RAS 게이트웨이의 고가용성
이 토픽을 사용하여 SDN(소프트웨어 정의 네트워킹)용 RAS 다중 테넌트 게이트웨이에 대한 고가용성 구성에 대해 알아볼 수 있습니다.
이 항목에는 다음과 같은 섹션이 포함되어 있습니다.
RAS 게이트웨이 개요
조직이 여러 테넌트가 있는 CSP(클라우드 서비스 공급자) 또는 엔터프라이즈인 경우 다중 테넌트 모드로 RAS 게이트웨이를 배포하여 인터넷을 포함한 가상 및 물리적 네트워크 간에 네트워크 트래픽 라우팅을 제공할 수 있습니다.
다중 테넌트 모드에서 RAS 게이트웨이를 에지 게이트웨이로 배포하여 테넌트 고객 네트워크 트래픽을 테넌트 가상 네트워크 및 리소스로 라우팅할 수 있습니다.
고가용성 및 장애 조치(failover)를 제공하는 RAS 게이트웨이 VM의 여러 인스턴스를 배포하는 경우 게이트웨이 풀을 배포합니다. Windows Server 2012 R2에서 모든 게이트웨이 VM은 단일 풀을 구성하여 게이트웨이 배포의 논리적 분리를 약간 어렵게 만들었습니다. Windows Server 2012 R2 게이트웨이는 게이트웨이 VM에 1:1 중복 배포를 제공했으며, 이로 인해 S2S(사이트간) VPN 연결에 사용 가능한 용량의 사용률이 저하되었습니다.
이 문제는 여러 게이트웨이 풀을 제공하는 Windows Server 2016에서 해결됩니다. 이 풀은 논리적 분리를 위해 서로 다른 형식일 수 있습니다. M+N 중복성의 새 모드를 사용하면 보다 효율적인 장애 조치(failover) 구성을 사용할 수 있습니다.
RAS Gateway에 대한 자세한 개요 정보는 RAS 게이트웨이를 참조하세요.
게이트웨이 풀 개요
Windows Server 2016에서는 하나 이상의 풀에 게이트웨이를 배포할 수 있습니다.
다음 그림에서는 가상 네트워크 간에 트래픽 라우팅을 제공하는 다양한 유형의 게이트웨이 풀을 보여 줍니다.
각 풀에는 다음 속성이 있습니다.
각 풀은 M+N 중복입니다. 즉, 'M'개의 활성 게이트웨이 VM이 'N'개의 대기 게이트웨이 VM에 의해 백업됩니다. N(대기 게이트웨이)의 값은 항상 M(활성 게이트웨이)보다 작거나 같습니다.
풀은 IKEv2(Internet Key Exchange version 2) S2S, L3(계층 3) 및 GRE(Generic Routing Encapsulation)와 같은 개별 게이트웨이 기능을 수행하거나 이러한 모든 기능을 수행할 수 있습니다.
모든 풀 또는 풀의 하위 집합에 단일 공용 IP 주소를 할당할 수 있습니다. 이렇게 하면 모든 테넌트가 단일 IP 주소로 클라우드에 연결할 수 있으므로 사용해야 하는 공용 IP 주소의 수가 크게 줄어듭니다. 고가용성 및 부하 분산에 대한 아래 섹션에서는 이 작동 방식을 설명합니다.
쉽게 확장할 수 있습니다 게이트웨이 풀 위로 또는 아래로 추가 하거나 풀에서 게이트웨이 Vm을 제거 합니다. 게이트웨이 추가 또는 제거는 풀에서 제공 되는 서비스를 방해 하지 않도록 합니다. 또한 추가 및 게이트웨이 전체 풀을 제거할 수 있습니다.
단일 테넌트 연결은 풀의 여러 풀 및 여러 게이트웨이에서 종료할 수 있습니다. 그러나 테넌트에 모든 유형 게이트웨이 풀에서 종료되는 연결이 있는 경우 다른 모든 유형 또는 개별 유형 게이트웨이 풀을 구독할 수 없습니다.
또한 게이트웨이 풀은 다음과 같은 추가 시나리오를 사용할 수 있는 유연성을 제공합니다.
단일 테넌트 풀 - 하나의 테넌트에서 사용할 하나의 풀을 만들 수 있습니다.
파트너(재판매인) 채널을 통해 클라우드 서비스를 판매하는 경우 모든 재판매인에 대해 별도의 풀 집합을 만들 수 있습니다.
여러 풀은 동일한 게이트웨이 기능을 제공할 수 있지만 용량은 다를 수 있습니다. 예를 들어 높은 처리량과 낮은 처리량의 IKEv2 S2S 연결을 모두 지원하는 게이트웨이 풀을 만들 수 있습니다.
RAS 게이트웨이 배포 개요
다음 그림에서는 RAS 게이트웨이의 일반적인 CSP(클라우드 서비스 공급자) 배포를 보여 줍니다.
이러한 유형의 배포를 통해 게이트웨이 풀은 SLB(소프트웨어 부하 분산 장치) 뒤에 배포되며, 이를 통해 CSP는 전체 배포에 대해 단일 공용 IP 주소를 할당할 수 있습니다. 테넌트 내의 여러 게이트웨이 연결은 여러 게이트웨이 풀 및 풀 내의 여러 게이트웨이에서도 종료할 수 있습니다. 위의 다이어그램에서 IKEv2 S2S 연결을 통해 설명되지만 L3 및 GRE 게이트웨이와 같은 다른 게이트웨이 기능에도 동일하게 적용할 수 있습니다.
그림에서 MT BGP 디바이스는 BGP를 사용하는 RAS 다중 테넌트 게이트웨이입니다. 다중 테넌트 BGP는 동적 라우팅에 사용됩니다. 테넌트에 대한 라우팅은 중앙 집중화됩니다. RR(경로 리플렉터)이라고 하는 단일 지점은 모든 테넌트 사이트에 대한 BGP 피어링을 처리합니다. RR 자체는 풀의 모든 게이트웨이에 분산됩니다. 이로 인해 테넌트(데이터 경로)의 연결이 여러 게이트웨이에서 종료되지만 테넌트에 대한 RR(BGP 피어링 포인트 - 제어 경로)이 게이트웨이 중 하나에만 있는 구성이 생성됩니다.
BGP 라우터는 이 중앙 집중식 라우팅 개념을 묘사하기 위해 다이어그램에서 구분됩니다. 또한 게이트웨이 BGP 구현은 클라우드가 두 테넌트 사이트 간의 라우팅을 위한 전송 지점 역할을 할 수 있도록 하는 전송 라우팅을 제공합니다. 이러한 BGP 기능은 모든 게이트웨이 기능에 적용할 수 있습니다.
네트워크 컨트롤러와 RAS 게이트웨이 통합
RAS 게이트웨이는 Windows Server 2016의 네트워크 컨트롤러와 완전히 통합됩니다. RAS 게이트웨이 및 네트워크 컨트롤러가 배포되면 네트워크 컨트롤러는 다음 기능을 수행합니다.
게이트웨이 풀 배포
각 게이트웨이에서 테넌트 연결 구성
게이트웨이 오류 발생 시 네트워크 트래픽 흐름을 대기 게이트웨이로 전환
다음 섹션에서는 RAS 게이트웨이 및 네트워크 컨트롤러에 대한 자세한 정보를 제공합니다.
게이트웨이 연결의 프로비전 및 부하 분산(IKEv2, L3 및 GRE)
테넌트가 게이트웨이 연결을 요청하면 해당 요청이 네트워크 컨트롤러로 전송됩니다. 네트워크 컨트롤러는 각 풀의 용량과 모든 풀의 모든 게이트웨이를 포함하여 모든 게이트웨이 풀에 대한 정보로 구성됩니다. 네트워크 컨트롤러는 연결에 적합한 풀 및 게이트웨이를 선택합니다. 이 선택은 연결에 대한 대역폭 요구 사항에 따라 달라집니다. 네트워크 컨트롤러는 "최적"의 알고리즘을 사용하여 풀에서 연결을 효율적으로 선택합니다. 이 연결이 테넌트의 첫 번째 연결인 경우에도 연결에 대한 BGP 피어링 지점이 지정됩니다.
네트워크 컨트롤러가 연결을 위한 RAS 게이트웨이를 선택하면 네트워크 컨트롤러는 게이트웨이에서 연결에 필요한 구성을 프로비전합니다. 연결이 IKEv2 S2S 연결인 경우 네트워크 컨트롤러는 SLB 풀에 NAT(네트워크 주소 변환) 규칙도 프로비전합니다. SLB 풀의 이 NAT 규칙은 테넌트의 연결 요청을 지정된 게이트웨이로 전달합니다. 테넌트는 고유해야 하는 원본 IP로 구분됩니다.
참고 항목
L3 및 GRE 연결은 SLB를 우회하고 지정된 RAS 게이트웨이와 직접 연결합니다. 이러한 연결을 사용하려면 원격 엔드포인트 라우터(또는 다른 타사 디바이스)를 RAS 게이트웨이와 연결하도록 올바르게 구성해야 합니다.
BGP 라우팅을 연결에 사용하도록 설정한 경우 BGP 피어링이 RAS 게이트웨이에 의해 시작되고 경로가 온-프레미스와 클라우드 게이트웨이 간에 교환됩니다. BGP에서 학습된 경로(또는 BGP를 사용하지 않는 경우 정적으로 구성된 경로)는 네트워크 컨트롤러로 전송됩니다. 그런 다음 네트워크 컨트롤러는 해당 경로를 테넌트 VM이 설치된 Hyper-V 호스트로 연결합니다. 이 시점에서 테넌트 트래픽을 올바른 온-프레미스 사이트로 라우팅할 수 있습니다. 또한 네트워크 컨트롤러는 게이트웨이 위치를 지정하는 연결된 Hyper-V 네트워크 가상화 정책을 만들고 Hyper-V 호스트로 연결합니다.
IKEv2 S2S의 고가용성
풀의 RAS 게이트웨이는 서로 다른 테넌트에 대한 연결 및 BGP 피어링으로 구성됩니다. 모든 풀에는 'M' 활성 게이트웨이 및 'N' 대기 게이트웨이가 있습니다.
네트워크 컨트롤러는 다음과 같은 방식으로 게이트웨이의 오류를 처리합니다.
네트워크 컨트롤러는 모든 풀에서 게이트웨이를 지속적으로 ping하며 실패했거나 실패하는 게이트웨이를 검색할 수 있습니다. 네트워크 컨트롤러는 다음과 같은 유형의 RAS 게이트웨이 오류를 검색할 수 있습니다.
RAS 게이트웨이 VM 오류
RAS 게이트웨이가 실행 중인 Hyper-V 호스트의 오류
RAS 게이트웨이 서비스 오류
네트워크 컨트롤러는 배포된 모든 활성 게이트웨이의 구성을 저장합니다. 구성은 연결 설정 및 라우팅 설정으로 구성됩니다.
게이트웨이가 실패하면 게이트웨이의 테넌트 연결과 다른 게이트웨이에 있지만 RR이 실패한 게이트웨이에 있는 테넌트 연결에 영향을 미칩니다. 후자 연결의 가동 중지 시간은 이전 연결보다 짧습니다. 네트워크 컨트롤러가 실패한 게이트웨이를 감지하면 다음 작업을 수행합니다.
컴퓨팅 호스트에서 영향을 받은 연결의 경로를 제거합니다.
이러한 호스트에서 Hyper-V 네트워크 가상화 정책을 제거합니다.
대기 게이트웨이를 선택하고 활성 게이트웨이로 변환한 후 게이트웨이를 구성합니다.
새 게이트웨이에 대한 연결을 가리키도록 SLB 풀의 NAT 매핑을 변경합니다.
동시에 구성이 새 활성 게이트웨이에 등장함에 따라 IKEv2 S2S 연결 및 BGP 피어링이 다시 설정됩니다. 연결 및 BGP 피어링을 클라우드 게이트웨이 또는 온-프레미스 게이트웨이에서 시작할 수 있습니다. 게이트웨이는 경로를 새로 고치고 네트워크 컨트롤러로 보냅니다. 네트워크 컨트롤러가 게이트웨이에서 검색한 새 경로를 알게 되면 네트워크 컨트롤러는 장애의 영향을 받는 테넌트의 VM이 있는 Hyper-V 호스트에 경로 및 연결된 Hyper-V 네트워크 가상화 정책을 보냅니다. 이 네트워크 컨트롤러 활동은 새 연결 설정의 상황과 유사하며 더 큰 규모에서만 발생합니다.
GRE의 고가용성
오류 검색, 연결 복사 및 대기 게이트웨이에 대한 라우팅 구성, 영향을 받는 연결의 BGP/정적 라우팅 장애 조치(failover)(컴퓨팅 호스트 및 BGP 재피어링 경로의 철회 및 재배관 포함) 및 컴퓨팅 호스트의 Hyper-V 네트워크 가상화 정책 재구성 등 네트워크 컨트롤러의 RAS 게이트웨이 장애 조치(failover) 응답 프로세스는 GRE 게이트웨이 및 연결에 대해 동일합니다. 그러나 GRE 연결 재설정은 다르게 수행되며 GRE에 대한 고가용성 솔루션에는 몇 가지 추가 요구 사항이 있습니다.
게이트웨이 배포 시 모든 RAS 게이트웨이 VM에 DIP(동적 IP 주소)가 할당됩니다. 또한 모든 게이트웨이 VM에는 GRE 고가용성을 위한 VIP(가상 IP 주소)도 할당됩니다. VIP는 GRE 연결을 허용할 수 있는 풀의 게이트웨이에만 할당되며 비 GRE 풀에는 할당되지 않습니다. 할당된 VIP는 BGP를 사용하여 TOR(랙) 스위치의 맨 위에 보급된 다음 VIP를 클라우드 물리적 네트워크에 추가로 보급합니다. 이렇게 하면 GRE 연결의 다른 쪽 끝이 있는 원격 라우터 또는 타사 디바이스에서 게이트웨이에 연결할 수 있습니다. 테넌트 경로 교환의 경우 이 BGP 피어링은 테넌트 수준 BGP 피어링과 다릅니다.
GRE 연결 프로비전 시 네트워크 컨트롤러는 게이트웨이를 선택하고, 선택한 게이트웨이에서 GRE 엔드포인트를 구성하고, 할당된 게이트웨이의 VIP 주소를 다시 반환합니다. 그런 다음 이 VIP는 원격 라우터에서 대상 GRE 터널 주소로 구성됩니다.
게이트웨이가 실패하면 네트워크 컨트롤러는 실패한 게이트웨이의 VIP 주소 및 기타 구성 데이터를 대기 게이트웨이에 복사합니다. 대기 게이트웨이가 활성화되면 VIP를 TOR 스위치에 보급하고 물리적 네트워크에 추가로 보급합니다. 원격 라우터는 동일한 VIP에 GRE 터널을 계속 연결하고 라우팅 인프라는 패킷이 새 활성 게이트웨이로 라우팅되도록 합니다.
L3 전달 게이트웨이의 고가용성
Hyper-V 네트워크 가상화 L3 전달 게이트웨이는 데이터 센터의 물리적 인프라와 Hyper-V 네트워크 가상화 클라우드의 가상화된 인프라 간의 브리지입니다. 다중 테넌트 L3 전달 게이트웨이에서 각 테넌트는 테넌트의 물리적 네트워크와 연결하기 위해 자체 VLAN 태그가 지정된 논리 네트워크를 사용합니다.
새 테넌트가 새 L3 게이트웨이를 만들면 네트워크 컨트롤러 게이트웨이 서비스 관리자는 사용 가능한 게이트웨이 VM을 선택하고 테넌트의 VLAN 태그가 지정된 논리 네트워크에서 고가용성 CA(고객 주소) 공간 IP 주소를 사용하여 새 테넌트 인터페이스를 구성합니다. IP 주소는 원격(물리적 네트워크) 게이트웨이에서 피어 IP 주소로 사용되며 테넌트의 Hyper-V 네트워크 가상화 네트워크에 도달하기 위한 다음 홉입니다.
IPsec 또는 GRE 네트워크 연결과 달리 TOR 스위치는 테넌트의 VLAN 태그가 지정된 네트워크를 동적으로 학습하지 않습니다. 엔드투엔드 연결을 보장하려면 TOR 스위치 및 물리적 인프라와 게이트웨이 간의 모든 중간 스위치 및 라우터에서 테넌트의 VLAN 태그가 지정된 네트워크에 대한 라우팅을 구성해야 합니다. 다음은 아래 그림과 같이 CSP 가상 네트워크 구성의 예입니다.
네트워크 | 서브넷 | VLAN ID | 기본 게이트웨이 |
---|---|---|---|
Contoso L3 논리 네트워크 | 10.127.134.0/24 | 1001 | 10.127.134.1 |
Woodgrove L3 논리 네트워크 | 10.127.134.0/24 | 1002 | 10.127.134.1 |
다음은 아래 그림과 같이 테넌트 게이트웨이 구성 예제입니다.
테넌트 이름 | L3 게이트웨이 IP 주소 | VLAN ID | 피어 IP 주소 |
---|---|---|---|
Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
다음은 CSP 데이터 센터에서 이러한 구성을 보여주는 그림입니다.
L3 전달 게이트웨이의 컨텍스트에서 게이트웨이 오류, 오류 검색 및 게이트웨이 장애 조치(failover) 프로세스는 IKEv2 및 GRE RAS 게이트웨이에 대한 프로세스와 유사합니다. 차이점은 외부 IP 주소가 처리되는 방식에 있습니다.
게이트웨이 VM 상태가 비정상 상태가 되면 네트워크 컨트롤러는 풀에서 대기 게이트웨이 중 하나를 선택하고 대기 게이트웨이에서 네트워크 연결 및 라우팅을 다시 프로비전합니다. 연결을 이동하는 동안 L3 전달 게이트웨이의 고가용성 CA 공간 IP 주소도 테넌트의 CA 공간 BGP IP 주소와 함께 새 게이트웨이 VM으로 이동됩니다.
장애 조치(failover) 중에 L3 피어링 IP 주소가 새 게이트웨이 VM으로 이동되므로 원격 물리적 인프라는 이 IP 주소에 다시 연결할 수 있으며, 이후에 Hyper-V 네트워크 가상화 워크로드에 연결할 수 있습니다. BGP 동적 라우팅의 경우 CA 공간 BGP IP 주소가 새 게이트웨이 VM으로 이동되면 원격 BGP 라우터가 피어링을 다시 설정하고 모든 Hyper-V 네트워크 가상화 경로를 다시 학습할 수 있습니다.
참고 항목
테넌트 통신에 VLAN 태그가 지정된 논리 네트워크를 사용하려면 TOR 스위치와 모든 중간 라우터를 별도로 구성해야 합니다. 또한 L3 장애 조치(failover)는 이러한 방식으로 구성된 랙으로만 제한됩니다. 따라서 L3 게이트웨이 풀을 신중하게 구성해야 하며 수동 구성을 별도로 완료해야 합니다.