Condividi tramite


Architettura della distribuzione del gateway del Servizio di accesso remoto

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versioni 21H2 e 20H2

È possibile usare questo argomento per informazioni sulla distribuzione Cloud Solution Provider (CSP) del gateway del Servizio di accesso remoto, inclusi pool di gateway del Servizio di accesso remoto, Route Reflector e la distribuzione di più gateway per singoli tenant.

Le sezioni seguenti forniscono brevi panoramiche di alcune delle nuove funzionalità del gateway del Servizio di accesso remoto in modo da comprendere come usare queste funzionalità nella progettazione della distribuzione del gateway.

Viene inoltre fornita una distribuzione di esempio che include informazioni sul processo di aggiunta di nuovi tenant, sulla sincronizzazione di route e il routing del piano dati, sul failover di gateway e Route Reflector e altro ancora.

Questo argomento include le sezioni seguenti.

Utilizzo delle nuove funzionalità del gateway del Servizio di accesso remoto per progettare la distribuzione

Il gateway del Servizio di accesso remoto include numerose nuove funzionalità che cambiano e migliorano il modo in cui si distribuisce l'infrastruttura del gateway nel data center.

Route Reflector BGP

La funzionalità Route Reflector del protocollo BGP (Border Gateway Protocol) è orra inclusa nel Gateway del Servizio di accesso remoto e fornisce un'alternativa alla topologia full mesh BGP necessaria per la sincronizzazione delle route tra i router. A maglia completa sincronizzazione, tutti i router BGP devono connettersi con tutti gli altri router nella topologia di routing. Quando si usa Route Reflector, tuttavia, Route Reflector è l'unico router che si connette a tutti gli altri router, denominati client Route Reflector BGP, semplificando così la sincronizzazione delle route e riducendo il traffico di rete. Il riflettore delle Route apprende tutte le route, route migliori calcola e ridistribuisce le route migliori ai propri client BGP.

Per altre informazioni, vedere Novità del gateway del Servizio di accesso remoto.

Pool di gateway

In Windows Server 2016 è possibile creare pool di gateway di tipi diversi. Pool di gateway includono più istanze del Gateway RAS e instradare il traffico di rete tra reti fisiche e virtuali.

Per altre informazioni, vedere Novità del gateway del Servizio di accesso remoto e Disponibilità elevata del gateway del Servizio di accesso remoto.

Scalabilità dei Pool di gateway

È possibile scalare facilmente un pool di gateway verso l'alto o verso il basso aggiungendo o rimuovendo le macchine virtuali gateway nel pool. Rimozione o aggiunta di gateway non interrotti i servizi forniti da un pool. È inoltre possibile aggiungere e rimuovere l'intero pool di gateway.

Per altre informazioni, vedere Novità del gateway del Servizio di accesso remoto e Disponibilità elevata del gateway del Servizio di accesso remoto.

Ridondanza dei Pool di Gateway M + N

Ogni pool di gateway è N + M ridondanti. Ciò significa che viene eseguito il backup di un numero 'M' di macchine virtuali gateway attive da parte di un numero 'N' di macchine virtuali gateway di standby. M + N ridondanza offre una maggiore flessibilità nella determinazione del livello di affidabilità che è necessario quando si distribuisce Gateway RAS.

Per altre informazioni, vedere Novità del gateway del Servizio di accesso remoto e Disponibilità elevata del gateway del Servizio di accesso remoto.

Distribuzione di esempio

La figura seguente fornisce un esempio di peering EBGP su connessioni VPN da sito a sito configurate tra due tenant, Contoso e Woodgrove, e il data center del Cloud Solution Provider (CSP) Fabrikam.

eBGP peering over site-to-site VPN

In questo esempio Contoso richiede larghezza di banda del gateway aggiuntiva, che porta alla decisione di progettazione dell'infrastruttura del gateway di terminare il sito Contoso di Los Angeles su GW3 anziché su GW2. Per questo motivo, le connessioni VPN di Contoso da siti diversi terminano nel data center del Cloud Solution Provider (CSP) in due gateway diversi.

Entrambi questi gateway, GW2 e GW3, sono stati i primi gateway del Servizio di accesso remoto configurati dal controller di rete quando il Cloud Solution Provider (CSP) ha aggiunto i tenant Contoso e Woodgrove all'infrastruttura. Per questo motivo, questi due gateway sono configurati come Route Reflector per questi clienti corrispondenti (o tenant). GW2 è il Route Reflector di Contoso e GW3 è il Route Reflector di Woodgrove, oltre a essere il punto di terminazione del gateway dell Servizio di accesso remoto del Cloud Solution Provider (CSP) per la connessione VPN con il sito della sede Contoso di Los Angeles.

Nota

Un gateway del Servizio di accesso remoto può instradare il traffico di rete virtuale e fisico per un massimo di cento tenant diversi, a seconda dei requisiti di larghezza di banda di ogni tenant.

Come Route Reflector, GW2 invia le route dello spazio indirizzi del cliente (CA) Contoso al controller di rete e GW3 invia le route dello spazio indirizzi del cliente (CA) Woodgrove al controller di rete.

Il controller di rete esegue il push dei criteri di Virtualizzazione rete Hyper-V nelle reti virtuali Contoso e Woodgrove, nonché dei criteri del Servizio di accesso remoto ai gateway del Servizio di accesso remoto e dei criteri di bilanciamento del carico ai Multiplexer (MUX) configurati come pool di bilanciamento del carico software.

Aggiunta di nuovi tenant e del peering EBGP dello spazio indirizzi dei clienti (CA)

Quando si firma il contratto con un nuovo cliente e lo si aggiunge come nuovo tenant nel data center, è possibile usare il processo seguente, gran parte del quale viene eseguito automaticamente dal controller di rete e dai router EBGP del gateway del Servizio di accesso remoto.

  1. Effettuare il provisioning di una nuova rete virtuale e dei carichi di lavoro in base ai requisiti del tenant.

  2. Se necessario, configurare la connettività remota tra il sito Enterprise del tenant remoto e la relativa rete virtuale nel data center. Quando si distribuisce una connessione VPN da sito a sito per il tenant, il controller di rete seleziona automaticamente una macchina virtuale gateway del Servizio di accesso remoto disponibile dal pool di gateway e configura la connessione.

  3. Durante la configurazione della macchina virtuale gateway del Servizio di accesso remoto per il nuovo tenant, il controller di rete configura anche il gateway del Servizio di accesso remoto come router BGP e lo designa come Route Reflector per il tenant. Questo vale anche in circostanze in cui il gateway del Servizio di accesso remoto funge da gateway, o da gateway e Route Reflector, per altri tenant.

  4. A seconda che il routing dello spazio indirizzi del cliente (CA) sia configurato per l'uso di reti configurate in modo statico o del routing BGP dinamico, il controller di rete configura le route statiche corrispondenti, le risorse BGP adiacenti o entrambi nella macchina virtuale del gateway del Servizio di accesso remoto e nel Route Reflector.

    Nota

    • Dopo che il controller di rete ha configurato un gateway del Servizio di accesso remoto e un Route Reflector per il tenant, ogni volta che lo stesso tenant richiede una nuova connessione VPN da sito a sito, controller di rete verifica la capacità disponibile in questa macchina virtuale gateway del Servizio di accesso remoto. Se il gateway originale può fornire la capacità necessaria, la nuova connessione di rete viene configurata anche nella stessa macchina virtuale gateway del Servizio di accesso remoto. Se la macchina virtuale gateway del Servizio di accesso remoto non può gestire capacità aggiuntiva, il controller di rete seleziona una nuova macchina virtuale gateway del Servizio di accesso remoto disponibile e configura la nuova connessione. Questa nuova macchina virtuale gateway del Servizio di accesso remoto associata al tenant diventa il client Route Reflector del gateway del Servizio di accesso remoto del tenant originale.

    • Poiché i pool di gateway del Servizio di accesso remoto sono gestiti da servizi di bilanciamento del carico software, gli indirizzi VPN da sito a sito dei tenant usano ognuno un singolo indirizzo IP pubblico, denominato indirizzo IP virtuale (VIP), che viene convertito dai servizi di bilanciamento del carico software in un indirizzo IP interno del data center, denominato indirizzo IP dinamico (DIP), per un gateway del Servizio di accesso remoto che instrada il traffico per il tenant Enterprise. Questo mapping di indirizzi IP da pubblico a privato effettuato dal servizio di bilanciamento del carico software garantisce che i tunnel VPN da sito a sito tra i siti Enterprise e i gateway del Servizio di accesso remoto del Cloud Solution Provider (CSP) e i Route Reflector vengano stabiliti nel modo corretto.

      Per altre informazioni sul servizio di bilanciamento del carico software, sugli indirizzi VIP e DIP, vedere Bilanciamento del carico software (SLB) per SDN.

  5. Dopo aver stabilito il tunnel VPN da sito a sito tra il sito Enterprise e il gateway del Servizio di accesso remoto del data center del Cloud Solution Provider (CSP) per il nuovo tenant, viene effettuato il provisioning automatico delle route statiche associate ai tunnel sia sul lato Enterprise che sul lato CSP del tunnel.

  6. Con il routing BGP dello spazio indirizzo del cliente (CA), viene stabilito anche il peering EBGP tra i siti Enterprise e il Route Reflector del gateway del Servizio di accesso remoto CSP.

Sincronizzazione delle route e routing del piano dati

Dopo aver stabilito il peering EBGP tra i siti Enterprise e il Route Reflector del gateway del Servizio di accesso remoto CSP, il Route Reflector apprende tutte le route Enterprise usando il routing BGP dinamico. Il Route Reflector sincronizza queste route tra tutti i client Route Reflector affinché siano tutte configurate con lo stesso set di route.

Route Reflector aggiorna inoltre queste route consolidate, usando la sincronizzazione delle route, con il controller di rete. Il controller di rete converte quindi le route nei criteri di Virtualizzazione rete Hyper-V e configura la rete dell'infrastruttura per assicurarsi che venga effettuato il provisioning del routing del percorso dati end-to-end. Questo processo rende la rete virtuale tenant accessibile dai siti Enterprise del tenant.

Per il routing del piano dati, i pacchetti che raggiungono le macchine virtuali del gateway del Servizio di accesso remoto vengono indirizzati direttamente alla rete virtuale del tenant, poiché le route necessarie sono ora disponibili con tutte le macchine virtuali del gateway del Servizio di accesso remoto partecipanti.

Analogamente, con i criteri di Virtualizzazione rete Hyper-V applicati, la rete virtuale tenant instrada i pacchetti direttamente alle macchine virtuali del gateway del Servizio di accesso remoto (senza che sia necessario conoscere il Route Reflector) e quindi ai siti Enterprise tramite i tunnel VPN da sito a sito.

In aggiunta. il traffico di risposta dalla rete virtuale tenant al sito Enterprise del tenant remoto ignora i servizi di bilanciamento del carico software, un processo denominato DSR (Direct Server Return).

Modalità di risposta del controller di rete al failover del gateway del Servizio di accesso remoto e dei Route Reflector

Di seguito sono riportati due possibili scenari di failover, uno per i client Reflector Route del gateway del Servizio di accesso remoto e uno per i Reflector Route del gateway del Servizio di accesso remoto, incluse informazioni sul modo in cui il controller di rete gestisce il failover per le macchine virtuali in entrambe le configurazioni.

Errore della macchina virtuale di un client Reflector Route BGP del gateway del Servizio di accesso remoto

Il controller di rete esegue le azioni seguenti in caso di errore del client Reflector Route del gateway del Servizio di accesso remoto.

Nota

Quando un gateway del Servizio di accesso remoto non è un Route Reflector per l'infrastruttura BGP di un tenant, si tratta di un client Reflector Route nell'infrastruttura BGP del tenant.

  • Il controller di rete seleziona una macchina virtuale gateway del Servizio di accesso remoto in standby disponibile ed effettua il provisioning della nuova macchina virtuale gateway del Servizio di accesso remoto con la configurazione della macchina virtuale gateway del Servizio di accesso remoto in stato di errore.

  • Il controller di rete aggiorna la configurazione del servizio di bilanciamento del carico software corrispondente per assicurarsi che i tunnel VPN da sito a sito dai siti tenant al gateway del Servizio di accesso remoto in stato di errore vengano stabiliti correttamente con il nuovo gateway del Servizio di accesso remoto.

  • Il controller di rete configura il client Route Reflector BGP nel nuovo gateway.

  • Il controller di rete configura il client Route Reflector BGP del gateway del Servizio di accesso remoto come attivo. Il gateway del Servizio di accesso remoto avvia immediatamente il peering con il Route Reflector del tenant per condividere le informazioni di routing e abilitare il peering EBGP per il sito Enterprise corrispondente.

Errore della macchina virtuale per un Route Reflector BGP del gateway del Servizio di accesso remoto

Il controller di rete esegue le azioni seguenti in caso di errore del Route Reflector BGP del gateway del Servizio di accesso remoto.

  • Il controller di rete seleziona una macchina virtuale gateway del Servizio di accesso remoto in standby disponibile ed effettua il provisioning della nuova macchina virtuale gateway del Servizio di accesso remoto con la configurazione della macchina virtuale gateway del Servizio di accesso remoto in stato di errore.

  • Il controller di rete configura il Route Reflector nella nuova macchina virtuale gateway del Servizio di accesso remoto e assegna alla nuova macchina virtuale lo stesso indirizzo IP usato dalla macchina virtuale in stato di errore, garantendo così l'integrità della route nonostante l'errore della macchina virtuale.

  • Il controller di rete aggiorna la configurazione del servizio di bilanciamento del carico software corrispondente per assicurarsi che i tunnel VPN da sito a sito dai siti tenant al gateway del Servizio di accesso remoto in stato di errore vengano stabiliti correttamente con il nuovo gateway del Servizio di accesso remoto.

  • Il controller di rete configura la macchina virtuale Route Reflector BGP del gateway del Servizio di accesso remoto come attiva.

  • Il Route Reflector diventa immediatamente attivo. Viene stabilito il tunnel VPN da sito a sito al sito Enterprise e il Route Reflector usa il peering EBGP e scambia le route con i router del sito Enterprise.

  • Dopo la selezione della route BGP, il Route Reflector BGP del gateway del Servizio di accesso remoto aggiorna i client Route Reflector del tenant nel data center e sincronizza le route con il controller di rete, rendendo disponibile il percorso dati end-to-end per il traffico del tenant.

Vantaggi dell'utilizzo delle nuove funzionalità del gateway del Servizio di accesso remoto

Di seguito sono riportati alcuni dei vantaggi dell'utilizzo di queste nuove funzionalità del gateway del Servizio di accesso remoto durante la progettazione della distribuzione del gateway del Servizio di accesso remoto.

Scalabilità del gateway del Servizio di accesso remoto

Poiché è possibile aggiungere tutte le macchine virtuali del gateway del Servizio di accesso remoto necessarie ai pool di gateway del Servizio di accesso remoto, è possibile ridimensionare facilmente la distribuzione del gateway del Servizio di accesso remoto per ottimizzare le prestazioni e la capacità. Quando si aggiungono macchine virtuali a un pool, è possibile configurare questi gateway del Servizio di accesso remoto con connessioni VPN da sito a sito di qualsiasi tipo (IKEv2, L3, GRE), eliminando i colli di bottiglia della capacità senza tempi di inattività.

Gestione semplificata del gateway del sito Enterprise

Se nel tenant sono presenti più siti Enterprise, il tenant può configurare tutti i siti con un indirizzo IP VPN da sito a sito remoto e un singolo indirizzo IP adiacente remoto, ovvero l'indirizzo VIP del Route Reflector BGP del gateway del Servizio di accesso remoto del data center CSP per tale tenant. Questo approccio semplifica la gestione dei gateway per i tenant.

Correzione rapida dell'errore del gateway

Per garantire una risposta di failover veloce, è possibile configurare il tempo del parametro Keepalive BGP tra le route perimetrali e il router di controllo su un intervallo di tempo breve, ad esempio minore o uguale a dieci secondi. Con questo breve intervallo keep-alive, se si verifica un errore nel router perimetrale BGP del gateway del Servizio di accesso remoto, l'errore viene rilevato rapidamente e il controller di rete segue i passaggi descritti nelle sezioni precedenti. Questo vantaggio potrebbe ridurre la necessità di un protocollo di rilevamento degli errori separato, ad esempio il protocollo BFD (Bidirectional Forwarding Detection).