Vad är RAS-gateway (Remote Access Service) för programvarudefinierade nätverk?

Gäller för: Azure Stack HCI, versionerna 23H2 och 22H2; Windows Server 2022, Windows Server 2019 Windows Server 2016

Den här artikeln innehåller en översikt över RAS-gatewayen (Remote Access Service) för programvarudefinierade nätverk (SDN) i Azure Stack HCI och Windows Server.

RAS Gateway är en programvarubaserad BGP-kompatibel router (Border Gateway Protocol) som är utformad för molntjänstleverantörer (CSP:er) och företag som är värdar för virtuella nätverk med flera klientorganisationer med Hyper-V-nätverksvirtualisering (HNV). Du kan använda RAS-gateway för att dirigera nätverkstrafik mellan ett virtuellt nätverk och ett annat nätverk, antingen lokalt eller fjärranslutet.

RAS-gatewayen kräver nätverksstyrenhet, som utför distributionen av gatewaypooler, konfigurerar klientanslutningar på varje gateway och växlar nätverkstrafikflöden till en standby-gateway om en gateway misslyckas.

Anteckning

Flera klientorganisationer är möjligheten för en molninfrastruktur att stödja arbetsbelastningar för virtuella datorer (VM) för flera klienter, men ändå isolera dem från varandra, medan alla arbetsbelastningar körs på samma infrastruktur. Flera arbetsbelastningar från en enskild klientorganisation kan kopplas samman och fjärrhanteras, men dessa system kopplas inte samman inte med arbetsbelastningen för andra hyresgäster och andra hyresgäster kan inte fjärrstyra dem.

Funktioner

RAS Gateway erbjuder många funktioner för virtuellt privat nätverk (VPN), tunneltrafik, vidarebefordran och dynamisk routning.

Plats-till-plats-IPsec VPN

Med den här RAS-gatewayfunktionen kan du ansluta två nätverk på olika fysiska platser via Internet med hjälp av en anslutning för virtuellt privat nätverk (VPN) från plats till plats (S2S). Det här är en krypterad anslutning med IKEv2 VPN-protokoll.

För molnlösningsleverantörer som är värdar för många klientorganisationer i sitt datacenter tillhandahåller RAS Gateway en gatewaylösning för flera klientorganisationer som gör det möjligt för klientorganisationer att komma åt och hantera sina resurser via plats-till-plats-VPN-anslutningar från fjärrplatser. RAS Gateway tillåter trafikflöde mellan virtuella resurser i ditt datacenter och deras fysiska nätverk.

GRE-tunnlar från plats till plats

Gre-baserade tunnlar (Generic Routing Encapsulation) möjliggör anslutning mellan virtuella klientnätverk och externa nätverk. Eftersom GRE-protokollet är enkelt och stödet för GRE är tillgängligt på de flesta nätverksenheter är det ett perfekt val för tunneltrafik där datakryptering inte krävs.

GRE-stöd i S2S-tunnlar löser problemet med vidarebefordran mellan virtuella klientnätverk och externa klientnätverk med hjälp av en gateway för flera klientorganisationer.

Layer 3-vidarebefordran

Layer 3 -vidarebefordran (L3) möjliggör anslutning mellan den fysiska infrastrukturen i datacentret och den virtualiserade infrastrukturen i Hyper-V-nätverksvirtualiseringsmolnet. Genom att använda L3-vidarebefordran kan virtuella klientnätverksdatorer ansluta till ett fysiskt nätverk via SDN-gatewayen, som redan har konfigurerats i SDN-miljön. I det här fallet fungerar SDN-gatewayen som en router mellan det virtualiserade nätverket och det fysiska nätverket.

Följande diagram visar ett exempel på L3-konfigurationen för vidarebefordran i ett Azure Stack HCI-kluster som konfigurerats med SDN:

Diagram över ett L3-vidarebefordringsexempel.

  • Det finns två virtuella nätverk i Azure Stack HCI-klustret: det virtuella SDN-nätverket 1 med adressprefixet 10.0.0.0/16 och det virtuella SDN-nätverket 2 med adressprefixet 16.0.0.0/16.
  • Varje virtuellt nätverk har en L3-anslutning till det fysiska nätverket.
  • Eftersom L3-anslutningarna gäller för olika virtuella nätverk har SDN-gatewayen ett separat fack för varje anslutning för att ge isoleringsgarantier.
  • Varje SDN-gatewayutrymme har ett gränssnitt i det virtuella nätverksutrymmet och ett gränssnitt i det fysiska nätverksutrymmet.
  • Varje L3-anslutning måste mappas till ett unikt VLAN i det fysiska nätverket. Detta VLAN måste skilja sig från HNV-providerns VLAN, som används som underliggande datavidarebefordring av fysiskt nätverk för virtualiserad nätverkstrafik.
  • I det här exemplet används statisk routning.

Här följer information om varje anslutning som används i det här exemplet:

Nätverkselement Anslutning 1 Anslutning 2
Gateway-undernätsprefix 10.0.1.0/24 16.0.1.0/24
L3 IP-adress 15.0.0.5/24 20.0.0.5/24
IP-adress för L3-peer 15.0.0.1 20.0.0.1
Vägar i anslutningen 18.0.0.0/24 22.0.0.0/24

Routningsöverväganden vid användning av L3-vidarebefordran

För statisk routning måste du konfigurera en väg i det fysiska nätverket för att nå det virtuella nätverket. Till exempel en väg med adressprefixet 10.0.0.0/16 med nästa hopp som L3 IP-adress för anslutningen (15.0.0.5).

För dynamisk routning med BGP måste du fortfarande konfigurera en statisk /32-väg eftersom BGP-anslutningen är mellan det interna gränssnittet i gatewayutrymmet och L3-peer-IP-adressen. För Anslutning 1 skulle peering vara mellan 10.0.1.6 och 15.0.0.1. För den här anslutningen behöver du därför en statisk väg på den fysiska växeln med målprefixet 10.0.1.6/32 med nästa hopp som 15.0.0.5.

Om du planerar att distribuera L3 Gateway-anslutningar med BGP-routning ser du till att konfigurera BGP-inställningarna (Top of Rack) med växeln Top of Rack (ToR) med följande:

  • update-source: Detta anger källadressen för BGP-uppdateringar, som är L3 VLAN. Till exempel VLAN 250.
  • ebgp multihop: Detta anger att fler hopp krävs eftersom BGP-grannen är mer än ett hopp bort.

Dynamisk routning med BGP

BGP minskar behovet av manuell routningskonfiguration på routrar eftersom det är ett dynamiskt routningsprotokoll och automatiskt lär sig vägar mellan platser som är anslutna med hjälp av PLATS-till-plats-VPN-anslutningar. Om din organisation har flera platser som är anslutna med BGP-aktiverade routrar, till exempel RAS-gateway, tillåter BGP att routrarna automatiskt beräknar och använder giltiga vägar till varandra i händelse av avbrott i nätverket eller fel.

BGP Route Reflector som ingår i RAS Gateway är ett alternativ till en fullständig BGP-nättopologi som krävs för routningssynkronisering mellan routrar. Mer information finns i Vad är routningsreflektor?

Så här fungerar RAS-gateway

RAS Gateway dirigerar nätverkstrafik mellan det fysiska nätverket och vm-nätverksresurser, oavsett plats. Du kan dirigera nätverkstrafiken på samma fysiska plats eller på många olika platser.

Du kan distribuera RAS Gateway i pooler med hög tillgänglighet som använder flera funktioner samtidigt. Gatewaypooler innehåller flera instanser av RAS-gateway för hög tillgänglighet och redundans.

Du kan enkelt skala upp eller ned en gatewaypool genom att lägga till eller ta bort virtuella gatewaydatorer i poolen. Borttagning eller tillägg av gatewayer stör inte de tjänster som tillhandahålls av en pool. Du kan också lägga till och ta bort hela pooler med gatewayer. Mer information finns i RAS-gateway med hög tillgänglighet.

Varje gatewaypool ger M+N-redundans. Det innebär att M-antalet aktiva virtuella gateway-datorer säkerhetskopieras av "N" antalet virtuella datorer i väntelägesgateway. Med M+N-redundans får du större flexibilitet när du ska fastställa vilken tillförlitlighetsnivå du behöver när du distribuerar RAS Gateway.

Du kan tilldela en enskild offentlig IP-adress till alla pooler eller till en delmängd av poolerna. Detta minskar avsevärt antalet offentliga IP-adresser som du måste använda, eftersom det är möjligt att alla klienter ansluter till molnet på en enda IP-adress.

Nästa steg

Relaterad information finns i: