Co to jest brama usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo?
Dotyczy: Azure Local 2311.2 i nowsze; Windows Server 2022, Windows Server 2019, Windows Server 2016
Ten artykuł zawiera omówienie bramy usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo (SDN) w usłudze Azure Local i Windows Server.
Brama RAS to router oparty na oprogramowaniu obsługujący protokół BGP (Border Gateway Protocol), przeznaczony dla dostawców usług chmurowych (CSP) i przedsiębiorstw hostujących wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.
Brama RAS wymaga Kontrolera Sieci, który wykonuje wdrażanie pul bram, konfiguruje połączenia najemców na każdej bramie i przełącza ruch sieciowy do zapasowej bramy, jeśli brama ulegnie awarii.
Uwaga
Wielodostępność to zdolność infrastruktury chmurowej do obsługi obciążeń maszyn wirtualnych wielu dzierżawców, ale odizolowania ich od siebie, podczas gdy wszystkie obciążenia są uruchamiane w tej samej infrastrukturze. Wiele obciążeń pojedynczego dzierżawcy można łączyć wzajemnie, a także zarządzać nimi zdalnie. Nie można jednak łączyć tych systemów z obciążeniami innych dzierżawców ani nie mogą one być zarządzane zdalnie przez innych dzierżawców.
Brama RAS oferuje wiele funkcji wirtualnej sieci prywatnej (VPN), tunelowania, przesyłania dalej i routingu dynamicznego.
Ta funkcja bramy RAS umożliwia łączenie dwóch sieci w różnych lokalizacjach fizycznych w Internecie przy użyciu połączenia wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja (S2S). Jest to zaszyfrowane połączenie przy użyciu protokołu sieci VPN IKEv2.
W przypadku dostawców CSP hostujących wiele najemców w centrum danych brama RAS udostępnia rozwiązanie bramy wielodostępnej, które umożliwia najemcom uzyskiwanie dostępu do zasobów poprzez połączenia VPN typu site-to-site i zdalne zarządzanie nimi. Brama RAS umożliwia przepływ ruchu sieciowego między zasobami wirtualnymi w centrum danych i ich sieci fizycznej.
Tunele oparte na protokole GRE (Generic Routing Encapsulation) umożliwiają łączność pomiędzy dzierżawnymi sieciami wirtualnymi a zewnętrznymi sieciami. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest to idealny wybór do tunelowania, gdy szyfrowanie danych nie jest wymagane.
Obsługa protokołu GRE w tunelach S2S rozwiązuje problem z przekazywaniem między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi dzierżawców przy użyciu wielodostępnej bramy.
Przekazywanie w warstwie 3 (L3) ułatwia łączność pomiędzy fizyczną infrastrukturą w centrum danych a zwirtualizowaną infrastrukturą w chmurze wirtualizacji sieci Hyper-V. Korzystając z połączenia routingu L3, maszyny wirtualne dzierżawcy mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN, która jest już skonfigurowana w środowisku SDN. W takim przypadku brama SDN działa jako router między zwirtualizowaną siecią a siecią fizyczną.
Na poniższym diagramie przedstawiono przykład konfiguracji przekazywania L3 w usłudze Azure Local skonfigurowanej za pomocą sieci SDN:
- W wystąpieniu lokalnym platformy Azure istnieją dwie sieci wirtualne: sieć wirtualna SDN 1 z prefiksem adresu 10.0.0.0/16 i siecią wirtualną SDN 2 z prefiksem adresu 16.0.0.0/16.
- Każda sieć wirtualna ma połączenie L3 z siecią fizyczną.
- Ponieważ połączenia L3 są przeznaczone dla różnych sieci wirtualnych, brama SDN ma oddzielny przedział dla każdego połączenia w celu zapewnienia gwarancji izolacji.
- Każdy przedział bramy SDN ma jeden interfejs w przestrzeni wirtualnej sieci i jeden interfejs w przestrzeni sieciowej fizycznej.
- Każde połączenie L3 musi być przypisane do unikatowego VLAN-u w sieci fizycznej. Ta sieć VLAN musi być inna niż sieć VLAN dostawcy HNV, która jest używana jako podstawowa sieć fizyczna przekazująca dane na potrzeby zwirtualizowanego ruchu sieciowego.
- W tym przykładzie użyto routingu statycznego.
Poniżej przedstawiono szczegółowe informacje o każdym połączeniu używanym w tym przykładzie:
| Element sieciowy | Połączenie 1 | Połączenie 2 |
|---|---|---|
| Prefiks podsieci bramy | 10.0.1.0/24 | 16.0.1.0/24 |
| Adres IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Adres IP węzła L3 | 15.0.0.1 | 20.0.0.1 |
| Trasy na połączeniu | 18.0.0.0/24 | 22.0.0.0/24 |
Zagadnienia dotyczące routingu podczas korzystania z przekazywania L3
W przypadku routingu statycznego należy skonfigurować trasę w sieci fizycznej, aby uzyskać dostęp do sieci wirtualnej. Na przykład trasa z prefiksem adresu 10.0.0.0/16, gdzie następny przeskok to adres IP L3 połączenia (15.0.0.5).
W przypadku routingu dynamicznego za pomocą protokołu BGP należy nadal skonfigurować trasę statyczną /32, ponieważ połączenie BGP odbywa się między wewnętrznym interfejsem przedziału bramy a IP partnera L3. W przypadku połączenia 1 peering będzie pomiędzy 10.0.1.6 a 15.0.0.1. W związku z tym dla tego połączenia potrzebna jest trasa statyczna na przełączniku fizycznym z prefiksem docelowym 10.0.1.6/32 z następnym przeskokiem jako 15.0.0.5.
Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurujesz ustawienia protokołu BGP przełącznika Top of Rack (ToR).
- update-source: określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
- ebgp multihop: określa, że potrzebnych jest więcej przeskoków, ponieważ sąsiad BGP znajduje się dalej niż jeden przeskok.
Protokół BGP zmniejsza potrzebę ręcznej konfiguracji tras na routerach, ponieważ jest to protokół routingu dynamicznego i automatycznie uczy się tras między lokacjami połączonymi przy użyciu połączeń sieci VPN typu lokacja-lokacja. Jeśli organizacja ma wiele lokacji połączonych przy użyciu routerów obsługujących protokół BGP, takich jak brama RAS, protokół BGP umożliwia routerom automatyczne obliczanie i używanie prawidłowych tras do siebie w przypadku przerw w działaniu sieci lub awarii.
Reflektor trasy BGP dołączony do bramy RAS zapewnia alternatywę dla topologii pełnej siatki protokołu BGP, która jest wymagana do synchronizacji tras między routerami. Aby uzyskać więcej informacji, zobacz Co to jest reflektor trasy?
Brama RAS kieruje ruch sieciowy między siecią fizyczną a zasobami sieci maszyny wirtualnej, niezależnie od lokalizacji. Ruch sieciowy można kierować w tej samej lokalizacji fizycznej lub w wielu różnych lokalizacjach.
Bramę RAS można wdrożyć w pulach wysokiej dostępności, które używają wielu funkcji jednocześnie. Pule bram zawierają wiele wystąpień bramy RAS, aby zapewnić wysoką dostępność i awaryjne przełączenie.
Pulę bram można łatwo skalować w górę lub w dół, dodając lub usuwając maszyny wirtualne bram w puli. Usunięcie lub dodanie bram nie zakłóca usług świadczonych przez pulę. Można również dodawać i usuwać całe puli bram. Aby uzyskać więcej informacji, zobacz wysoką dostępność bramy RAS.
Każda pula bramy zapewnia niezawodność M+N. Oznacza to, że liczba aktywnych maszyn wirtualnych bramy wynosi 'M' i jest zabezpieczona przez liczbę 'N' maszyn wirtualnych bramy rezerwowej. M+N redundancja zapewnia większą elastyczność w określaniu poziomu niezawodności, którego potrzebujesz, wymaganego podczas wdrażania bramy RAS.
Można przypisać jeden publiczny adres IP do wszystkich pul lub do podzbioru pul. Robiąc to, znacznie zmniejsza się liczba publicznych adresów IP, których należy użyć, ponieważ można połączyć wszystkich najemców z chmurą za pomocą jednego adresu IP.
Aby uzyskać powiązane informacje, zobacz również: