Поделиться через

Что такое шлюз службы удаленного доступа (RAS) для программно-определяемой сети?

  • Статья

Применимо к: Azure Local 2311.2 и более поздних версий; Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье представлен обзор шлюза службы удаленного доступа (RAS) для программно-определяемой сети (SDN) в Локальной среде Azure и Windows Server.

Шлюз RAS — это программный маршрутизатор пограничного шлюза (BGP), предназначенный для поставщиков облачных служб и предприятий, на которых размещаются мультитенантные виртуальные сети с помощью виртуализации сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью либо локальной, либо удаленной.

Шлюз RAS требует сетевого контроллера, который выполняет развертывание пулов шлюзов, настраивает подключения клиентов на каждом шлюзе и переключает потоки сетевого трафика в резервный шлюз, если шлюз завершается сбоем.

Примечание.

Мультитенантность — это возможность облачной инфраструктуры для поддержки рабочих нагрузок виртуальных машин нескольких клиентов, но изолировать их друг от друга, а все рабочие нагрузки выполняются в одной инфраструктуре. Рабочие нагрузки одного арендатора могут быть взаимно связаны и управляться удаленно, но эти системы не связываются с рабочими нагрузками других арендаторов, и другие арендаторы не могут управлять ими удаленно.

Функции

Шлюз RAS предлагает множество функций для виртуальной частной сети (VPN), туннелирования, пересылки и динамической маршрутизации.

VPN IPsec типа "сеть — сеть"

Эта функция шлюза RAS позволяет подключать две сети, расположенные в разных физических местах, через Интернет посредством подключения Site-to-Site (S2S) виртуальной частной сети (VPN). Это зашифрованное подключение с помощью VPN-протокола IKEv2.

Для поставщиков облачных услуг, в центре обработки данных которых обслуживается множество клиентов, шлюз RAS предоставляет мультитенантное решение, позволяющее клиентам доступ к своим ресурсам и их управление через VPN-подключения типа "сеть — сеть" с удаленных сайтов. Шлюз RAS разрешает поток сетевого трафика между виртуальными ресурсами в центре обработки данных и их физической сетью.

Туннели GRE типа "сайт-сайт"

Туннели на основе Generic Routing Encapsulation (GRE) обеспечивают соединение между арендованными виртуальными сетями и внешними сетями. Так как протокол GRE является упрощенным, а поддержка GRE доступна на большинстве сетевых устройств, это идеальный вариант для туннелирования, где шифрование данных не требуется.

Поддержка GRE в туннелях S2S решает проблему переадресации между виртуальными сетями клиента и внешними сетями клиента с помощью мультитенантного шлюза.

Переадресация уровня 3

Переадресация уровня 3 (L3) обеспечивает подключение между физической инфраструктурой в центре обработки данных и виртуализированной инфраструктурой в облаке виртуализации сети Hyper-V. С помощью подключения пересылки L3 сетевые виртуальные машины клиента могут подключаться к физической сети через шлюз SDN, который уже настроен в среде SDN. В этом случае шлюз SDN выступает в качестве маршрутизатора между виртуализированной сетью и физической сетью.

На следующей схеме показан пример настройки пересылки L3 в локальной среде Azure, настроенной с SDN:

Схема примера пересылки L3.

  • В локальном экземпляре Azure есть две виртуальные сети: виртуальная сеть SDN 1 с префиксом адреса 10.0.0.0/16 и виртуальной сетью SDN 2 с префиксом адреса 16.0.0.0/16.
  • Каждая виртуальная сеть имеет подключение L3 к физической сети.
  • Так как подключения L3 предназначены для разных виртуальных сетей, шлюз SDN имеет отдельный отсек для каждого подключения, чтобы обеспечить гарантии изоляции.
  • Каждый отсек шлюза SDN имеет один интерфейс в пространстве виртуальной сети и один интерфейс в физическом сетевом пространстве.
  • Каждое подключение L3 должно соответствовать уникальному VLAN в физической сети. Эта виртуальная локальная сеть должна отличаться от виртуальной локальной сети поставщика HNV, которая используется в качестве базовой физической сети для виртуализированного сетевого трафика.
  • В этом примере используется статическая маршрутизация.

Ниже приведены сведения о каждом подключении, используемом в этом примере:

Сетевой элемент Подключение 1 Подключение 2
Префикс подсети шлюза 10.0.1.0/24 16.0.1.0/24
IP-адрес L3 15.0.0.5/24 20.0.0.5/24
IP-адрес однорангового узла L3 15.0.0.1 20.0.0.1
Маршруты на соединении 18.0.0.0/24 22.0.0.0/24

Рекомендации по маршрутизации при использовании перенаправления L3

Для статической маршрутизации необходимо настроить маршрут в физической сети для доступа к виртуальной сети. Например, маршрут с префиксом адреса 10.0.0.0/16 со следующим узлом маршрутизации в качестве IP-адреса подключения (15.0.0.5).

Для динамической маршрутизации с помощью BGP необходимо всё равно настроить статический маршрут /32, так как подключение BGP осуществляется между внутренним интерфейсом шлюза и IP-адресом партнера L3. Для подключения 1 пиринг будет составлять от 10.0.1.6 до 15.0.0.1. Поэтому для этого подключения требуется статический маршрут на физическом коммутаторе с префиксом назначения 10.0.0.1.6/32 со следующим прыжком как 15.0.0.5.

Если вы планируете развернуть соединения шлюза уровня 3 с маршрутизацией BGP, настройте параметры BGP на коммутаторе в верхней части стойки (ToR) с следующими настройками:

  • update-source: это указывает исходный адрес для обновлений BGP, то есть VLAN L3. Например, виртуальная локальная сеть 250.
  • ebgp multihop: это указывает на необходимость большего количества переходов, поскольку сосед BGP находится на большем расстоянии, чем один переход.

Динамическая маршрутизация с помощью BGP

BGP снижает потребность в настройке маршрутов вручную на маршрутизаторах, так как это протокол динамической маршрутизации, а также автоматически изучает маршруты между сайтами, подключенными с помощью VPN-подключений типа "сеть — сеть". Если у вашей организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP позволяет маршрутизаторам автоматически вычислять и использовать допустимые маршруты друг другу в случае сбоя сети или сбоя.

Отражатель маршрутов BGP, включенный в шлюз RAS, предоставляет альтернативу топологии полной сетки BGP, необходимой для синхронизации маршрутов между маршрутизаторами. Дополнительные сведения см. в разделе "Что такое отражатель маршрутов"?

Как работает шлюз RAS

Шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения. Сетевой трафик можно маршрутизировать в одном физическом расположении или во многих разных расположениях.

Шлюз RAS можно развернуть в пулах высокой доступности, которые одновременно используют несколько функций. Пулы шлюзов содержат несколько экземпляров шлюза RAS для обеспечения высокой доступности и передачи управления при отказе.

Вы можете легко масштабировать пул шлюзов вверх или вниз, добавив или удалив виртуальные машины шлюза в пуле. Удаление или добавление шлюзов не нарушает службы, предоставляемые пулом. Вы также можете добавлять и удалять все пулы шлюзов. Дополнительные сведения см. в разделе "Высокий уровень доступности шлюза RAS".

Каждый пул шлюзов обеспечивает избыточность по модели M+N. Это означает, что "M" число активных виртуальных машин шлюза поддерживается "N" числом резервных виртуальных машин шлюза. Избыточность M+N обеспечивает большую гибкость при определении уровня надежности, необходимого при развертывании шлюза RAS.

Вы можете назначить один общедоступный IP-адрес всем пулам или подмножества пулов. Это значительно сокращает количество используемых общедоступных IP-адресов, так как все клиенты могут подключаться к облаку по одному IP-адресу.

Следующие шаги

Дополнительные сведения см. также: