O que é o Gateway ras (Serviço de Acesso Remoto) para rede definida pelo software?
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019 Windows Server 2016
Este artigo fornece uma visão geral do Gateway ras (Serviço de Acesso Remoto) para SDN (Rede Definida por Software) no Azure Stack HCI e no Windows Server.
O Gateway ras é um roteador bgp (border gateway protocol) baseado em software projetado para CSPs (provedores de serviços de nuvem) e empresas que hospedam redes virtuais multilocatários usando a HNV (Virtualização de Rede Hyper-V). Você pode usar o Gateway ras para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway ras requer o Controlador de Rede, que executa a implantação de pools de gateway, configura conexões de locatário em cada gateway e alterna fluxos de tráfego de rede para um gateway em espera se um gateway falhar.
Observação
Multilocatário é a capacidade de uma infraestrutura de nuvem dar suporte às cargas de trabalho de máquina virtual (VM) de vários locatários, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As várias cargas de trabalho de um locatário individual podem se interconectar e serem gerenciadas remotamente, mas esses sistemas não interconectam com as cargas de trabalho de outros locatários, nem outros locatários podem gerenciá-las remotamente.
Recursos
O Gateway ras oferece muitos recursos para VPN (rede virtual privada), túnel, encaminhamento e roteamento dinâmico.
VPN IPsec site a site
Esse recurso de Gateway ras permite que você conecte duas redes em locais físicos diferentes na Internet usando uma conexão VPN (rede virtual privada) site a site (S2S). Essa é uma conexão criptografada usando o protocolo VPN IKEv2.
Para CSPs que hospedam muitos locatários em seu datacenter, o Gateway ras fornece uma solução de gateway multilocatário que permite que os locatários acessem e gerenciem seus recursos por meio de conexões VPN site a site de sites remotos. O Gateway ras permite o fluxo de tráfego de rede entre recursos virtuais em seu datacenter e sua rede física.
Túneis GRE site a site
Túneis baseados em GRE (Encapsulamento de Roteamento Genérico) permitem a conectividade entre redes virtuais de locatário e redes externas. Como o protocolo GRE é leve e o suporte para GRE está disponível na maioria dos dispositivos de rede, é uma opção ideal para túnel em que a criptografia de dados não é necessária.
O suporte a GRE em túneis S2S resolve o problema de encaminhamento entre redes virtuais de locatário e redes externas de locatário usando um gateway multilocatário.
Encaminhamento de camada 3
O encaminhamento L3 (Camada 3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na nuvem de virtualização de Rede Hyper-V. Usando a conexão de encaminhamento L3, as VMs de rede de locatário podem se conectar a uma rede física por meio do gateway SDN, que já está configurado no ambiente do SDN. Nesse caso, o gateway SDN atua como um roteador entre a rede virtual e a rede física.
O diagrama a seguir mostra um exemplo da configuração de encaminhamento L3 em um cluster do Azure Stack HCI configurado com SDN:
- Há duas redes virtuais no cluster do Azure Stack HCI: rede virtual SDN 1 com prefixo de endereço 10.0.0.0/16 e rede virtual SDN 2 com prefixo de endereço 16.0.0.0/16.
- Cada rede virtual tem uma conexão L3 com a rede física.
- Como as conexões L3 são para redes virtuais diferentes, o gateway de SDN tem um compartimento separado para cada conexão para fornecer garantias de isolamento.
- Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
- Cada conexão L3 deve ser mapeada para uma VLAN exclusiva na rede física. Essa VLAN deve ser diferente da VLAN do provedor HNV, que é usada como a rede física de encaminhamento de dados subjacente para tráfego de rede virtualizado.
- Este exemplo usa o roteamento estático.
Aqui estão os detalhes de cada conexão usada neste exemplo:
Elemento de rede | Conexão 1 | Conexão 2 |
---|---|---|
Prefixo de sub-rede do gateway | 10.0.1.0/24 | 16.0.1.0/24 |
Endereço IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
Endereço IP par L3 | 15.0.0.1 | 20.0.0.1 |
Rotas na conexão | 18.0.0.0/24 | 22.0.0.0/24 |
Considerações de roteamento ao usar o encaminhamento L3
Para roteamento estático, você deve configurar uma rota na rede física para acessar a rede virtual. Por exemplo, uma rota com o prefixo de endereço 10.0.0.0/16 com o próximo salto como o Endereço IP L3 da conexão (15.0.0.5).
Para roteamento dinâmico com BGP, você ainda deve configurar uma rota estática /32 porque a conexão BGP está entre a interface interna do compartimento do gateway e o IP do par L3. Para a Conexão 1, o emparelhamento seria entre 10.0.1.6 e 15.0.0.1. Portanto, para essa conexão, você precisa de uma rota estática no comutador físico com o prefixo de destino 10.0.1.6/32 com o próximo salto como 15.0.0.5.
Se você planeja implantar conexões de Gateway L3 com roteamento BGP, defina a opção Topo do Rack (ToR) configurações de BGP com o seguinte:
- update-source: especifica o endereço de origem para atualizações bgp, que é A VLAN L3. Por exemplo, VLAN 250.
- ebgp multihop: isso especifica que mais saltos são necessários, pois o vizinho BGP está a mais de um salto de distância.
Roteamento dinâmico com BGP
O BGP reduz a necessidade de configuração de rota manual nos roteadores porque é um protocolo de roteamento dinâmico e aprende automaticamente as rotas entre sites conectados usando conexões VPN site a site. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o Gateway ras, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha de rede.
O Refletor de Rota BGP incluído no Gateway ras fornece uma alternativa à topologia de malha completa do BGP necessária para a sincronização de rotas entre roteadores. Para obter mais informações, consulte O que é o refletor de rota?
Como funciona o Gateway ras
O Gateway ras roteia o tráfego de rede entre a rede física e os recursos de rede de VM, independentemente do local. Você pode rotear o tráfego de rede no mesmo local físico ou em muito locais diferentes.
Você pode implantar o Gateway ras em pools de alta disponibilidade que usam vários recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway ras para alta disponibilidade e failover.
É possível escalar verticalmente ou reduzir verticalmente um pool de gateway, adicionando ou removendo com facilidade as VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Também é possível adicionar e remover pools inteiros de gateways. Para obter mais informações, consulte Alta disponibilidade do Gateway de RAS.
Cada pool de gateways fornece redundância M+N. Isso significa que o número 'M' de VMs de gateway ativas é suportado pelo número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o Gateway RAS.
É possível atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz consideravelmente o número de endereços IP públicos que você deve usar, pois é possível que todos os locatários se conectem à nuvem em um único endereço IP.
Próximas etapas
Para informações relacionadas, confira também: