O que é o gateway RAS (Serviço de Acesso Remoto) para redes definidas por software?
Aplica-se a: Azure Local, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Este artigo fornece uma visão geral do Gateway do RAS (Serviço de Acesso Remoto) para SDN (Rede Definida pelo Software) no Azure Local e no Windows Server.
O Gateway de RAS é um roteador compatível com BGP (Border Gateway Protocol) baseado em software projetado para CSPs (provedores de serviços de nuvem) e empresas que hospedam redes virtuais multilocatários usando a HNV (Virtualização de Rede Hyper-V). Você pode usar o Gateway de RAS para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway RAS requer o Controlador de Rede, que executa a implantação de pools de gateway, configura conexões de locatário em cada gateway e alterna os fluxos de tráfego de rede para um gateway em espera se um gateway falhar.
Observação
A multilocação é a capacidade de uma infraestrutura de nuvem de dar suporte às cargas de trabalho de VM (máquina virtual) de vários locatários, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As várias cargas de trabalho de um locatário individual podem se interconectar e serem gerenciadas remotamente, mas esses sistemas não interconectam com as cargas de trabalho de outros locatários, nem outros locatários podem gerenciá-las remotamente.
Recursos
O RAS Gateway oferece muitos recursos para VPN (rede virtual privada), tunelamento, encaminhamento e roteamento dinâmico.
VPN IPsec site a site
Esse recurso de Gateway RAS permite que você conecte duas redes em locais físicos diferentes na Internet usando uma conexão VPN (rede virtual privada) Site a Site (S2S). Esta é uma conexão criptografada, usando o protocolo VPN IKEv2.
Para CSPs que hospedam muitos locatários em seu datacenter, o Gateway de RAS fornece uma solução de gateway multilocatário que permite que os locatários acessem e gerenciem seus recursos em conexões VPN site a site de sites remotos. O Gateway de RAS permite o fluxo de tráfego de rede entre recursos virtuais em seu datacenter e sua rede física.
Túneis GRE site a site
Os túneis baseados em GRE (Encapsulamento de Roteamento Genérico) permitem a conectividade entre redes virtuais de locatário e redes externas. Como o protocolo GRE é leve e o suporte para GRE está disponível na maioria dos dispositivos de rede, ele é a opção ideal para tunelamento em que a criptografia de dados não é necessária.
O suporte GRE em túneis S2S resolve o problema de encaminhamento entre redes virtuais de locatário e redes externas de locatário usando um gateway multilocatário.
Encaminhamento de camada 3
O encaminhamento de camada 3 (L3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na nuvem de virtualização de rede Hyper-V. Usando a conexão de encaminhamento L3, as VMs de rede de locatário podem se conectar a uma rede física por meio do gateway SDN, que já está configurado no ambiente SDN. Nesse caso, o gateway SDN atua como um roteador entre a rede virtualizada e a rede física.
O diagrama a seguir mostra um exemplo da configuração de encaminhamento L3 no Azure Local configurado com SDN:
- Há duas redes virtuais na instância local do Azure: rede virtual SDN 1 com prefixo de endereço 10.0.0.0/16 e rede virtual SDN 2 com prefixo de endereço 16.0.0.0/16.
- Cada rede virtual tem uma conexão L3 com a rede física.
- Como as conexões L3 são para redes virtuais diferentes, o gateway SDN tem um compartimento separado para cada conexão para fornecer garantias de isolamento.
- Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
- Cada conexão L3 deve ser mapeada para uma VLAN exclusiva na rede física. Essa VLAN deve ser diferente da VLAN do provedor de HNV, que é usada como a rede física de encaminhamento de dados subjacente para o tráfego de rede virtualizado.
- Este exemplo usa roteamento estático.
Aqui estão os detalhes de cada conexão usada neste exemplo:
| Elemento de rede | Conexão 1 | Conexão 2 |
|---|---|---|
| Prefixo de sub-rede do gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Endereço IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Endereço IP do peer L3 | 15.0.0.1 | 20.0.0.1 |
| Rotas na conexão | 18.0.0.0/24 | 22.0.0.0/24 |
Considerações sobre roteamento ao usar o encaminhamento L3
Para roteamento estático, você deve configurar uma rota na rede física para acessar a rede virtual. Por exemplo, uma rota com prefixo de endereço 10.0.0.0/16 com o próximo salto como o endereço IP L3 da conexão (15.0.0.5).
Para roteamento dinâmico com BGP, você ainda deve configurar uma rota estática /32 porque a conexão BGP está entre a interface interna do compartimento do gateway e o IP do peer L3. Para a Conexão 1, o emparelhamento estaria entre 10.0.1.6 e 15.0.0.1. Portanto, para essa conexão, você precisa de uma rota estática no switch físico com prefixo de destino de 10.0.1.6/32 com o próximo salto como 15.0.0.5.
Se você planeja implantar conexões de gateway L3 com roteamento BGP, certifique-se de definir as configurações BGP do switch Top of Rack (ToR) com o seguinte:
- update-source: especifica o endereço de origem para atualizações de BGP, ou seja, VLAN L3. Por exemplo, VLAN 250.
- ebgp multihop: especifica que mais saltos são necessários, pois o vizinho BGP está a mais de um salto de distância.
Roteamento dinâmico com BGP
O BGP reduz a necessidade de configuração manual de rotas em roteadores porque é um protocolo de roteamento dinâmico e aprende automaticamente as rotas entre sites conectados usando conexões VPN site a site. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o RAS Gateway, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha da rede.
O refletor de rota BGP incluído no RAS Gateway fornece uma alternativa à topologia de malha completa BGP necessária para a sincronização de rotas entre roteadores. Para obter mais informações, consulte O que é o Refletor de Rota?
Como funciona o RAS Gateway
O Gateway de RAS roteia o tráfego de rede entre a rede física e os recursos de rede da VM, independentemente do local. Você pode rotear o tráfego de rede no mesmo local físico ou em muito locais diferentes.
Você pode implantar o Gateway de RAS em pools de alta disponibilidade que usam vários recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway de RAS para alta disponibilidade e failover.
É possível escalar verticalmente ou reduzir verticalmente um pool de gateway, adicionando ou removendo com facilidade as VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Também é possível adicionar e remover pools inteiros de gateways. Para obter mais informações, consulte Alta disponibilidade do Gateway de RAS.
Cada pool de gateway fornece redundância M+N. Isso significa que o número 'M' de VMs de gateway ativas é copiado pelo número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o Gateway RAS.
É possível atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz muito o número de endereços IP públicos que você deve usar, pois é possível que todos os locatários se conectem à nuvem em um único endereço IP.
Próximas etapas
Para informações relacionadas, confira também: