RAS-gateway beschrijven en implementeren in Azure Stack HCI

  • 11 minuten

Een meerderheid van klanten die gebruikmaken van financiële services die door uw bedrijf worden geleverd, vereisen veilige en betrouwbare verbindingen met hun eigen datacentrums. Om aan deze vereiste te voldoen, hebt u besloten om de functionaliteit van RAS Gateway te verkennen.

RAS-gateway beschrijven

RAS-gateway is een op software gebaseerde, BGP-compatibele router die is gebaseerd op Microsoft Hyper-V-netwerkvirtualisatie en geoptimaliseerd voor scenario's met meerdere tenants. RAS Gateway implementeert routering tussen interne en externe fysieke netwerken, en privé- en openbare clouds die IPsec(Internet Protocol Security) VPN-tunnels (Virtual Private Network) en GRE-tunnels ondersteunen.

RAS-gateway biedt ondersteuning voor de volgende kernmogelijkheden:

  • Site-naar-site (S2S) IPsec VPN
  • S2S GRE-tunneling
  • L3 Doorsturen
  • Dynamische routering met BGP

S2S IPsec VPN

Deze RAS-gateway biedt virtuele netwerkconnectiviteit via internet met behulp van een versleutelde tunnel. In scenario's met meerdere tenants kunnen tenants hun resources die worden gehost op uw Azure Stack HCI-implementatie openen en beheren vanaf externe locaties. De VPN-functionaliteit bevat ondersteuning voor INTERNET Key Exchange v2 (IKEv2) en punt-naar-site-VPN (P2S).

Diagram that shows S 2 S I P sec VPN with a multitenant gateway and tenants accessing and managing resources from remote locations.

S2S GRE-tunneling

GRE is een lichtgewicht tunnelingprotocol dat een reeks netwerklaagprotocollen kan inkapselen binnen virtuele punt-naar-puntkoppelingen via IP zonder de overhead van versleuteling. GRE-tunneling vereenvoudigt de implementatie van de volgende scenario's:

  • Toegang vanuit de virtuele netwerken van de tenant naar een fysiek netwerk binnen dezelfde hostingomgeving

Diagram that shows S 2 S G R E tunneling with access from the tenant's virtual networks to a physical network within the same hosting environment.

  • Snelle connectiviteit via een MPLS-verbinding (Multiprotocol Label Switching) vanuit het eigen on-premises netwerk van de tenant.

Diagram that shows S 2 S G R E tunneling with high-speed connectivity over a M P L S connection from the tenant's own on-premises network.

  • Integratie met isolatie op basis van VLAN

Diagram that shows S 2 S G R E tunneling integration with V LAN-based isolation.

  • Toegang vanuit een of meer virtuele netwerken van tenants met niet-overlappende IP-adresruimten naar gedeelde resources binnen een fysiek netwerk van een hostingprovider

Diagram that shows S 2 S G R E tunneling access from one or more tenants' virtual networks.

L3 Doorsturen

In dit scenario fungeert de gateway als een router tussen de gevirtualiseerde Azure Stack HCI-omgeving en de fysieke infrastructuur in een datacenter. Elke tenant gebruikt een eigen logisch VLAN-gelabeld netwerk voor de connectiviteit met het fysieke netwerk.

Dynamische routering met BGP

Als dynamisch routeringsprotocol minimaliseert BGP de noodzaak van handmatige routeconfiguratie op routers. Wanneer de routers werken in een omgeving met meerdere locaties die zijn verbonden door BGP-routers zoals RAS-gateway, kunnen de routers automatisch routes leren en hun configuratie bijwerken zodat deze overeenkomen met de bestaande netwerkinfrastructuur; Bijvoorbeeld als gevolg van het instellen van nieuwe verbindingen of als reactie op netwerkverbindingsproblemen. Met RAS-gateway in multitenantmodus biedt BGP de mogelijkheid om netwerkverkeersroutering tussen vm-netwerken van tenants en hun externe sites te beheren.

Notitie

U kunt BGP ook gebruiken voor RAS-gatewayimplementaties met één tenant en wanneer u de RAS-serverfunctie gebruikt om een LAN-router te implementeren.

Routeringsinformatie wordt aangekondigd door RAS-gateway (en andere SDN-onderdelen zoals Software Load Balancing Multiplexer) in het fysieke netwerk met behulp van interne BGP-peering. U moet echter een BGP-peer maken op de router die door uw SDN-infrastructuur wordt gebruikt voor het ontvangen van routes voor de netwerken die worden aangekondigd door de Software Load Balancing Multiplexer- en RAS-gateway. BGP-peering hoeft slechts één manier op te treden (van de Software Load Balancing Multiplexer of RAS-gateway naar de externe BGP-peer).

Notitie

U moet de BGP-router-peer configureren om een eigen ASN te gebruiken en peering toe te staan van een ASN die is toegewezen aan de SDN-onderdelen (Software Load Balancing Multiplexer en RAS Gateway).

RAS-gateway en gatewayverbindingen implementeren

Voordat u gatewayverbindingen en virtuele tenantgateways maakt, moet u SDN RAS-gateway implementeren. Daarnaast is voor IPsec-verbindingen vereist dat u SDN Software Load Balancers implementeert. De RAS Gateway-infrastructuur bestaat uit gatewaygroepen en BGP Route Reflector.

Gatewaygroepen beschrijven

Gatewaygroepen zijn groepen met door SDN beheerde VM's die netwerkverkeer routeren tussen fysieke en virtuele netwerken. Pools hebben de volgende eigenschappen:

  • Elke pool is M+N redundant, wat betekent dat er een back-up wordt gemaakt van M-actieve gateway-VM's door VM's met een stand-bygateway. M+N-redundantie biedt extra flexibiliteit bij het implementeren van maximaal beschikbare RAS-gatewayimplementaties.
  • Een pool kan elke combinatie van afzonderlijke gatewayfuncties uitvoeren, zoals S2S, L3 en GRE.
  • In een multitenant RAS-gatewayimplementatie worden de gatewaygroepen geïmplementeerd achter een SDN SLB, waarmee u één openbaar IP-adres voor de hele implementatie kunt toewijzen.
  • U kunt pools horizontaal schalen door gateway-VM's toe te voegen of te verwijderen. Het verwijderen of toevoegen van gateways verstoort de services die worden geleverd door een pool niet.
  • U kunt pools definiëren op basis van een aantal criteria, waaronder:
    • Verbinding maken iontypen, zoals S2S, L3 of GRE
    • Capaciteit
    • Redundantieniveau
    • Tenantscheiding

U kunt bijvoorbeeld een gatewaygroep maken die zowel IKEv2 S2S-verbindingen met hoge doorvoer als lage doorvoer ondersteunt, of een groep die alleen beschikbaar is voor een aangewezen tenant.

Notitie

U kunt virtuele tenantgateways toevoegen aan gatewaygroepen. Netwerkcontroller bepaalt automatisch de meest geschikte RAS-gateway-VM die moet worden gebruikt wanneer u een nieuwe virtuele gateway implementeert.

Diagram that shows Multitenant R A S Gateway deployment with the gateway pools deployed behind an S D N S L B.

Gatewaygroepen implementeren

Alle AZURE Stack HCI SDN RAS-gateway-VM's bevinden zich in de gatewaygroep met de naam DefaultAll. Als u extra gatewaygroepen wilt maken en RAS-gateway-VM's wilt toewijzen, kunt u de PowerShell-cmdlet New-NetworkControllerGatewayPool gebruiken.

Gatewayverbindingen implementeren en beheren

Windows Beheer Center vereenvoudigt het inrichten en beheren van gatewayverbindingen, waaronder IPSec-, GRE- en L3-verbindingen.

Een IPsec-gatewayverbinding maken

Het maken van een IPsec-gatewayverbinding met Behulp van Windows Beheer Center omvat de volgende reeks stappen:

  1. Maak in Windows Beheer Center verbinding met het Azure Stack HCI-cluster.
  2. Selecteer Gateway Verbinding maken ions in het deelvenster Extra in de sectie Netwerken.
  3. Selecteer op de pagina Gateway Verbinding maken ions het tabblad Inventaris en selecteer vervolgens Nieuw.
  4. Voer in het deelvenster Een nieuwe gateway maken Verbinding maken ion de volgende taken uit:
    1. Voer in het vak Naam een naam voor de verbinding in.
    2. Selecteer in de vervolgkeuzelijst Virtuele netwerken het virtuele netwerk waarvoor de gateway connectiviteit biedt.
    3. Selecteer IPSEC in de vervolgkeuzelijst Verbinding maken iontype.
    4. Selecteer in de vervolgkeuzelijst Gatewaygroepen de doel-RAS-gatewaygroep.
    5. Selecteer in de vervolgkeuzelijst Gatewaysubnet het toegewezen subnet van het virtuele netwerk waarop de gatewayverbinding wordt gehost.
    6. Geef in het vak Maximale toegestane binnenkomende bandbreedte (KBS) een waarde op die de totale capaciteit vertegenwoordigt van de gateway die u tijdens de inrichting selecteert.
    7. Geef in het vak Maximale toegestane uitgaande bandbreedte (KBS) een waarde op die de totale capaciteit vertegenwoordigt van de gateway die u tijdens het inrichten selecteert.
    8. Voer in het vak Doel-IP het IP-adres van de externe gateway in.
    9. Voeg routes toe aan de verbinding, inclusief de respectieve metrische gegevens en doelsubnetvoorvoegsels.
    10. Voer het gedeelde IPsec-geheim in dat overeenkomt met het geheim dat is geconfigureerd op de externe gateway en selecteer Vervolgens Maken.

Screenshot of the Gateway connections pane in Windows Admin Center depicting the creation of a new I P S E C gateway connection.

Een GRE-gatewayverbinding maken

Voor het grootste deel omvat het maken van een GRE-gatewayverbinding met behulp van Windows Beheer Center dezelfde reeks stappen als het maken van een IPsec-gatewayverbinding. Het belangrijkste onderscheid is dat u in de vervolgkeuzelijst Verbinding maken iontype de GRE-optie selecteert en vervolgens de GRE-sleutel gebruikt die overeenkomt met de sleutel die is geconfigureerd op de externe gateway (in plaats van het gedeelde IPsec-geheim).

Screenshot of the Create New Gateway Connection pane in Windows Admin Center, depicting the creation of a new G R E gateway connection.

Een L3-gatewayverbinding maken

Het proces voor het maken van een L3-gatewayverbinding met behulp van Windows Beheer Center verschilt ook niet aanzienlijk van de vorige twee procedures. Naast het selecteren van de optie L3 in de vervolgkeuzelijst Verbinding maken iontype moet u echter aanvullende instellingen opgeven, waaronder:

  1. Een netwerk voor het logische L3-netwerk. Dit vertegenwoordigt het fysieke netwerk waarvoor connectiviteit met het virtuele netwerk is vereist. U moet dit netwerk eerst maken als een logisch SDN-netwerk.
  2. Een logisch L3-subnet in het logische L3-netwerk. U moet een VLAN-id toewijzen aan dit subnet.
  3. Een IP-adres in de CIDR-indeling die overeenkomt met het L3 IP-adres/subnetmasker. Dit IP-adres is geconfigureerd op de gatewayinterface.
  4. Een L3-peer-IP-adres in het logische L3-subnet dat fungeert als de volgende hop op het fysieke netwerk nadat het verkeer dat afkomstig is van het virtuele netwerk de gateway bereikt.

Screenshot of the Create New Gateway Connections pane in Windows Admin Center, depicting the creation of a new L3 gateway connection.

Gatewayverbindingen wijzigen en verwijderen

U kunt een aantal verbindingsinstellingen wijzigen voor IPsec-, GRE- en L3-verbindingen. Deze instellingen zijn onder meer:

  • Voor IPsec-verbindingen:
    • De maximaal toegestane binnenkomende en uitgaande bandbreedte
    • Het doel-IP-adres
    • Doelvoorvoegsel en routemetrieken
    • Vooraf gedeelde IPsec-sleutel
  • Voor GRE-verbindingen:
    • De maximaal toegestane binnenkomende en uitgaande bandbreedte
    • Het doel-IP-adres, het doelvoorvoegsel en de metrische routegegevens
    • De GRE-sleutel
  • Voor L3-verbindingen:
    • De maximaal toegestane binnenkomende bandbreedte en uitgaande bandbreedte, doelvoorvoegsel en metrische routegegevens
    • Het logische L3-netwerk, het logische L3-subnet, het L3-IP-adres en het L3-peer-IP-adres

Met Windows Beheer Center kunt u ook alle gatewayverbindingen verwijderen die u hebt gemaakt. U kunt dit doen op het tabblad Inventaris op de pagina Gateway Verbinding maken ions.