O que é o Gateway de RAS (Serviço de Acesso Remoto) para rede definida pelo software?
Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
O Gateway de RAS é um roteador compatível com BGP (Border Gateway Protocol) baseado em software projetado para CSPs (provedores de serviços de nuvem) e empresas que hospedam redes virtuais multilocatário usando a HNV (Virtualização de Rede Hyper-V). Você pode usar o Gateway de RAS para rotear o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway de RAS requer o Controlador de Rede, que executa a implantação de pools de gateway, configura conexões de locatário em cada gateway e alterna fluxos de tráfego de rede para um gateway em espera se um gateway falhar.
Observação
Multilocação é a capacidade de uma infraestrutura de nuvem de dar suporte às cargas de trabalho de VM (máquina virtual) de vários locatários, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As várias cargas de trabalho de um locatário individual podem se interconectar e serem gerenciadas remotamente, mas esses sistemas não interconectam com as cargas de trabalho de outros locatários, nem outros locatários podem gerenciá-las remotamente.
Recursos
O Gateway de RAS oferece muitos recursos para VPN (rede virtual privada), túnel, encaminhamento e roteamento dinâmico.
VPN IPsec site a site
Esse recurso de Gateway ras permite que você conecte duas redes em locais físicos diferentes pela Internet usando uma conexão VPN (rede virtual privada) S2S (Site a Site). Essa é uma conexão criptografada, usando o protocolo VPN IKEv2.
Para CSPs que hospedam muitos locatários em seu datacenter, o Gateway de RAS fornece uma solução de gateway multilocatário que permite que os locatários acessem e gerenciem seus recursos por meio de conexões VPN site a site de sites remotos. O Gateway de RAS permite o fluxo de tráfego de rede entre recursos virtuais em seu datacenter e sua rede física.
Túneis GRE site a site
Os túneis baseados em GRE (Encapsulamento de Roteamento Genérico) permitem a conectividade entre redes virtuais de locatário e redes externas. Como o protocolo GRE é leve e o suporte para GRE está disponível na maioria dos dispositivos de rede, é uma opção ideal para túnel em que a criptografia de dados não é necessária.
O suporte a GRE em túneis S2S resolve o problema de encaminhamento entre redes virtuais de locatário e redes externas de locatário usando um gateway multilocatário.
Encaminhamento de camada 3
O encaminhamento L3 (Camada 3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na nuvem de virtualização de Rede Hyper-V. Usando a conexão de encaminhamento L3, as VMs de rede de locatário podem se conectar a uma rede física por meio do gateway de SDN (Rede Definida pelo Software), que já está configurado no ambiente SDN. Nesse caso, o gateway SDN atua como um roteador entre a rede virtual e a rede física.
O diagrama a seguir mostra um exemplo da configuração de encaminhamento L3 em um cluster do Azure Stack HCI configurado com SDN:
- Há duas redes virtuais no cluster do Azure Stack HCI: rede virtual SDN 1 com prefixo de endereço 10.0.0.0/16 e rede virtual SDN 2 com prefixo de endereço 16.0.0.0/16.
- Cada rede virtual tem uma conexão L3 com a rede física.
- Como as conexões L3 são para redes virtuais diferentes, o gateway SDN tem um compartimento separado para cada conexão para fornecer garantias de isolamento.
- Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
- Cada conexão L3 deve ser mapeada para uma VLAN exclusiva na rede física. Essa VLAN deve ser diferente da VLAN do provedor de HNV, que é usada como a rede física de encaminhamento de dados subjacente para tráfego de rede virtualizado.
- Este exemplo usa o roteamento estático.
Aqui estão os detalhes de cada conexão usada neste exemplo:
Elemento de rede | Conexão 1 | Conexão 2 |
---|---|---|
Prefixo de sub-rede do gateway | 10.0.1.0/24 | 16.0.1.0/24 |
Endereço IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
Endereço IP par L3 | 15.0.0.1 | 20.0.0.1 |
Rotas na conexão | 18.0.0.0/24 | 22.0.0.0/24 |
Considerações de roteamento ao usar o encaminhamento L3
Para roteamento estático, você deve configurar uma rota na rede física para alcançar a rede virtual. Por exemplo, uma rota com o prefixo de endereço 10.0.0.0/16 com o próximo salto como o endereço IP L3 da conexão (15.0.0.5).
Para roteamento dinâmico com BGP, você ainda deve configurar uma rota estática /32 porque a conexão BGP está entre a interface interna do compartimento do gateway e o IP do par L3. Para a Conexão 1, o emparelhamento seria entre 10.0.1.6 e 15.0.0.1. Portanto, para essa conexão, você precisa de uma rota estática no comutador físico com o prefixo de destino 10.0.1.6/32 com o próximo salto como 15.0.0.5.
Se você planeja implantar conexões de Gateway L3 com roteamento BGP, verifique se definiu as configurações de BGP da opção Topo do Rack (ToR) com o seguinte:
- update-source: especifica o endereço de origem para atualizações bgp, que é A VLAN L3. Por exemplo, VLAN 250.
- ebgp multihop: especifica que mais saltos são necessários, pois o vizinho BGP está a mais de um salto de distância.
Roteamento dinâmico com BGP
O BGP reduz a necessidade de configuração de roteamento manual em roteadores, porque ele é um protocolo de roteamento dinâmico e aprende rotas entre sites conectados usando conexões VPN site a site automaticamente. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o Gateway ras, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha na rede.
O Refletor de Rota BGP incluído no Gateway de RAS fornece uma alternativa à topologia de malha completa do BGP necessária para a sincronização de rotas entre roteadores. Para obter mais informações, consulte O que é o refletor de rota?
Como funciona o Gateway de RAS
O Gateway de RAS roteia o tráfego de rede entre a rede física e os recursos de rede da VM, independentemente do local. Você pode rotear o tráfego de rede no mesmo local físico ou em muito locais diferentes.
Você pode implantar o Gateway de RAS em pools de alta disponibilidade que usam vários recursos ao mesmo tempo. Os pools de gateway contêm várias instâncias do Gateway de RAS para alta disponibilidade e failover.
É possível escalar verticalmente ou reduzir verticalmente um pool de gateway, adicionando ou removendo com facilidade as VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Também é possível adicionar e remover pools inteiros de gateways. Para obter mais informações, consulte Alta disponibilidade do Gateway de RAS.
Cada pool de gateway fornece redundância M+N. Isso significa que o número "M" de VMs de gateway ativas é copiado em backup pelo número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o Gateway RAS.
É possível atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz consideravelmente o número de endereços IP públicos que você deve usar, pois é possível que todos os locatários se conectem à nuvem em um único endereço IP.
Próximas etapas
Para informações relacionadas, confira também:
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte:Enviar e exibir comentários de