什麼是適用於軟體定義網路的遠端存取服務 (RAS) 網路閘道?
適用於:Azure Stack HCI 版本 23H2 和 22H2;Windows Server 2022、Windows Server 2019、Windows Server 2016
本文提供 Azure Stack HCI 和 Windows Server 中軟體定義網路 (SDN) 的遠端存取服務 (RAS) 閘道概觀。
RAS 網路閘道是以軟體為基礎的邊界閘道協定 (BGP) 支援路由器,專為雲端服務提供者 (CSP) 和使用 Hyper-V 網路虛擬化 (HNV) 裝載多租用戶虛擬網路的企業所設計。 您可以使用 RAS 閘道在虛擬網路與其他網路之間路由網路流量 (本機或遠端)。
RAS 閘道需要 網路控制站,以執行閘道集區的部署、在每個閘道上設定租用戶連線,並在閘道失敗時將網路流量切換至待命閘道。
注意
多組織用戶管理是雲端基礎結構功能,可支援多個租用戶的虛擬機器 (VM) 工作負載,但會將彼此隔開,而所有工作負載都是在相同的基礎結構上執行。 個別租用戶的多個工作負載可以互連並從遠端管理,但是這些系統不會與其他租用戶的工作負載互連,其他租用戶也無法從遠端管理它們。
功能
RAS 閘道提供許多虛擬專用網功能, (VPN) 、通道、轉送和動態路由。
站對站 IPsec VPN
此 RAS 閘道功能可讓您使用站對站 (S2S) 虛擬私人網路 (VPN) 連線,跨網際網路連線兩個實體位置不同的網路。 這是使用 IKEv2 VPN 通訊協定的加密連線。
RAS 閘道為在資料中心裝載許多租用戶的 CSP 提供多租用戶閘道解決方案,可讓租用戶從遠端網站透過站對站 VPN 連線來存取及管理資源。 RAS 閘道允許資料中心內的虛擬資源與其實體網路之間的網路流量。
站對站 GRE 通道
Generic Routing Encapsulation (GRE) 型通道可讓租用戶虛擬網路與外部網路建立連線。 因為 GRE 通訊協定是輕量型的,而且大部分的網路裝置都支援 GRE,所以這是不需要加密數據之通道的理想選擇。
S2S 通道中的 GRE 支援可解決租用戶虛擬網路與使用多租用戶閘道之租用戶外部網路間的轉送問題。
第三層轉送
第 3 層 (L3) 轉寄能在資料中心實體基礎結構與 Hyper-V 網路虛擬雲端虛擬基礎結構之間建立連線。 藉由使用 L3 轉送連線,租用戶網路 VM 可以透過 SDN 網關聯機到實體網路,此網關已在 SDN 環境中設定。 在這種情況下,SDN 閘道的作用是虛擬網路和實體網路之間的路由器。
下圖顯示以 SDN 設定的 Azure Stack HCI 叢集中的 L3 轉送設定範例:
- Azure Stack HCI 叢集中有兩個虛擬網路:SDN 虛擬網路 1,位址前綴為 10.0.0.0/16 和 SDN 虛擬網路 2,位址前綴為 16.0.0.0/16。
- 每個虛擬網路都有實體網路的 L3 連線。
- 由於 L3 連線適用於不同的虛擬網路,因此 SDN 閘道針對每個連線都有個別的區間,以提供隔離保證。
- 每個 SDN 閘道區間在虛擬網路空間中都有一個介面,以及實體網路空間中的一個介面。
- 每個 L3 連線都必須對應至實體網路上的唯一 VLAN。 此 VLAN 必須與 HNV 提供者 VLAN 不同,此 VLAN 會用來作為虛擬網路流量的基礎數據轉送實體網路。
- 此範例使用靜態路由。
以下是此範例中使用的每個連線詳細數據:
網路元素 | 連線 1 | 連線 2 |
---|---|---|
閘道子網前綴 | 10.0.1.0/24 | 16.0.1.0/24 |
L3 IP 位址 | 15.0.0.5/24 | 20.0.0.5/24 |
L3 對等IP位址 | 15.0.0.1 | 20.0.0.1 |
線上上的路由 | 18.0.0.0/24 | 22.0.0.0/24 |
使用 L3 轉送時的路由考慮
針對靜態路由,您必須在實體網路上設定路由以連線到虛擬網路。 例如,位址前綴為 10.0.0.0/16 的路由,下一個躍點為連線的 L3 IP 位址, (15.0.0.5) 。
針對使用 BGP 的動態路由,您仍必須設定靜態 /32 路由,因為 BGP 連線是在網關區間內部介面與 L3 對等 IP 之間。 針對連線 1,對等互連介於 10.0.1.6 和 15.0.0.1 之間。 因此,針對此連線,您需要實體交換器上的靜態路由,其目的地前置詞為 10.0.1.6/32,下一個躍點為 15.0.0.5。
如果您打算使用 BGP 路由部署 L3 網關聯機,請務必使用下列項目來設定機架頂端 (ToR) 交換器 BGP 設定:
- update-source:這會指定 BGP 更新的來源位址,也就是 L3 VLAN。 例如,VLAN 250。
- ebgp multihop:這會指定需要更多躍點,因為 BGP 芳鄰是一個以上的躍點。
透過 BGP 進行動態路由
BGP 可減少路由器上手動路由設定的需求,因為它是動態路由通訊協定,而且會自動瞭解使用站對站 VPN 連線來連線的月臺之間的路由。 如果您的組織有多個使用已啟用 BGP 的路由器連線的網站,例如 RAS 閘道,BGP 可讓路由器在網路中斷或失敗時自動計算和使用彼此的有效路由。
RAS 閘道隨附的 BGP 路由反射程式,可為路由器之間的路由同步提供必要 BGP 完整網狀拓撲的替代方案。 如需詳細資訊,請參閱路由反射程式是什麼?
RAS 閘道的運作方式
RAS 閘道會在實體網路與 VM 網路資源間路由網路流量,不論其位置為何。 您可以在相同實體位置或許多不同的位置上路由網路流量。
您可以在一次使用多個功能的高可用性集區中部署 RAS 閘道。 閘道集區包含多個 RAS 閘道執行個體,以提供高可用性及容錯移轉。
您可以在集區中新增或移除閘道 VM,輕鬆擴大或縮小閘道集區。 拿掉或新增閘道不會中斷集區所提供的服務。 您也可以新增及移除整個閘道集區。 如需詳細資訊,請參閱 RAS 閘道高可用性。
每個閘道集區都提供 M+N 備援。 這表示有 'N' 個待命閘道 VM 支援 'M' 個作用中閘道 VM。 當您部署 RAS 閘道時,M+N 備援可讓您在決定所需可靠性層級時更有彈性。
您可以將單一公用 IP 位址指派給所有集區,或指派給集區的一部分。 這麼做可大幅減少您必須使用的公用IP位址數目,因為所有租使用者都可以連線到單一IP位址上的雲端。
下一步
如需相關資訊,另請參閱: