O que é o Gateway de Serviço de Acesso Remoto (RAS) para Redes Definidas pelo Software?
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Este artigo fornece uma descrição geral do Gateway de Serviço de Acesso Remoto (RAS) para Redes Definidas pelo Software (SDN) no Azure Stack HCI e no Windows Server.
O Gateway RAS é um router com capacidade BGP (Border Gateway Protocol) baseado em software concebido para fornecedores de serviços cloud (CSPs) e empresas que alojam redes virtuais multi-inquilino com a Virtualização de Rede Hyper-V (HNV). Pode utilizar o Gateway RAS para encaminhar o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway RAS requer o Controlador de Rede, que executa a implementação de conjuntos de gateways, configura as ligações de inquilino em cada gateway e muda os fluxos de tráfego de rede para um gateway de reserva se um gateway falhar.
Nota
A multi-inquilino é a capacidade de uma infraestrutura de cloud suportar as cargas de trabalho de máquinas virtuais (VMs) de vários inquilinos, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As múltiplas cargas de trabalho de um inquilino individual podem interligar-se e serem geridas remotamente, mas estes sistemas não são interligados com as cargas de trabalho de outros inquilinos, nem podem os outros inquilinos geri-las remotamente.
Funcionalidades
O Gateway RAS oferece muitas funcionalidades para rede privada virtual (VPN), túnel, reencaminhamento e encaminhamento dinâmico.
VPN IPsec site a site
Esta funcionalidade de Gateway RAS permite-lhe ligar duas redes em diferentes localizações físicas na Internet através de uma ligação de rede privada virtual (VPN) site a site (S2S). Esta é uma ligação encriptada com o protocolo VPN IKEv2.
Para CSPs que alojam muitos inquilinos no respetivo datacenter, o Gateway RAS fornece uma solução de gateway multi-inquilino que permite aos inquilinos aceder e gerir os respetivos recursos através de ligações VPN site a site a partir de sites remotos. O Gateway RAS permite o fluxo de tráfego de rede entre os recursos virtuais no seu datacenter e a respetiva rede física.
Túneis GRE Site a Site
Os túneis baseados em GRE (Generic Routing Encapsulation) permitem a conectividade entre redes virtuais de inquilino e redes externas. Uma vez que o protocolo GRE é simples e o suporte para GRE está disponível na maioria dos dispositivos de rede, é uma opção ideal para o túnel onde a encriptação de dados não é necessária.
O suporte gre em túneis S2S resolve o problema de reencaminhamento entre redes virtuais de inquilinos e redes externas de inquilinos com um gateway multi-inquilino.
Reencaminhamento de camada 3
O reencaminhamento da Camada 3 (L3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na cloud de virtualização de rede Hyper-V. Ao utilizar a ligação de reencaminhamento L3, as VMs de rede de inquilino podem ligar-se a uma rede física através do gateway de SDN, que já está configurado no ambiente da SDN. Neste caso, o gateway de SDN atua como um router entre a rede virtualizada e a rede física.
O diagrama seguinte mostra um exemplo da configuração do reencaminhamento L3 num cluster do Azure Stack HCI configurado com o SDN:
- Existem duas redes virtuais no cluster do Azure Stack HCI: a rede virtual SDN 1 com o prefixo de endereço 10.0.0.0/16 e a rede virtual SDN 2 com o prefixo de endereço 16.0.0.0/16.
- Cada rede virtual tem uma ligação L3 à rede física.
- Uma vez que as ligações L3 se destinam a redes virtuais diferentes, o gateway de SDN tem um compartimento separado para cada ligação para fornecer garantias de isolamento.
- Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
- Cada ligação L3 tem de mapear para uma VLAN exclusiva na rede física. Esta VLAN tem de ser diferente da VLAN do fornecedor HNV, que é utilizada como a rede física de reencaminhamento de dados subjacente para o tráfego de rede virtualizado.
- Este exemplo utiliza o encaminhamento estático.
Eis os detalhes de cada ligação utilizada neste exemplo:
Elemento de rede | Ligação 1 | Ligação 2 |
---|---|---|
Prefixo da sub-rede do gateway | 10.0.1.0/24 | 16.0.1.0/24 |
Endereço IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
Endereço IP do elemento da rede L3 | 15.0.0.1 | 20.0.0.1 |
Rotas na ligação | 18.0.0.0/24 | 22.0.0.0/24 |
Considerações de encaminhamento ao utilizar o reencaminhamento L3
Para o encaminhamento estático, tem de configurar uma rota na rede física para chegar à rede virtual. Por exemplo, uma rota com o prefixo de endereço 10.0.0.0/16 com o salto seguinte como o Endereço IP L3 da ligação (15.0.0.5).
Para o encaminhamento dinâmico com BGP, ainda tem de configurar uma rota /32 estática porque a ligação BGP está entre a interface interna do compartimento do gateway e o IP do elemento de rede L3. Para a Ligação 1, o peering seria entre 10.0.1.6 e 15.0.0.1. Assim, para esta ligação, precisa de uma rota estática no comutador físico com o prefixo de destino 10.0.1.6/32 com o próximo salto como 15.0.0.5.
Se planear implementar ligações de Gateway L3 com o encaminhamento BGP, certifique-se de que configura as definições BGP do comutador Top of Rack (ToR) com o seguinte:
- update-source: especifica o endereço de origem para atualizações bgp, ou seja, VLAN L3. Por exemplo, VLAN 250.
- ebgp multihop: isto especifica que são necessários mais saltos, uma vez que o vizinho BGP está a mais de um salto de distância.
Encaminhamento dinâmico com BGP
O BGP reduz a necessidade de configuração de rotas manuais em routers porque é um protocolo de encaminhamento dinâmico e aprende automaticamente rotas entre sites que estão ligados através de ligações VPN site a site. Se a sua organização tiver vários sites que estão ligados através de routers compatíveis com BGP, como o Gateway RAS, o BGP permite que os routers calculem e utilizem automaticamente rotas válidas entre si em caso de interrupção ou falha da rede.
O Refletor de Rotas BGP incluído com o Gateway RAS fornece uma alternativa à topologia de malha completa BGP necessária para a sincronização de rotas entre routers. Para obter mais informações, consulte O que é o Reflector de Rotas?
Como funciona o Gateway RAS
O Gateway RAS encaminha o tráfego de rede entre a rede física e os recursos de rede VM, independentemente da localização. Pode encaminhar o tráfego de rede na mesma localização física ou em muitas localizações diferentes.
Pode implementar o Gateway RAS em conjuntos de elevada disponibilidade que utilizam várias funcionalidades ao mesmo tempo. Os conjuntos de gateways contêm várias instâncias do Gateway RAS para elevada disponibilidade e ativação pós-falha.
Pode aumentar ou reduzir verticalmente um conjunto de gateways facilmente ao adicionar ou remover VMs de gateway no conjunto. A remoção ou adição de gateways não interrompe os serviços fornecidos por um conjunto. Também pode adicionar e remover conjuntos inteiros de gateways. Para obter mais informações, veja Elevada Disponibilidade do Gateway RAS.
Todos os conjuntos de gateways fornecem redundância M+N. Isto significa que o número "M" de VMs de gateway ativo é suportado pelo número "N" de VMs de gateway de reserva. A redundância M+N dá-lhe mais flexibilidade para determinar o nível de fiabilidade necessário quando implementa o Gateway RAS.
Pode atribuir um único endereço IP público a todos os conjuntos ou a um subconjunto de conjuntos. Ao fazê-lo, reduz consideravelmente o número de endereços IP públicos que tem de utilizar, uma vez que é possível que todos os inquilinos se liguem à cloud num único endereço IP.
Passos seguintes
Para obter informações relacionadas, consulte também: