Udostępnij za pośrednictwem

Co to jest brama usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo?

  • Artykuł

Dotyczy: Azure Local, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Ten artykuł zawiera omówienie bramy usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo (SDN) w usłudze Azure Local i Windows Server.

Brama RAS to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol) przeznaczony dla dostawców usług w chmurze (CSP) i przedsiębiorstw hostujących wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci funkcji Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.

Brama RAS wymaga kontrolera sieci, który wykonuje wdrażanie pul bramy, konfiguruje połączenia dzierżawy w każdej bramie i przełącza ruch sieciowy do bramy rezerwowej, jeśli brama ulegnie awarii.

Uwaga

Wielodostępność to zdolność infrastruktury chmurowej do obsługi obciążeń maszyn wirtualnych wielu dzierżawców, ale odizolowania ich od siebie, podczas gdy wszystkie obciążenia są uruchamiane w tej samej infrastrukturze. Wiele obciążeń pojedynczego dzierżawcy można łączyć wzajemnie, a także zarządzać nimi zdalnie. Nie można jednak łączyć tych systemów z obciążeniami innych dzierżawców ani nie mogą one być zarządzane zdalnie przez innych dzierżawców.

Funkcje

Brama RAS oferuje wiele funkcji wirtualnej sieci prywatnej (VPN), tunelowania, przesyłania dalej i routingu dynamicznego.

Sieć VPN IPsec typu lokacja-lokacja

Ta funkcja bramy RAS umożliwia łączenie dwóch sieci w różnych lokalizacjach fizycznych w Internecie przy użyciu połączenia wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja (S2S). Jest to zaszyfrowane połączenie przy użyciu protokołu sieci VPN IKEv2.

W przypadku dostawców CSP hostujących wiele dzierżaw w centrum danych brama RAS udostępnia wielodostępne rozwiązanie bramy, które umożliwia dzierżawcom uzyskiwanie dostępu do zasobów za pośrednictwem połączeń sieci VPN typu lokacja-lokacja i zarządzanie nimi z lokacji zdalnych. Brama RAS umożliwia przepływ ruchu sieciowego między zasobami wirtualnymi w centrum danych i ich sieci fizycznej.

Tunele GRE typu lokacja-lokacja

Tunele oparte na protokole GRE (Generic Routing Encapsulation) umożliwiają łączność między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest to idealny wybór do tunelowania, gdy szyfrowanie danych nie jest wymagane.

Obsługa protokołu GRE w tunelach S2S rozwiązuje problem z przekazywaniem między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi dzierżawców przy użyciu wielodostępnej bramy.

Przekazywanie w warstwie 3

Przekazywanie w warstwie 3 (L3) umożliwia łączność między infrastrukturą fizyczną w centrum danych a zwirtualizowaną infrastrukturą w chmurze wirtualizacji sieci funkcji Hyper-V. Korzystając z połączenia przesyłania dalej L3, maszyny wirtualne sieci dzierżawczej mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN, która jest już skonfigurowana w środowisku SDN. W takim przypadku brama SDN działa jako router między zwirtualizowaną siecią a siecią fizyczną.

Na poniższym diagramie przedstawiono przykład konfiguracji przekazywania L3 w usłudze Azure Local skonfigurowanej za pomocą sieci SDN:

Diagram przykładu przekazywania L3.

  • W wystąpieniu lokalnym platformy Azure istnieją dwie sieci wirtualne: sieć wirtualna SDN 1 z prefiksem adresu 10.0.0.0/16 i siecią wirtualną SDN 2 z prefiksem adresu 16.0.0.0/16.
  • Każda sieć wirtualna ma połączenie L3 z siecią fizyczną.
  • Ponieważ połączenia L3 są przeznaczone dla różnych sieci wirtualnych, brama SDN ma oddzielny przedział dla każdego połączenia w celu zapewnienia gwarancji izolacji.
  • Każdy przedział bramy SDN ma jeden interfejs w przestrzeni wirtualnej sieci i jeden interfejs w przestrzeni sieciowej fizycznej.
  • Każde połączenie L3 musi mapować na unikatową sieć VLAN w sieci fizycznej. Ta sieć VLAN musi być inna niż sieć VLAN dostawcy HNV, która jest używana jako podstawowa sieć fizyczna przekazująca dane na potrzeby zwirtualizowanego ruchu sieciowego.
  • W tym przykładzie użyto routingu statycznego.

Poniżej przedstawiono szczegółowe informacje o każdym połączeniu używanym w tym przykładzie:

Element sieciowy Połączenie 1 Połączenie 2
Prefiks podsieci bramy 10.0.1.0/24 16.0.1.0/24
Adres IP L3 15.0.0.5/24 20.0.0.5/24
Adres IP elementu równorzędnego L3 15.0.0.1 20.0.0.1
Trasy w połączeniu 18.0.0.0/24 22.0.0.0/24

Zagadnienia dotyczące routingu podczas korzystania z przekazywania L3

W przypadku routingu statycznego należy skonfigurować trasę w sieci fizycznej, aby uzyskać dostęp do sieci wirtualnej. Na przykład trasa z prefiksem adresu 10.0.0.0/16 z następnym przeskokiem jako adres IP L3 połączenia (15.0.0.5).

W przypadku routingu dynamicznego za pomocą protokołu BGP należy nadal skonfigurować trasę statyczną /32, ponieważ połączenie protokołu BGP jest między wewnętrznym interfejsem przedziału bramy a adresem IP elementu równorzędnego L3. W przypadku połączenia 1 komunikacja równorzędna będzie należeć do przedziału od 10.0.1.6 do 15.0.0.1. W związku z tym dla tego połączenia potrzebna jest trasa statyczna na przełączniku fizycznym z prefiksem docelowym 10.0.1.6/32 z następnym przeskokiem jako 15.0.0.5.

Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurować ustawienia protokołu BGP przełącznika Top of Rack (ToR) z następującymi ustawieniami:

  • update-source: określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
  • multihop ebgp: określa więcej przeskoków jest wymaganych, ponieważ sąsiad protokołu BGP jest więcej niż jeden przeskok.

Routing dynamiczny przy użyciu protokołu BGP

Protokół BGP zmniejsza potrzebę ręcznej konfiguracji tras na routerach, ponieważ jest to protokół routingu dynamicznego i automatycznie uczy się tras między lokacjami połączonymi przy użyciu połączeń sieci VPN typu lokacja-lokacja. Jeśli organizacja ma wiele lokacji połączonych przy użyciu routerów obsługujących protokół BGP, takich jak brama RAS, protokół BGP umożliwia routerom automatyczne obliczanie i używanie prawidłowych tras do siebie w przypadku przerw w działaniu sieci lub awarii.

Reflektor trasy BGP dołączony do bramy RAS zapewnia alternatywę dla topologii pełnej siatki protokołu BGP, która jest wymagana do synchronizacji tras między routerami. Aby uzyskać więcej informacji, zobacz Co to jest reflektor trasy?

Jak działa brama RAS

Brama RAS kieruje ruch sieciowy między siecią fizyczną a zasobami sieci maszyny wirtualnej, niezależnie od lokalizacji. Ruch sieciowy można kierować w tej samej lokalizacji fizycznej lub w wielu różnych lokalizacjach.

Bramę RAS można wdrożyć w pulach wysokiej dostępności, które używają wielu funkcji jednocześnie. Pule bramy zawierają wiele wystąpień bramy RAS w celu zapewnienia wysokiej dostępności i trybu failover.

Pula bram można łatwo skalować w górę lub w dół, dodając lub usuwając bramy maszyny wirtualne w puli. Usunięcie lub dodanie bram nie zakłóca usług udostępnianych przez pulę. Można również dodawać i usuwać całego pule bram. Aby uzyskać więcej informacji, zobacz wysoką dostępność bramy RAS.

Każda pula bramy zapewnia nadmiarowość M+N. Oznacza to, że liczba aktywnych maszyn wirtualnych bramy "M" jest tworzona przez "N" maszyn wirtualnych bramy rezerwowej. M + N nadmiarowości zapewnia większą elastyczność w określaniu poziomu niezawodności wymagany podczas wdrażania bramy RAS.

Można przypisać jeden publiczny adres IP do wszystkich pul lub do podzbioru pul. W ten sposób znacznie zmniejsza liczbę publicznych adresów IP, których należy użyć, ponieważ istnieje możliwość połączenia wszystkich dzierżaw z chmurą na jednym adresie IP.

Następne kroki

Aby uzyskać powiązane informacje, zobacz również: