Descrever e implementar o Gateway RAS no Azure Stack HCI

  • 11 minutos

A maioria dos clientes que usam serviços financeiros fornecidos pela sua empresa precisam de conexões seguras e confiáveis com seus próprios datacenters. Para acomodar esse requisito, você decidiu explorar a funcionalidade fornecida pelo RAS Gateway.

Descrever o gateway RAS

O RAS Gateway é um roteador baseado em software, compatível com BGP, baseado na Virtualização de Rede Microsoft Hyper-V e otimizado para cenários de multilocação. O RAS Gateway implementa o roteamento entre redes físicas internas e externas e nuvens públicas e privadas que suportam IPsec, VPN (rede virtual privada) e túneis GRE.

O RAS Gateway oferece suporte para os seguintes recursos principais:

  • VPN IPsec site a site (S2S)
  • Tunelamento S2S GRE
  • Encaminhamento L3
  • Roteamento dinâmico com BGP

S2S IPsec VPN

Este recurso de gateway RAS fornece conectividade de rede virtual através da Internet usando um túnel criptografado. Em cenários multilocatário, os locatários podem acessar e gerenciar seus recursos hospedados em sua implantação do Azure Stack HCI a partir de locais remotos. A funcionalidade VPN inclui suporte para Internet Key Exchange v2 (IKEv2) e VPN Point-to-Site (P2S).

Diagram that shows S 2 S I P sec VPN with a multitenant gateway and tenants accessing and managing resources from remote locations.

Tunelamento S2S GRE

GRE é um protocolo de encapsulamento leve que pode encapsular uma variedade de protocolos de camada de rede dentro de links virtuais ponto-a-ponto sobre IP sem a sobrecarga de criptografia. O túnel GRE facilita a implementação dos seguintes cenários:

  • Acesso das redes virtuais do locatário a uma rede física dentro do mesmo ambiente de hospedagem

Diagram that shows S 2 S G R E tunneling with access from the tenant's virtual networks to a physical network within the same hosting environment.

  • Conectividade de alta velocidade através de uma ligação MPLS (Multiprotocol Label Switching) a partir da própria rede local do inquilino.

Diagram that shows S 2 S G R E tunneling with high-speed connectivity over a M P L S connection from the tenant's own on-premises network.

  • Integração com isolamento baseado em VLAN

Diagram that shows S 2 S G R E tunneling integration with V LAN-based isolation.

  • Acesso a partir de redes virtuais de um ou mais locatários com espaços de endereço IP não sobrepostos a recursos compartilhados dentro de uma rede física de um provedor de hospedagem

Diagram that shows S 2 S G R E tunneling access from one or more tenants' virtual networks.

Encaminhamento L3

Nesse cenário, o gateway serve como um roteador entre o ambiente virtualizado HCI do Azure Stack e a infraestrutura física em um datacenter. Cada locatário usa sua própria rede lógica marcada por VLAN para a conectividade com a rede física.

Roteamento dinâmico com BGP

Como um protocolo de roteamento dinâmico, o BGP minimiza a necessidade de configuração manual de rotas em roteadores. Ao operar em um ambiente multissite conectado por roteadores habilitados para BGP, como o RAS Gateway, o BGP permite que os roteadores aprendam automaticamente rotas e atualizem sua configuração para refletir a infraestrutura de rede existente; por exemplo, como resultado da configuração de novas conexões ou em resposta a problemas de conectividade de rede. Com o RAS Gateway no modo multilocatário, o BGP oferece a capacidade de gerenciar o roteamento de tráfego de rede entre as redes VM dos locatários e seus sites remotos.

Nota

Você também pode usar o BGP para implantações de Gateway RAS de locatário único e quando usar a função de servidor Acesso Remoto para implementar um roteador LAN.

As informações de roteamento são anunciadas pelo RAS Gateway (e outros componentes SDN, como o Software Load Balancing Multiplexer) para a rede física usando emparelhamento BGP interno. No entanto, você precisará criar um par BGP no roteador que sua infraestrutura SDN usa para receber rotas para as redes anunciadas pelo Software Load Balancing Multiplexer e RAS Gateway. O emparelhamento BGP só precisa ocorrer de uma forma (do Multiplexador de Balanceamento de Carga de Software ou RAS Gateway para o peer BGP externo).

Nota

Você deve configurar o par do roteador BGP para usar seu próprio ASN e permitir o emparelhamento de um ASN atribuído aos componentes SDN (Multiplexador de Balanceamento de Carga de Software e Gateway RAS).

Implementar conexões de gateway e gateway RAS

Antes de criar conexões de gateway e gateways de locatário virtual, você precisa implementar o SDN RAS Gateway. Além disso, as conexões IPsec exigem que você implemente balanceadores de carga de software SDN. A infraestrutura do RAS Gateway consiste em pools de gateways e BGP Route Refletor.

Descrever pools de gateway

Os pools de gateway são grupos de VMs gerenciadas por SDN que roteiam o tráfego de rede entre redes físicas e virtuais. As piscinas têm as seguintes propriedades:

  • Cada pool é redundante M+N, o que significa que o backup das VMs de gateway ativo M é feito por VMs de gateway em espera N. A redundância M+N oferece flexibilidade extra ao implementar implantações de gateway RAS altamente disponíveis.
  • Um pool pode executar qualquer combinação de funções de gateway individuais, como S2S, L3 e GRE.
  • Em uma implantação de Gateway RAS multilocatário, os pools de gateway são implantados atrás de um SLB SDN, que permite atribuir um único endereço IP público para toda a implantação.
  • Você pode dimensionar pools horizontalmente adicionando ou removendo VMs de gateway. Remover ou adicionar gateways não interrompe os serviços fornecidos por um pool.
  • Você pode definir pools com base em vários critérios, incluindo:
    • Tipos de conexão, como S2S, L3 ou GRE
    • Capacidade
    • Nível de redundância
    • Separação de inquilinos

Por exemplo, você pode criar um pool de gateway que ofereça suporte a conexões IKEv2 S2S de alta e baixa taxa de transferência ou que esteja disponível apenas para um locatário designado.

Nota

Você pode adicionar gateways virtuais de locatário a pools de gateways. O controlador de rede determina automaticamente a VM de gateway RAS mais adequada a ser usada quando você implanta um novo gateway virtual.

Diagram that shows Multitenant R A S Gateway deployment with the gateway pools deployed behind an S D N S L B.

Implementar pools de gateway

Todas as VMs do Azure Stack HCI SDN RAS Gateway residem no pool de gateways chamado DefaultAll. Para criar pools de gateway adicionais e alocar VMs de Gateway RAS para eles, você pode usar o cmdlet do PowerShell 'New-NetworkControllerGatewayPool'.

Implementar e gerenciar conexões de gateway

O Windows Admin Center facilita o provisionamento e o gerenciamento de conexões de gateway, incluindo conexões IPSec, GRE e L3.

Criar uma conexão de gateway IPsec

A criação de uma conexão de gateway IPsec usando o Windows Admin Center envolve a seguinte sequência de etapas:

  1. No Windows Admin Center, conecte-se ao cluster HCI do Azure Stack.
  2. No painel Ferramentas, na seção Rede, selecione Conexões de Gateway.
  3. Na página Conexões de Gateway, selecione a guia Inventário e, em seguida, selecione Novo.
  4. No painel Criar uma nova Conexão de Gateway , execute as seguintes tarefas:
    1. Na caixa Nome, introduza um nome para a ligação.
    2. Na lista suspensa Redes virtuais, selecione a rede virtual para a qual o gateway fornecerá conectividade.
    3. Na lista suspensa Tipo de conexão, selecione IPSEC.
    4. Na lista suspensa Pools de gateways, selecione o pool de gateway RAS de destino.
    5. Na lista suspensa Sub-rede do gateway, selecione a sub-rede dedicada da rede virtual que hospedará a conexão do gateway.
    6. Na caixa Largura de banda de entrada máxima permitida (KBPS), forneça um valor que represente a capacidade total do gateway selecionado durante seu provisionamento.
    7. Na caixa Largura de banda de saída máxima permitida (KBPS), forneça um valor que represente a capacidade total do gateway selecionado durante seu provisionamento.
    8. Na caixa IP de destino, digite o endereço IP do gateway remoto.
    9. Adicione Rotas à conexão, incluindo suas respetivas métricas e prefixos de sub-rede de destino.
    10. Insira o segredo compartilhado IPsec que corresponde ao segredo configurado no gateway remoto e selecione Criar.

Screenshot of the Gateway connections pane in Windows Admin Center depicting the creation of a new I P S E C gateway connection.

Criar uma conexão de gateway GRE

Na maioria das vezes, a criação de uma conexão de gateway GRE usando o Windows Admin Center envolve a mesma sequência de etapas que a criação de uma conexão de gateway IPsec. A principal distinção é que, na lista suspensa Tipo de Conexão, selecione a opção GRE e, em seguida, use a chave GRE que corresponde à chave configurada no gateway remoto (em vez do segredo compartilhado IPsec).

Screenshot of the Create New Gateway Connection pane in Windows Admin Center, depicting the creation of a new G R E gateway connection.

Criar uma conexão de gateway L3

O processo de criação de uma conexão de gateway L3 usando o Windows Admin Center também não difere significativamente dos dois procedimentos anteriores. No entanto, além de selecionar a opção L3 na lista suspensa Tipo de conexão, você deve especificar configurações adicionais, incluindo:

  1. Uma rede para a Rede Lógica L3. Isso representa a rede física que requer conectividade com a rede virtual. Você precisa criar essa rede primeiro como uma rede lógica SDN.
  2. Uma sub-rede lógica L3 na rede lógica L3. Você precisa atribuir um ID de VLAN a essa sub-rede.
  3. Um endereço IP no formato CIDR correspondente ao endereço IP L3/máscara de sub-rede. Esse endereço IP é configurado na interface do gateway.
  4. Um endereço IP de mesmo nível L3 na sub-rede lógica L3 que servirá como o próximo salto na rede física depois que o tráfego originado da rede virtual chegar ao gateway.

Screenshot of the Create New Gateway Connections pane in Windows Admin Center, depicting the creation of a new L3 gateway connection.

Modificar e excluir conexões de gateway

Você pode alterar várias configurações de conexão para conexões IPsec, GRE e L3. Estas definições incluem:

  • Para conexões IPsec:
    • A largura de banda máxima de entrada e saída permitida
    • O endereço IP de destino
    • Prefixo de destino e métrica de rota
    • Chave pré-compartilhada IPsec
  • Para conexões GRE:
    • A largura de banda máxima de entrada e saída permitida
    • O endereço IP de destino, o prefixo de destino e a métrica de rota
    • A chave GRE
  • Para conexões L3:
    • A largura de banda máxima permitida de entrada e largura de banda de saída, prefixo de destino e métrica de rota
    • A rede lógica L3, a sub-rede lógica L3, o endereço IP L3 e o IP de mesmo nível L3

O Windows Admin Center também permite excluir qualquer uma das conexões de gateway criadas. Você pode fazer isso na guia Inventário na página Conexões de gateway.