Co je brána služby vzdáleného přístupu (RAS) pro softwarově definované sítě?

Platí pro: Azure Stack HCI verze 22H2, 21H2 a 20H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Brána RAS je softwarový směrovač podporující protokol BGP (Border Gateway Protocol) určený pro poskytovatele cloudových služeb a podniky, které hostují virtuální sítě s více tenanty pomocí virtualizace sítě Hyper-V (HNV). Pomocí brány RAS můžete směrovat síťový provoz mezi virtuální sítí a jinou sítí, místní nebo vzdálenou.

Brána RAS vyžaduje síťový adaptér, který provádí nasazení fondů bran, konfiguruje připojení tenanta na každé bráně a v případě selhání brány přepíná toky síťového provozu na pohotovostní bránu.

Poznámka

Víceklientská architektura je schopnost cloudové infrastruktury podporovat úlohy virtuálních počítačů ve více tenantech, a přitom je vzájemně izolovat, zatímco všechny úlohy běží ve stejné infrastruktuře. Několik úloh jednoho klienta je možné vzájemně propojit a spravovat vzdáleně, ale tyto systémy nevytvářejí propojení s úlohami ostatních klientů, ani ostatní klienti tyto úlohy nemůžou vzdáleně spravovat.

Funkce

Služba RAS Gateway nabízí řadu funkcí pro virtuální privátní síť (VPN), tunelování, přesměrování a dynamické směrování.

Site-to-Site IPsec VPN

Tato funkce brány RAS umožňuje propojit dvě sítě v různých fyzických umístěních přes internet pomocí připojení site-to-site (S2S) virtuální privátní sítě (VPN). Jedná se o šifrované připojení pomocí protokolu VPN IKEv2.

Pro poskytovatele CSP, kteří ve svém datacentru hostují mnoho tenantů, poskytuje služba RAS Gateway řešení brány s více tenanty, které umožňuje klientům přistupovat k prostředkům a spravovat je prostřednictvím připojení VPN typu site-to-site ze vzdálených lokalit. Brána RAS umožňuje tok síťového provozu mezi virtuálními prostředky v datacentru a jejich fyzickou sítí.

Tunely SITE-to-Site GRE

Tunely založené na gre (Generic Routing Encapsulation) umožňují připojení mezi virtuálními sítěmi tenanta a externími sítěmi. Vzhledem k tomu, že protokol GRE je jednoduchý a podpora GRE je k dispozici na většině síťových zařízení, je ideální volbou pro tunelování, kde se nevyžaduje šifrování dat.

Podpora GRE v tunelech S2S řeší problém předávání mezi virtuálními sítěmi tenanta a externími sítěmi tenanta pomocí víceklientské brány.

Přeposílání vrstvy 3

Předávání vrstvy 3 (L3) umožňuje připojení mezi fyzickou infrastrukturou v datacentru a virtualizovanou infrastrukturou v cloudu virtualizace sítě Hyper-V. Pomocí připojení předávání L3 se virtuální počítače v síti tenanta můžou připojit k fyzické síti prostřednictvím brány SDN, která je už nakonfigurovaná v prostředí softwarově definované sítě (SDN). V tomto případě brána SDN funguje jako směrovač mezi virtualizovanou a fyzickou sítí.

Dynamické směrování s využitím protokolu BGP

Protokol BGP omezuje potřebu ruční konfiguraci směrování ve směrovačích, protože se jedná o dynamický směrovací protokol, který automaticky zjišťuje směrování mezi lokalitami propojenými pomocí připojení VPN typu site-to-site. Pokud má vaše organizace více lokalit, které jsou připojené pomocí směrovačů s podporou protokolu BGP, jako je brána RAS, umožňuje protokol BGP směrovačům automaticky vypočítat a používat platné trasy v případě přerušení nebo selhání sítě.

Reflektor tras protokolu BGP, který je součástí brány RAS, poskytuje alternativu k topologii úplné sítě protokolu BGP, která je nutná pro synchronizaci tras mezi směrovači. Další informace najdete v tématu Co je Odrazka trasy?

Jak brána RAS funguje

Brána RAS směruje síťový provoz mezi fyzickou sítí a síťovými prostředky virtuálních počítačů bez ohledu na umístění. Síťový provoz můžete směrovat ve stejném fyzickém umístění nebo v mnoha různých umístěních.

Bránu RAS můžete nasadit ve fondech s vysokou dostupností, které používají více funkcí najednou. Fondy bran obsahují několik instancí brány RAS Pro zajištění vysoké dostupnosti a převzetí služeb při selhání.

Fond bran můžete snadno škálovat nahoru nebo dolů přidáním nebo odebráním virtuálních počítačů brány ve fondu. Odebrání nebo přidání bran nenaruší služby poskytované fondem. Můžete také přidat a odebrat celé fondy bran. Další informace najdete v tématu Vysoká dostupnost brány RAS.

Každý fond bran poskytuje redundanci M+N. To znamená, že počet virtuálních počítačů aktivní brány M se zálohuje podle N počtu virtuálních počítačů pohotovostní brány. Redundance M+N poskytuje větší flexibilitu při určování úrovně spolehlivosti, kterou potřebujete při nasazování brány RAS.

Ke všem fondům nebo podmnožině fondů můžete přiřadit jednu veřejnou IP adresu. Tím výrazně snížíte počet veřejných IP adres, které musíte použít, protože je možné, aby se všichni tenanti připojili ke cloudu na jedné IP adrese.

Další kroky

Související informace najdete také v tématu: