Partager via


Qu’est-ce que la passerelle RAS (Remote Access Service) pour la mise en réseau définie par logiciel ?

S’applique à : Azure Stack HCI, versions 23H2 et 22H2 ; Windows Server 2022, Windows Server 2019, Windows Server 2016

Cet article fournit une vue d’ensemble de la passerelle RAS (Remote Access Service) pour la mise en réseau définie par logiciel (SDN) dans Azure Stack HCI et Windows Server.

La passerelle RAS est un routeur logiciel prenant en charge le protocole BGP (Border Gateway Protocol) conçu pour les fournisseurs de services Cloud (CSP) et les entreprises qui hébergent des réseaux virtuels multilocataires à l’aide de la virtualisation de réseau Hyper-V (HNV). Vous pouvez utiliser la passerelle RAS pour router le trafic réseau entre un réseau virtuel et un autre réseau, qu’il soit local ou distant.

La passerelle RAS nécessite un contrôleur de réseau, qui effectue le déploiement de pools de passerelles, configure les connexions de locataire sur chaque passerelle et bascule les flux de trafic réseau vers une passerelle de secours en cas d’échec d’une passerelle.

Notes

Une architecture multilocataire désigne la possibilité pour une infrastructure cloud de prendre en charge les charges de travail des machines virtuelles de plusieurs locataires. Les charges, bien qu’isolées les unes des autres, sont exécutées dans la même infrastructure. Les multiples charges de travail d’un locataire seul peuvent être interconnectées et être gérées à distance mais ces systèmes n’offrent aucune interconnexion avec les charges de travail d’autres locataires et ces derniers ne peuvent pas eux-mêmes les gérer à distance.

Fonctionnalités

La passerelle RAS offre de nombreuses fonctionnalités pour le réseau privé virtuel (VPN), le tunneling, le transfert et le routage dynamique.

VPN IPSec de site à site

Cette fonctionnalité de la passerelle RAS vous permet de connecter deux réseaux à des localisations physiques différentes sur Internet à l’aide d’une connexion de réseau privé virtuel (VPN) de site à site (S2S). Il s’agit d’une connexion chiffrée utilisant le protocole VPN IKEv2.

Pour les fournisseurs de solutions cloud qui hébergent de nombreux locataires dans leur centre de données, la passerelle RAS fournit une solution de passerelle multilocataire qui permet aux locataires d’accéder à leurs ressources et de les gérer via des connexions VPN de site à site à partir de sites distants. La passerelle RAS permet le flux du trafic réseau entre les ressources virtuelles de votre centre de données et leur réseau physique.

Tunnels GRE de site à site

Les tunnels GRE (Generic Routing Encapsulation) permettent la connectivité entre les réseaux virtuels locataires et les réseaux externes. Étant donné que le protocole GRE est léger et que la prise en charge de GRE est disponible sur la plupart des appareils réseau, il s’agit d’un choix idéal pour le tunneling où le chiffrement des données n’est pas nécessaire.

La prise en charge de l’encapsulation GRE dans les tunnels S2S résout le problème de transfert entre les réseaux virtuels locataires et les réseaux externes locataires à l’aide d’une passerelle multilocataire.

Transfert de couche 3

Le transfert de couche 3 (L3) permet la connectivité entre l’infrastructure physique du centre de données et l’infrastructure virtualisée du cloud de virtualisation de réseau Hyper-V. À l’aide d’une connexion de transfert L3, les machines virtuelles réseau client peuvent se connecter à un réseau physique via la passerelle SDN, qui est déjà configurée dans l’environnement SDN. Dans ce cas, la passerelle SDN sert de routeur entre le réseau virtualisé et le réseau physique.

Le diagramme suivant montre un exemple de configuration du transfert L3 dans un cluster Azure Stack HCI configuré avec SDN :

Diagramme d’un exemple de transfert L3.

  • Il existe deux réseaux virtuels dans le cluster Azure Stack HCI : le réseau virtuel SDN 1 avec le préfixe d’adresse 10.0.0.0/16 et le réseau virtuel SDN 2 avec le préfixe d’adresse 16.0.0.0/16.
  • Chaque réseau virtuel a une connexion L3 au réseau physique.
  • Étant donné que les connexions L3 sont destinées à différents réseaux virtuels, la passerelle SDN a un compartiment distinct pour chaque connexion afin de fournir des garanties d’isolation.
  • Chaque compartiment de passerelle SDN a une interface dans l’espace réseau virtuel et une interface dans l’espace réseau physique.
  • Chaque connexion L3 doit être mappées à un VLAN unique sur le réseau physique. Ce VLAN doit être différent du VLAN du fournisseur HNV, qui est utilisé comme réseau physique de transfert de données sous-jacent pour le trafic réseau virtualisé.
  • Cet exemple utilise le routage statique.

Voici les détails de chaque connexion utilisée dans cet exemple :

Élément réseau Connexion 1 Connexion 2
Préfixe de sous-réseau de passerelle 10.0.1.0/24 16.0.1.0/24
Adresse IP L3 15.0.0.5/24 20.0.0.5/24
Adresse IP de l’homologue L3 15.0.0.1 20.0.0.1
Itinéraires sur la connexion 18.0.0.0/24 22.0.0.0/24

Considérations relatives au routage lors de l’utilisation du transfert L3

Pour le routage statique, vous devez configurer un itinéraire sur le réseau physique pour atteindre le réseau virtuel. Par exemple, une route avec le préfixe d’adresse 10.0.0.0/16 avec le tronçon suivant comme adresse IP L3 de la connexion (15.0.0.5).

Pour le routage dynamique avec BGP, vous devez toujours configurer un itinéraire statique /32, car la connexion BGP se trouve entre l’interface interne du compartiment de passerelle et l’adresse IP de l’homologue L3. Pour la connexion 1, le peering est compris entre 10.0.1.6 et 15.0.0.1. Par conséquent, pour cette connexion, vous avez besoin d’un itinéraire statique sur le commutateur physique avec le préfixe de destination 10.0.1.6/32 avec le tronçon suivant 15.0.0.5.

Si vous envisagez de déployer des connexions de passerelle L3 avec le routage BGP, veillez à configurer les paramètres BGP du commutateur Top of Rack (ToR) avec les éléments suivants :

  • update-source : spécifie l’adresse source pour les mises à jour BGP, c’est-à-dire le VLAN L3. Par exemple, VLAN 250.
  • multiop ebgp : cela spécifie que plusieurs tronçons sont nécessaires, car le voisin BGP se trouve à plus d’un tronçon.

Routage dynamique avec BGP

BGP réduit la nécessité d’une configuration manuelle des itinéraires sur les routeurs, car il s’agit d’un protocole de routage dynamique, et apprend automatiquement les itinéraires entre les sites connectés à l’aide de connexions VPN de site à site. Si votre organization a plusieurs sites connectés à l’aide de routeurs compatibles BGP, tels que la passerelle RAS, BGP permet aux routeurs de calculer et d’utiliser automatiquement des itinéraires valides entre eux en cas d’interruption ou de défaillance du réseau.

Le réflecteur de route BGP inclus dans la passerelle RAS fournit une alternative à la topologie à maillage complet BGP qui est nécessaire pour la synchronisation des routes entre les routeurs. Pour plus d’informations, consultez Qu’est-ce que le réflecteur de route ?.

Fonctionnement de la passerelle RAS

La passerelle RAS route le trafic réseau entre le réseau physique et les ressources du réseau machines virtuelles, quelle que soit la localisation. Vous pouvez router le trafic réseau à la même localisation physique ou à plusieurs localisations différentes.

Vous pouvez déployer la passerelle RAS dans des pools à haute disponibilité qui utilisent plusieurs fonctionnalités à la fois. Les pools de passerelles contiennent plusieurs instances de la passerelle RAS pour offrir la haute disponibilité et le basculement.

Vous pouvez facilement effectuer un scale-up ou un scale-down d’un pool de passerelles en ajoutant ou en supprimant des machines virtuelles de passerelle dans le pool. La suppression ou l’ajout de passerelles n’interrompt pas les services fournis par un pool. Vous pouvez également ajouter et supprimer des pools de passerelles complets. Pour plus d’informations, consultez Haute disponibilité de la passerelle RAS.

Chaque pool de passerelles fournit une redondance M+N. Cela signifie que « M » machines virtuelles de passerelle actives sont secondées par « N » machines virtuelles de passerelle de secours. La redondance M+N offre une plus grande flexibilité pour déterminer le niveau de fiabilité dont vous avez besoin quand vous déployez la passerelle RAS.

Vous pouvez affecter une adresse IP publique unique à tous les pools ou à une partie des pools. Cela réduit considérablement le nombre d’adresses IP publiques que vous devez utiliser, car il est possible que tous les locataires se connectent au cloud sur une seule adresse IP.

Étapes suivantes

Pour consulter des informations connexes, reportez-vous également à :