Co to jest brama usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo?
Dotyczy: Azure Stack HCI, wersje 22H2 i 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Brama RAS to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol) przeznaczony dla dostawców usług w chmurze (CSP) i przedsiębiorstw hostujących wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci funkcji Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.
Brama RAS wymaga kontrolera sieci, który wykonuje wdrażanie pul bramy, konfiguruje połączenia dzierżawy w każdej bramie i przełącza ruch sieciowy do bramy rezerwowej, jeśli brama nie powiedzie się.
Uwaga
Wielodostępność to możliwość obsługi obciążeń maszyn wirtualnych wielu dzierżawców w infrastrukturze chmury, a jednocześnie odizolowania ich od siebie, podczas gdy wszystkie obciążenia działają w tej samej infrastrukturze. Wiele obciążeń pojedynczego dzierżawcy można łączyć wzajemnie, a także zarządzać nimi zdalnie. Nie można jednak łączyć tych systemów z obciążeniami innych dzierżawców ani nie mogą one być zarządzane zdalnie przez innych dzierżawców.
Funkcje
Brama RAS oferuje wiele funkcji wirtualnej sieci prywatnej (VPN), tunelowania, przekazywania i routingu dynamicznego.
Sieć VPN protokołu IPsec typu lokacja-lokacja
Ta funkcja bramy RAS umożliwia łączenie dwóch sieci w różnych lokalizacjach fizycznych w Internecie przy użyciu połączenia między lokacjami (S2S) wirtualnej sieci prywatnej (VPN). Jest to zaszyfrowane połączenie przy użyciu protokołu sieci VPN IKEv2.
W przypadku dostawców CSP hostujących wiele dzierżaw w centrum danych brama RAS udostępnia wielodostępne rozwiązanie bramy, które umożliwia dzierżawcom dostęp do zasobów i zarządzanie nimi za pośrednictwem połączeń sieci VPN typu lokacja-lokacja z lokacji zdalnych. Brama RAS umożliwia przepływ ruchu sieciowego między zasobami wirtualnymi w centrum danych i ich sieci fizycznej.
Tunele GRE typu lokacja-lokacja
Ogólne tunele hermetyzacji routingu (GRE) umożliwiają łączność między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest to idealny wybór do tunelowania, gdy szyfrowanie danych nie jest wymagane.
Obsługa protokołu GRE w tunelach S2S rozwiązuje problem z przekazywaniem między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi dzierżawy przy użyciu wielodostępnej bramy.
Przekazywanie w warstwie 3
Przekazywanie warstwy 3 (L3) umożliwia łączność między infrastrukturą fizyczną w centrum danych a zwirtualizowaną infrastrukturą w chmurze wirtualizacji sieci funkcji Hyper-V. Korzystając z połączenia przekazującego L3, maszyny wirtualne sieci dzierżawy mogą łączyć się z siecią fizyczną za pośrednictwem bramy sieci zdefiniowanej programowo (SDN), która jest już skonfigurowana w środowisku SDN. W takim przypadku brama SDN działa jako router między siecią zwirtualizowaną a siecią fizyczną.
Na poniższym diagramie przedstawiono przykład konfiguracji przekazywania L3 w klastrze usługi Azure Stack HCI skonfigurowanym przy użyciu sieci SDN:
- Istnieją dwie sieci wirtualne w klastrze usługi Azure Stack HCI: sieć wirtualna SDN 1 z prefiksem adresu 10.0.0.0/16 i siecią wirtualną SDN 2 z prefiksem adresu 16.0.0.0/16.
- Każda sieć wirtualna ma połączenie L3 z siecią fizyczną.
- Ponieważ połączenia L3 są przeznaczone dla różnych sieci wirtualnych, brama SDN ma oddzielną przedział dla każdego połączenia w celu zapewnienia gwarancji izolacji.
- Każdy przedział bramy SDN ma jeden interfejs w przestrzeni sieci wirtualnej i jeden interfejs w fizycznej przestrzeni sieciowej.
- Każde połączenie L3 musi być mapowe na unikatową sieć VLAN w sieci fizycznej. Ta sieć VLAN musi być inna niż sieć VLAN dostawcy HNV, która jest używana jako podstawowa sieć fizyczna przekazująca dane na potrzeby zwirtualizowanego ruchu sieciowego.
- W tym przykładzie użyto routingu statycznego.
Oto szczegółowe informacje o każdym połączeniu używanym w tym przykładzie:
| Element sieciowy | Połączenie 1 | Połączenie 2 |
|---|---|---|
| Prefiks podsieci bramy | 10.0.1.0/24 | 16.0.1.0/24 |
| Adres IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Adres IP elementu równorzędnego L3 | 15.0.0.1 | 20.0.0.1 |
| Trasy w połączeniu | 18.0.0.0/24 | 22.0.0.0/24 |
Zagadnienia dotyczące routingu podczas korzystania z przekazywania L3
W przypadku routingu statycznego należy skonfigurować trasę w sieci fizycznej, aby uzyskać dostęp do sieci wirtualnej. Na przykład trasa z prefiksem adresu 10.0.0.0/16 z następnym przeskokiem jako adres IP L3 połączenia (15.0.0.5).
W przypadku routingu dynamicznego przy użyciu protokołu BGP należy nadal skonfigurować trasę statyczną /32, ponieważ połączenie protokołu BGP znajduje się między wewnętrznym interfejsem przedziału bramy a adresem IP równorzędnym L3. W przypadku połączenia 1 komunikacja równorzędna będzie należeć do zakresu od 10.0.1.6 do 15.0.0.1. W związku z tym w przypadku tego połączenia potrzebna jest trasa statyczna na przełączniku fizycznym z prefiksem docelowym 10.0.1.6/32 z następnym przeskokiem jako 15.0.0.5.
Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurowano ustawienia protokołu BGP przełącznika BGP (Top of Rack) z następującymi ustawieniami:
- update-source: Określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
- ebgp multihop: określa więcej przeskoków jest wymaganych, ponieważ sąsiad BGP jest więcej niż jeden przeskok.
Routing dynamiczny przy użyciu protokołu BGP
Protokół BGP ogranicza potrzebę ręcznej konfiguracji tras na routerach, ponieważ jest protokołem routingu dynamicznego i automatycznie uzyskuje informacje o trasach między lokacjami, które są połączone przy użyciu połączeń VPN lokacja-lokacja. Jeśli organizacja ma wiele lokacji połączonych przy użyciu routerów z obsługą protokołu BGP, takich jak brama RAS, protokół BGP umożliwia routerom automatyczne obliczanie i używanie prawidłowych tras do siebie w przypadku zakłóceń sieci lub awarii.
Reflektor trasy BGP dołączony do bramy RAS zapewnia alternatywę dla topologii pełnej siatki protokołu BGP, która jest wymagana do synchronizacji tras między routerami. Aby uzyskać więcej informacji, zobacz Co to jest reflektor trasy?
Jak działa brama RAS
Brama RAS kieruje ruch sieciowy między siecią fizyczną a zasobami sieci maszyn wirtualnych, niezależnie od lokalizacji. Ruch sieciowy można kierować w tej samej lokalizacji fizycznej lub w wielu różnych lokalizacjach.
Bramę RAS można wdrożyć w pulach wysokiej dostępności, które używają wielu funkcji jednocześnie. Pule bramy zawierają wiele wystąpień bramy RAS w celu zapewnienia wysokiej dostępności i trybu failover.
Pula bram można łatwo skalować w górę lub w dół, dodając lub usuwając bramy maszyny wirtualne w puli. Usunięcie lub dodanie bram nie zakłóca usług udostępnianych przez pulę. Można również dodawać i usuwać całego pule bram. Aby uzyskać więcej informacji, zobacz wysoką dostępność bramy RAS.
Każda pula bramy zapewnia nadmiarowość M+N. Oznacza to, że kopia zapasowa liczby aktywnych maszyn wirtualnych bramy "M" jest tworzona przez liczbę maszyn wirtualnych bramy rezerwowej. Nadmiarowość M+N zapewnia większą elastyczność w określaniu poziomu niezawodności wymaganego podczas wdrażania bramy RAS.
Można przypisać pojedynczy publiczny adres IP do wszystkich pul lub do podzestawu pul. Dzięki temu znacznie zmniejsza liczbę publicznych adresów IP, których należy użyć, ponieważ możliwe jest, że wszystkie dzierżawy łączą się z chmurą na jednym adresie IP.
Następne kroki
Aby uzyskać powiązane informacje, zobacz również:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla