Delen via

Wat is RAS-gateway (Remote Access Service) voor software-gedefinieerde netwerken?

  • Artikel

Van toepassing op: Azure Local, versies 23H2 en 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Dit artikel bevat een overzicht van RAS-gateway (Remote Access Service) voor SDN (Software Defined Networking) in Azure Local en Windows Server.

RAS-gateway is een op software gebaseerde Border Gateway Protocol (BGP) router die is ontworpen voor cloudserviceproviders (CSP's) en ondernemingen die multitenant virtuele netwerken hosten met hyper-V-netwerkvirtualisatie (HNV). U kunt RAS-gateway gebruiken om netwerkverkeer te routeren tussen een virtueel netwerk en een ander netwerk, lokaal of extern.

VOOR RAS-gateway is netwerkcontroller vereist, waarmee de implementatie van gatewaygroepen wordt uitgevoerd, tenantverbindingen op elke gateway worden geconfigureerd en netwerkverkeer wordt overgeschakeld naar een stand-bygateway als een gateway mislukt.

Notitie

Multitenancy is de mogelijkheid van een cloudinfrastructuur ter ondersteuning van de workloads van de virtuele machine (VM) van meerdere tenants, maar isoleren ze van elkaar, terwijl alle workloads op dezelfde infrastructuur worden uitgevoerd. De meerdere werklasten van een afzonderlijke tenant kunnen onderling verbinding maken en op afstand worden beheerd, maar kunnen geen verbinding maken met de werklasten van andere tenants en kunnen niet op afstand door andere tenants worden beheerd.

Functies

RAS-gateway biedt veel functies voor VPN (Virtual Private Network), tunneling, doorsturen en dynamische routering.

Site-naar-site-IPsec VPN

Met deze RAS-gatewayfunctie kunt u twee netwerken op verschillende fysieke locaties op internet verbinden met behulp van een vpn-verbinding (Virtual Private Network) van site-naar-site (S2S). Dit is een versleutelde verbinding met behulp van het IKEv2 VPN-protocol.

Voor CSP's die veel tenants hosten in hun datacenter, biedt RAS Gateway een multitenant-gatewayoplossing waarmee tenants hun resources kunnen openen en beheren via site-naar-site-VPN-verbindingen van externe sites. RAS-gateway maakt netwerkverkeer tussen virtuele resources in uw datacenter en hun fysieke netwerk mogelijk.

Gre-tunnels voor site-naar-site

Met gre-tunnels (Generic Routing Encapsulation) kunt u connectiviteit tussen virtuele tenantnetwerken en externe netwerken inschakelen. Omdat het GRE-protocol lichtgewicht is en ondersteuning voor GRE beschikbaar is op de meeste netwerkapparaten, is het een ideale keuze voor tunneling waarbij versleuteling van gegevens niet is vereist.

GRE-ondersteuning in S2S-tunnels lost het probleem op van doorsturen tussen virtuele tenantnetwerken en externe tenantnetwerken met behulp van een multitenant-gateway.

Laag 3 doorsturen

Laag 3 (L3) doorsturen maakt connectiviteit mogelijk tussen de fysieke infrastructuur in het datacenter en de gevirtualiseerde infrastructuur in de Hyper-V-netwerkvirtualisatiecloud. Door de L3-doorstuurverbinding te gebruiken, kunnen tenantnetwerk-VM's verbinding maken met een fysiek netwerk via de SDN-gateway, die al is geconfigureerd in de SDN-omgeving. In dit geval fungeert de SDN-gateway als een router tussen het gevirtualiseerde netwerk en het fysieke netwerk.

In het volgende diagram ziet u een voorbeeld van de doorstuurinstallatie van L3 in Azure Local die is geconfigureerd met SDN:

Diagram van een voorbeeld van het doorsturen van L3.

  • Er zijn twee virtuele netwerken in het lokale Azure-exemplaar: SDN virtual network 1 met adresvoorvoegsel 10.0.0.0/16 en SDN virtual network 2 met adresvoorvoegsel 16.0.0.0/16.
  • Elk virtueel netwerk heeft een L3-verbinding met het fysieke netwerk.
  • Omdat de L3-verbindingen voor verschillende virtuele netwerken zijn, heeft de SDN-gateway een apart compartiment voor elke verbinding om isolatiegaranties te bieden.
  • Elk SDN-gatewaycompartiment heeft één interface in de ruimte van het virtuele netwerk en één interface in de fysieke netwerkruimte.
  • Elke L3-verbinding moet worden toegewezen aan een uniek VLAN in het fysieke netwerk. Dit VLAN moet afwijken van het HNV-provider-VLAN, dat wordt gebruikt als het onderliggende fysieke netwerk voor het doorsturen van gegevens voor gevirtualiseerd netwerkverkeer.
  • In dit voorbeeld wordt statische routering gebruikt.

Hier volgen de details van elke verbinding die in dit voorbeeld wordt gebruikt:

Netwerkelement Verbinding 1 Verbinding 2
Gatewaysubnetvoorvoegsel 10.0.1.0/24 16.0.1.0/24
L3 IP-adres 15.0.0.5/24 20.0.0.5/24
IP-adres van L3-peer 15.0.0.1 20.0.0.1
Routes op de verbinding 18.0.0.0/24 22.0.0.0/24

Overwegingen voor routering bij het gebruik van L3-doorsturen

Voor statische routering moet u een route op het fysieke netwerk configureren om het virtuele netwerk te bereiken. Een route met adresvoorvoegsel 10.0.0.0/16 met de volgende hop als het L3 IP-adres van de verbinding (15.0.0.5).

Voor dynamische routering met BGP moet u nog steeds een statische /32-route configureren omdat de BGP-verbinding zich bevindt tussen de interne interface van het gatewaycompartiment en het IP-adres van de L3-peer. Voor Verbinding 1 is de peering tussen 10.0.1.6 en 15.0.0.1. Daarom hebt u voor deze verbinding een statische route nodig op de fysieke switch met het doelvoorvoegsel 10.0.1.6/32 met de volgende hop als 15.0.0.5.

Als u van plan bent om L3 Gateway-verbindingen met BGP-routering te implementeren, moet u de BGP-instellingen van de Top of Rack-switch (ToR) configureren met de volgende instellingen:

  • update-source: Hiermee geeft u het bronadres voor BGP-updates, dat is L3 VLAN. Bijvoorbeeld VLAN 250.
  • ebgp multihop: Dit geeft meer hops zijn vereist omdat de BGP-buur meer dan één hop weg is.

Dynamische routering met BGP

BGP vermindert de noodzaak van handmatige routeconfiguratie op routers omdat het een dynamisch routeringsprotocol is en automatisch routes leert tussen sites die zijn verbonden met behulp van site-naar-site-VPN-verbindingen. Als uw organisatie meerdere sites heeft die zijn verbonden met BGP-routers, zoals RAS-gateway, kunnen de routers automatisch geldige routes naar elkaar berekenen en gebruiken in geval van netwerkonderbreking of storing.

De BGP Route Reflector die is meegeleverd met RAS Gateway biedt een alternatief voor de volledige BGP mesh-topologie die vereist is voor routesynchronisatie tussen routers. Zie Wat is Route Reflector?

Hoe RAS-gateway werkt

RAS-gateway routeert netwerkverkeer tussen het fysieke netwerk en VM-netwerkbronnen, ongeacht de locatie. U kunt het netwerkverkeer routeren op dezelfde fysieke locatie of op veel verschillende locaties.

U kunt RAS-gateway implementeren in pools met hoge beschikbaarheid die meerdere functies tegelijk gebruiken. Gatewaypools bevatten meerdere exemplaren van RAS-gateway voor hoge beschikbaarheid en failover.

U kunt gemakkelijk een gatewaygroep omhoog of omlaag schalen toevoegen of verwijderen van gateway-VM's in de groep. Het verwijderen of toevoegen van gateways verstoort de services die worden geleverd door een groep niet. U kunt ook toevoegen en verwijderen van de hele groepen van gateways. Zie voor meer informatie hoge beschikbaarheid van RAS-Gateway.

Elke gatewaygroep biedt M+N-redundantie. Dit betekent dat er een back-up wordt gemaakt van het aantal actieve gateway-VM's met 'N' aantal stand-bygateway-VM's. M + N redundantie biedt u meer flexibiliteit bij het bepalen van het niveau van betrouwbaarheid die u nodig hebt bij het implementeren van RAS-Gateway.

U kunt één openbaar IP-adres toewijzen aan alle groepen of aan een subset van groepen. Als u dit doet, vermindert u het aantal openbare IP-adressen dat u moet gebruiken, omdat het mogelijk is om alle tenants verbinding te laten maken met de cloud op één IP-adres.

Volgende stappen

Zie ook voor gerelateerde informatie: