Che cos'è il gateway RAS (Remote Access Service) per la rete definita dal software?
Si applica a: Azure Stack HCI, versioni 22H2 e 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Il gateway RAS è un router BGP (Border Gateway Protocol) basato su software progettato per i provider di servizi cloud e le aziende che ospitano reti virtuali multi-tenant usando Virtualizzazione rete Hyper-V (HNV). È possibile usare il gateway RAS per instradare il traffico di rete tra una rete virtuale e un'altra rete, locale o remota.
Il gateway RAS richiede il controller di rete, che esegue la distribuzione dei pool di gateway, configura le connessioni tenant in ogni gateway e passa i flussi di traffico di rete a un gateway di standby se un gateway ha esito negativo.
Nota
La multitenancy è la capacità di un'infrastruttura cloud di supportare i carichi di lavoro della macchina virtuale di più tenant, ma li isolano tra loro, mentre tutti i carichi di lavoro vengono eseguiti nella stessa infrastruttura. I carichi di lavoro multipli di un singolo tenant possono connettersi tra loro ed essere gestiti in modalità remota, ma questi sistemi non sono collegati con i carichi di lavoro di altri tenant né altri tenant possono gestirli in modalità remota.
Funzionalità
Il gateway RAS offre molte funzionalità per la rete privata virtuale (VPN), il tunneling, l'inoltro e il routing dinamico.
VPN IPsec da sito a sito
Questa funzionalità del gateway RAS consente di connettere due reti in posizioni fisiche diverse in Internet usando una connessione VPN (Site-to-Site) virtual private network (VPN). Si tratta di una connessione crittografata usando il protocollo VPN IKEv2.
Per i provider di servizi di rete che ospitano molti tenant nel data center, il gateway RAS offre una soluzione gateway multi-tenant che consente ai tenant di accedere e gestire le risorse tramite connessioni VPN da sito a sito da siti remoti. Il gateway RAS consente il flusso di traffico di rete tra le risorse virtuali nel data center e la propria rete fisica.
Tunnel GRE da sito a sito
I tunnel basati su GRE (Generic Routing Encapsulation) consentono la connettività tra reti virtuali tenant e reti esterne. Poiché il protocollo GRE è leggero e il supporto per GRE è disponibile nella maggior parte dei dispositivi di rete, è una scelta ideale per il tunneling in cui la crittografia dei dati non è necessaria.
Il supporto gre nei tunnel S2S risolve il problema dell'inoltro tra reti virtuali tenant e reti esterne tenant usando un gateway multi-tenant.
Layer 3 forwarding
L'inoltro di livello 3 (L3) garantisce la connettività tra l'infrastruttura fisica nel data center e l'infrastruttura virtualizzata nel cloud di virtualizzazione di rete Hyper-V. Usando la connessione di inoltro L3, le macchine virtuali di rete tenant possono connettersi a una rete fisica tramite il gateway SDN (Software Defined Networking), già configurato nell'ambiente SDN. In questo caso il gateway di rete SDN funge da router tra la rete virtualizzata e la rete fisica.
Il diagramma seguente illustra un esempio della configurazione dell'inoltro L3 in un cluster Azure Stack HCI configurato con SDN:
- Esistono due reti virtuali nel cluster Azure Stack HCI: rete virtuale SDN 1 con prefisso di indirizzo 10.0.0.0.0/16 e rete virtuale SDN 2 con prefisso di indirizzo 16.0.0.0/16.
- Ogni rete virtuale ha una connessione L3 alla rete fisica.
- Poiché le connessioni L3 sono per reti virtuali diverse, il gateway SDN ha un compartimento separato per ogni connessione per garantire l'isolamento.
- Ogni partizione del gateway SDN ha un'interfaccia nello spazio di rete virtuale e un'interfaccia nello spazio di rete fisica.
- Ogni connessione L3 deve eseguire il mapping a una VLAN univoca nella rete fisica. Questa VLAN deve essere diversa dalla VLAN del provider HNV, usata come rete fisica di inoltro dei dati sottostanti per il traffico di rete virtualizzato.
- In questo esempio viene usato il routing statico.
Ecco i dettagli di ogni connessione usata in questo esempio:
| Elemento di rete | Connessione 1 | Connessione 2 |
|---|---|---|
| Prefisso della subnet del gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Indirizzo IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Indirizzo IP peer L3 | 15.0.0.1 | 20.0.0.1 |
| Route sulla connessione | 18.0.0.0/24 | 22.0.0.0/24 |
Considerazioni sul routing quando si usa l'inoltro L3
Per il routing statico, è necessario configurare una route nella rete fisica per raggiungere la rete virtuale. Ad esempio, una route con prefisso indirizzo 10.0.0.0.0/16 con l'hop successivo come indirizzo IP L3 della connessione (15.0.0.5).
Per il routing dinamico con BGP, è comunque necessario configurare una route statica /32 perché la connessione BGP è tra l'interfaccia interna del compartimento del gateway e l'IP peer L3. Per Connessione 1, il peering sarà compreso tra 10.0.1.6 e 15.0.0.1. Pertanto, per questa connessione è necessaria una route statica sul commutatore fisico con prefisso di destinazione 10.0.1.6/32 con l'hop successivo come 15.0.0.5.
Se si prevede di distribuire le connessioni gateway L3 con il routing BGP, assicurarsi di aver configurato le impostazioni Top of Rack (ToR) con le impostazioni BGP seguenti:
- update-source: specifica l'indirizzo di origine per gli aggiornamenti BGP, ovvero L3 VLAN. Ad esempio, VLAN 250.
- ebgp multihop: questo specifica più hop sono necessari poiché il vicino BGP è più di un hop.
Routing dinamico con BGP
BGP, essendo un protocollo di routing dinamico che apprende automaticamente le route tra i siti connessi da connessioni VPN da sito a sito, riduce la necessità di configurare manualmente le route sui router. Se l'organizzazione dispone di più siti connessi usando router abilitati per BGP, ad esempio gateway RAS, BGP consente ai router di calcolare e usare automaticamente route valide tra loro in caso di interruzione o errore di rete.
Il reflectionor di route BGP incluso nel gateway RAS offre un'alternativa alla topologia mesh completa BGP necessaria per la sincronizzazione delle route tra router. Per altre informazioni, vedere What Is Route Reflectionor?for more information, see What Is Route Reflectionor?
Funzionamento del gateway RAS
Il gateway RAS indirizza il traffico di rete tra la rete fisica e le risorse di rete vm, indipendentemente dalla posizione. È possibile instradare il traffico di rete nella stessa posizione fisica o in molte posizioni diverse.
È possibile distribuire il gateway RAS in pool di disponibilità elevata che usano più funzionalità contemporaneamente. I pool di gateway contengono più istanze del gateway RAS per la disponibilità elevata e il failover.
È possibile scalare facilmente un pool di gateway verso l'alto o verso il basso aggiungendo o rimuovendo le macchine virtuali gateway nel pool. La rimozione o l'aggiunta di gateway non interrompe i servizi forniti da un pool. È inoltre possibile aggiungere e rimuovere l'intero pool di gateway. Per ulteriori informazioni, vedere RAS Gateway un'elevata disponibilità.
Ogni pool di gateway offre ridondanza M+N. Ciò significa che il numero 'M' di macchine virtuali gateway attive viene eseguito il backup in base al numero 'N' di macchine virtuali gateway di standby. La ridondanza M+N offre maggiore flessibilità per determinare il livello di affidabilità richiesto quando si distribuisce il gateway RAS.
È possibile assegnare un singolo indirizzo IP pubblico a tutti i pool o a un subset di pool. In questo modo si riduce notevolmente il numero di indirizzi IP pubblici che è necessario usare, perché è possibile avere tutti i tenant connessi al cloud in un singolo indirizzo IP.
Passaggi successivi
Per informazioni correlate, vedere anche:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per