Che cos'è il gateway RAS (Remote Access Service) per software defined networking?
Si applica a: Azure Stack HCI, versioni 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Questo articolo offre una panoramica del gateway RAS (Remote Access Service) per SDN (Software Defined Networking) in Azure Stack HCI e Windows Server.
Il gateway RAS è un router con funzionalità BGP (Border Gateway Protocol) basato su software progettato per provider di servizi cloud e aziende che ospitano reti virtuali multi-V tramite Hyper-V Network Virtualization (HNV). È possibile usare il gateway RAS per instradare il traffico di rete tra una rete virtuale e un'altra rete, locale o remota.
Il gateway RAS richiede il controller di rete, che esegue la distribuzione dei pool di gateway, configura le connessioni tenant in ogni gateway e passa il traffico di rete a un gateway di standby in caso di errore di un gateway.
Nota
La multi-tenancy è la possibilità di un'infrastruttura cloud di supportare i carichi di lavoro delle macchine virtuali (VM) di più tenant, ma isolarli l'uno dall'altro, mentre tutti i carichi di lavoro vengono eseguiti nella stessa infrastruttura. I carichi di lavoro multipli di un singolo tenant possono connettersi tra loro ed essere gestiti in modalità remota, ma questi sistemi non sono collegati con i carichi di lavoro di altri tenant né altri tenant possono gestirli in modalità remota.
Funzionalità
Gateway RAS offre molte funzionalità per la rete privata virtuale (VPN), il tunneling, l'inoltro e il routing dinamico.
VPN IPsec da sito a sito
Questa funzionalità gateway RAS consente di connettere due reti in posizioni fisiche diverse in Internet usando una connessione vpn (Site-to-Site) virtual private network (VPN). Si tratta di una connessione crittografata, che usa il protocollo VPN IKEv2.
Per i provider di servizi di configurazione che ospitano molti tenant nel data center, gateway RAS offre una soluzione gateway multi-tenant che consente ai tenant di accedere e gestire le risorse tramite connessioni VPN da sito a sito da siti remoti. Gateway RAS consente il flusso del traffico di rete tra le risorse virtuali nel data center e la relativa rete fisica.
Tunnel GRE da sito a sito
I tunnel basati su GENERIC Routing Encapsulation (GRE) consentono la connettività tra reti virtuali tenant e reti esterne. Poiché il protocollo GRE è leggero e il supporto per GRE è disponibile nella maggior parte dei dispositivi di rete, è una scelta ideale per il tunneling in cui la crittografia dei dati non è necessaria.
Il supporto gre nei tunnel S2S risolve il problema dell'inoltro tra reti virtuali tenant e reti esterne tenant usando un gateway multi-tenant.
Layer 3 forwarding
L'inoltro di livello 3 (L3) garantisce la connettività tra l'infrastruttura fisica nel data center e l'infrastruttura virtualizzata nel cloud di virtualizzazione di rete Hyper-V. Usando la connessione di inoltro L3, le macchine virtuali di rete tenant possono connettersi a una rete fisica tramite il gateway SDN, già configurato nell'ambiente SDN. In questo caso il gateway di rete SDN funge da router tra la rete virtualizzata e la rete fisica.
Il diagramma seguente illustra un esempio della configurazione dell'inoltro L3 in un cluster Azure Stack HCI configurato con SDN:
- Esistono due reti virtuali nel cluster Azure Stack HCI: rete virtuale SDN 1 con prefisso di indirizzo 10.0.0.0/16 e rete virtuale SDN 2 con prefisso di indirizzo 16.0.0.0/16.
- Ogni rete virtuale ha una connessione L3 alla rete fisica.
- Poiché le connessioni L3 sono destinate a reti virtuali diverse, il gateway SDN ha un raggruppamento separato per ogni connessione per garantire l'isolamento.
- Ogni raggruppamento di gateway SDN ha un'interfaccia nello spazio di rete virtuale e un'interfaccia nello spazio di rete fisico.
- Ogni connessione L3 deve eseguire il mapping a una VLAN univoca nella rete fisica. Questa VLAN deve essere diversa dalla VLAN del provider HNV, usata come rete fisica di inoltro dati sottostante per il traffico di rete virtualizzato.
- In questo esempio viene usato il routing statico.
Ecco i dettagli di ogni connessione usata in questo esempio:
| Elemento di rete | Connessione 1 | Connessione 2 |
|---|---|---|
| Prefisso subnet del gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Indirizzo IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Indirizzo IP peer L3 | 15.0.0.1 | 20.0.0.1 |
| Route sulla connessione | 18.0.0.0/24 | 22.0.0.0/24 |
Considerazioni sul routing quando si usa l'inoltro L3
Per il routing statico, è necessario configurare una route nella rete fisica per raggiungere la rete virtuale. Ad esempio, una route con prefisso indirizzo 10.0.0.0/16 con l'hop successivo come indirizzo IP L3 della connessione (15.0.0.5).
Per il routing dinamico con BGP, è comunque necessario configurare una route statica /32 perché la connessione BGP è tra l'interfaccia interna del raggruppamento gateway e l'IP peer L3. Per Connection 1, il peering sarà compreso tra 10.0.1.6 e 15.0.0.1. Per questa connessione è quindi necessaria una route statica sul commutatore fisico con prefisso di destinazione 10.0.1.6/32 con l'hop successivo 15.0.0.5.
Se si prevede di distribuire connessioni gateway L3 con il routing BGP, assicurarsi di configurare le impostazioni BGP dell'opzione Top of Rack (ToR) con le impostazioni seguenti:
- update-source: specifica l'indirizzo di origine per gli aggiornamenti BGP, ovvero L3 VLAN. Ad esempio, VLAN 250.
- ebgp multihop: questo specifica più hop sono necessari perché il vicino BGP è più di un hop.
Routing dinamico con BGP
BGP riduce la necessità di configurare manualmente la route nei router perché si tratta di un protocollo di routing dinamico e apprende automaticamente le route tra siti connessi tramite connessioni VPN da sito a sito. Se l'organizzazione dispone di più siti connessi tramite router abilitati per BGP, ad esempio gateway RAS, BGP consente ai router di calcolare e usare automaticamente route valide tra loro in caso di interruzione o errore di rete.
Il riflettore della route BGP incluso nel gateway RAS offre un'alternativa alla topologia mesh completa BGP necessaria per la sincronizzazione delle route tra router. Per altre informazioni, vedere Che cos'è il reflector di route?
Funzionamento del gateway RAS
Il gateway RAS indirizza il traffico di rete tra la rete fisica e le risorse di rete vm, indipendentemente dalla posizione. È possibile instradare il traffico di rete nella stessa posizione fisica o in molte posizioni diverse.
È possibile distribuire gateway RAS in pool a disponibilità elevata che usano più funzionalità contemporaneamente. I pool di gateway contengono più istanze del gateway RAS per la disponibilità elevata e il failover.
È possibile scalare facilmente un pool di gateway verso l'alto o verso il basso aggiungendo o rimuovendo le macchine virtuali gateway nel pool. La rimozione o l'aggiunta di gateway non interrompe i servizi forniti da un pool. È inoltre possibile aggiungere e rimuovere l'intero pool di gateway. Per ulteriori informazioni, vedere RAS Gateway un'elevata disponibilità.
Ogni pool di gateway offre ridondanza M+N. Ciò significa che il numero "M" di macchine virtuali gateway attive viene sottoposto a backup dal numero "N" di macchine virtuali del gateway di standby. La ridondanza M+N offre maggiore flessibilità per determinare il livello di affidabilità necessario quando si distribuisce il gateway RAS.
È possibile assegnare un singolo indirizzo IP pubblico a tutti i pool o a un subset di pool. In questo modo si riduce notevolmente il numero di indirizzi IP pubblici che è necessario usare, perché è possibile che tutti i tenant si connettano al cloud in un singolo indirizzo IP.
Passaggi successivi
Per informazioni correlate, vedere anche:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per