Что такое шлюз службы удаленного доступа (RAS) для программно-определяемой сети?
Применимо к: Azure Local 2311.2 и более поздних версий; Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье представлен обзор шлюза службы удаленного доступа (RAS) для программно-определяемой сети (SDN) в Локальной среде Azure и Windows Server.
Шлюз RAS — это программный маршрутизатор пограничного шлюза (BGP), предназначенный для поставщиков облачных служб и предприятий, на которых размещаются мультитенантные виртуальные сети с помощью виртуализации сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью либо локальной, либо удаленной.
Шлюз RAS требует сетевого контроллера, который выполняет развертывание пулов шлюзов, настраивает подключения клиентов на каждом шлюзе и переключает потоки сетевого трафика в резервный шлюз, если шлюз завершается сбоем.
Примечание.
Мультитенантность — это возможность облачной инфраструктуры для поддержки рабочих нагрузок виртуальных машин нескольких клиентов, но изолировать их друг от друга, а все рабочие нагрузки выполняются в одной инфраструктуре. Рабочие нагрузки одного арендатора могут быть взаимно связаны и управляться удаленно, но эти системы не связываются с рабочими нагрузками других арендаторов, и другие арендаторы не могут управлять ими удаленно.
Функции
Шлюз RAS предлагает множество функций для виртуальной частной сети (VPN), туннелирования, пересылки и динамической маршрутизации.
VPN IPsec типа "сеть — сеть"
Эта функция шлюза RAS позволяет подключать две сети, расположенные в разных физических местах, через Интернет посредством подключения Site-to-Site (S2S) виртуальной частной сети (VPN). Это зашифрованное подключение с помощью VPN-протокола IKEv2.
Для поставщиков облачных услуг, в центре обработки данных которых обслуживается множество клиентов, шлюз RAS предоставляет мультитенантное решение, позволяющее клиентам доступ к своим ресурсам и их управление через VPN-подключения типа "сеть — сеть" с удаленных сайтов. Шлюз RAS разрешает поток сетевого трафика между виртуальными ресурсами в центре обработки данных и их физической сетью.
Туннели GRE типа "сайт-сайт"
Туннели на основе Generic Routing Encapsulation (GRE) обеспечивают соединение между арендованными виртуальными сетями и внешними сетями. Так как протокол GRE является упрощенным, а поддержка GRE доступна на большинстве сетевых устройств, это идеальный вариант для туннелирования, где шифрование данных не требуется.
Поддержка GRE в туннелях S2S решает проблему переадресации между виртуальными сетями клиента и внешними сетями клиента с помощью мультитенантного шлюза.
Переадресация уровня 3
Переадресация уровня 3 (L3) обеспечивает подключение между физической инфраструктурой в центре обработки данных и виртуализированной инфраструктурой в облаке виртуализации сети Hyper-V. С помощью подключения пересылки L3 сетевые виртуальные машины клиента могут подключаться к физической сети через шлюз SDN, который уже настроен в среде SDN. В этом случае шлюз SDN выступает в качестве маршрутизатора между виртуализированной сетью и физической сетью.
На следующей схеме показан пример настройки пересылки L3 в локальной среде Azure, настроенной с SDN:
- В локальном экземпляре Azure есть две виртуальные сети: виртуальная сеть SDN 1 с префиксом адреса 10.0.0.0/16 и виртуальной сетью SDN 2 с префиксом адреса 16.0.0.0/16.
- Каждая виртуальная сеть имеет подключение L3 к физической сети.
- Так как подключения L3 предназначены для разных виртуальных сетей, шлюз SDN имеет отдельный отсек для каждого подключения, чтобы обеспечить гарантии изоляции.
- Каждый отсек шлюза SDN имеет один интерфейс в пространстве виртуальной сети и один интерфейс в физическом сетевом пространстве.
- Каждое подключение L3 должно соответствовать уникальному VLAN в физической сети. Эта виртуальная локальная сеть должна отличаться от виртуальной локальной сети поставщика HNV, которая используется в качестве базовой физической сети для виртуализированного сетевого трафика.
- В этом примере используется статическая маршрутизация.
Ниже приведены сведения о каждом подключении, используемом в этом примере:
Сетевой элемент | Подключение 1 | Подключение 2 |
---|---|---|
Префикс подсети шлюза | 10.0.1.0/24 | 16.0.1.0/24 |
IP-адрес L3 | 15.0.0.5/24 | 20.0.0.5/24 |
IP-адрес однорангового узла L3 | 15.0.0.1 | 20.0.0.1 |
Маршруты на соединении | 18.0.0.0/24 | 22.0.0.0/24 |
Рекомендации по маршрутизации при использовании перенаправления L3
Для статической маршрутизации необходимо настроить маршрут в физической сети для доступа к виртуальной сети. Например, маршрут с префиксом адреса 10.0.0.0/16 со следующим узлом маршрутизации в качестве IP-адреса подключения (15.0.0.5).
Для динамической маршрутизации с помощью BGP необходимо всё равно настроить статический маршрут /32, так как подключение BGP осуществляется между внутренним интерфейсом шлюза и IP-адресом партнера L3. Для подключения 1 пиринг будет составлять от 10.0.1.6 до 15.0.0.1. Поэтому для этого подключения требуется статический маршрут на физическом коммутаторе с префиксом назначения 10.0.0.1.6/32 со следующим прыжком как 15.0.0.5.
Если вы планируете развернуть соединения шлюза уровня 3 с маршрутизацией BGP, настройте параметры BGP на коммутаторе в верхней части стойки (ToR) с следующими настройками:
- update-source: это указывает исходный адрес для обновлений BGP, то есть VLAN L3. Например, виртуальная локальная сеть 250.
- ebgp multihop: это указывает на необходимость большего количества переходов, поскольку сосед BGP находится на большем расстоянии, чем один переход.
Динамическая маршрутизация с помощью BGP
BGP снижает потребность в настройке маршрутов вручную на маршрутизаторах, так как это протокол динамической маршрутизации, а также автоматически изучает маршруты между сайтами, подключенными с помощью VPN-подключений типа "сеть — сеть". Если у вашей организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP позволяет маршрутизаторам автоматически вычислять и использовать допустимые маршруты друг другу в случае сбоя сети или сбоя.
Отражатель маршрутов BGP, включенный в шлюз RAS, предоставляет альтернативу топологии полной сетки BGP, необходимой для синхронизации маршрутов между маршрутизаторами. Дополнительные сведения см. в разделе "Что такое отражатель маршрутов"?
Как работает шлюз RAS
Шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения. Сетевой трафик можно маршрутизировать в одном физическом расположении или во многих разных расположениях.
Шлюз RAS можно развернуть в пулах высокой доступности, которые одновременно используют несколько функций. Пулы шлюзов содержат несколько экземпляров шлюза RAS для обеспечения высокой доступности и передачи управления при отказе.
Вы можете легко масштабировать пул шлюзов вверх или вниз, добавив или удалив виртуальные машины шлюза в пуле. Удаление или добавление шлюзов не нарушает службы, предоставляемые пулом. Вы также можете добавлять и удалять все пулы шлюзов. Дополнительные сведения см. в разделе "Высокий уровень доступности шлюза RAS".
Каждый пул шлюзов обеспечивает избыточность по модели M+N. Это означает, что "M" число активных виртуальных машин шлюза поддерживается "N" числом резервных виртуальных машин шлюза. Избыточность M+N обеспечивает большую гибкость при определении уровня надежности, необходимого при развертывании шлюза RAS.
Вы можете назначить один общедоступный IP-адрес всем пулам или подмножества пулов. Это значительно сокращает количество используемых общедоступных IP-адресов, так как все клиенты могут подключаться к облаку по одному IP-адресу.
Следующие шаги
Дополнительные сведения см. также: