Partilhar via

O que é o Gateway do Serviço de Acesso Remoto (RAS) para Rede Definida por Software?

  • Artigo

Aplica-se a: Azure Local, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Este artigo fornece uma visão geral do Gateway do Serviço de Acesso Remoto (RAS) para Rede Definida por Software (SDN) no Azure Local e no Windows Server.

O RAS Gateway é um roteador compatível com BGP (Border Gateway Protocol) baseado em software projetado para provedores de serviços em nuvem (CSPs) e empresas que hospedam redes virtuais multilocatárias usando a Virtualização de Rede Hyper-V (HNV). Você pode usar o Gateway RAS para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.

O Gateway RAS requer o Controlador de Rede, que executa a implantação de pools de gateways, configura conexões de locatário em cada gateway e alterna fluxos de tráfego de rede para um gateway em espera se um gateway falhar.

Nota

Multilocação é a capacidade de uma infraestrutura de nuvem de suportar as cargas de trabalho de máquina virtual (VM) de vários locatários, mas isolá-los uns dos outros, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As múltiplas cargas de trabalho de um inquilino individual podem interligar-se e serem geridas remotamente, mas estes sistemas não são interligados com as cargas de trabalho de outros inquilinos, nem podem os outros inquilinos geri-las remotamente.

Funcionalidades

O RAS Gateway oferece muitos recursos para rede virtual privada (VPN), tunelamento, encaminhamento e roteamento dinâmico.

VPN IPsec Site a Site

Este recurso de gateway RAS permite que você conecte duas redes em locais físicos diferentes na Internet usando uma conexão de rede virtual privada (VPN) Site-to-Site (S2S). Esta é uma conexão criptografada, usando o protocolo VPN IKEv2.

Para CSPs que hospedam muitos locatários em seu datacenter, o RAS Gateway fornece uma solução de gateway multilocatário que permite que os locatários acessem e gerenciem seus recursos por meio de conexões VPN site a site de sites remotos. O RAS Gateway permite o fluxo de tráfego de rede entre os recursos virtuais no seu datacenter e a sua rede física.

Túneis GRE site a site

Os túneis baseados em GRE (Generic Routing Encapsulation) permitem a conectividade entre redes virtuais de locatários e redes externas. Como o protocolo GRE é leve e o suporte para GRE está disponível na maioria dos dispositivos de rede, é uma escolha ideal para tunelamento onde a criptografia de dados não é necessária.

O suporte GRE em túneis S2S resolve o problema de encaminhamento entre redes virtuais de locatário e redes externas de locatário usando um gateway multilocatário.

Encaminhamento de camada 3

O encaminhamento de camada 3 (L3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na nuvem de virtualização de rede Hyper-V. Usando a conexão de encaminhamento L3, as VMs de rede locatária podem se conectar a uma rede física por meio do gateway SDN, que já está configurado no ambiente SDN. Nesse caso, o gateway SDN atua como um roteador entre a rede virtualizada e a rede física.

O diagrama a seguir mostra um exemplo da configuração de encaminhamento L3 no Azure Local configurado com SDN:

Diagrama de um exemplo de encaminhamento L3.

  • Existem duas redes virtuais na instância Local do Azure: rede virtual SDN 1 com prefixo de endereço 10.0.0.0/16 e rede virtual SDN 2 com prefixo de endereço 16.0.0.0/16.
  • Cada rede virtual tem uma conexão L3 com a rede física.
  • Como as conexões L3 são para redes virtuais diferentes, o gateway SDN tem um compartimento separado para cada conexão para fornecer garantias de isolamento.
  • Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
  • Cada conexão L3 deve ser mapeada para uma VLAN exclusiva na rede física. Essa VLAN deve ser diferente da VLAN do provedor de HNV, que é usada como a rede física de encaminhamento de dados subjacente para o tráfego de rede virtualizado.
  • Este exemplo usa roteamento estático.

Aqui estão os detalhes de cada conexão usada neste exemplo:

Elemento de rede Conexão 1 Conexão 2
Prefixo da sub-rede do gateway 10.0.1.0/24 16.0.1.0/24
Endereço IP L3 15.0.0.5/24 20.0.0.5/24
Endereço IP de mesmo nível L3 15.0.0.1 20.0.0.1
Rotas na conexão 18.0.0.0/24 22.0.0.0/24

Considerações de roteamento ao usar o encaminhamento L3

Para roteamento estático, você deve configurar uma rota na rede física para alcançar a rede virtual. Por exemplo, uma rota com prefixo de endereço 10.0.0.0/16 com o próximo salto como o endereço IP L3 da conexão (15.0.0.5).

Para roteamento dinâmico com BGP, você ainda deve configurar uma rota estática /32 porque a conexão BGP está entre a interface interna do compartimento do gateway e o IP do par L3. Para a Conexão 1, o emparelhamento estaria entre 10.0.1.6 e 15.0.0.1. Portanto, para essa conexão, você precisa de uma rota estática no switch físico com prefixo de destino de 10.0.1.6/32 com o próximo salto como 15.0.0.5.

Se você planeja implantar conexões de gateway L3 com roteamento BGP, certifique-se de configurar as configurações BGP do switch Top of Rack (ToR) com o seguinte:

  • update-source: especifica o endereço de origem das atualizações BGP, ou seja, a VLAN L3. Por exemplo, VLAN 250.
  • ebgp multihop: especifica que mais saltos são necessários, uma vez que o vizinho BGP está a mais de um salto de distância.

Roteamento dinâmico com BGP

O BGP reduz a necessidade de configuração manual de rotas em roteadores porque é um protocolo de roteamento dinâmico e aprende automaticamente rotas entre sites conectados usando conexões VPN site a site. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o RAS Gateway, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha da rede.

O Refletor de Rota BGP incluído no Gateway RAS fornece uma alternativa à topologia de malha completa BGP necessária para a sincronização de rotas entre roteadores. Para obter mais informações, consulte O que é o refletor de rota?

Como funciona o RAS Gateway

O Gateway RAS roteia o tráfego de rede entre a rede física e os recursos da rede VM, independentemente do local. Você pode rotear o tráfego de rede no mesmo local físico ou em vários locais diferentes.

Você pode implantar o RAS Gateway em pools de alta disponibilidade que usam vários recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway RAS para alta disponibilidade e failover.

Você pode facilmente dimensionar um pool de gateways para cima ou para baixo adicionando ou removendo VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Você também pode adicionar e remover pools inteiros de gateways. Para obter mais informações, consulte Alta disponibilidade do gateway RAS.

Cada pool de gateway fornece redundância M+N. Isso significa que o número 'M' de VMs de gateway ativas é feito por um número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o RAS Gateway.

Você pode atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz muito o número de endereços IP públicos que você deve usar, porque é possível ter todos os locatários conectados à nuvem em um único endereço IP.

Próximos passos

Para obter informações relacionadas, consulte também: