Шлюз RAS-сервера
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
С помощью шлюза RAS поставщики облачных служб (CSPs) и предприятия могут включить маршрутизацию сетевого трафика центра обработки данных и облачного сетевого трафика между виртуальными и физическими сетями, включая Интернет.
Примечание.
Шлюз RAS поддерживает IPv4 и IPv6, включая перенаправление IPv4 и IPv6. При настройке шлюза RAS с преобразованием сетевых адресов (NAT) поддерживается только NAT44.
Кто будет заинтересован в шлюзе RAS?
Если вы являетесь системным администратором, сетевым архитектором или другим ИТ-специалистом, шлюз RAS может заинтересовать вас в одном или нескольких следующих обстоятельствах:
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая использует или планирует использовать технологию Hyper-V для развертывания виртуальных машин в виртуальных сетях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая развертывает или планирует развертывание облачных технологий.
Вы хотите обеспечить полнофункциональные сетевые подключения между физическими и виртуальными сетями.
Вы хотите предоставить клиентам вашей организации доступ к своим виртуальным сетям через Интернет.
Вы хотите подключить офисы в разных физических местах через Интернет.
В этом разделе, предназначенном для ит-специалистов, содержатся сведения о шлюзе RAS, включая режимы развертывания и функции шлюза RAS.
Этот раздел состоит из следующих подразделов.
Режимы развертывания шлюза RAS
Шлюз RAS включает следующие режимы развертывания:
Режим одного клиента
Рекомендуется не развертывать шлюз RAS в одном режиме клиента. Сведения о сценариях с одним клиентом см. в разделе "Один клиент".
Многотенантный режим
Если ваша организация является поставщиком служб CSP или Enterprise с несколькими клиентами, можно развернуть шлюз RAS в мультитенантном режиме, чтобы обеспечить маршрутизацию сетевого трафика в виртуальные и физические сети и из нее.
Мультитенантность — это возможность облачной инфраструктуры поддерживать рабочие нагрузки виртуальных машин нескольких клиентов, но изолировать их друг от друга, а все рабочие нагрузки выполняются в одной инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.
Например, предприятие может иметь много различных виртуальных подсетей, каждая из которых предназначена для обслуживания конкретного отдела, например отдела исследований и разработки или бухгалтерского отдела. В другом примере поставщик облачных служб имеет много тенантов с изолированными виртуальными подсетями, которые существуют в одном физическом центре обработки данных. В обоих случаях шлюз RAS может направлять трафик в каждый клиент и из него, сохраняя разработанную изоляцию каждого клиента. Эта возможность позволяет использовать мультитенантную функцию шлюза RAS.
Виртуальные сети создаются с помощью виртуализации сети Hyper-V. Шлюз RAS интегрирован с виртуализацией сети Hyper-V и может эффективно маршрутизировать сетевой трафик в тех случаях, когда в одном центре обработки данных есть множество разных клиентов или клиентов, у которых есть изолированные виртуальные сети в одном центре обработки данных.
Виртуализация сети Hyper-V обеспечивает возможность развертывания сети виртуальной машины, независимо от базовой физической сети. При использовании сетей виртуальных машин, состоящих из одной или нескольких виртуальных подсетей, точное физическое расположение подсети IP-адреса отделяется от топологии виртуальной сети. В результате вы можете легко перемещать локальные подсети в облако, сохраняя существующие IP-адреса и топологию в облаке. Эта возможность сохранения инфраструктуры позволяет существующим службам продолжать работать, не имея информации о физическом расположении подсети. Таким образом, виртуализация сети Hyper-V позволяет создать цельное гибридное облако.
Примечание.
Виртуализация сети Hyper-V — это технология наложения сети с помощью инкапсуляции универсальной маршрутизации виртуализации сети (NVGRE), которая позволяет клиентам принести собственное адресное пространство и обеспечивает более высокую масштабируемость, чем возможно, с помощью виртуальных ЛС для изоляции клиента.
В Windows Server шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения ресурсов. Шлюз RAS можно использовать для маршрутизации сетевого трафика между физическими и виртуальными сетями в одном физическом расположении или в различных физических расположениях.
Например, если у вас есть как физическая сеть, так и виртуальная сеть в одном физическом расположении, можно развернуть компьютер под управлением Hyper-V, настроенный с виртуальной машиной шлюза RAS для работы в качестве шлюза пересылки и маршрутизации трафика между виртуальными и физическими сетями.
В другом примере, если виртуальные сети существуют в облаке, поставщик служб CSP может развернуть шлюз RAS, чтобы создать подключение между VPN-сервером и шлюзом RAS CSP; Если эта ссылка установлена, вы можете подключиться к виртуальным ресурсам в облаке через VPN-подключение.
Дополнительные сведения см. в разделе "Высокий уровень доступности шлюза RAS".
Кластеризация шлюза RAS для обеспечения высокой доступности
Шлюз RAS развертывается на выделенном компьютере под управлением Hyper-V и настраивается с одной виртуальной машиной. Затем виртуальная машина настраивается в качестве шлюза RAS.
Для обеспечения высокой доступности сетевых ресурсов можно развернуть шлюз RAS с отработкой отказа с помощью двух физических серверов узлов с Hyper-V, которые также работают под управлением виртуальной машины, настроенной в качестве шлюза. Затем виртуальные машины шлюза необходимо настроить как кластеры, чтобы обеспечить отказоустойчивость и защиту от отказов сети и сбоев оборудования.
Например, если ваша организация является организацией с развертыванием частного облака, может потребоваться только две виртуальные машины шлюза RAS, каждый из которых установлен на другом компьютере под управлением Hyper-V. В этом сценарии виртуальные машины шлюза RAS добавляются в кластер для обеспечения высокой доступности.
В другом примере, если ваша организация является поставщиком облачных служб (CSP) с двумя сотнями клиентов в центре обработки данных, можно использовать восемь виртуальных машин шлюза RAS, с каждой парой кластеризованных виртуальных машин шлюза RAS, предоставляющих службы маршрутизации для пятьдесят клиентов. В этом сценарии два компьютера под управлением Hyper-V имеют четыре виртуальных машины, настроенные как шлюзы RAS. Затем вы настроите четыре кластера виртуальных машин шлюза RAS, каждый кластер с одной виртуальной машиной с каждого компьютера под управлением Hyper-V.
При развертывании шлюза RAS серверы узлов под управлением Hyper-V и виртуальные машины, настроенные в качестве шлюзов, должны работать под управлением Windows Server.
Функции шлюза RAS
Шлюз RAS включает следующие возможности:
VPN типа "сеть — сеть". Эта функция шлюза RAS позволяет подключать две сети в разных физических расположениях через Интернет с помощью VPN-подключения типа "сеть — сеть". Если у вас есть главный офис и несколько филиалов, вы можете развернуть пограничный шлюз RAS в каждом расположении и создать подключения типа "сеть — сеть", чтобы обеспечить поток сетевого трафика между расположениями. Для поставщиков служб безопасности, на которых размещено множество клиентов в центре обработки данных, шлюз RAS предоставляет мультитенантное решение шлюза, которое позволяет клиентам получать доступ к ресурсам и управлять ими через VPN-подключения типа "сеть — сеть" с удаленных сайтов, а также обеспечивает поток сетевого трафика между виртуальными ресурсами в центре обработки данных и их физической сетью.
VPN типа "точка — сеть". Эта функция шлюза RAS позволяет сотрудникам организации или администраторам подключаться к сети организации из удаленных расположений. Для развертывания шлюза RAS удаленные сотрудники могут подключаться к сети организации с помощью VPN-подключения. Это подключение позволяет им использовать внутренние сетевые ресурсы, такие как веб-сайты интрасети и файловые серверы. Для мультитенантных развертываний администраторы сети клиента могут использовать VPN-подключения типа "точка — сеть" для доступа к ресурсам виртуальной сети в центре обработки данных CSP.
Динамическая маршрутизация с помощью протокола BGP. Протокол BGP снижает потребность в ручной настройке маршрутов в маршрутизаторах, так как является протоколом динамической маршрутизации и автоматически определяет маршруты между сайтами, связанными с помощью межсайтовых подключений VPN. Если в организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP позволяет маршрутизаторам автоматически вычислять и использовать допустимые маршруты друг к другу в случае сбоя сети или сбоя. Дополнительные сведения см. в статье RFC 4271.
Преобразование сетевых адресов (NAT). Преобразование сетевых адресов (NAT) позволяет совместно использовать подключение к общедоступному Интернету через один интерфейс с одним общедоступным IP-адресом. Компьютеры в частной сети используют частные, неизменяемые адреса. NAT сопоставляет частные адреса с общедоступным адресом. Эта функция шлюза RAS позволяет сотрудникам организации с развертываниями одного клиента получать доступ к интернет-ресурсам за шлюзом. Эта функция позволяет приложениям, работающим на виртуальных машинах клиента, получать доступ к Интернету. Например, виртуальная машина клиента, настроенная как веб-сервер, может связаться с внешними финансовыми ресурсами для обработки кредитных карта транзакций.
Сценарии развертывания шлюза RAS
Ниже приведены рекомендуемые сценарии развертывания для шлюза RAS.
Enterprise Edge — развертывание одного клиента. При развертывании с одним клиентом Enterprise вы можете подключить один физический объект к нескольким другим физическим расположениям в Интернете с помощью функции VPN типа "сеть — сеть" и "Протокол BGP" (BGP) позволяет использовать динамическую маршрутизацию. Вы также можете предоставить удаленным сотрудникам доступ к сети организации с vpn-подключениями типа "точка — сеть" и подключениями DirectAccess. (Подключения DirectAccess всегда включены, а также обеспечивают преимущества, которые можно легко управлять компьютерами, подключенными с помощью DirectAccess, так как они подключены всякий раз, когда они подключены к Интернету.) Вы также можете настроить шлюзы NAT для одного клиента Enterprise RAS с помощью NAT, чтобы компьютеры в интрасети могли легко взаимодействовать с Интернетом.
Cloud Service Provider Edge — мультитенантное развертывание. Мультитенантное развертывание шлюза RAS для ПОСТАВЩИКов услуг позволяет предлагать клиентам все функции, доступные в развертывании одного клиента Enterprise Edge. VPN-подключения типа "сеть — сеть" между виртуальными сетями клиента в центре обработки данных и сетевыми расположениями клиента в Интернете означают, что клиенты имеют простой доступ к облачным ресурсам все время. VPN-доступ типа "точка — сеть" для клиентов означает, что администраторы клиентов всегда могут подключаться к своим виртуальным сетям в центре обработки данных для управления ресурсами. BGP обеспечивает динамическую маршрутизацию и сохраняет подключение клиентов к своим ресурсам даже при возникновении проблем с сетью в Интернете или в другом месте. И NAT позволяет виртуальным машинам клиента подключаться к ресурсам в Интернете, таким как кредитные карта вычислительные ресурсы.
Средства управления шлюзом RAS
Ниже приведены средства управления для шлюза RAS.
В Windows Server 2016 для развертывания маршрутизатора шлюза RAS необходимо использовать команды Windows PowerShell. Дополнительные сведения см. в разделе "Командлеты удаленного доступа" для Windows Server и Windows 11.
В System Center диспетчер виртуальных машин (VMM) шлюз RAS называется шлюзом Windows Server. Ограниченный набор параметров конфигурации протокола BGP доступен в программном интерфейсе VMM, включая локальный IP-адрес BGP и номера автономной системы (ASN), список одноранговых IP-адресов BGP и значения ASN. Тем не менее вы можете использовать команды удаленного доступа Windows PowerShell для BGP, чтобы настроить все остальные функции шлюза Windows Server. Дополнительные сведения см. в статьях диспетчер виртуальных машин (VMM) и командлетов удаленного доступа для Windows Server и клиента Windows.