またはプールのサブセットに、割り当てることができます。 これにより、すべてのテナントが 1 つの IP アドレスでクラウドに接続できるため、使用する必要があるパブリック IP アドレスの数が大幅に減ります。
次のステップ
関連情報については、以下もご覧ください。