Архитектура развертывания шлюза RAS

Этот раздел можно использовать для получения сведений о развертывании шлюза RAS поставщика облачных служб (CSP), включая пулы шлюзов RAS, отражатели маршрутов и развертывание нескольких шлюзов для отдельных клиентов.

В следующих разделах приведены краткие обзоры некоторых новых функций шлюза RAS, чтобы понять, как использовать эти функции в разработке развертывания шлюза.

Кроме того, предоставляется пример развертывания, включая сведения о процессе добавления новых клиентов, синхронизации маршрутов и маршрутизации плоскости данных, шлюза и отработки отказа Отражателя маршрутов и т. д.

Эта тема описана в следующих разделах.

• Использование новых функций шлюза RAS для разработки развертывания

• Пример развертывания

• Добавление новых клиентов и пирингового адреса клиента (ЦС) EBGP

• Синхронизация маршрутов и маршрутизация плоскости данных

• Реагирование сетевого контроллера на шлюз RAS и отработку отказа отражателя маршрутов

• Преимущества использования новых функций шлюза RAS

Использование новых функций шлюза RAS для разработки развертывания

Шлюз RAS включает несколько новых функций, которые изменяют и улучшают способ развертывания инфраструктуры шлюза в центре обработки данных.

Отражатель маршрутов BGP

Функция "Протокол BGP" (BGP) Route Reflector теперь включена в шлюз RAS и предоставляет альтернативу полной топологии сетки BGP, которая обычно требуется для синхронизации маршрутов между маршрутизаторами. При полной синхронизации одноранговой сети все маршрутизаторы BGP должны подключаться ко всем другим маршрутизаторам в топологии маршрутизации. Однако при использовании отражателя маршрутов используется единственный маршрутизатор, который подключается ко всем другим маршрутизаторам, называемым клиентами BGP Route Reflector, тем самым упрощая синхронизацию маршрутов и уменьшая сетевой трафик. Отражатель маршрутов изучает все маршруты, вычисляет лучшие маршруты и перераспределяет лучшие маршруты для своих клиентов BGP.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS".

Пулы шлюзов

В Windows Server 2016 можно создать множество пулов шлюзов различных типов. Пулы шлюзов содержат множество экземпляров шлюза RAS и маршрутизировать сетевой трафик между физическими и виртуальными сетями.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Масштабируемость пула шлюзов

Вы можете легко масштабировать пул шлюзов вверх или вниз, добавив или удалив виртуальные машины шлюза в пуле. Удаление или добавление шлюзов не нарушает службы, предоставляемые пулом. Вы также можете добавлять и удалять все пулы шлюзов.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Избыточность пула шлюзов M+N

Каждый пул шлюза является избыточным M+N. Это означает, что число активных виртуальных машин шлюза "M" резервируется числом виртуальных машин резервного шлюза N. Избыточность M+N обеспечивает большую гибкость при определении уровня надежности, необходимого при развертывании шлюза RAS.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Пример развертывания

На следующем рисунке представлен пример пиринга eBGP через VPN-подключения типа "сеть — сеть", настроенные между двумя клиентами, Contoso и Woodgrove, и центром обработки данных Fabrikam CSP.

В этом примере компании Contoso требуется дополнительная пропускная способность шлюза, что приводит к решению по проектированию инфраструктуры шлюза завершить сайт Contoso Los Angeles на GW3 вместо GW2. Из-за этого VPN-подключения Contoso из разных сайтов завершаются в центре обработки данных CSP на двух разных шлюзах.

Оба этих шлюза, GW2 и GW3, были первыми шлюзами RAS, настроенными сетевым контроллером, когда поставщик служб CSP добавил клиентов Contoso и Woodgrove в свою инфраструктуру. Из-за этого эти два шлюза настроены как отражатели маршрутов для этих соответствующих клиентов (или клиентов). GW2 — это рефлектор маршрутов Contoso, а GW3 — это рефлектор маршрута Woodgrove, а также точка завершения шлюза RAS CSP для VPN-подключения с сайтом HQ Contoso Los Angeles HQ.

В качестве отражателей маршрутов GW2 отправляет сетевым контроллерам маршруты ЦС Contoso, а GW3 отправляет маршруты ЦС Woodgrove на сетевой контроллер.

Сетевой контроллер отправляет политики виртуализации сети Hyper-V в виртуальные сети Contoso и Woodgrove, а также политики RAS в шлюзы RAS и политики балансировки нагрузки в мультиплексоры (MUXes), настроенные в качестве пула балансировки нагрузки программного обеспечения.

Добавление новых клиентов и пирингового пространства eBGP

При подписании нового клиента и добавлении клиента в качестве нового клиента в центре обработки данных можно использовать следующий процесс, большую часть которого автоматически выполняет сетевой контроллер и маршрутизаторы EBGP шлюза RAS.

1. Подготовьте новую виртуальную сеть и рабочие нагрузки в соответствии с требованиями клиента.

2. При необходимости настройте удаленное подключение между сайтом удаленного клиента Enterprise и виртуальной сетью в центре обработки данных. При развертывании VPN-подключения типа "сеть — сеть" для клиента сетевой контроллер автоматически выбирает доступную виртуальную машину шлюза RAS из доступного пула шлюза и настраивает подключение.

3. При настройке виртуальной машины шлюза RAS для нового клиента сетевой контроллер также настраивает шлюз RAS в качестве маршрутизатора BGP и назначает его в качестве отражателя маршрутов для клиента. Это верно даже в тех случаях, когда шлюз RAS служит шлюзом или шлюзом и отражателем маршрутов для других клиентов.

4. В зависимости от того, настроена ли маршрутизация пространства ЦС для использования статически настроенных сетей или динамической маршрутизации BGP, сетевой контроллер настраивает соответствующие статические маршруты, соседи BGP или как на виртуальной машине шлюза RAS, так и в отражателе маршрутов.

   Примечание.

   • После настройки шлюза RAS и отражателя маршрутов для клиента, когда для одного клиента требуется новое VPN-подключение типа "сеть — сеть", сетевой контроллер проверяет доступную емкость на этой виртуальной машине шлюза RAS. Если исходный шлюз может обслуживать необходимую емкость, новое сетевое подключение также настроено на той же виртуальной машине шлюза RAS. Если виртуальная машина шлюза RAS не может обрабатывать дополнительную емкость, сетевой контроллер выбирает новую доступную виртуальную машину шлюза RAS и настраивает новое подключение. Эта новая виртуальная машина шлюза RAS, связанная с клиентом, становится клиентом Отражателя маршрутов маршрута маршрутизации шлюза RAS исходного клиента.

   • Так как пулы шлюза RAS находятся за программными подсистемами балансировки нагрузки (SLBS), VPN-адреса клиентов типа "сеть — сеть" используют один общедоступный IP-адрес, называемый виртуальным IP-адресом (IP-адрес), который преобразуется В SLBS в внутренний IP-адрес центра обработки данных, называемый динамическим IP-адресом (DIP), для шлюза RAS, который направляет трафик для клиента Enterprise. Это сопоставление общедоступных и частных IP-адресов с помощью SLB гарантирует, что vpn-туннели типа "сеть — сеть" правильно устанавливаются между сайтами предприятия и шлюзами RAS CSP и отражателями маршрутов.

     Дополнительные сведения о SLB, виртуальных ip-адресах и dips см. в разделе "Балансировка нагрузки программного обеспечения" (SLB) для SDN.

5. После создания VPN-туннеля типа "сеть — сеть" между корпоративным сайтом и шлюзом RAS центра обработки данных CSP для нового клиента статические маршруты, связанные с туннелями, автоматически подготавливаются на сторонах туннеля Enterprise и CSP.

6. При маршрутизации BGP пространства ЦС также устанавливается пиринг eBGP между сайтами предприятия и рефлектором маршрутизации шлюза RAS CSP.

Синхронизация маршрутов и маршрутизация плоскости данных

После установления пиринга eBGP между корпоративными сайтами и рефлектором маршрутизации шлюза RAS CSP, средство "Отражатель маршрутов" узнает все маршруты Enterprise с помощью динамической маршрутизации BGP. Отражатель маршрутов синхронизирует эти маршруты между всеми клиентами Отражателя маршрутов, чтобы все они были настроены с одинаковым набором маршрутов.

Отражатель маршрутов также обновляет эти консолидированные маршруты с помощью синхронизации маршрутов на сетевой контроллер. Затем сетевой контроллер преобразует маршруты в политики виртуализации сети Hyper-V и настраивает сеть Fabric, чтобы обеспечить подготовку сквозной маршрутизации пути к данным. Этот процесс делает виртуальную сеть клиента доступной на сайтах enterprise.

Для маршрутизации плоскости данных пакеты, которые достигают виртуальных машин шлюза RAS, направляются непосредственно в виртуальную сеть клиента, так как необходимые маршруты теперь доступны со всеми участвующими виртуальными машинами шлюза RAS.

Аналогичным образом, при использовании политик виртуализации сети Hyper-V виртуальные сети клиента направляют пакеты непосредственно на виртуальные машины шлюза RAS (не требуя знать о рефлекторе маршрутов), а затем на сайты Enterprise через туннели VPN типа "сеть — сеть".

Дополнительно. возвращает трафик из виртуальной сети клиента на удаленный сайт Enterprise, передает SBS- процесс с именем Direct Server Return (DSR).

Реагирование сетевого контроллера на шлюз RAS и отработку отказа отражателя маршрутов

Ниже приведены два возможных сценария отработки отказа— один для клиентов отражателя маршрутов шлюза RAS и один для отражателей маршрутов шлюза RAS, включая сведения о том, как сетевой контроллер обрабатывает отработку отказа для виртуальных машин в любой конфигурации.

Сбой виртуальной машины клиента рефлектора маршрутизации BGP шлюза RAS

Сетевой контроллер выполняет следующие действия при сбое клиента шлюза RAS Route Reflector.

• Сетевой контроллер выбирает доступную резервную виртуальную машину шлюза RAS и подготавливает новую виртуальную машину шлюза RAS с конфигурацией виртуальной машины шлюза RAS.

• Сетевой контроллер обновляет соответствующую конфигурацию SLB, чтобы убедиться, что vpn-туннели типа "сеть — сеть" с сайтов клиентов на сбой шлюза RAS правильно установлены с новым шлюзом RAS.

• Сетевой контроллер настраивает клиент BGP Route Reflector на новом шлюзе.

• Сетевой контроллер настраивает новый клиент BGP Route Reflector шлюза RAS в качестве активного. Шлюз RAS немедленно начинает пиринг с рефлектором маршрутизации клиента, чтобы предоставить общий доступ к данным маршрутизации и включить пиринг eBGP для соответствующего корпоративного сайта.

Сбой виртуальной машины для отражателя маршрута BGP шлюза RAS

Сетевой контроллер выполняет следующие действия, когда сбой отражателя маршрута BGP шлюза RAS.

• Сетевой контроллер выбирает доступную резервную виртуальную машину шлюза RAS и подготавливает новую виртуальную машину шлюза RAS с конфигурацией виртуальной машины шлюза RAS.

• Сетевой контроллер настраивает отражатель маршрутов на новой виртуальной машине шлюза RAS и назначает новую виртуальную машину тем же IP-адресом, который использовался сбоем виртуальной машины, тем самым обеспечивая целостность маршрута, несмотря на сбой виртуальной машины.

• Сетевой контроллер обновляет соответствующую конфигурацию SLB, чтобы убедиться, что vpn-туннели типа "сеть — сеть" с сайтов клиентов на сбой шлюза RAS правильно установлены с новым шлюзом RAS.

• Сетевой контроллер настраивает новую виртуальную машину шлюза BGP BGP Route Reflector в качестве активной.

• Отражатель маршрутов немедленно становится активным. Устанавливается туннель VPN типа "сеть — сеть" в Enterprise, а средство "Отражатель маршрутов" использует пиринг eBGP и обменивается маршрутами с маршрутизаторами корпоративного сайта.

• После выбора маршрута BGP шлюз BGP шлюза BGP обновляет клиенты Route Reflector клиента в центре обработки данных и синхронизирует маршруты с сетевым контроллером, что делает конечный путь к данным доступным для трафика клиента.

Преимущества использования новых функций шлюза RAS

Ниже приведены некоторые из преимуществ использования этих новых функций шлюза RAS при разработке развертывания шлюза RAS.

Масштабируемость шлюза RAS

Так как можно добавить столько виртуальных машин шлюза RAS, сколько вам нужно для пулов шлюзов RAS, можно легко масштабировать развертывание шлюза RAS для оптимизации производительности и емкости. При добавлении виртуальных машин в пул эти шлюзы RAS можно настроить с помощью VPN-подключений типа "сеть — сеть" любого типа (IKEv2, L3, GRE), устраняя узкие места емкости без простоя.

Упрощенное управление шлюзом корпоративных сайтов

Если клиент имеет несколько корпоративных сайтов, клиент может настроить все сайты с одним удаленным VPN-адресом типа "сеть — сеть" и одним IP-адресом удаленного соседа — ip-адрес шлюза BGP маршрутизации BGP шлюза RAS для этого клиента. Это упрощает управление шлюзом для клиентов.

Быстрое исправление сбоя шлюза

Чтобы обеспечить быстрый ответ на отработку отказа, можно настроить время параметра BGP Keepalive между пограничными маршрутами и маршрутизатором управления на короткий интервал времени, например меньше или равно 10 секунд. С этим коротким интервалом активности, если пограничный маршрутизатор BGP шлюза RAS завершается сбоем, он быстро обнаруживается, а сетевой контроллер выполняет действия, описанные в предыдущих разделах. Это преимущество может снизить потребность в отдельном протоколе обнаружения сбоев, например двунаправленном протоколе обнаружения перенаправления (BFD).