什麼是軟體定義網路的遠端存取服務 (RAS) 閘道?
適用於:Azure 本機版本 23H2 和 22H2;Windows Server 2022、Windows Server 2019、Windows Server 2016
本文提供 Azure 本機和 Windows Server 中軟體定義網路功能 (SDN) 的遠端存取服務 (RAS) 閘道概觀。
RAS 閘道是軟體型邊界閘道通訊協定 (BGP) 支援路由器,專為雲端服務提供者 (CSP) 和企業所設計,使用 Hyper-V 網路虛擬化 (HNV) 裝載多租使用者虛擬網路的企業。 您可以使用 RAS 閘道,在虛擬網路與另一個網路之間路由傳送網路流量,無論是本機還是遠端。
RAS 閘道需要 網路控制站,以執行閘道集區的部署、在每個閘道上設定租用戶連線,並在閘道失敗時將網路流量切換至待命閘道。
注意
多租用戶是雲端基礎結構支援多個租使用者的虛擬機 (VM) 工作負載的能力,但彼此隔離,而所有工作負載都會在相同的基礎結構上執行。 個別租用戶的多個工作負載可以互連並從遠端管理,但是這些系統不會與其他租用戶的工作負載互連,其他租用戶也無法從遠端管理它們。
功能
RAS 閘道提供許多虛擬專用網 (VPN)、通道、轉送和動態路由的功能。
站對站 IPsec VPN
此 RAS 閘道功能可讓您使用站對站虛擬專用網 (VPN) 連線,在因特網上的不同實體位置連線兩個網路。 這是使用 IKEv2 VPN 通訊協定的加密連線。
針對在其數據中心裝載許多租使用者的 CSP,RAS 閘道提供多租使用者閘道解決方案,可讓租使用者透過遠端月臺的站對站 VPN 連線存取和管理其資源。 RAS 閘道可讓您在資料中心的虛擬資源與其實體網路之間流動網路流量。
站對站 GRE 通道
一般路由封裝 (GRE) 型通道可讓您在租使用者虛擬網路與外部網路之間連線。 由於 GRE 通訊協定是輕量型的,而且大部分網路裝置都支援 GRE,所以對於不需要加密數據的通道而言,這是理想的選擇。
S2S 通道中的 GRE 支持解決了使用多租用戶閘道在租使用者虛擬網路與租使用者外部網路之間轉送的問題。
第 3 層轉送
第 3 層 (L3) 轉送可讓您在資料中心的實體基礎結構與 Hyper-V 網路虛擬化雲端中的虛擬化基礎結構之間連線。 藉由使用 L3 轉送連線,租用戶網路 VM 可以透過已在 SDN 環境中設定的 SDN 網關聯機到實體網路。 在此情況下,SDN 閘道會作為虛擬化網路與實體網路之間的路由器。
下圖顯示使用 SDN 設定的 Azure Local 中 L3 轉送設定的範例:
- Azure 本機實例中有兩個虛擬網路:位址前綴為 10.0.0.0/16 的 SDN 虛擬網路 1 和地址前綴為 16.0.0.0/16 的 SDN 虛擬網路 2。
- 每個虛擬網路都有實體網路的 L3 連線。
- 由於 L3 連線適用於不同的虛擬網路,因此 SDN 閘道針對每個連線都有個別的區間,以提供隔離保證。
- 每個 SDN 閘道區間在虛擬網路空間中都有一個介面,以及實體網路空間中的一個介面。
- 每個 L3 連線都必須對應至實體網路上的唯一 VLAN。 此 VLAN 必須與 HNV 提供者 VLAN 不同,這會作為虛擬網路流量的基礎數據轉送實體網路。
- 此範例會使用靜態路由。
以下是此範例中使用的每個連線詳細數據:
| 網路元素 | 連線 1 | 連線 2 |
|---|---|---|
| 閘道子網前綴 | 10.0.1.0/24 | 16.0.1.0/24 |
| L3 IP 位址 | 15.0.0.5/24 | 20.0.0.5/24 |
| L3 對等IP位址 | 15.0.0.1 | 20.0.0.1 |
| 線上上的路由 | 18.0.0.0/24 | 22.0.0.0/24 |
使用 L3 轉送時的路由考慮
針對靜態路由,您必須在實體網路上設定路由以連線到虛擬網路。 例如,位址前綴為 10.0.0.0/16 的路由,下一個躍點為連線的 L3 IP 位址(15.0.0.5)。
針對使用 BGP 的動態路由,您仍然必須設定靜態 /32 路由,因為 BGP 連線位於閘道區間內部介面與 L3 對等 IP 之間。 針對連線 1,對等互連介於 10.0.1.6 和 15.0.0.1 之間。 因此,針對此連線,您需要實體交換器上的靜態路由,其目的地前置詞為 10.0.1.6/32,下一個躍點為 15.0.0.5。
如果您打算部署具有 BGP 路由的 L3 網關聯機,請務必使用下列項目來設定機架頂端 (ToR) 交換器 BGP 設定:
- update-source:這會指定 BGP 更新的來源位址,也就是 L3 VLAN。 例如,VLAN 250。
- ebgp 多hop:這會指定需要更多躍點,因為 BGP 鄰居是一個以上的躍點。
透過 BGP 進行動態路由
BGP 可減少路由器上手動路由設定的需求,因為它是動態路由通訊協定,並會自動瞭解使用站對站 VPN 連線所連線站台之間的路由。 如果您的組織有多個使用已啟用 BGP 的路由器連線的網站,例如 RAS 閘道,BGP 可讓路由器在網路中斷或失敗時自動計算和使用彼此的有效路由。
RAS 閘道隨附的 BGP 路由反映器提供 BGP 完整網狀結構拓撲的替代方式,這是路由器之間路由同步處理的必要專案。 如需詳細資訊,請參閱 什麼是路由反映器?
RAS 閘道的運作方式
不論位置為何,RAS 閘道都會路由傳送實體網路與 VM 網路資源之間的網路流量。 您可以在相同的實體位置或許多不同的位置路由傳送網路流量。
您可以在一次使用多個功能的高可用性集區中部署 RAS 閘道。 網關集區包含多個 RAS 閘道實例,以達到高可用性和故障轉移。
您可以藉由在集區中新增或移除閘道 VM,輕鬆地擴大或縮小閘道集區。 拿掉或新增閘道並不會中斷集區所提供的服務。 您也可以新增和移除整個閘道集區。 如需詳細資訊,請參閱 RAS 閘道高可用性。
每個閘道集區都提供 M+N 備援。 這表示使用中閘道 VM 的 'M' 數目是由待命閘道 VM 的 'N' 數目備份。 M+N 備援可讓您更有彈性地判斷部署 RAS 閘道時所需的可靠性層級。
您可以將單一公用 IP 位址指派給所有集區或集區子集。 這樣做可大幅減少您必須使用的公用IP位址數目,因為有可能讓所有租用戶連線到單一IP位址上的雲端。
下一步
如需相關資訊,另請參閱: