Архитектура развертывания шлюза RAS

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, версии 21H2 и 20H2

Этот раздел можно использовать для получения сведений о развертывании шлюза RAS, включая пулы шлюзов RAS, маршруты Рефлексия or и развертывание нескольких шлюзов для отдельных клиентов.

В следующих разделах приведены краткие обзоры некоторых новых функций шлюза RAS, чтобы понять, как использовать эти функции в разработке развертывания шлюза.

Кроме того, предоставляется пример развертывания, включая сведения о процессе добавления новых клиентов, синхронизации маршрутов и маршрутизации плоскости данных, шлюза и маршрутизации Рефлексия отработки отказа и т. д.

Эта тема описана в следующих разделах.

Использование новых функций шлюза RAS для разработки развертывания

Шлюз RAS включает несколько новых функций, которые изменяют и улучшают способ развертывания инфраструктуры шлюза в центре обработки данных.

Маршрут BGP Рефлексия or

Функция маршрутизации протокола BGP (BGP) Рефлексия or теперь включена в шлюз RAS и предоставляет альтернативу полной топологии сетки BGP, которая обычно требуется для синхронизации маршрутов между маршрутизаторами. При полной синхронизации одноранговой сети все маршрутизаторы BGP должны подключаться ко всем другим маршрутизаторам в топологии маршрутизации. Однако при использовании метода маршрутизации Рефлексия or Рефлексия route является единственным маршрутизатором, который подключается ко всем другим маршрутизаторам, называемым клиентами маршрута BGP Рефлексия or, тем самым упрощая синхронизацию маршрутов и уменьшая сетевой трафик. Средство маршрутизации Рефлексия узнает все маршруты, вычисляет лучшие маршруты и распределяет лучшие маршруты для своих клиентов BGP.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS".

Пулы шлюзов

В Windows Server 2016 можно создать множество пулов шлюзов различных типов. Пулы шлюзов содержат множество экземпляров шлюза RAS и маршрутизировать сетевой трафик между физическими и виртуальными сетями.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Масштабируемость пула шлюзов

Вы можете легко масштабировать пул шлюзов вверх или вниз, добавив или удалив виртуальные машины шлюза в пуле. Удаление или добавление шлюзов не нарушает службы, предоставляемые пулом. Вы также можете добавлять и удалять все пулы шлюзов.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Избыточность пула шлюзов M+N

Каждый пул шлюза является избыточным M+N. Это означает, что число активных виртуальных машин шлюза "M" резервируется числом виртуальных машин резервного шлюза N. Избыточность M+N обеспечивает большую гибкость при определении уровня надежности, необходимого при развертывании шлюза RAS.

Дополнительные сведения см. в статье "Новые возможности шлюза RAS" и "Высокий уровень доступности шлюза RAS".

Пример развертывания

На следующем рисунке представлен пример пиринга eBGP через VPN-подключения типа "сеть — сеть", настроенные между двумя клиентами, Contoso и Woodgrove, и центром обработки данных Fabrikam CSP.

eBGP peering over site-to-site VPN

В этом примере компании Contoso требуется дополнительная пропускная способность шлюза, что приводит к решению по проектированию инфраструктуры шлюза завершить сайт Contoso Los Angeles на GW3 вместо GW2. Из-за этого VPN-подключения Contoso из разных сайтов завершаются в центре обработки данных CSP на двух разных шлюзах.

Оба этих шлюза, GW2 и GW3, были первыми шлюзами RAS, настроенными сетевым контроллером, когда поставщик служб CSP добавил клиентов Contoso и Woodgrove в свою инфраструктуру. Из-за этого эти два шлюза настроены как маршруты Рефлексия or для этих соответствующих клиентов (или клиентов). GW2 — это Рефлексия or маршрута Contoso, а GW3 — это Рефлексия or маршрута Woodgrove, а также точка завершения шлюза RAS CSP для VPN-подключения с сайтом HQ Contoso Los Angeles.

Примечание.

Один шлюз RAS может направлять виртуальный и физический сетевой трафик до ста разных клиентов в зависимости от требований пропускной способности каждого клиента.

Как Рефлексия доры маршрута, GW2 отправляет сетевым контроллерам космические маршруты Contoso ЦС, а GW3 отправляет маршруты ЦС Woodgrove в сетевой контроллер.

Сетевой контроллер отправляет политики виртуализации сети Hyper-V в виртуальные сети Contoso и Woodgrove, а также политики RAS в шлюзы RAS и политики балансировки нагрузки в мультиплексоры (MUXes), настроенные в качестве пула балансировки нагрузки программного обеспечения.

Добавление новых клиентов и пирингового пространства eBGP

При подписании нового клиента и добавлении клиента в качестве нового клиента в центре обработки данных можно использовать следующий процесс, большую часть которого автоматически выполняет сетевой контроллер и маршрутизаторы EBGP шлюза RAS.

  1. Подготовьте новую виртуальную сеть и рабочие нагрузки в соответствии с требованиями клиента.

  2. При необходимости настройте удаленное подключение между сайтом удаленного клиента Enterprise и виртуальной сетью в центре обработки данных. При развертывании VPN-подключения типа "сеть — сеть" для клиента сетевой контроллер автоматически выбирает доступную виртуальную машину шлюза RAS из доступного пула шлюза и настраивает подключение.

  3. При настройке виртуальной машины шлюза RAS для нового клиента сетевой контроллер также настраивает шлюз RAS в качестве маршрутизатора BGP и назначает его в качестве Рефлексия or маршрута для клиента. Это верно даже в тех случаях, когда шлюз RAS выступает в качестве шлюза или шлюза и Рефлексия маршрута для других клиентов.

  4. В зависимости от того, настроена ли маршрутизация пространства ЦС для использования статически настроенных сетей или динамической маршрутизации BGP, сетевой контроллер настраивает соответствующие статические маршруты, соседи BGP или на виртуальной машине шлюза RAS и Рефлексия or маршрута.

    Примечание.

    • После настройки шлюза RAS и Рефлексия or маршрутизации для клиента, когда для этого же клиента требуется новое VPN-подключение типа "сеть — сеть", сетевой контроллер проверка для доступной емкости на этой виртуальной машине шлюза RAS. Если исходный шлюз может обслуживать необходимую емкость, новое сетевое подключение также настроено на той же виртуальной машине шлюза RAS. Если виртуальная машина шлюза RAS не может обрабатывать дополнительную емкость, сетевой контроллер выбирает новую доступную виртуальную машину шлюза RAS и настраивает новое подключение. Эта новая виртуальная машина шлюза RAS, связанная с клиентом, становится клиентом route Рефлексия or маршрута исходного клиента RAS Gateway Route Рефлексия or.

    • Так как пулы шлюза RAS находятся за программными подсистемами балансировки нагрузки (SLBS), VPN-адреса клиентов типа "сеть — сеть" используют один общедоступный IP-адрес, называемый виртуальным IP-адресом (IP-адрес), который преобразуется В SLBS в внутренний IP-адрес центра обработки данных, называемый динамическим IP-адресом (DIP), для шлюза RAS, который направляет трафик для клиента Enterprise. Это сопоставление общедоступных и частных IP-адресов с помощью SLB гарантирует, что туннели VPN типа "сеть — сеть" правильно устанавливаются между сайтами предприятия и шлюзами RAS CSP и маршрутами Рефлексия.

      Дополнительные сведения о SLB, виртуальных ip-адресах и dips см. в разделе "Балансировка нагрузки программного обеспечения" (SLB) для SDN.

  5. После создания VPN-туннеля типа "сеть — сеть" между корпоративным сайтом и шлюзом RAS центра обработки данных CSP для нового клиента статические маршруты, связанные с туннелями, автоматически подготавливаются на сторонах туннеля Enterprise и CSP.

  6. При маршрутизации BGP пространства ЦС также устанавливается пиринг eBGP между сайтами enterprise и маршрутом шлюза RAS CSP Рефлексия or.

Синхронизация маршрутов и маршрутизация плоскости данных

После того как пиринг eBGP устанавливается между сайтами Enterprise и маршрутом шлюза RAS CSP Рефлексия or, средство маршрутизации Рефлексия route изучает все маршруты Enterprise с помощью динамической маршрутизации BGP. Средство маршрутизации Рефлексия синхронизирует эти маршруты между всеми клиентами маршрута Рефлексия or, чтобы все они были настроены с одинаковым набором маршрутов.

Маршрут Рефлексия or также обновляет эти консолидированные маршруты с помощью синхронизации маршрутов на сетевой контроллер. Затем сетевой контроллер преобразует маршруты в политики виртуализации сети Hyper-V и настраивает сеть Fabric, чтобы обеспечить подготовку сквозной маршрутизации пути к данным. Этот процесс делает виртуальную сеть клиента доступной на сайтах enterprise.

Для маршрутизации плоскости данных пакеты, которые достигают виртуальных машин шлюза RAS, направляются непосредственно в виртуальную сеть клиента, так как необходимые маршруты теперь доступны со всеми участвующими виртуальными машинами шлюза RAS.

Аналогичным образом, при использовании политик виртуализации сети Hyper-V виртуальные сети клиента направляют пакеты непосредственно на виртуальные машины шлюза RAS (без необходимости знать о маршруте Рефлексия or), а затем на сайты Предприятия через VPN-туннели типа "сеть — сеть".

Дополнительно. возвращает трафик из виртуальной сети клиента на удаленный сайт Enterprise, передает SBS- процесс с именем Direct Server Return (DSR).

Как сетевой контроллер реагирует на шлюз RAS и маршрутизацию Рефлексия отработки отказа

Ниже приведены два возможных сценария отработки отказа— один для клиентов маршрутизации шлюза RAS Рефлексия or и один для Рефлексия маршрутов шлюза RAS, включая сведения о том, как сетевой контроллер обрабатывает отработку отказа для виртуальных машин в любой конфигурации.

Сбой виртуальной машины клиента маршрутизации BGP шлюза BGP для Рефлексия шлюза RAS

Сетевой контроллер выполняет следующие действия, когда сбой клиента маршрутизации шлюза RAS Рефлексия or.

Примечание.

Если шлюз RAS не является Рефлексия or маршрута для инфраструктуры BGP клиента, он является клиентом маршрутизации Рефлексия or в инфраструктуре BGP клиента.

  • Сетевой контроллер выбирает доступную резервную виртуальную машину шлюза RAS и подготавливает новую виртуальную машину шлюза RAS с конфигурацией виртуальной машины шлюза RAS.

  • Сетевой контроллер обновляет соответствующую конфигурацию SLB, чтобы убедиться, что vpn-туннели типа "сеть — сеть" с сайтов клиентов на сбой шлюза RAS правильно установлены с новым шлюзом RAS.

  • Сетевой контроллер настраивает клиент маршрута BGP Рефлексия or на новом шлюзе.

  • Сетевой контроллер настраивает новый клиент маршрута BGP BGP шлюза RAS Рефлексия or в качестве активного. Шлюз RAS немедленно начинает пиринг с маршрутом клиента Рефлексия or для предоставления общего доступа к данным маршрутизации и включения пиринга eBGP для соответствующего корпоративного сайта.

Сбой виртуальной машины для Рефлексия маршрута BGP шлюза RAS

Сетевой контроллер выполняет следующие действия при сбое Рефлексия маршрута BGP шлюза RAS.

  • Сетевой контроллер выбирает доступную резервную виртуальную машину шлюза RAS и подготавливает новую виртуальную машину шлюза RAS с конфигурацией виртуальной машины шлюза RAS.

  • Сетевой контроллер настраивает средство маршрутизации Рефлексия на новой виртуальной машине шлюза RAS и назначает новую виртуальную машину тем же IP-адресом, который использовался сбоем виртуальной машины, тем самым обеспечивая целостность маршрута, несмотря на сбой виртуальной машины.

  • Сетевой контроллер обновляет соответствующую конфигурацию SLB, чтобы убедиться, что vpn-туннели типа "сеть — сеть" с сайтов клиентов на сбой шлюза RAS правильно установлены с новым шлюзом RAS.

  • Сетевой контроллер настраивает новую виртуальную машину маршрута BGP BGP шлюза RAS Рефлексия or в качестве активной.

  • Средство Рефлексия маршрута сразу же становится активным. Устанавливается vpn-туннель типа "сеть — сеть" в Enterprise, а Рефлексия or route использует пиринг eBGP и обмен маршрутами с маршрутизаторами сайтов Enterprise.

  • После выбора маршрута BGP маршрутизация BGP шлюза RAS Рефлексия or обновляет клиенты маршрутизации маршрутов Рефлексия or в центре обработки данных и синхронизирует маршруты с сетевым контроллером, что делает конечный путь к данным доступным для трафика клиента.

Преимущества использования новых функций шлюза RAS

Ниже приведены некоторые из преимуществ использования этих новых функций шлюза RAS при разработке развертывания шлюза RAS.

Масштабируемость шлюза RAS

Так как можно добавить столько виртуальных машин шлюза RAS, сколько вам нужно для пулов шлюзов RAS, можно легко масштабировать развертывание шлюза RAS для оптимизации производительности и емкости. При добавлении виртуальных машин в пул эти шлюзы RAS можно настроить с помощью VPN-подключений типа "сеть — сеть" любого типа (IKEv2, L3, GRE), устраняя узкие места емкости без простоя.

Упрощенное управление шлюзом корпоративных сайтов

Если у клиента несколько корпоративных сайтов, клиент может настроить все сайты с одним удаленным IP-адресом VPN-адреса типа "сеть — сеть" и одним IP-адресом удаленного соседа — ip-адрес шлюза BGP центра обработки данных CSP шлюза BGP Рефлексия or ДЛЯ этого клиента. Это упрощает управление шлюзом для клиентов.

Быстрое исправление сбоя шлюза

Чтобы обеспечить быстрый ответ на отработку отказа, можно настроить время параметра BGP Keepalive между пограничными маршрутами и маршрутизатором управления на короткий интервал времени, например меньше или равно 10 секунд. С этим коротким интервалом активности, если пограничный маршрутизатор BGP шлюза RAS завершается сбоем, он быстро обнаруживается, а сетевой контроллер выполняет действия, описанные в предыдущих разделах. Это преимущество может снизить потребность в отдельном протоколе обнаружения сбоев, например двунаправленном протоколе обнаружения перенаправления (BFD).