Co je brána služby vzdáleného přístupu (RAS) pro softwarově definované sítě?
Platí pro: Azure Stack HCI verze 23H2 a 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Tento článek obsahuje přehled brány služby vzdáleného přístupu (RAS) pro softwarově definované sítě (SDN) v Azure Stack HCI a Windows Serveru.
Brána RAS je softwarový směrovač podporující protokol BGP (Border Gateway Protocol) určený pro poskytovatele cloudových služeb a podniky, které hostují virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Pomocí brány RAS můžete směrovat síťový provoz mezi virtuální sítí a jinou sítí, místní nebo vzdálenou.
Brána RAS vyžaduje síťový adaptér, který provádí nasazení fondů bran, konfiguruje připojení klientů na každé bráně a v případě selhání brány přepne toky síťového provozu na pohotovostní bránu.
Poznámka
Víceklientská architektura je schopnost cloudové infrastruktury podporovat úlohy virtuálních počítačů ve více tenantech, a přitom je vzájemně izolovat, zatímco všechny úlohy běží ve stejné infrastruktuře. Několik úloh jednoho klienta je možné vzájemně propojit a spravovat vzdáleně, ale tyto systémy nevytvářejí propojení s úlohami ostatních klientů, ani ostatní klienti tyto úlohy nemůžou vzdáleně spravovat.
Funkce
Služba RAS Gateway nabízí řadu funkcí pro virtuální privátní síť (VPN), tunelování, přesměrování a dynamické směrování.
Site-to-Site IPsec VPN
Tato funkce brány RAS umožňuje propojit dvě sítě v různých fyzických umístěních přes internet pomocí připojení site-to-site (S2S) virtuální privátní sítě (VPN). Jedná se o šifrované připojení pomocí protokolu VPN IKEv2.
Pro poskytovatele CSP, kteří ve svém datacentru hostují mnoho tenantů, poskytuje služba RAS Gateway řešení brány s více tenanty, které umožňuje klientům přistupovat k prostředkům a spravovat je přes připojení VPN typu site-to-site ze vzdálených lokalit. Brána RAS umožňuje tok síťového provozu mezi virtuálními prostředky v datacentru a jejich fyzickou sítí.
Tunely SITE-to-Site GRE
Tunely založené na gre (Generic Routing Encapsulation) umožňují připojení mezi virtuálními sítěmi tenanta a externími sítěmi. Vzhledem k tomu, že je protokol GRE jednoduchý a podpora GRE je k dispozici na většině síťových zařízení, je ideální volbou pro tunelování, kde se nevyžaduje šifrování dat.
Podpora GRE v tunelech S2S řeší problém předávání mezi virtuálními sítěmi tenanta a externími sítěmi tenanta pomocí víceklientské brány.
Přeposílání vrstvy 3
Předávání vrstvy 3 (L3) umožňuje připojení mezi fyzickou infrastrukturou v datacentru a virtualizovanou infrastrukturou v cloudu virtualizace sítě Hyper-V. Pomocí přesměrování L3 se virtuální počítače v síti tenanta můžou připojit k fyzické síti přes bránu SDN, která je už nakonfigurovaná v prostředí SDN. V tomto případě brána SDN funguje jako směrovač mezi virtualizovanou a fyzickou sítí.
Následující diagram znázorňuje příklad nastavení předávání L3 v clusteru Azure Stack HCI nakonfigurovaného pomocí SDN:
- V clusteru Azure Stack HCI jsou dvě virtuální sítě: virtuální síť SDN 1 s předponou adresy 10.0.0.0/16 a virtuální síť SDN 2 s předponou adresy 16.0.0.0/16.
- Každá virtuální síť má připojení L3 k fyzické síti.
- Vzhledem k tomu, že připojení L3 jsou pro různé virtuální sítě, má brána SDN pro každé připojení samostatnou přihrádku, která poskytuje záruky izolace.
- Každá přihrádka brány SDN má jedno rozhraní ve virtuálním síťovém prostoru a jedno rozhraní ve fyzickém síťovém prostoru.
- Každé připojení L3 se musí namapovat na jedinečnou síť VLAN ve fyzické síti. Tato síť VLAN se musí lišit od sítě VLAN poskytovatele HNV, která se používá jako základní fyzická síť pro předávání dat pro virtualizovaný síťový provoz.
- V tomto příkladu se používá statické směrování.
Tady jsou podrobnosti o jednotlivých připojeních použitých v tomto příkladu:
Prvek sítě | Připojení 1 | Připojení 2 |
---|---|---|
Předpona podsítě brány | 10.0.1.0/24 | 16.0.1.0/24 |
IP adresa L3 | 15.0.0.5/24 | 20.0.0.5/24 |
IP adresa partnerského partnera L3 | 15.0.0.1 | 20.0.0.1 |
Trasy na připojení | 18.0.0.0/24 | 22.0.0.0/24 |
Důležité informace o směrování při použití předávání L3
Pro statické směrování musíte nakonfigurovat trasu ve fyzické síti, aby se k virtuální síti dostala. Například trasa s předponou adresy 10.0.0.0/16 s dalším segmentem směrování jako IP adresou L3 připojení (15.0.0.5).
Pro dynamické směrování pomocí protokolu BGP je stále nutné nakonfigurovat statickou trasu /32, protože připojení protokolu BGP je mezi interním rozhraním oddílu brány a IP adresou partnerského vztahu L3. Pro připojení 1 by partnerský vztah byl mezi 10.0.1.6 a 15.0.0.1. Proto pro toto připojení potřebujete statickou trasu na fyzickém přepínači s předponou cíle 10.0.1.6/32 s dalším segmentem směrování jako 15.0.0.5.
Pokud máte v úmyslu nasadit připojení brány L3 se směrováním protokolu BGP, nezapomeňte nakonfigurovat nastavení BGP přepínače Top of Rack (ToR) s následujícím příkazem:
- update-source: Určuje zdrojovou adresu pro aktualizace protokolu BGP, což je L3 VLAN. Například VLAN 250.
- Ebgp multihop: Určuje, že se vyžaduje více segmentů směrování, protože soused protokolu BGP je vzdálen více než jeden segment směrování.
Dynamické směrování s využitím protokolu BGP
Protokol BGP snižuje potřebu ruční konfigurace tras na směrovačích, protože se jedná o protokol dynamického směrování a automaticky zjišťuje trasy mezi lokalitami, které jsou připojené pomocí připojení site-to-site VPN. Pokud má vaše organizace více lokalit, které jsou připojené pomocí směrovačů s podporou protokolu BGP, jako je brána RAS Gateway, umožňuje protokol BGP směrovačům automaticky vypočítat a používat platné trasy pro případ přerušení nebo selhání sítě.
Reflektor tras protokolu BGP, který je součástí brány RAS, poskytuje alternativu k topologii úplné sítě protokolu BGP, která se vyžaduje pro synchronizaci tras mezi směrovači. Další informace najdete v tématu Co je Odrazka trasy?
Jak brána RAS funguje
Brána RAS směruje síťový provoz mezi fyzickou sítí a síťovými prostředky virtuálních počítačů bez ohledu na umístění. Síťový provoz můžete směrovat ve stejném fyzickém umístění nebo v mnoha různých umístěních.
Bránu RAS můžete nasadit ve fondech s vysokou dostupností, které používají více funkcí najednou. Fondy bran obsahují několik instancí brány RAS Pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
Fond bran můžete snadno škálovat nahoru nebo dolů přidáním nebo odebráním virtuálních počítačů brány ve fondu. Odebrání nebo přidání bran nenaruší služby poskytované fondem. Můžete také přidat a odebrat celé fondy bran. Další informace najdete v tématu Vysoká dostupnost brány RAS.
Každý fond bran poskytuje redundanci M+N. To znamená, že počet virtuálních počítačů aktivní brány M se zálohuje podle N počtu virtuálních počítačů pohotovostní brány. Redundance M+N poskytuje větší flexibilitu při určování úrovně spolehlivosti, kterou potřebujete při nasazování brány RAS.
Ke všem fondům nebo podmnožině fondů můžete přiřadit jednu veřejnou IP adresu. Tím se výrazně sníží počet veřejných IP adres, které musíte použít, protože je možné, aby se všichni tenanti připojili ke cloudu na jedné IP adrese.
Další kroky
Související informace najdete také v tématu: