Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Azure Local 2311.2 y versiones posteriores; Windows Server 2022, Windows Server 2019, Windows Server 2016
Este artículo es una introducción sobre la puerta de enlace de servicio de acceso remoto (RAS) en redes definidas por software (SDN) en Azure Local y Windows Server.
La puerta de enlace de RAS es un enrutador compatible con el Protocolo de puerta de enlace de borde (BGP), basado en software y diseñado para los proveedores de servicios en la nube (CSP) y las empresas que hospedan redes virtuales multiinquilino con la virtualización de red de Hyper-V (HNV). Puede usar la puerta de enlace de RAS para enrutar el tráfico de red entre una red virtual y otra red, ya sea local o remota.
La puerta de enlace RAS requiere Controladora de Red, que realiza la implementación de grupos de puertas de enlace, configura las conexiones de inquilino en cada puerta de enlace, y cambia los flujos de tráfico de la red a una puerta de enlace de respaldo si falla una puerta de enlace.
Nota:
La arquitectura multiempresa es la capacidad que tiene una infraestructura en la nube de admitir las cargas de trabajo de las máquinas virtuales de varios inquilinos aislándolas unas de otras y permitiendo que todas las cargas de trabajo se ejecuten en la misma infraestructura. Las distintas cargas de trabajo de un inquilino individual pueden interconectarse y administrarse de manera remota, pero estos sistemas no se interconectan con las cargas de trabajo de los demás inquilinos, ni tampoco pueden los demás inquilinos administrarlas de manera remota.
Características
La puerta de enlace de RAS ofrece muchas funcionalidades para redes virtuales privadas, la tunelización, el redireccionamiento y el enrutamiento dinámico.
VPN de sitio a sitio (IPsec)
Esta característica de puerta de enlace de RAS le permite conectar dos redes en diferentes ubicaciones físicas a través de Internet mediante una conexión de red privada virtual de sitio a sitio (S2S). Se trata de una conexión cifrada que usa el protocolo VPN IKEv2.
Para los proveedores de servicios en la nube que hospedan muchos inquilinos en su centro de datos, la puerta de enlace de RAS proporciona una solución de puerta de enlace multiinquilino que permite a los inquilinos acceder a sus recursos y administrarlos mediante conexiones VPN de sitio a sitio desde sitios remotos. La puerta de enlace de RAS permite el flujo de tráfico de red entre los recursos virtuales del centro de datos y la red física.
Túneles de sitio a sitio basados en la encapsulación de enrutamiento genérico (GRE)
Los túneles basados en la encapsulación de enrutamiento genérico (GRE) permiten la conectividad entre redes virtuales de inquilino y redes externas. Puesto que el protocolo GRE es ligero y la mayoría de dispositivos de red lo admiten, es una opción ideal para la tunelización donde no se requiere el cifrado de los datos.
La compatibilidad con GRE en túneles de sitio a sitio resuelve el problema del redireccionamiento entre redes virtuales de inquilinos y redes externas de inquilinos mediante una puerta de enlace multiinquilino.
Redireccionamiento de nivel 3
El redireccionamiento de nivel 3 (L3) permite la conectividad entre la infraestructura física en el centro de datos y la infraestructura virtualizada en la nube de virtualización de red de Hyper-V. Mediante la conexión de redireccionamiento de nivel 3, las máquinas virtuales de red de inquilinos pueden conectarse a una red física a través de la puerta de enlace de SDN, que ya está configurada en el entorno de SDN. En este caso, la puerta de enlace de SDN sirve de router entre la red virtualizada y la red física.
En el siguiente diagrama se ve un ejemplo del tipo de redireccionamiento de nivel 3 en Azure Local configurado con SDN:
- Existen dos redes virtuales en la instancia de Azure Local: la red virtual 1 de SDN con prefijo de dirección 10.0.0.0/16 y la red virtual 2 de SDN con prefijo de dirección 16.0.0.0/16.
- Cada red virtual tiene una conexión de nivel 3 con la red física.
- Dado que las conexiones de nivel 3 son de diferentes redes virtuales, la puerta de enlace de SDN cuenta con un compartimento independiente para cada conexión para garantizar el aislamiento.
- Cada compartimento de la puerta de enlace de SDN tiene una interfaz en el espacio de la red virtual y una interfaz en el espacio de la red física.
- Cada conexión de nivel 3 debe asignarse a una única VLAN en la red física. Esta VLAN debe ser distinta a la VLAN del proveedor de la HNV, que se usa como la red física de redireccionamiento de datos subyacentes para el tráfico de red virtualizada.
- En este ejemplo se utiliza un enrutamiento estático.
Estos son los detalles de cada conexión en este ejemplo:
| Elemento de red | Conexión 1 | Conexión 2 |
|---|---|---|
| Prefijo de subred de la puerta de enlace | 10.0.1.0/24 | 16.0.1.0/24 |
| Dirección IP de nivel 3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Dirección IP del par L3 | 15.0.0.1 | 20.0.0.1 |
| Rutas en la conexión | 18.0.0.0/24 | 22.0.0.0/24 |
Consideraciones de enrutamiento al usar el reenvío L3
En lo que se refiere al enrutamiento estático, debe configurar una ruta en la red física que llegue a la red virtual. Por ejemplo, una ruta con el prefijo de dirección 10.0.0.0/16 con el próximo salto como la dirección IP de nivel 3 de la conexión (15.0.0.5).
En el caso del enrutamiento dinámica con BGP, también debe configurar una ruta /32 estática, ya que la conexión de BGP se realiza entre la interfaz interna del compartimento de la puerta de enlace y la IP de emparejamiento de nivel 3. Para la Connection 1, el emparejamiento estaría entre 10.0.1.6 y 15.0.0.1. Por ello, para esta conexión, se necesita una ruta estática en el conmutador físico con el prefijo de destino de 10.0.1.6/32 con el próximo salto como 15.0.0.5.
Si tiene previsto implementar las conexiones de la puerta de enlace de nivel 3 con el enrutamiento de BGP, asegúrese de configurar los ajustes del conmutador de la parte superior del bastidor (Top of Rack, ToR) con los siguientes parámetros:
- update-source: indica la dirección de origen de las actualizaciones de BGP, es decir, la VLAN de nivel 3. Por ejemplo, VLAN 250.
- ebgp multihop: Esto especifica que se requieren más saltos, ya que el vecino BGP está a más de un salto de distancia.
Nota:
Al usar BGP con una dirección IP del mismo nivel L3 en una subred diferente del enrutador BGP, debe configurar una ruta /32 estática en la conexión L3. Por ejemplo, si el par L3 es 15.0.0.1 y el par BGP es 25.0.0.1, agregue una ruta con el destino 25.0.0.1/32 y el próximo salto 15.0.0.5 (IP L3).
Enrutamiento dinámico con BGP
BGP reduce la necesidad de configuración manual del enrutamiento en los routers, ya que es un protocolo de enrutamiento dinámico y aprende automáticamente las rutas entre sitios que están conectados mediante conexiones VPN de sitio a sitio. Si su organización dispone de varios sitios que están conectados mediante routers compatibles con BGP, como la puerta de enlace de RAS, BGP permitirá que los routers calculen automáticamente y usen royas válidas en cada uno en caso de que se interrumpa o falle la red.
El reflector de rutas BGP incluido con la puerta de enlace de RAS proporciona una alternativa a la topología de malla completa BGP necesaria para la sincronización de rutas entre los enrutadores. Para obtener más información, consulte ¿Qué es el reflector de ruta?
Funcionamiento de la puerta de enlace de RAS
La puerta de enlace de RAS enruta el tráfico de red entre la red física y los recursos de la red de VM, independientemente de la ubicación. Puede enrutar el tráfico de red en la misma ubicación física o en muchas ubicaciones diferentes.
Puede implementar la puerta de enlace de RAS en grupos de alta disponibilidad que usan varias características a la vez. Los grupos de puertas de enlace contienen varias instancias de puerta de enlace de RAS para la alta disponibilidad y la conmutación por error.
Puede escalar o reducir verticalmente un grupo de puertas de enlace fácilmente agregando o quitando máquinas virtuales de puerta de enlace del grupo. La eliminación o adición de agregar puertas de enlace no interrumpe los servicios proporcionados por un grupo. También puede agregar y quitar grupos de puertas de enlace completos. Para más información, consulte Alta disponibilidad del RAS Gateway.
Cada grupo de puertas de enlace proporciona redundancia M + N. Esto significa que se realiza una copia de seguridad de "M" máquinas virtuales de puertas de enlace activas mediante "N" máquinas virtuales de puerta de enlace en espera. La redundancia M + N proporciona más flexibilidad a la hora de determinar el nivel de confiabilidad que necesita al implementar la puerta de enlace de RAS.
Puede asignar una sola dirección IP pública a todos los grupos o a un subconjunto de grupos. Si se hace esto, se reduce significativamente el número de direcciones IP públicas que se deban usar, ya que es posible tener todos los inquilinos conectados a la nube en una sola dirección IP.
Pasos siguientes
Para obtener información relacionada, consulte: