RAS 閘道高可用性
您可以使用本主題來了解適用於軟體定義網路 (SDN) 的 RAS 多租用戶閘道高可用性組態。
本主題包含下列各節。
RAS 閘道概觀
如果貴組織是擁有多租用戶的雲端服務提供者 (CSP) 或企業,您可以在多租用戶模式中部署 RAS 閘道,以提供虛擬網路和實體網路 (包括網際網路) 的往返網路流量路由。
您可以在多租用戶模式中將 RAS 閘道部署為邊緣閘道,以將租用戶客戶的網路流量路由傳送至租用戶的虛擬網路和資源。
當您部署多個提供高可用性和容錯移轉的 RAS 閘道 VM 執行個體時,您所部署的是閘道集區。 在 Windows Server 2012 R2 中,所有閘道 VM 都形成了單一集區,因此在對閘道部署進行邏輯區隔時會有點困難。 Windows Server 2012 R2 閘道為閘道 VM 提供了 1:1 備援部署,因此導致您未能充分使用站對站 (S2S) VPN 連線的可用容量。
Windows Server 2016 已解決此問題,其會提供多個閘道集區,而且這些集區可以是不同類型以利進行邏輯區隔。 新的 M+N 備援模式可讓您使用更有效率的容錯移轉組態。
如需更多關於 RAS 閘道的概觀資訊,請參閱 RAS 閘道。
閘道集區概觀
在 Windows Server 2016 中,您可以在一或多個集區中部署閘道。
下圖顯示可在虛擬網路之間路由傳送流量的不同類型閘道集區。
每個集區都有下列屬性。
每個集區都是 M+N 備援。 這表示「M」個使用中閘道 VM 會有「N」個待命閘道 VM 在進行支援。 N (待命閘道) 值一律會小於或等於 M (使用中閘道)。
集區可以執行任何個別閘道功能 (網際網路金鑰交換版本 2 (IKEv2) S2S、第 3 層 (L3) 和 Generic Routing Encapsulation (GRE)),或者集區可以執行前述所有功能。
您可以將單一公用 IP 位址指派給所有集區或集區子集。 這樣做可大幅減少必須使用的公用 IP 位址數目,因為您可以讓所有租用戶在單一 IP 位址上連線到雲端。 下面關於高可用性和負載平衡的章節會說明其運作方式。
您可以藉由在集區中新增或移除閘道 VM,輕鬆地擴大或縮小閘道集區。 移除或新增閘道並不會中斷集區所提供的服務。 您也可以新增和移除整個閘道集區。
單一租用戶的連線可以在多個集區上和集區中的多個閘道上終止。 不過,如果租用戶在所有類型的閘道集區中終止連線,便無法訂閱其他所有類型或個別類型的閘道集區。
閘道集區也可讓您彈性地實現其他案例:
單一租用戶集區 - 您可以建立一個集區供一個租用戶使用。
如果您要透過合作夥伴 (轉銷商) 管道銷售雲端服務,則可以為每個轉銷商另外建立一組集區。
多個集區可以提供相同的閘道功能但不同的容量。 例如,您可以建立同時支援高輸送量和低輸送量 IKEv2 S2S 連線的閘道集區。
RAS 閘道部署概觀
下圖示範 RAS 閘道的典型雲端服務提供者 (CSP) 部署。
使用這種類型的部署時,閘道集區會部署在軟體負載平衡器 (SLB) 後方,以讓 CSP 能夠為整個部署指派單一的公用 IP 位址。 租用戶的多個閘道連線可以在多個閘道集區上終止,也可以在集區內的多個閘道上終止。 上圖中的 IKEv2 S2S 連線說明了這一點,但這同樣適用於其他閘道功能,例如 L3 和 GRE 閘道。
在此圖中,MT BGP 裝置是具有 BGP 的 RAS 多租用戶閘道。 動態路由會使用多租用戶 BGP。 租用戶的路由是集中式的 (稱為路由反射程式 (RR) 的單一點),會處理所有租用戶網站的 BGP 對等互連。 RR 本身會分散到集區中的所有閘道。 這會導致在多個閘道上終止租用戶連線 (資料路徑) 的組態,但租用戶的 RR (BGP 對等互連點 - 控制路徑) 只位於其中一個閘道上。
BGP 路由器會分隔在圖外,以描述此集中式路由概念。 閘道 BGP 的實作也提供傳輸路由,可讓雲端作為兩個租用戶網站之間的路由傳輸點。 這些 BGP 功能適用於所有閘道功能。
RAS 閘道與網路控制卡的整合
RAS 閘道會與 Windows Server 2016 中的網路控制卡完全整合。 在部署 RAS 閘道和網路控制卡時,網路控制卡會執行下列功能。
閘道集區的部署
每個閘道上的租用戶連線組態
在閘道失敗時將網路流量切換至待命閘道
下列各節會提供 RAS 閘道和網路控制卡的詳細資訊。
閘道連線的佈建和負載平衡 (IKEv2、L3 和 GRE)
當租用戶要求閘道連線時,系統會將要求傳送至網路控制卡。 網路控制卡會設定所有閘道集區的相關資訊,包括每個集區和每個集區中每個閘道的容量。 網路控制卡會選取連線的正確集區和閘道。 此選取所根據的是連線的頻寬需求。 網路控制卡會使用「最適」演算法,在集區中有效率地挑選連線。 如果這是租用戶的第一個連線,則此時也會指定連線的 BGP 對等互連點。
網路控制卡選取連線的 RAS 閘道後,會為閘道上的連線佈建必要組態。 如果連線是 IKEv2 S2S 連線,網路控制卡也會在 SLB 集區上佈建網路位址轉譯 (NAT) 規則;SLB 集區上的這個 NAT 規則會將來自租使用戶的連線要求導向指定的閘道。 租用戶會依來源 IP 進行區分,因此來源 IP 應該要是唯一的。
注意
L3 和 GRE 連線會略過 SLB,並直接與指定的 RAS 閘道連線。 這些連線必須在遠端端點路由器 (或其他第三方裝置) 正確設定時才能與 RAS 閘道連線。
如果已為連線啟用 BGP 路由,則 RAS 閘道會起始 BGP 對等互連,並在內部部署和雲端閘道之間交換路由。 BGP 所知道的路由 (如果未使用 BGP,則為靜態設定的路由) 會傳送至網路控制卡。 然後,網路控制卡會將路由向下連接至租用戶 VM 安裝所在的 Hyper-V 主機。 至此,租用戶流量可以路由傳送至正確的內部部署網站了。 網路控制卡也會建立指定閘道位置的相關聯 Hyper-V 網路虛擬化原則,並將原則向下連接到 Hyper-V 主機。
IKEv2 S2S 的高可用性
集區中的 RAS 閘道同時包含不同租用戶的連線和 BGP 對等互連。 每個集區都有「M」個使用中閘道和「N」個待命閘道。
網路控制卡會以下列方式處理閘道的失敗。
網路控制卡會持續 ping 所有集區中的閘道,而且可以偵測已失敗或即將失敗的閘道。 網路控制卡可以偵測下列類型的 RAS 閘道失敗。
RAS 閘道 VM 失敗
RAS 閘道執行所在 Hyper-V 主機的失敗
RAS 閘道服務失敗
網路控制卡會儲存所有已部署的使用中閘道組態。 組態包含連線設定和路由設定。
當閘道失敗時,其會影響閘道上的租用戶連線,以及位於其他閘道但其 RR 位於失敗閘道上的租用戶連線。 後者的連線關閉時間小於前者。 當網路控制卡偵測到失敗的閘道時,其會執行下列工作。
從計算主機中移除受影響連線的路由。
移除這些主機上的 Hyper-V 網路虛擬化原則。
選取待命閘道、將其轉換成使用中閘道,並設定該閘道。
變更 SLB 集區上的 NAT 對應,以將連線指向新的閘道。
同時,當該組態出現在新的使用中閘道上時,系統會重新建立 IKEv2 S2S 連線和 BGP 對等互連。 連線和 BGP 對等互連可由雲端閘道或內部部署閘道來起始。 閘道會重新整理其路由,並將路由傳送至網路控制卡。 網路控制卡知道閘道探索到的新路由後,會將路由和相關聯的 Hyper-V 網路虛擬化原則傳送至受失敗影響的租用戶 VM 所在的 Hyper-V 主機。 此網路控制卡活動類似於新連線設定的情況,差別只在其會以較大的規模進行。
GRE 的高可用性
網路控制卡的 RAS 閘道容錯移轉回應程序對 GRE 閘道和連線是相同的,包括失敗偵測、將連線和路由組態複製到待命閘道、對受影響連線的 BGP/靜態路由進行容錯移轉 (包括計算主機上的路由撤回和重新連接以及 BGP 重新對等互連),以及對計算主機上的 Hyper-V 網路虛擬化原則重新設定組態。 不過,重新建立 GRE 連線的方式不同,而且 GRE 的高可用性解決方案另外有一些需求。
在部署閘道時,每個 RAS 閘道 VM 都會獲派動態 IP 位址 (DIP)。 此外,每個閘道 VM 也會獲派虛擬 IP 位址 (VIP),以實現 GRE 高可用性。 VIP 只會指派給可接受 GRE 連線的集區中的閘道,而不會指派給非 GRE 集區。 指派的 VIP 會使用 BGP 公告給 Top-of-Rack (TOR) 交換器,交換器再進一步將 VIP 公告給雲端實體網路。 這可讓您從 GRE 連線另一端所在的遠端路由器或第三方裝置連線到閘道。 此 BGP 對等互連與用於交換租用戶路由的租用戶層級 BGP 對等互連不同。
在佈建 GRE 連線時,網路控制卡會選取閘道、在選取的閘道上設定 GRE 端點,並傳回所指派閘道的 VIP 位址。 然後,此 VIP 會設定為遠端路由器上的目的地 GRE 通道位址。
當閘道失敗時,網路控制卡會將失敗閘道的 VIP 位址和其他組態資料複製到待命閘道。 當待命閘道變成使用中狀態時,其會將 VIP 公告給其 TOR 交換器,並進一步公告給實體網路。 遠端路由器會繼續將 GRE 通道連線到相同的 VIP,而路由基礎結構則會確保封包會路由傳送至新的使用中閘道。
L3 轉送閘道的高可用性
Hyper-V 網路虛擬化 L3 轉送閘道是資料中心內實體基礎結構與 Hyper-V 網路虛擬化雲端中虛擬化基礎結構之間的橋樑。 在多租用戶 L3 轉送閘道上,每個租用戶都會使用自己的 VLAN 標記邏輯網路來與租用戶的實體網路連線。
當新的租用戶建立新的 L3 閘道時,網路控制卡閘道服務管理員會選取可用的閘道 VM,並使用高可用性客戶位址 (CA) 空間 IP 位址 (來自租用戶的 VLAN 標記邏輯網路) 設定新的租用戶介面。 IP 位址會作為遠端 (實體網路) 閘道上的對等 IP 位址,而且是用來連線到租用戶 Hyper-V 網路虛擬化網路的下一個躍點。
不同於 IPsec 或 GRE 網路連線,TOR 交換器不會動態知道租用戶的 VLAN 標記網路。 租用戶 VLAN 標記網路的路由必須設定到 TOR 交換器上以及實體基礎結構與閘道之間的所有中繼交換器和路由器上,以確保端對端的連線。 以下舉例說明 CSP 虛擬網路組態,如下圖所示。
網路 | 子網路 | VLAN 識別碼 | 預設閘道 |
---|---|---|---|
Contoso L3 邏輯網路 | 10.127.134.0/24 | 1001 | 10.127.134.1 |
Woodgrove L3 邏輯網路 | 10.127.134.0/24 | 1002 | 10.127.134.1 |
以下舉例說明租用戶閘道組態,如下圖所示。
租用戶名稱 | L3 閘道 IP 位址 | VLAN 識別碼 | 對等 IP 位址 |
---|---|---|---|
Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
下圖是 CSP 資料中心內的這些組態。
L3 轉送閘道內容中的閘道失敗、失敗偵測和閘道容錯移轉程序類似於 IKEv2 和 GRE RAS 閘道的程序。 差別在於外部 IP 位址的處理方式。
當閘道 VM 狀態變成狀況不良時,網路控制卡會從集區中選取其中一個待命閘道,並在待命閘道上重新佈建網路連線和路由。 移動連線時,L3 轉送閘道的高可用性 CA 空間 IP 位址也會與租用戶的 CA 空間 BGP IP 位址一起移至新的閘道 VM。
由於 L3 對等互連 IP 位址會在容錯移轉期間移至新的閘道 VM,因此遠端實體基礎結構會再次能夠連線到此 IP 位址,之後再連線到 Hyper-V 網路虛擬化工作負載。 至於 BGP 動態路由,由於 CA 空間 BGP IP 位址會移至新的閘道 VM,因此遠端 BGP 路由器可以重新建立對等互連,並再次知道所有 Hyper-V 網路虛擬化路由。
注意
您必須個別設定 TOR 交換器和所有中繼路由器,才能使用 VLAN 標記邏輯網路進行租用戶通訊。 此外,L3 容錯移轉僅限於以這種方式設定的機架。 因此,您必須仔細設定 L3 閘道集區,而且必須另外完成手動組態設定。