Azure Stack HCI'de RAS Ağ Geçidini açıklama ve uygulama

  • 11 dakika

Şirketiniz tarafından sağlanan finansal hizmetleri kullanan müşterilerin çoğu kendi veri merkezlerine güvenli ve güvenilir bağlantılar gerektirir. Bu gereksinimi karşılamak için RAS Gateway tarafından sağlanan işlevleri keşfetmeye karar verdiniz.

RAS Ağ Geçidini Açıklama

RAS Gateway , Microsoft Hyper-V Ağ Sanallaştırma'yı temel alan ve çok kiracılı senaryolar için iyileştirilmiş yazılım tabanlı, BGP özellikli bir yönlendiricidir. RAS Gateway, iç ve dış fiziksel ağlar ile İnternet Protokolü güvenliğini (IPsec) sanal özel ağ (VPN) ve GRE tünellerini destekleyen özel ve genel bulutlar arasında yönlendirme uygular.

RAS Gateway aşağıdaki temel özellikler için destek sunar:

  • Siteden siteye (S2S) IPsec VPN
  • S2S GRE Tüneli
  • L3 İletme
  • BGP ile dinamik yönlendirme

S2S IPsec VPN

Bu RAS Ağ Geçidi özelliği, şifrelenmiş bir tünel kullanarak İnternet üzerinden sanal ağ bağlantısı sağlar. Çok kiracılı senaryolarda kiracılar uzak konumlardan Azure Stack HCI dağıtımınızda barındırılan kaynaklarına erişebilir ve bu kaynakları yönetebilir. VPN işlevi İnternet Anahtar Değişimi v2 (IKEv2) ve Noktadan Siteye (P2S) VPN desteğini içerir.

Diagram that shows S 2 S I P sec VPN with a multitenant gateway and tenants accessing and managing resources from remote locations.

S2S GRE Tüneli

GRE , şifreleme yükü olmadan IP üzerinden sanal noktadan noktaya bağlantılar içinde bir dizi ağ katmanı protokolünün kapsüllenmesini sağlayan basit bir tünel protokolüdür. GRE tüneli, aşağıdaki senaryoların uygulanmasını kolaylaştırır:

  • Kiracının sanal ağlarından aynı barındırma ortamındaki fiziksel bir ağa erişim

Diagram that shows S 2 S G R E tunneling with access from the tenant's virtual networks to a physical network within the same hosting environment.

  • Kiracının kendi şirket içi ağından Çok Protokollü Etiket Değiştirme (MPLS) bağlantısı üzerinden yüksek hızlı bağlantı.

Diagram that shows S 2 S G R E tunneling with high-speed connectivity over a M P L S connection from the tenant's own on-premises network.

  • VLAN tabanlı yalıtım ile tümleştirme

Diagram that shows S 2 S G R E tunneling integration with V LAN-based isolation.

  • Bir veya daha fazla kiracının çakışmayan IP adresi alanları olan sanal ağlarından barındırma sağlayıcısının fiziksel ağı içindeki paylaşılan kaynaklara erişim

Diagram that shows S 2 S G R E tunneling access from one or more tenants' virtual networks.

L3 İletme

Bu senaryoda ağ geçidi, Azure Stack HCI sanallaştırılmış ortamı ile bir veri merkezinde fiziksel altyapı arasında yönlendirici görevi görür. Her kiracı, fiziksel ağ ile bağlantı için kendi VLAN etiketli mantıksal ağını kullanır.

BGP ile dinamik yönlendirme

Dinamik yönlendirme protokolü olarak BGP, yönlendiricilerde el ile yol yapılandırması gereksinimini en aza indirir. RAS Gateway gibi BGP özellikli yönlendiriciler tarafından bağlanan çok siteli bir ortamda çalışırken BGP, yönlendiricilerin yolları otomatik olarak öğrenmesine ve yapılandırmalarını mevcut ağ altyapısına yansıtacak şekilde güncelleştirmesine olanak tanır; örneğin, yeni bağlantılar kurmanın bir sonucu olarak veya ağ bağlantısı sorunlarına yanıt olarak. ÇOK kiracılı modda RAS Ağ Geçidi ile BGP, kiracıların VM ağları ile uzak siteleri arasındaki ağ trafiği yönlendirmesini yönetme olanağı sağlar.

Dekont

BGP'yi tek kiracılı RAS Gateway dağıtımları için ve uzaktan erişim sunucusu rolünü kullanarak bir LAN yönlendiricisi uygulamak için de kullanabilirsiniz.

Yönlendirme bilgileri, IÇ BGP eşlemesi kullanılarak RAS Ağ Geçidi (ve Yazılım Yük Dengeleme Çoğullayıcısı gibi diğer SDN bileşenleri) tarafından fiziksel ağa tanıtılır. Ancak, SDN altyapınızın Yazılım Yük Dengeleme Çoklayıcı ve RAS Ağ Geçidi tarafından tanıtılan ağlara yönelik yolları almak için kullandığı yönlendiricide bir BGP eş oluşturmanız gerekir. BGP eşlemesinin yalnızca tek bir şekilde gerçekleşmesi gerekir (Yazılım Yük Dengeleme Çoklayıcı veya RAS Ağ Geçidi'nden dış BGP eşine).

Dekont

BGP yönlendirici eşliğini kendi ASN'sini kullanacak ve SDN bileşenlerine atanmış bir ASN'den eşlemeye izin verecek şekilde yapılandırmanız gerekir (Yazılım Yük Dengeleme Çoklayıcı ve RAS Ağ Geçidi).

RAS Ağ Geçidi ve ağ geçidi bağlantılarını uygulama

Ağ geçidi bağlantıları ve sanal kiracı ağ geçitleri oluşturmadan önce SDN RAS Ağ Geçidi uygulamanız gerekir. Ayrıca, IPsec bağlantıları için SDN Yazılım Yük Dengeleyicileri uygulamanız gerekir. RAS Gateway altyapısı, ağ geçidi havuzlarından ve BGP Route Düşünceler or'larından oluşur.

Ağ geçidi havuzlarını açıklama

Ağ geçidi havuzları , fiziksel ve sanal ağlar arasında ağ trafiğini yönlendiren SDN tarafından yönetilen VM gruplarıdır. Havuzlar aşağıdaki özelliklere sahiptir:

  • Her havuz M+N yedeklidir, yani M etkin ağ geçidi VM'leri N hazır bekleyen ağ geçidi VM'leri tarafından yedeklenir. M+N yedeklilik, yüksek oranda kullanılabilir RAS Gateway dağıtımları uygularken ek esneklik sağlar.
  • Havuz S2S, L3 ve GRE gibi tek tek ağ geçidi işlevlerinin herhangi bir birleşimini gerçekleştirebilir.
  • Çok kiracılı ras ağ geçidi dağıtımında, ağ geçidi havuzları bir SDN SLB'nin arkasına dağıtılır ve bu sayede dağıtımın tamamı için tek bir genel IP adresi atayabilirsiniz.
  • Ağ geçidi VM'lerini ekleyerek veya kaldırarak havuzları yatay olarak ölçeklendikleyebilirsiniz. Ağ geçitlerinin kaldırılması veya eklenmesi, havuz tarafından sağlanan hizmetleri kesintiye uğratmaz.
  • Havuzları, aşağıdakileri içeren bir dizi ölçüte göre tanımlayabilirsiniz:
    • S2S, L3 veya GRE gibi Bağlan ion türleri
    • Kapasite
    • Yedeklilik düzeyi
    • Kiracı ayrımı

Örneğin, hem yüksek aktarım hızını hem de düşük aktarım hızına sahip IKEv2 S2S bağlantılarını destekleyen bir ağ geçidi havuzu veya yalnızca belirlenen bir kiracı tarafından kullanılabilen bir ağ geçidi havuzu oluşturabilirsiniz.

Dekont

Ağ geçidi havuzlarına kiracı sanal ağ geçitleri ekleyebilirsiniz. Ağ Denetleyicisi, yeni bir sanal ağ geçidi dağıttığınızda kullanılacak en uygun RAS Ağ Geçidi VM'sini otomatik olarak belirler.

Diagram that shows Multitenant R A S Gateway deployment with the gateway pools deployed behind an S D N S L B.

Ağ geçidi havuzlarını uygulama

Tüm Azure Stack HCI SDN RAS Ağ Geçidi VM'leri DefaultAll adlı ağ geçidi havuzunda bulunur. Ek ağ geçidi havuzları oluşturmak ve RAS Gateway VM'lerini bunlara ayırmak için 'New-NetworkControllerGatewayPool' PowerShell cmdlet'ini kullanabilirsiniz.

Ağ geçidi bağlantılarını uygulama ve yönetme

Windows Yönetici Center, IPSec, GRE ve L3 bağlantıları dahil olmak üzere ağ geçidi bağlantılarının sağlanmasını ve yönetilmesini kolaylaştırır.

IPsec ağ geçidi bağlantısı oluşturma

Windows Yönetici Center kullanarak IPsec ağ geçidi bağlantısı oluşturma işlemi aşağıdaki adım dizisini içerir:

  1. Windows Yönetici Center'da Azure Stack HCI kümesine bağlanın.
  2. Araçlar bölmesindeki bölümünde Ağ geçidi Bağlan ions'ı seçin.
  3. Ağ Geçidi Bağlan ions sayfasında Envanter sekmesini ve ardından Yeni'yi seçin.
  4. Yeni ağ geçidi Bağlan oluşturma bölmesinde aşağıdaki görevleri gerçekleştirin:
    1. Ad kutusuna bağlantı için bir ad girin.
    2. Sanal ağlar açılan listesinde ağ geçidinin bağlantı sağlayacağı sanal ağı seçin.
    3. Bağlan ion Türü açılan listesinde IPSEC'i seçin.
    4. Ağ Geçidi Havuzları açılan listesinde hedef RAS Ağ Geçidi havuzunu seçin.
    5. Ağ Geçidi Alt Ağı açılan listesinde, ağ geçidi bağlantısını barındıracak sanal ağın ayrılmış alt ağını seçin.
    6. İzin verilen En fazla Gelen bant genişliği (KBPS) kutusunda, sağlama sırasında seçtiğiniz ağ geçidinin toplam kapasitesini temsil eden bir değer sağlayın.
    7. İzin verilen En fazla Giden bant genişliği (KBPS) kutusunda, sağlama sırasında seçtiğiniz ağ geçidinin toplam kapasitesini temsil eden bir değer sağlayın.
    8. Hedef IP kutusuna uzak ağ geçidinin IP adresini girin.
    9. İlgili ölçümler ve hedef alt ağ ön ekleri dahil olmak üzere bağlantıya Rotalar ekleyin.
    10. Uzak ağ geçidinde yapılandırılan gizli diziyle eşleşen IPsec paylaşılan gizli dizisini girin ve Oluştur'u seçin.

Screenshot of the Gateway connections pane in Windows Admin Center depicting the creation of a new I P S E C gateway connection.

GRE ağ geçidi bağlantısı oluşturma

Çoğunlukla, Windows Yönetici Center kullanarak GRE ağ geçidi bağlantısı oluşturmak, IPsec ağ geçidi bağlantısı oluşturmayla aynı adım dizisini içerir. Birincil fark, Bağlan ion Type açılan listesinde bunun yerine GRE seçeneğini belirlemeniz ve ardından uzak ağ geçidinde yapılandırılan anahtarla eşleşen GRE anahtarını (IPsec paylaşılan gizli dizisi yerine) kullanmanızdır.

Screenshot of the Create New Gateway Connection pane in Windows Admin Center, depicting the creation of a new G R E gateway connection.

L3 ağ geçidi bağlantısı oluşturma

Windows Yönetici Center kullanarak L3 ağ geçidi bağlantısı oluşturma işlemi de önceki iki yordamdan önemli ölçüde farklı değildir. Ancak, Bağlan ion Türü açılan listesinde L3 seçeneğini belirlemeye ek olarak, aşağıdakiler de dahil olmak üzere ek ayarlar belirtmeniz gerekir:

  1. L3 Mantıksal Ağı için bir ağ. Bu, sanal ağa bağlantı gerektiren fiziksel ağı temsil eder. Önce bu ağı SDN mantıksal ağı olarak oluşturmanız gerekir.
  2. L3 Mantıksal Ağında bir L3 Mantıksal Alt Ağı. Bu alt ağa bir VLAN kimliği atamanız gerekir.
  3. L3 IP Adresi/Alt Ağ Maskesine karşılık gelen CIDR biçiminde bir IP adresi. Bu IP adresi ağ geçidi arabiriminde yapılandırılır.
  4. Sanal ağdan gelen trafik ağ geçidine ulaştıktan sonra fiziksel ağda sonraki atlama görevi görecek L3 Mantıksal Alt Ağı üzerindeki L3 Eş IP adresi.

Screenshot of the Create New Gateway Connections pane in Windows Admin Center, depicting the creation of a new L3 gateway connection.

Ağ geçidi bağlantılarını değiştirme ve silme

IPsec, GRE ve L3 bağlantıları için bir dizi bağlantı ayarlarını değiştirebilirsiniz. Bu ayarlar şunlardır:

  • IPsec bağlantıları için:
    • İzin verilen en fazla gelen ve giden bant genişliği
    • Hedef IP adresi
    • Hedef ön ek ve yol ölçümü
    • IPsec önceden paylaşılan anahtarı
  • GRE bağlantıları için:
    • İzin verilen en fazla gelen ve giden bant genişliği
    • Hedef IP adresi, hedef ön eki ve yol ölçümü
    • GRE anahtarı
  • L3 bağlantıları için:
    • İzin verilen en yüksek gelen bant genişliği ve giden bant genişliği, hedef ön ek ve yol ölçümü
    • L3 Mantıksal Ağ, L3 Mantıksal Alt Ağ, L3 IP Adresi ve L3 Eş IP

Windows Yönetici Center, oluşturduğunuz ağ geçidi bağlantılarından herhangi birini silmenize de olanak tanır. Bunu, Ağ Geçidi Bağlan ions sayfasındaki Envanter sekmesinden yapabilirsiniz.