Apa itu Gateway Layanan Akses Jarak Jauh (RAS) untuk Jaringan yang Ditentukan Perangkat Lunak?
Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Artikel ini menyediakan gambaran umum Gateway Layanan Akses Jarak Jauh (RAS) untuk Software Defined Networking (SDN) di Azure Stack HCI dan Windows Server.
Gateway RAS adalah router berkemampuan Border Gateway Protocol (BGP) berbasis perangkat lunak yang dirancang untuk penyedia cloud (CSP) dan perusahaan yang menghosting jaringan virtual multitenant menggunakan Hyper-V Network Virtualization (HNV). Anda dapat menggunakan RAS Gateway untuk merutekan lalu lintas antara jaringan virtual dan jaringan lain, baik lokal atau jarak jauh.
RAS Gateway memerlukan Pengontrol Jaringan, yang melakukan penyebaran kumpulan gateway, mengonfigurasi koneksi penyewa di setiap gateway, dan mengalihkan arus lalu lintas jaringan ke gateway siaga jika gateway gagal.
Catatan
Multitenancy adalah kemampuan infrastruktur cloud untuk mendukung beban kerja mesin virtual (VM) dari beberapa penyewa, tetapi mengisolasi mereka dari satu sama lain, sementara semua beban kerja berjalan pada infrastruktur yang sama. Beberapa beban kerja penyewa individu dapat saling tersambung dan dikelola dari jarak jauh, tetapi sistem ini tidak saling tersambung dengan beban kerja penyewa lain, dan penyewa lain juga tidak dapat mengelolanya dari jarak jauh.
Fitur
RAS Gateway menawarkan banyak fitur untuk jaringan privat maya (VPN), penerowongan, penerusan, dan perutean dinamis.
VPN IPsec Site-to-Site
Fitur RAS Gateway ini memungkinkan Anda menyambungkan dua jaringan pada lokasi fisik yang berbeda di Internet dengan menggunakan koneksi Jaringan Privat Maya (VPN) Site-to-Site (S2S). Ini adalah koneksi terenkripsi, menggunakan protokol VPN IKEv2.
Untuk CSP yang menghosting banyak penyewa di pusat datanya, RAS Gateway menyediakan solusi gateway multitenant yang memungkinkan penyewa mengakses dan mengelola sumber daya mereka melalui koneksi VPN site-to-site dari situs jarak jauh. RAS Gateway memungkinkan alur lalu lintas antara sumber daya virtual di pusat data Anda dan jaringan fisik mereka.
Terowongan GRE Site-to-Site
Terowongan berbasis Generic Routing Encapsulation (GRE) memungkinkan konektivitas antara jaringan virtual dan jaringan eksternal penyewa. Karena protokol GRE ringan dan dukungan untuk GRE tersedia di sebagian besar perangkat jaringan, ini adalah pilihan ideal untuk penerowongan di mana enkripsi data tidak diperlukan.
Dukungan GRE di terowongan S2S menyelesaikan masalah penerusan antara jaringan virtual penyewa dan jaringan eksternal penyewa menggunakan gateway multitenant.
Penerusan Lapisan 3
Penerusan Lapisan 3 (L3) memungkinkan konektivitas antara infrastruktur fisik di pusat data dan infrastruktur virtual di cloud Hyper-V Network Virtualization. Dengan menggunakan koneksi penerusan L3, VM jaringan penyewa dapat terhubung ke jaringan fisik melalui gateway SDN, yang sudah dikonfigurasi di lingkungan SDN. Dalam hal ini, gateway SDN bertindak sebagai router antara jaringan virtual dan jaringan fisik.
Diagram berikut menunjukkan contoh penyiapan penerusan L3 di kluster Azure Stack HCI yang dikonfigurasi dengan SDN:
- Ada dua jaringan virtual di kluster Azure Stack HCI: jaringan virtual SDN 1 dengan awalan alamat 10.0.0.0/16 dan jaringan virtual SDN 2 dengan awalan alamat 16.0.0.0/16.
- Setiap jaringan virtual memiliki koneksi L3 ke jaringan fisik.
- Karena koneksi L3 adalah untuk jaringan virtual yang berbeda, gateway SDN memiliki kompartemen terpisah untuk setiap koneksi untuk memberikan jaminan isolasi.
- Setiap kompartemen gateway SDN memiliki satu antarmuka di ruang jaringan virtual dan satu antarmuka di ruang jaringan fisik.
- Setiap koneksi L3 harus memetakan ke VLAN unik di jaringan fisik. VLAN ini harus berbeda dari penyedia HNV VLAN, yang digunakan sebagai jaringan fisik penerusan data yang mendasar untuk lalu lintas jaringan virtual.
- Contoh ini menggunakan perutean statis.
Berikut adalah detail setiap koneksi yang digunakan dalam contoh ini:
| Elemen Jaringan | Koneksi 1 | Koneksi 2 |
|---|---|---|
| Awalan subnet gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Alamat IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Alamat IP serekan L3 | 15.0.0.1 | 20.0.0.1 |
| Rute pada koneksi | 18.0.0.0/24 | 22.0.0.0/24 |
Pertimbangan perutean saat menggunakan penerusan L3
Untuk perutean statis, Anda harus mengonfigurasi rute pada jaringan fisik untuk mencapai jaringan virtual. Misalnya, rute dengan awalan alamat 10.0.0.0/16 dengan hop berikutnya sebagai Alamat IP L3 koneksi (15.0.0.5).
Untuk perutean dinamis dengan BGP, Anda masih harus mengonfigurasi rute statis /32 karena koneksi BGP berada di antara antarmuka internal kompartemen gateway dan IP serekan L3. Untuk Koneksi 1, peering akan antara 10.0.1.6 dan 15.0.0.1. Oleh karena itu, untuk koneksi ini, Anda memerlukan rute statis pada sakelar fisik dengan awalan tujuan 10.0.1.6/32 dengan hop berikutnya sebagai 15.0.0.5.
Jika Anda berencana untuk menyebarkan koneksi L3 Gateway dengan perutean BGP, pastikan untuk mengonfigurasi pengaturan BGP sakelar Top of Rack (ToR) dengan yang berikut ini:
- update-source: Ini menentukan alamat sumber untuk pembaruan BGP, yaitu L3 VLAN. Misalnya, VLAN 250.
- multihop ebgp: Ini menentukan lebih banyak hop yang diperlukan karena tetangga BGP lebih dari satu lompatan.
Perutean dinamis dengan BGP
BGP mengurangi kebutuhan konfigurasi rute manual pada router karena ini adalah protokol perutean dinamis, dan secara otomatis mempelajari rute antar situs yang terhubung dengan menggunakan koneksi VPN situs-ke-situs. Jika organisasi Anda memiliki beberapa situs yang tersambung menggunakan router berkemampuan BGP, seperti RAS Gateway, BGP memungkinkan router untuk secara otomatis menghitung dan menggunakan rute yang valid satu sama lain jika terjadi gangguan atau kegagalan jaringan.
BGP Route Reflector yang disertakan dalam RAS Gateway memberikan alternatif untuk topologi mesh penuh BGP yang diperlukan untuk sinkronisasi rute antara router. Untuk informasi selengkapnya, lihat Apa itu Route Reflector?
Cara kerja RAS Gateway
RAS Gateway merutekan lalu lintas antara sumber daya jaringan masin virtual dan jaringan fisik, terlepas dari lokasinya. Anda dapat merutekan lalu lintas di lokasi fisik yang sama atau di banyak lokasi yang berbeda.
Anda dapat menyebarkan RAS Gateway di kumpulan high availability yang menggunakan beberapa fitur sekaligus. Kumpulan gateway berisi beberapa instans RAS Gateway untuk high availability dan failover.
Anda dapat secara mudah menambah atau mengurangi skala kumpulan gateway dengan menambahkan atau menghapus mesin virtual gateway dalam kumpulan tersebut. Penghapusan atau penambahan gateway tidak mengganggu layanan yang disediakan oleh kumpulan. Anda juga dapat menambahkan dan menghapus seluruh kumpulan gateway. Untuk informasi selengkapnya, lihat RAS Gateway High Availability.
Setiap kumpulan gateway menyediakan redundansi M+N. Ini berarti bahwa mesin virtual gateway aktif sebanyak 'M' didukung oleh mesin virtual gateway siaga sebanyak 'N'. Redundansi M+N memberi Anda fleksibilitas lebih dalam menentukan tingkat keandalan yang Anda butuhkan saat menyebarkan RAS Gateway.
Anda dapat menetapkan satu alamat IP publik ke semua kumpulan atau ke sebagian kumpulan. Melakukannya sangat mengurangi jumlah alamat IP publik yang harus Anda gunakan, karena dimungkinkan untuk membuat semua penyewa terhubung ke cloud pada satu alamat IP.
Langkah berikutnya
Untuk informasi terkait, lihat juga:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk