RAS 网关部署体系结构

适用于：Windows Server 2022、Windows Server 2019、Windows Server 2016，Azure Stack HCI 版本 21H2 和 20H2

可以使用本主题了解云服务提供商 (CSP) 如何部署 RAS 网关，包括 RAS 网关池、路由反射器以及为单个租户部署多个网关。

以下部分简要概述了 RAS 网关的一些新功能，以便你可以了解如何在网关部署设计中使用这些功能。

此外，还提供了示例部署，包括有关添加新租户、路由同步和数据平面路由、网关和路由反射器故障转移等过程的信息。

本主题包含以下各节：

• 使用 RAS 网关新功能设计部署

• 示例部署

• 添加新租户和客户地址 (CA) 空间 EBGP 对等互连

• 路由同步和数据平面路由

• 网络控制器如何响应 RAS 网关和路由反射器故障转移

• 使用新 RAS 网关功能可获得的优势

使用 RAS 网关新功能设计部署

RAS 网关包括多个新功能，这些功能可以改变和改进在数据中心部署网关基础结构的方式。

BGP 路由反射器

边界网关协议 (BGP) 路由反射器功能现已包含在 RAS 网关中，它可以替代在路由器之间进行路由同步时通常需要的 BGP 全网格拓扑。 对于完全网格同步，所有 BGP 路由器必须与路由拓扑中的所有其他路由器连接。 但是，使用路由反射器时，路由反射器是唯一连接到其他所有路由器的路由器（称为 BGP 路由反射器客户端），从而简化路由同步并减少网络流量。 路由反射器了解所有路由、计算最佳路由，并将最佳路由重新分发到其 BGP 客户端。

有关详细信息，请参阅 RAS 网关的新增功能。

网关池

在 Windows Server 2016 中，可以创建许多不同类型的网关池。 网关池包含 RAS 网关的许多实例，并在物理网络和虚拟网络之间路由网络流量。

有关详细信息，请参阅 RAS 网关的新增功能和 RAS 网关高可用性。

网关池可伸缩性

可通过在池中添加或删除网关 VM 来轻松纵向扩展和缩减网关池。 删除或添加网关不会中断池提供的服务。 你还可以添加和删除整个网关池。

有关详细信息，请参阅 RAS 网关的新增功能和 RAS 网关高可用性。

M+N 网关池冗余

每个网关池采用 M+N 冗余设计。 意思是，“M”个活动网关 VM 由“N”个备用网关 VM 提供后备支持。 利用 M+N 冗余，可以更灵活地确定部署 RAS 网关时所需的可靠性级别。

有关详细信息，请参阅 RAS 网关的新增功能和 RAS 网关高可用性。

示例部署

下图提供了一个示例，其中通过两个租户（Contoso 和 Woodgrove）与 Fabrikam CSP 数据中心之间配置的站点到站点 VPN 连接建立了 eBGP 对等互连。

在此示例中，Contoso 需要额外的网关带宽，导致网关基础结构设计决策在 GW3 而不是 GW2 上终止 Contoso 洛杉矶站点。 因此，来自不同站点的 Contoso VPN 连接在 CSP 数据中心的两个不同网关上终止。

当 CSP 将 Contoso 和 Woodgrove 租户添加到其基础结构时，这两个网关（GW2 和 GW3）都是网络控制器配置的第一个 RAS 网关。 因此，这两个网关配置为这些相应客户（或租户）的路由反射器。 GW2 是 Contoso 路由反射器，GW3 是 Woodgrove 路由反射器 - 此外，它们还是与 Contoso 洛杉矶总部站点建立的 VPN 连接的 CSP RAS 网关终止点。

注意

一个 RAS 网关可为最多一百个不同的租户路由虚拟和物理网络流量，具体取决于每个租户的带宽要求。

作为路由反射器，GW2 将 Contoso CA 空间路由发送到网络控制器，GW3 将 Woodgrove CA 空间路由发送到网络控制器。

网络控制器将 Hyper-V 网络虚拟化策略推送到 Contoso 和 Woodgrove 虚拟网络，将 RAS 策略推送到 RAS 网关，将负载均衡策略推送到配置为软件负载均衡池的多路复用器 (MUX)。

添加新租户和客户地址 (CA) 空间 eBGP 对等互连

与新客户签约并将其添加为数据中心内的新租户时，可以使用以下过程，此过程的大多数步骤由网络控制器和 RAS 网关 eBGP 路由器自动执行。

1. 根据租户的要求预配新虚拟网络和工作负载。

2. 如果需要，请在远程租户企业站点与租户的数据中心虚拟网络之间配置远程连接。 为租户部署站点到站点 VPN 连接时，网络控制器会自动从可用网关池中选择一个可用 RAS 网关 VM 并配置连接。

3. 为新租户配置 RAS 网关 VM 时，网络控制器还会将 RAS 网关配置为 BGP 路由器，并将其指定为租户的路由反射器。 即使 RAS 网关充当其他租户的网关或者同时充当其网关和路由反射器，也是如此。

4. 根据 CA 空间路由使用的是静态配置的网络还是动态 BGP 路由，网络控制器在 RAS 网关 VM 和路由反射器上配置相应的静态路由和/或 BGP 邻居。

   注意

   • 网络控制器为租户配置 RAS 网关和路由反射器后，每当同一租户需要新的站点到站点 VPN 连接时，网络控制器就会检查此 RAS 网关 VM 上的可用容量。 如果原始网关可以提供所需的容量，则新的网络连接也会在同一 RAS 网关 VM 上配置。 如果 RAS 网关 VM 无法处理额外的容量，则网络控制器会选择一个新的可用 RAS 网关 VM 并在其上配置新连接。 与租户关联的此新 RAS 网关 VM 将成为原始租户 RAS 网关路由反射器的路由反射器客户端。

   • 由于 RAS 网关池位于软件负载均衡器 (SLB) 后面，每个租户的站点到站点 VPN 地址都使用称为虚拟 IP 地址 (VIP) 的单个公共 IP 地址，该地址由 SLB 转换为称为动态 IP 地址 (DIP) 的数据中心内部 IP 地址，用于为企业租户路由流量的 RAS 网关。 SLB 执行的这种公共到专用 IP 地址的映射可确保在企业站点与 CSP RAS 网关和路由反射器之间正确建立站点到站点 VPN 隧道。

     有关 SLB、VIP 和 DIP 的详细信息，请参阅 SDN 的软件负载均衡 (SLB)。

5. 为新租户建立企业站点与 CSP 数据中心 RAS 网关之间的站点到站点 VPN 隧道后，将在隧道的企业端和 CSP 端自动预配与隧道关联的静态路由。

6. 借助 CA 空间 BGP 路由，还会建立企业站点与 CSP RAS 网关路由反射器之间的 eBGP 对等互连。

路由同步和数据平面路由

在企业站点与 CSP RAS 网关路由反射器之间建立 eBGP 对等互连后，路由反射器使用动态 BGP 路由来获知所有企业路由。 路由反射器在所有路由反射器客户端之间同步这些路由，以便为所有客户端配置同一组路由。

路由反射器还使用路由同步将这些合并路由更新到网络控制器。 然后，网络控制器将路由转换为 Hyper-V 网络虚拟化策略，并配置结构网络以确保预配端到端数据路径路由。 此过程使租户虚拟网络可从租户企业站点访问。

对于数据平面路由，到达 RAS 网关 VM 的数据包将直接路由到租户的虚拟网络，因为所需的路由现在可用于所有参与的 RAS 网关 VM。

同样，有了 Hyper-V 网络虚拟化策略，租户虚拟网络会将数据包直接路由到 RAS 网关 VM（不需要知道路由反射器），然后通过站点到站点 VPN 隧道路由到企业站点。

此外。 从租户虚拟网络到远程租户企业站点的返回流量将绕过 SLB，此过程称为直接服务器返回 (DSR)。

网络控制器如何响应 RAS 网关和路由反射器故障转移

下面是两种可能的故障转移方案 - 一种方案适用于 RAS 网关路由反射器客户端，一种方案适用于 RAS 网关路由反射器 - 包括有关网络控制器如何在任一配置中处理 VM 故障转移的信息。

RAS 网关 BGP 路由反射器客户端的 VM 故障

当 RAS 网关路由反射器客户端发生故障时，网络控制器将采取以下措施。

注意

当 RAS 网关不是租户 BGP 基础结构的路由反射器时，它将是租户 BGP 基础结构中的路由反射器客户端。

• 网络控制器选择一个可用的备用 RAS 网关 VM，并使用出现故障的 RAS 网关 VM 的配置预配新的 RAS 网关 VM。

• 网络控制器更新相应的 SLB 配置，以确保使用新的 RAS 网关正确建立从租户站点到有故障 RAS 网关的站点到站点 VPN 隧道。

• 网络控制器在新网关上配置 BGP 路由反射器客户端。

• 网络控制器将新的 RAS 网关 BGP 路由反射器客户端配置为活动状态。 RAS 网关立即开始与租户的路由反射器建立对等互连，以共享路由信息并为相应的企业站点启用 eBGP 对等互连。

RAS 网关 BGP 路由反射器的 VM 故障

当 RAS 网关 BGP 路由反射器发生故障时，网络控制器将采取以下措施。

• 网络控制器选择一个可用的备用 RAS 网关 VM，并使用出现故障的 RAS 网关 VM 的配置预配新的 RAS 网关 VM。

• 网络控制器在新的 RAS 网关 VM 上配置路由反射器，并为新 VM 分配出现故障的 VM 使用的相同 IP 地址，从而在 VM 发生故障的情况下提供路由完整性。

• 网络控制器更新相应的 SLB 配置，以确保使用新的 RAS 网关正确建立从租户站点到有故障 RAS 网关的站点到站点 VPN 隧道。

• 网络控制器将新的 RAS 网关 BGP 路由反射器 VM 配置为活动状态。

• 路由反射器立即进入活动状态。 与企业建立站点到站点 VPN 隧道后，路由反射器将使用 eBGP 对等互连，并与企业站点路由器交换路由。

• BGP 路由选择后，RAS 网关 BGP 路由反射器将更新数据中心的租户路由反射器客户端，并与网络控制器同步路由，使端到端数据路径可用于租户流量。

使用新 RAS 网关功能可获得的优势

下面是在设计 RAS 网关部署时使用这些新 RAS 网关功能可获得的一些优势。

RAS 网关可伸缩性

由于可以根据需要向 RAS 网关池添加任意数量的 RAS 网关 VM，因此可以轻松缩放 RAS 网关部署以优化性能和容量。 将 VM 添加到池时，可以使用任何类型的站点到站点 VPN 连接（IKEv2、L3、GRE）配置这些 RAS 网关，从而消除容量瓶颈和停机时间。

简化企业站点网关管理

当租户有多个企业站点时，租户可为所有站点配置一个远程站点到站点 VPN IP 地址和一个远程邻居 IP 地址 – 该租户的 CSP 数据中心 RAS 网关 BGP 路由反射器 VIP。 这简化了租户的网关管理。

快速修正网关故障

为确保快速做出故障转移响应，可以将边缘路由与控制路由器之间的 BGP“保持连接”(Keepalive) 时间参数配置为较短的时间间隔，例如小于或等于 10 秒。 配置这种短暂的保持连接间隔后，如果 RAS 网关 BGP 边缘路由器发生故障，将可以快速检测到这种故障，并且网络控制器会遵循前面部分中提供的步骤。 此优势可以减少对单独的故障检测协议（例如双向转发检测 (BFD) 协议）的需求。