Ketersediaan Tinggi RAS Gateway
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versi 21H2 dan 20H2
Anda dapat menggunakan topik ini untuk mempelajari tentang konfigurasi ketersediaan tinggi untuk RAS Multitenant Gateway for Software Defined Networking (SDN).
Topik ini berisi bagian berikut.
Gambaran Umum RAS Gateway
Jika organisasi Anda adalah Penyedia Layanan Cloud (CSP) atau Perusahaan dengan beberapa penyewa, Anda dapat menyebarkan RAS Gateway dalam mode multipenyewa untuk menyediakan perutean lalu lintas jaringan ke dan dari jaringan virtual dan fisik, termasuk Internet.
Anda dapat menyebarkan RAS Gateway dalam mode multipenyewa sebagai gateway tepi untuk merutekan lalu lintas jaringan pelanggan penyewa ke jaringan virtual penyewa dan sumber daya.
Saat Anda menyebarkan beberapa instans VM RAS Gateway yang menyediakan ketersediaan tinggi dan failover, Anda menyebarkan kumpulan gateway. Di Windows Server 2012 R2, semua VM gateway membentuk satu kumpulan, yang membuat pemisahan logis penyebaran gateway sedikit sulit. Gateway Windows Server 2012 R2 menawarkan penyebaran redundansi 1:1 untuk VM gateway, yang mengakibatkan kurangnya pemanfaatan kapasitas yang tersedia untuk koneksi VPN situs-ke-situs (S2S).
Masalah ini diselesaikan di Windows Server 2016, yang menyediakan beberapa Kumpulan Gateway - yang bisa dari berbagai jenis untuk pemisahan logis. Mode baru redundansi M+N memungkinkan konfigurasi failover yang lebih efisien.
Untuk informasi gambaran umum selengkapnya tentang RAS Gateway, lihat RAS Gateway.
Gambaran Umum Kumpulan Gateway
Di Windows Server 2016, Anda dapat menyebarkan gateway di satu atau beberapa kumpulan.
Ilustrasi berikut menunjukkan berbagai jenis kumpulan gateway yang menyediakan perutean lalu lintas antar jaringan virtual.
Setiap kumpulan memiliki properti berikut.
Setiap kumpulan adalah redundan M+N. Ini berarti bahwa jumlah 'M' VM gateway aktif dicadangkan oleh jumlah 'N' VM gateway siaga. Nilai N (gateway siaga) selalu kurang dari atau sama dengan M (gateway aktif).
Kumpulan dapat melakukan salah satu fungsi gateway individual - Internet Key Exchange versi 2 (IKEv2) S2S, Layer 3 (L3), dan Generic Routing Encapsulation (GRE) - atau kumpulan dapat melakukan semua fungsi ini.
Anda dapat menetapkan satu alamat IP publik ke semua kumpulan atau ke sebagian kumpulan. Tindakan ini akan sangat mengurangi jumlah alamat IP publik yang harus Anda gunakan karena semua penyewa bisa saja tersambung ke cloud pada satu alamat IP. Bagian di bawah ini tentang Ketersediaan Tinggi dan Penyeimbangan beban menjelaskan cara kerjanya.
Anda dapat secara mudah menambah atau mengurangi skala kumpulan gateway dengan menambahkan atau menghapus mesin virtual gateway dalam kumpulan tersebut. Penghapusan atau penambahan gateway tidak mengganggu layanan yang disediakan oleh suatu kumpulan. Anda juga dapat menambahkan dan menghapus seluruh kumpulan gateway.
Koneksi penyewa tunggal dapat berakhir pada beberapa kumpulan dan beberapa gateway dalam kumpulan. Namun, jika penyewa memiliki koneksi yang berakhir di kumpulan gateway Semua jenis, penyewa tidak dapat berlangganan semua jenis atau kumpulan gateway jenis individual lainnya.
Kumpulan gateway juga memberikan fleksibilitas untuk mengaktifkan skenario tambahan:
Kumpulan penyewa tunggal - Anda dapat membuat satu kumpulan untuk digunakan oleh satu penyewa.
Jika Anda menjual layanan cloud melalui saluran mitra (reseller), Anda dapat membuat kumpulan terpisah untuk setiap penjual.
Beberapa kumpulan dapat menyediakan fungsi gateway yang sama tetapi kapasitas yang berbeda. Misalnya, Anda dapat membuat kumpulan gateway yang mendukung throughput tinggi dan koneksi IKEv2 S2S throughput rendah.
Gambaran Umum Penyebaran RAS Gateway
Ilustrasi berikut menunjukkan penyebaran Cloud Service Provider (CSP) khas RAS Gateway.
Dengan jenis penyebaran ini, kumpulan gateway disebarkan di belakang Software Load Balancer (SLB), yang memungkinkan CSP menetapkan satu alamat IP publik untuk seluruh penyebaran. Beberapa koneksi gateway penyewa dapat berakhir di beberapa kumpulan gateway - dan juga di beberapa gateway dalam kumpulan. Ini diilustrasikan melalui koneksi IKEv2 S2S dalam diagram di atas, tetapi hal yang sama juga berlaku untuk fungsi gateway lain, seperti gateway L3 dan GRE.
Dalam ilustrasi, perangkat MT BGP adalah RAS Multitenant Gateway dengan BGP. BGP multipenyewa digunakan untuk perutean dinamis. Perutean untuk penyewa dipusatkan - satu titik, yang disebut pencermin rute (RR), menangani peering BGP untuk semua situs penyewa. RR itu sendiri didistribusikan di semua gateway dalam kumpulan. Ini menghasilkan konfigurasi di mana koneksi penyewa (jalur data) berakhir pada beberapa gateway, tetapi RR untuk penyewa (titik peering BGP - jalur kontrol) hanya berada di salah satu gateway.
Router BGP dipisahkan dalam diagram untuk menggambarkan konsep perutean terpusat ini. Implementasi BGP gateway juga menyediakan perutean transit, yang memungkinkan cloud bertindak sebagai titik transit untuk perutean antara dua situs penyewa. Kemampuan BGP ini berlaku untuk semua fungsi gateway.
Integrasi RAS Gateway dengan Pengontrol Jaringan
RAS Gateway sepenuhnya terintegrasi dengan Network Controller di Windows Server 2016. Saat RAS Gateway dan Network Controller disebarkan, Network Controller melakukan fungsi berikut.
Penyebaran kumpulan gateway
Konfigurasi koneksi penyewa di setiap gateway
Mengalihkan arus lalu lintas jaringan ke gateway siaga jika terjadi kegagalan gateway
Bagian berikut ini menyediakan informasi terperinci tentang RAS Gateway dan Network Controller.
Provisi dan Penyeimbangan Beban Koneksi Gateway (IKEv2, L3, dan GRE)
Saat penyewa meminta koneksi gateway, permintaan dikirim ke Pengontrol Jaringan. Pengontrol Jaringan dikonfigurasi dengan informasi tentang semua kumpulan gateway, termasuk kapasitas setiap kumpulan dan setiap gateway di setiap kumpulan. Pengontrol Jaringan memilih kumpulan dan gateway yang benar untuk koneksi. Pilihan ini didasarkan pada persyaratan bandwidth untuk koneksi. Pengontrol Jaringan menggunakan algoritma "paling cocok" untuk memilih koneksi secara efisien dalam kumpulan. Titik peering BGP untuk koneksi juga ditunjuk saat ini jika ini adalah koneksi pertama penyewa.
Setelah Pengontrol Jaringan memilih RAS Gateway untuk koneksi, Pengontrol Jaringan menyediakan konfigurasi yang diperlukan untuk koneksi di gateway. Jika koneksi adalah koneksi IKEv2 S2S, Pengontrol Jaringan juga menyediakan aturan Network Address Translation (NAT) pada kumpulan SLB; aturan NAT ini pada kumpulan SLB mengarahkan permintaan koneksi dari penyewa ke gateway yang ditunjuk. Penyewa dibingkai oleh IP sumber, yang diharapkan unik.
Catatan
Koneksi L3 dan GRE melewati SLB dan terhubung langsung dengan RAS Gateway yang ditunjuk. Koneksi ini mengharuskan router titik akhir jarak jauh (atau perangkat pihak ketiga lainnya) harus dikonfigurasi dengan benar untuk terhubung dengan RAS Gateway.
Jika perutean BGP diaktifkan untuk koneksi, maka peering BGP dimulai oleh RAS Gateway - dan rute ditukar antara gateway lokal dan cloud. Rute yang dipelajari oleh BGP (atau rute yang dikonfigurasi secara statis jika BGP tidak digunakan) dikirim ke Pengontrol Jaringan. Pengontrol Jaringan kemudian membagi rute ke host Hyper-V tempat VM penyewa diinstal. Pada titik ini, lalu lintas penyewa dapat dirutekan ke situs lokal yang benar. Pengontrol Jaringan juga membuat kebijakan Virtualisasi Jaringan Hyper-V terkait yang menentukan lokasi gateway, dan mempluknya ke host Hyper-V.
Ketersediaan Tinggi untuk IKEv2 S2S
RAS Gateway dalam kumpulan terdiri dari koneksi dan peering BGP dari penyewa yang berbeda. Setiap kumpulan memiliki gateway aktif 'M' dan gateway siaga 'N'.
Pengontrol Jaringan menangani kegagalan gateway dengan cara berikut.
Pengontrol Jaringan terus-menerus melakukan ping gateway di semua kumpulan dan dapat mendeteksi gateway yang gagal atau gagal. Pengontrol Jaringan dapat mendeteksi jenis kegagalan RAS Gateway berikut.
Kegagalan VM RAS Gateway
Kegagalan host Hyper-V tempat RAS Gateway berjalan
Kegagalan layanan RAS Gateway
Pengontrol Jaringan menyimpan konfigurasi semua gateway aktif yang disebarkan. Konfigurasi terdiri dari pengaturan koneksi dan pengaturan perutean.
Saat gateway gagal, itu berdampak pada koneksi penyewa di gateway, serta koneksi penyewa yang terletak di gateway lain tetapi RR-nya berada di gateway yang gagal. Waktu henti koneksi terakhir kurang dari yang sebelumnya. Ketika Pengontrol Jaringan mendeteksi gateway yang gagal, pengontrol jaringan melakukan tugas berikut.
Menghapus rute koneksi yang terkena dampak dari host komputasi.
Menghapus kebijakan Virtualisasi Jaringan Hyper-V pada host ini.
Memilih gateway siaga, mengonversinya menjadi gateway aktif, dan mengonfigurasi gateway.
Mengubah pemetaan NAT pada kumpulan SLB untuk mengarahkan koneksi ke gateway baru.
Secara bersamaan, saat konfigurasi muncul di gateway aktif baru, koneksi IKEv2 S2S dan peering BGP dibuat kembali. Koneksi dan peering BGP dapat dimulai oleh gateway cloud atau gateway lokal. Gateway me-refresh rute mereka dan mengirimkannya ke Pengontrol Jaringan. Setelah Pengontrol Jaringan mempelajari rute baru yang ditemukan oleh gateway, Pengontrol Jaringan mengirim rute dan kebijakan Virtualisasi Jaringan Hyper-V terkait ke host Hyper-V tempat VM penyewa yang terkena dampak kegagalan berada. Aktivitas Pengontrol Jaringan ini mirip dengan keadaan penyiapan koneksi baru, hanya saja terjadi pada skala yang lebih besar.
Ketersediaan Tinggi untuk GRE
Proses respons failover RAS Gateway oleh Pengontrol Jaringan - termasuk deteksi kegagalan, menyalin koneksi dan konfigurasi perutean ke gateway siaga, failover perutean BGP/statis koneksi yang terkena dampak (termasuk penarikan dan pipa ulang rute pada host komputasi dan re-peering BGP), dan konfigurasi ulang kebijakan Virtualisasi Jaringan Hyper-V pada host komputasi - sama untuk gateway dan koneksi GRE. Pembentukan kembali koneksi GRE terjadi secara berbeda, namun, dan solusi ketersediaan tinggi untuk GRE memiliki beberapa persyaratan tambahan.
Pada saat penyebaran gateway, setiap VM RAS Gateway diberi alamat IP Dinamis (DIP). Selain itu, setiap gateway VM juga diberi alamat IP virtual (VIP) untuk ketersediaan tinggi GRE. VIP hanya ditetapkan ke gateway di kumpulan yang dapat menerima koneksi GRE, dan bukan ke kumpulan non-GRE. VIP yang ditetapkan diiklankan ke sakelar top of rack (TOR) menggunakan BGP, yang kemudian mengiklankan VIP lebih lanjut ke jaringan fisik cloud. Ini membuat gateway dapat dijangkau dari router jarak jauh atau perangkat pihak ketiga di mana ujung lain koneksi GRE berada. Peering BGP ini berbeda dari peering BGP tingkat penyewa untuk pertukaran rute penyewa.
Pada saat provisi koneksi GRE, Pengontrol Jaringan memilih gateway, mengonfigurasi titik akhir GRE pada gateway yang dipilih, dan mengembalikan kembali alamat VIP gateway yang ditetapkan. VIP ini kemudian dikonfigurasi sebagai alamat terowongan GRE tujuan pada router jarak jauh.
Saat gateway gagal, Pengontrol Jaringan menyalin alamat VIP gateway yang gagal dan data konfigurasi lainnya ke gateway siaga. Ketika gateway siaga menjadi aktif, gateway tersebut mengiklankan VIP ke sakelar TOR-nya dan lebih jauh ke jaringan fisik. Router jarak jauh terus menghubungkan terowongan GRE ke VIP yang sama dan infrastruktur perutean memastikan bahwa paket dirutekan ke gateway aktif baru.
Ketersediaan Tinggi untuk Gateway Penerusan L3
Gateway penerusan Hyper-V Network Virtualization L3 adalah jembatan antara infrastruktur fisik di pusat data dan infrastruktur virtual di cloud Virtualisasi Jaringan Hyper-V. Pada gateway penerusan L3 multipenyewa, setiap penyewa menggunakan jaringan logis yang ditandai VLAN sendiri untuk konektivitas dengan jaringan fisik penyewa.
Saat penyewa baru membuat gateway L3 baru, Network Controller Gateway Service Manager memilih VM gateway yang tersedia dan mengonfigurasi antarmuka penyewa baru dengan alamat IP ruang Alamat Pelanggan (CA) yang sangat tersedia (dari jaringan logis yang ditandai VLAN penyewa). Alamat IP digunakan sebagai alamat IP serekan di gateway jaringan jarak jauh (jaringan fisik), dan merupakan Next-Hop untuk menjangkau jaringan Virtualisasi Jaringan Hyper-V penyewa.
Tidak seperti koneksi jaringan IPsec atau GRE, sakelar TOR tidak akan mempelajari jaringan yang ditandai VLAN penyewa secara dinamis. Perutean untuk jaringan yang ditandai VLAN penyewa perlu dikonfigurasi pada sakelar TOR dan semua sakelar menengah dan router antara infrastruktur fisik dan gateway untuk memastikan konektivitas ujung ke ujung. Berikut ini adalah contoh konfigurasi Jaringan Virtual CSP seperti yang digambarkan dalam ilustrasi di bawah ini.
| Jaringan | Subnet | ID VLAN | Gateway default |
|---|---|---|---|
| Jaringan Logis Contoso L3 | 10.127.134.0/24 | 1001 | 10.127.134.1 |
| Jaringan Logis Woodgrove L3 | 10.127.134.0/24 | 1002 | 10.127.134.1 |
Berikut ini adalah contoh konfigurasi gateway penyewa seperti yang digambarkan dalam ilustrasi di bawah ini.
| Nama Penyewa | Alamat IP gateway L3 | ID VLAN | Alamat IP Serekan |
|---|---|---|---|
| Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
| Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
Berikut ini adalah ilustrasi konfigurasi ini di pusat data CSP.
Kegagalan gateway, deteksi kegagalan, dan proses failover gateway dalam konteks gateway penerusan L3 mirip dengan proses untuk Gateway IKEv2 dan GRE RAS. Perbedaannya adalah cara alamat IP eksternal ditangani.
Saat status VM gateway menjadi tidak sehat, Pengontrol Jaringan memilih salah satu gateway siaga dari kumpulan dan menyediakan kembali koneksi jaringan dan perutean pada gateway siaga. Saat memindahkan koneksi, alamat IP ruang CA gateway Penerusan L3 yang sangat tersedia juga dipindahkan ke VM gateway baru bersama dengan alamat IP BGP ruang CA penyewa.
Karena alamat IP Peering L3 dipindahkan ke VM gateway baru selama failover, infrastruktur fisik jarak jauh kembali dapat terhubung ke alamat IP ini dan, kemudian, mencapai beban kerja Virtualisasi Jaringan Hyper-V. Untuk perutean dinamis BGP, karena alamat IP BGP ruang CA dipindahkan ke VM gateway baru, Router BGP jarak jauh dapat membangun kembali peering dan mempelajari semua rute Virtualisasi Jaringan Hyper-V lagi.
Catatan
Anda harus mengonfigurasi sakelar TOR secara terpisah dan semua router perantara untuk menggunakan jaringan logis yang ditandai VLAN untuk komunikasi penyewa. Selain itu, failover L3 dibatasi hanya untuk rak yang dikonfigurasi dengan cara ini. Karena itu, kumpulan gateway L3 harus dikonfigurasi dengan hati-hati dan konfigurasi manual harus diselesaikan secara terpisah.