Arsitektur Penyebaran RAS Gateway

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versi 21H2 dan 20H2

Anda dapat menggunakan topik ini untuk mempelajari tentang penyebaran Penyedia Layanan Cloud (CSP) RAS Gateway, termasuk kumpulan RAS Gateway, Route Reflectors, dan menyebarkan beberapa gateway untuk penyewa individual.

Bagian berikut ini memberikan gambaran umum singkat tentang beberapa fitur baru RAS Gateway sehingga Anda dapat memahami cara menggunakan fitur-fitur ini dalam desain penyebaran gateway Anda.

Selain itu, contoh penyebaran disediakan, termasuk informasi tentang proses penambahan penyewa baru, sinkronisasi rute dan perutean bidang data, gateway dan failover Route Reflector, dan banyak lagi.

Topik ini berisi bagian berikut.

Menggunakan Fitur Baru RAS Gateway untuk Merancang Penyebaran Anda

RAS Gateway menyertakan beberapa fitur baru yang mengubah dan meningkatkan cara Anda menyebarkan infrastruktur gateway di pusat data Anda.

Reflektor Rute BGP

Kemampuan Border Gateway Protocol (BGP) Route Reflector sekarang disertakan dengan RAS Gateway, dan menyediakan alternatif untuk topologi jala penuh BGP yang biasanya diperlukan untuk sinkronisasi rute antar router. Dengan sinkronisasi mesh penuh, semua perute BGP harus tersambung dengan semua perute lain di topologi perutean. Namun, saat Anda menggunakan Reflektor Rute, Reflektor Rute adalah satu-satunya perute yang tersambung dengan semua perute lain, yang disebut klien Reflektor Rute BGP, sehingga menyederhanakan sinkronisasi rute dan mengurangi lalu lintas jaringan. Reflektor Rute mempelajari semua rute, memperhitungkan rute terbaik, dan mendistribusikan kembali rute terbaik ke klien BGP-nya.

Untuk informasi selengkapnya, lihat Apa yang Baru di RAS Gateway.

Kumpulan Gateway

Di Windows Server 2016, Anda dapat membuat banyak kumpulan gateway dari berbagai jenis. Kumpulan gateway berisi banyak instans RAS Gateway, dan merutekan lalu lintas jaringan antara jaringan fisik dan virtual.

Untuk informasi selengkapnya, lihat Apa yang Baru di RAS Gateway dan Ketersediaan Tinggi RAS Gateway.

Skalabilitas Kumpulan Gateway

Anda dapat secara mudah menambah atau mengurangi skala kumpulan gateway dengan menambahkan atau menghapus mesin virtual gateway dalam kumpulan tersebut. Penghapusan atau penambahan gateway tidak mengganggu layanan yang disediakan oleh suatu kumpulan. Anda juga dapat menambahkan dan menghapus seluruh kumpulan gateway.

Untuk informasi selengkapnya, lihat Apa yang Baru di RAS Gateway dan Ketersediaan Tinggi RAS Gateway.

Redundansi Kumpulan Gateway M+N

Setiap kumpulan gateway adalah redundan M+N. Ini berarti bahwa jumlah 'M' VM gateway aktif dicadangkan oleh jumlah 'N' VM gateway siaga. Redundansi M+N memberi Anda fleksibilitas lebih dalam menentukan tingkat keandalan yang Anda butuhkan saat menyebarkan RAS Gateway.

Untuk informasi selengkapnya, lihat Apa yang Baru di RAS Gateway dan Ketersediaan Tinggi RAS Gateway.

Contoh Penyebaran

Ilustrasi berikut memberikan contoh dengan peering eBGP melalui koneksi VPN situs-ke-situs yang dikonfigurasi antara dua penyewa, Contoso dan Woodgrove, dan pusat data Fabrikam CSP.

eBGP peering over site-to-site VPN

Dalam contoh ini, Contoso memerlukan bandwidth gateway tambahan, yang mengarah ke keputusan desain infrastruktur gateway untuk mengakhiri situs Contoso Los Angeles di GW3 alih-alih GW2. Karena itu, koneksi VPN Contoso dari situs yang berbeda berakhir di pusat data CSP pada dua gateway yang berbeda.

Kedua gateway ini, GW2 dan GW3, adalah GATEWAY RAS pertama yang dikonfigurasi oleh Network Controller ketika CSP menambahkan penyewa Contoso dan Woodgrove ke infrastruktur mereka. Karena itu, kedua gateway ini dikonfigurasi sebagai Route Reflectors untuk pelanggan terkait ini (atau penyewa). GW2 adalah Contoso Route Reflector, dan GW3 adalah Woodgrove Route Reflector - selain menjadi titik penghentian CSP RAS Gateway untuk koneksi VPN dengan situs Contoso Los Angeles HQ.

Catatan

Satu RAS Gateway dapat merutekan lalu lintas jaringan virtual dan fisik hingga seratus penyewa yang berbeda, tergantung pada persyaratan bandwidth setiap penyewa.

Sebagai Route Reflectors, GW2 mengirim rute Ruang CA Contoso ke Network Controller, dan GW3 mengirim rute Woodgrove CA Space ke Network Controller.

Pengontrol Jaringan mendorong kebijakan Virtualisasi Jaringan Hyper-V ke jaringan virtual Contoso dan Woodgrove, serta kebijakan RAS ke GATEWAY RAS dan kebijakan penyeimbang beban ke Multiplexers (MUXes) yang dikonfigurasi sebagai kumpulan Penyeimbangan Beban Perangkat Lunak.

Menambahkan Penyewa Baru dan Alamat Pelanggan (CA) Ruang eBGP Peering

Saat Anda menandatangani pelanggan baru dan menambahkan pelanggan sebagai penyewa baru di pusat data Anda, Anda dapat menggunakan proses berikut, yang sebagian besar secara otomatis dilakukan oleh pengontrol Jaringan dan router RAS Gateway eBGP.

  1. Provisikan jaringan virtual dan beban kerja baru sesuai dengan persyaratan penyewa Anda.

  2. Jika diperlukan, konfigurasikan konektivitas jarak jauh antara situs Enterprise penyewa jarak jauh dan jaringan virtual mereka di pusat data Anda. Saat Anda menyebarkan koneksi VPN situs-ke-situs untuk penyewa, Pengontrol Jaringan secara otomatis memilih VM RAS Gateway yang tersedia dari kumpulan gateway yang tersedia dan mengonfigurasi koneksi.

  3. Saat mengonfigurasi VM RAS Gateway untuk penyewa baru, Network Controller juga mengonfigurasi RAS Gateway sebagai Router BGP dan menunjuknya sebagai Route Reflector untuk penyewa. Ini berlaku bahkan dalam keadaan di mana RAS Gateway berfungsi sebagai gateway, atau sebagai gateway dan Route Reflector, untuk penyewa lain.

  4. Bergantung pada apakah perutean ruang CA dikonfigurasi untuk menggunakan jaringan yang dikonfigurasi secara statis atau perutean BGP dinamis, Pengontrol Jaringan mengonfigurasi rute statis yang sesuai, tetangga BGP, atau keduanya pada RAS Gateway VM dan Route Reflector.

    Catatan

    • Setelah Pengontrol Jaringan mengonfigurasi RAS Gateway dan Route Reflector untuk penyewa, setiap kali penyewa yang sama memerlukan koneksi VPN situs-ke-situs baru, Pengontrol Jaringan memeriksa kapasitas yang tersedia pada VM RAS Gateway ini. Jika gateway asli dapat melayani kapasitas yang diperlukan, koneksi jaringan baru juga dikonfigurasi pada VM RAS Gateway yang sama. Jika VM RAS Gateway tidak dapat menangani kapasitas tambahan, Pengontrol Jaringan memilih VM RAS Gateway baru yang tersedia dan mengonfigurasi koneksi baru di dalamnya. VM RAS Gateway baru yang terkait dengan penyewa ini menjadi klien Route Reflector dari penyewa asli RAS Gateway Route Reflector.

    • Karena kumpulan RAS Gateway berada di belakang Software Load Balancer (SLB), alamat VPN situs-ke-situs penyewa masing-masing menggunakan satu alamat IP publik, yang disebut alamat IP virtual (VIP), yang diterjemahkan oleh SLB ke alamat IP internal pusat data, yang disebut alamat IP dinamis (DIP), untuk RAS Gateway yang merutekan lalu lintas untuk penyewa Enterprise. Pemetaan alamat IP publik-ke-privat oleh SLB ini memastikan bahwa terowongan VPN situs-ke-situs dibuat dengan benar antara situs Perusahaan dan Gateway RAS CSP dan Route Reflector.

      Untuk informasi selengkapnya tentang SLB, VIP, dan DIP, lihat Penyeimbangan Beban Perangkat Lunak (SLB) untuk SDN.

  5. Setelah terowongan VPN situs-ke-situs antara situs Enterprise dan PUSAT data CSP RAS Gateway dibuat untuk penyewa baru, rute statis yang terkait dengan terowongan secara otomatis disediakan di sisi Enterprise dan CSP dari terowongan.

  6. Dengan perutean BGP ruang CA, peering eBGP antara situs Enterprise dan CSP RAS Gateway Route Reflector juga dibuat.

Sinkronisasi Rute dan Perutean Bidang Data

Setelah peering eBGP dibuat antara situs Enterprise dan CSP RAS Gateway Route Reflector, Route Reflector mempelajari semua rute Enterprise dengan menggunakan perutean BGP dinamis. Route Reflector menyinkronkan rute ini antara semua klien Route Reflector sehingga semuanya dikonfigurasi dengan serangkaian rute yang sama.

Route Reflector juga memperbarui rute terkonsolidasi ini, menggunakan sinkronisasi rute, ke Pengontrol Jaringan. Pengontrol Jaringan kemudian menerjemahkan rute ke dalam kebijakan Virtualisasi Jaringan Hyper-V dan mengonfigurasi Jaringan Fabric untuk memastikan bahwa perutean Jalur Data End-to-End disediakan. Proses ini membuat jaringan virtual penyewa dapat diakses dari situs Enterprise penyewa.

Untuk perutean Data Plane, paket yang mencapai VM RAS Gateway langsung dirutekan ke jaringan virtual penyewa, karena rute yang diperlukan sekarang tersedia dengan semua VM RAS Gateway yang berpartisipasi.

Demikian pula, dengan kebijakan Virtualisasi Jaringan Hyper-V di tempat, jaringan virtual penyewa merutekan paket langsung ke VM RAS Gateway (tanpa perlu tahu tentang Route Reflector) dan kemudian ke situs Enterprise melalui terowongan VPN situs-ke-situs.

Sebagai tambahan. mengembalikan lalu lintas dari jaringan virtual penyewa ke situs Enterprise penyewa jarak jauh melewati SLB, proses yang disebut Direct Server Return (DSR).

Cara Pengontrol Jaringan Merespons Gateway RAS dan Failover Reflektor Rute

Berikut adalah dua skenario failover yang mungkin - satu untuk klien RAS Gateway Route Reflector dan satu untuk RAS Gateway Route Reflectors - termasuk informasi tentang bagaimana Pengontrol Jaringan menangani failover untuk VM di kedua konfigurasi.

Kegagalan VM Klien Ras Gateway BGP Route Reflector

Pengontrol Jaringan mengambil tindakan berikut saat klien RAS Gateway Route Reflector gagal.

Catatan

Ketika RAS Gateway bukan Route Reflector untuk infrastruktur BGP penyewa, itu adalah klien Route Reflector di infrastruktur BGP penyewa.

  • Pengontrol Jaringan memilih VM RAS Gateway siaga yang tersedia dan menyediakan VM RAS Gateway baru dengan konfigurasi VM RAS Gateway yang gagal.

  • Pengontrol Jaringan memperbarui konfigurasi SLB yang sesuai untuk memastikan bahwa terowongan VPN situs-ke-situs dari situs penyewa ke RAS Gateway yang gagal dibuat dengan benar dengan RAS Gateway baru.

  • Pengontrol Jaringan mengonfigurasi klien BGP Route Reflector di gateway baru.

  • Pengontrol Jaringan mengonfigurasi klien RAS Gateway BGP Route Reflector baru sebagai aktif. RAS Gateway segera mulai melakukan peering dengan Route Reflector penyewa untuk berbagi informasi perutean dan mengaktifkan peering eBGP untuk situs Enterprise yang sesuai.

Kegagalan VM untuk Reflektor Rute RAS Gateway BGP

Pengontrol Jaringan mengambil tindakan berikut ketika Ras Gateway BGP Route Reflector gagal.

  • Pengontrol Jaringan memilih VM RAS Gateway siaga yang tersedia dan menyediakan VM RAS Gateway baru dengan konfigurasi VM RAS Gateway yang gagal.

  • Pengontrol Jaringan mengonfigurasi Route Reflector pada VM RAS Gateway baru, dan menetapkan VM baru alamat IP yang sama yang digunakan oleh VM yang gagal, sehingga memberikan integritas rute meskipun VM gagal.

  • Pengontrol Jaringan memperbarui konfigurasi SLB yang sesuai untuk memastikan bahwa terowongan VPN situs-ke-situs dari situs penyewa ke RAS Gateway yang gagal dibuat dengan benar dengan RAS Gateway baru.

  • Pengontrol Jaringan mengonfigurasi RAS Gateway BGP Route Reflector VM baru sebagai aktif.

  • Pencermin Rute segera menjadi aktif. Terowongan VPN situs-ke-situs ke Perusahaan didirikan, dan Route Reflector menggunakan peering eBGP dan bertukar rute dengan router situs Perusahaan.

  • Setelah pemilihan rute BGP, RAS Gateway BGP Route Reflector memperbarui klien Route Reflector penyewa di pusat data, dan menyinkronkan rute dengan Pengontrol Jaringan, membuat Jalur Data End-to-End tersedia untuk lalu lintas penyewa.

Keuntungan Menggunakan Fitur Gateway RAS Baru

Berikut ini adalah beberapa keuntungan menggunakan fitur RAS Gateway baru ini saat merancang penyebaran RAS Gateway Anda.

Skalabilitas RAS Gateway

Karena Anda dapat menambahkan VM RAS Gateway sebanyak yang Anda butuhkan untuk kumpulan RAS Gateway, Anda dapat dengan mudah menskalakan penyebaran RAS Gateway Anda untuk mengoptimalkan performa dan kapasitas. Saat Anda menambahkan VM ke kumpulan, Anda dapat mengonfigurasi RAS Gateway ini dengan koneksi VPN situs-ke-situs dalam bentuk apa pun (IKEv2, L3, GRE), menghilangkan hambatan kapasitas tanpa waktu henti.

Manajemen Gateway Situs Perusahaan yang Disederhanakan

Ketika penyewa Anda memiliki beberapa situs Enterprise, penyewa dapat mengonfigurasi semua situs dengan satu alamat IP VPN situs-ke-situs jarak jauh dan satu alamat IP tetangga jarak jauh - PUSAT data CSP ANDA RAS Gateway BGP Route Reflector VIP untuk penyewa tersebut. Ini menyederhanakan manajemen gateway untuk penyewa Anda.

Remediasi Cepat Kegagalan Gateway

Untuk memastikan respons failover yang cepat, Anda dapat mengonfigurasi waktu parameter BGP Keepalive antara rute tepi dan router kontrol ke interval waktu singkat, seperti kurang dari atau sama dengan sepuluh detik. Dengan interval singkat tetap hidup ini, jika router edge BGP RAS Gateway gagal, kegagalan dengan cepat terdeteksi dan Pengontrol Jaringan mengikuti langkah-langkah yang disediakan di bagian sebelumnya. Keuntungan ini dapat mengurangi kebutuhan akan protokol deteksi kegagalan terpisah, seperti protokol Deteksi Penerusan Dua Arah (BFD).