O que é o Gateway de RAS (Serviço de Acesso Remoto) para rede definida pelo software?

Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

O Gateway de RAS é um roteador compatível com BGP (Border Gateway Protocol) baseado em software projetado para CSPs (provedores de serviços de nuvem) e empresas que hospedam redes virtuais multilocatário usando a HNV (Virtualização de Rede Hyper-V). Você pode usar o Gateway de RAS para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.

O Gateway de RAS requer o Controlador de Rede, que executa a implantação de pools de gateway, configura conexões de locatário em cada gateway e alterna fluxos de tráfego de rede para um gateway em espera se um gateway falhar.

Observação

Multilocação é a capacidade de uma infraestrutura de nuvem de dar suporte às cargas de trabalho de VM (máquina virtual) de vários locatários, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As várias cargas de trabalho de um locatário individual podem se interconectar e serem gerenciadas remotamente, mas esses sistemas não interconectam com as cargas de trabalho de outros locatários, nem outros locatários podem gerenciá-las remotamente.

Recursos

O Gateway de RAS oferece muitos recursos para VPN (rede virtual privada), túnel, encaminhamento e roteamento dinâmico.

VPN IPsec site a site

Esse recurso de Gateway ras permite que você conecte duas redes em locais físicos diferentes pela Internet usando uma conexão VPN (rede virtual privada) S2S (Site a Site). Essa é uma conexão criptografada, usando o protocolo VPN IKEv2.

Para CSPs que hospedam muitos locatários em seu datacenter, o Gateway de RAS fornece uma solução de gateway multilocatário que permite que os locatários acessem e gerenciem seus recursos por meio de conexões VPN site a site de sites remotos. O Gateway de RAS permite o fluxo de tráfego de rede entre recursos virtuais em seu datacenter e sua rede física.

Túneis GRE site a site

Os túneis baseados em GRE (Encapsulamento de Roteamento Genérico) permitem a conectividade entre redes virtuais de locatário e redes externas. Como o protocolo GRE é leve e o suporte para GRE está disponível na maioria dos dispositivos de rede, é uma opção ideal para túnel em que a criptografia de dados não é necessária.

O suporte a GRE em túneis S2S resolve o problema de encaminhamento entre redes virtuais de locatário e redes externas de locatário usando um gateway multilocatário.

Encaminhamento de camada 3

O encaminhamento L3 (Camada 3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na nuvem de virtualização de Rede Hyper-V. Usando a conexão de encaminhamento L3, as VMs de rede de locatário podem se conectar a uma rede física por meio do gateway de SDN (Rede Definida pelo Software), que já está configurado no ambiente SDN. Nesse caso, o gateway SDN atua como um roteador entre a rede virtual e a rede física.

O diagrama a seguir mostra um exemplo da configuração de encaminhamento L3 em um cluster do Azure Stack HCI configurado com SDN:

Diagrama de um exemplo de encaminhamento L3.

  • Há duas redes virtuais no cluster do Azure Stack HCI: rede virtual SDN 1 com prefixo de endereço 10.0.0.0/16 e rede virtual SDN 2 com prefixo de endereço 16.0.0.0/16.
  • Cada rede virtual tem uma conexão L3 com a rede física.
  • Como as conexões L3 são para redes virtuais diferentes, o gateway SDN tem um compartimento separado para cada conexão para fornecer garantias de isolamento.
  • Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
  • Cada conexão L3 deve ser mapeada para uma VLAN exclusiva na rede física. Essa VLAN deve ser diferente da VLAN do provedor de HNV, que é usada como a rede física de encaminhamento de dados subjacente para tráfego de rede virtualizado.
  • Este exemplo usa o roteamento estático.

Aqui estão os detalhes de cada conexão usada neste exemplo:

Elemento de rede Conexão 1 Conexão 2
Prefixo de sub-rede do gateway 10.0.1.0/24 16.0.1.0/24
Endereço IP L3 15.0.0.5/24 20.0.0.5/24
Endereço IP par L3 15.0.0.1 20.0.0.1
Rotas na conexão 18.0.0.0/24 22.0.0.0/24

Considerações de roteamento ao usar o encaminhamento L3

Para roteamento estático, você deve configurar uma rota na rede física para alcançar a rede virtual. Por exemplo, uma rota com o prefixo de endereço 10.0.0.0/16 com o próximo salto como o endereço IP L3 da conexão (15.0.0.5).

Para roteamento dinâmico com BGP, você ainda deve configurar uma rota estática /32 porque a conexão BGP está entre a interface interna do compartimento do gateway e o IP do par L3. Para a Conexão 1, o emparelhamento seria entre 10.0.1.6 e 15.0.0.1. Portanto, para essa conexão, você precisa de uma rota estática no comutador físico com o prefixo de destino 10.0.1.6/32 com o próximo salto como 15.0.0.5.

Se você planeja implantar conexões de Gateway L3 com roteamento BGP, verifique se definiu as configurações de BGP da opção Topo do Rack (ToR) com o seguinte:

  • update-source: especifica o endereço de origem para atualizações bgp, que é A VLAN L3. Por exemplo, VLAN 250.
  • ebgp multihop: especifica que mais saltos são necessários, pois o vizinho BGP está a mais de um salto de distância.

Roteamento dinâmico com BGP

O BGP reduz a necessidade de configuração de roteamento manual em roteadores, porque ele é um protocolo de roteamento dinâmico e aprende rotas entre sites conectados usando conexões VPN site a site automaticamente. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o Gateway ras, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha na rede.

O Refletor de Rota BGP incluído no Gateway de RAS fornece uma alternativa à topologia de malha completa do BGP necessária para a sincronização de rotas entre roteadores. Para obter mais informações, consulte O que é o refletor de rota?

Como funciona o Gateway de RAS

O Gateway de RAS roteia o tráfego de rede entre a rede física e os recursos de rede da VM, independentemente do local. Você pode rotear o tráfego de rede no mesmo local físico ou em muito locais diferentes.

Você pode implantar o Gateway de RAS em pools de alta disponibilidade que usam vários recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway de RAS para alta disponibilidade e failover.

É possível escalar verticalmente ou reduzir verticalmente um pool de gateway, adicionando ou removendo com facilidade as VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Também é possível adicionar e remover pools inteiros de gateways. Para obter mais informações, consulte Alta disponibilidade do Gateway de RAS.

Cada pool de gateway fornece redundância M+N. Isso significa que o número "M" de VMs de gateway ativas é copiado em backup pelo número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o Gateway RAS.

É possível atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz consideravelmente o número de endereços IP públicos que você deve usar, pois é possível que todos os locatários se conectem à nuvem em um único endereço IP.

Próximas etapas

Para informações relacionadas, confira também: