RAS 网关
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
借助 RAS 网关,云服务提供商 (CSP) 和企业可以在虚拟网络与物理网络(包括 Internet)之间启用数据中心和云网络流量路由。
注意
RAS 网关支持 IPv4 和 IPv6,包括 IPv4 和 IPv6 转发。 使用网络地址转换 (NAT) 配置 RAS 网关时,仅支持 NAT44。
哪些人员对 RAS 网关感兴趣?
如果你是系统管理员、网络架构师或其他 IT 专业人员,在遇到下列一种或多种情况时,你可能会对 RAS 网关感兴趣:
你要为某个组织设计 IT 基础结构或提供相应支持,而该组织正在使用或计划使用 Hyper-V 在虚拟网络中部署虚拟机 (VM)。
你要为某个组织设计 IT 基础结构或提供相应支持,而该组织已部署或计划部署云技术。
你想要在物理网络与虚拟网络之间提供全面的网络连接。
你想要使组织的客户能够通过 Internet 访问其虚拟网络。
你想要通过 Internet 连接位于不同物理位置的办公室。
本主题面向信息技术 (IT) 专业人员,提供有关 RAS 网关的信息,包括 RAS 网关部署模式和功能。
本主题包含以下各节:
RAS 网关部署模式
RAS 网关包括以下部署模式:
单租户模式
建议不要在单租户模式下部署 RAS 网关。 有关单租户模式方案,请参阅单租户。
多租户模式
如果你的组织是具有多个租户的 CSP 或企业,你可以在多租户模式下部署 RAS 网关,以便为传入和传出虚拟网络与物理网络的网络流量提供路由。
多租户是云基础结构的一项功能,可支持多个租户的虚拟机工作负载,同时将它们彼此隔离,而所有工作负载都在同一基础结构上运行。 单个租户的多个工作负载可以互连和接受远程管理,但这些系统不与其他租户的工作负载互连,其他租户也不能远程管理它们。
例如,某家企业使用了许多不同的虚拟子网,每个虚拟子网专门为特定的部门(如研发或会计部门)提供服务。 另举一例,某家 CSP 有许多租户,他们的虚拟子网在同一物理数据中心内处于隔离状态。 在这两种情况下,RAS 网关都可以与每个租户相互路由流量,同时按设计维持每个租户的隔离状态。 此功能使 RAS 网关具备多租户感知能力。
虚拟网络是使用 Hyper-V 网络虚拟化创建的。 RAS 网关与 Hyper-V 网络虚拟化集成,在有许多不同的客户或租户,并且其虚拟网络在同一数据中心内处于隔离状态的环境中,它可以有效地路由网络流量。
使用 Hyper-V 网络虚拟化可以部署一种独立于基础物理网络的虚拟机 (VM) 网络。 在由一个或多个虚拟子网组成的 VM 网络中,IP 子网的确切物理位置与虚拟网络拓扑相解耦。 因此,你可以轻松地将本地子网转移到云,同时在云中保留现有的 IP 地址和拓扑。 这种保留基础结构的能力使得现有服务能够继续工作,而不考虑子网的物理位置, 也就是说,Hyper-V 网络虚拟化可实现无缝混合云的建立。
注意
Hyper-V 网络虚拟化是一种网络叠加技术,它利用网络虚拟化基本路由封装 (NVGRE),使租户能够享用自己的地址空间,对于 CSP 而言,与使用 VLAN 进行租户隔离相比,它可以让 CSP 获得更好的可伸缩性。
在 Windows Server 中,RAS 网关可以在物理网络与 VM 网络资源之间路由网络流量,而不管资源位于哪个位置。 可以使用 RAS 网关在位于同一物理位置或多个不同物理位置的物理网络与虚拟网络之间路由网络流量。
例如,如果你在同一物理位置使用了物理网络和虚拟网络,则你可以部署一台运行 Hyper-V 且配置了 RAS 网关 VM 的计算机,让它充当转发网关,并在虚拟网络与物理网络之间路由流量。
另举一例,如果你的虚拟网络位于云中,则你的 CSP 可以部署一个 RAS 网关,使你能够在 VPN 服务器与 CSP 的 RAS 网关之间创建虚拟专用网络 (VPN) 站点到站点连接;建立这种链接后,你可以通过 VPN 连接来连接到云中的虚拟资源。
有关详细信息,请参阅 RAS 网关高可用性。
用于实现高可用性的群集 RAS 网关
可将 RAS 网关部署在运行 Hyper-V 且配置了一个 VM 的专用计算机上。 然后将 VM 配置为 RAS 网关。
要实现网络资源的高可用性,可以部署具有故障转移功能的 RAS 网关,方法是使用两台运行 Hyper-V 的物理主机服务器,其中每台服务器同时还运行已配置为网关的虚拟机 (VM)。 然后,可将网关 VM 配置为群集,以便在出现网络中断和硬件故障时提供故障转移保护。
例如,如果你的组织是具有私有云部署的企业版,则你可能只需要两个 RAS 网关 VM,其中每个 VM 安装在运行 Hyper-V 的不同计算机上。 在此方案中,RAS 网关 VM 将添加到群集以提供高可用性。
又例如,如果你的组织是一家云服务提供商 (CSP),在数据中心承载了 200 个租户,那么,你可以使用 8 个 RAS 网关 VM,其中每一对群集 RAS 网关 VM 为 50 个租户提供路由服务。 在此方案中,两台运行 Hyper-V 的计算机各有四个配置为 RAS 网关的 VM。 然后,可以配置四个 RAS 网关 VM 群集,每个群集包含每台运行 Hyper-V 的计算机中的一个 VM。
当你部署 RAS 网关时,运行 Hyper-V 的主机服务器以及配置为网关的 VM 必须正在运行 Windows Server。
RAS 网关功能
RAS 网关包括以下功能:
站点到站点 VPN。 利用这项 RAS 网关功能,可以使用站点到站点 VPN 连接通过 Internet 连接位于不同物理位置的两个网络。 如果你有一个总部和多个分支机构,可以在每个位置部署一个边缘 RAS 网关,并创建站点到站点连接以便在不同的位置之间提供网络流量流。 对于在数据中心托管许多租户的 CSP 而言,RAS 网关提供多租户网关解决方案,使租户能够从远程站点通过点对点 VPN 连接访问和管理其资源,并使网络流量能够在数据中心的虚拟资源与租户的物理网络之间传递。
点到站点 VPN。 利用这项 RAS 网关功能,组织员工或管理员可从远程位置连接到组织网络。 对于 RAS 网关的单租户部署,远程员工可以使用 VPN 连接到组织网络。 他们可以通过这种连接使用内部网络资源,例如 Intranet 网站和文件服务器。 对于多租户部署,租户网络管理员可以使用点到站点 VPN 连接来访问 CSP 数据中心的虚拟网络资源。
使用边界网关协议进行动态路由 (BGP)。 BGP 可减少对在路由器上进行手动路由配置的需要,因为它是一种动态路由协议,可自动了解使用站点到站点 VPN 连接进行连接的站点之间的路由。 如果你的组织有多个使用启用了 BGP 的路由器(如 RAS 网关)连接的站点,则在网络中断或发生故障时,BGP 允许路由器自动计算并使用相互之间的有效路由。 有关详细信息,请参阅 RFC 4271。
网络地址转换 (NAT)。 使用网络地址转换 (NAT) 可以通过具有单个公共 IP 地址的单个接口共享公共 Internet 连接。 专用网络上的计算机使用不可路由的专用地址。 NAT 将专用地址映射到公共地址。 使用单租户部署的组织员工可以通过此 RAS 网关功能从网关后面访问 Internet 资源。 对于 CSP,在租户 VM 上运行的应用程序可以通过此功能访问 Internet。 例如,配置为 Web 服务器的租户 VM 可以联系外部金融资源来处理信用卡交易。
RAS 网关部署方案
下面是 RAS 网关的建议部署方案:
企业边缘 - 单租户部署。 对于单租户企业部署,可以使用站点到站点 VPN 功能通过 Internet 将一个物理位置连接到其他多个物理位置,并且边界网关协议 (BGP) 允许使用动态路由。 还可以通过点到站点 VPN 连接和 DirectAccess 连接为远程员工提供对组织网络的访问。 (DirectAccess 连接始终处于打开状态,同时还提供一项优势:你可以轻松管理通过 DirectAccess 连接的计算机,因为每当它们打开时就已建立连接并且会连接到 Internet。)你还可以使用 NAT 配置单租户企业 RAS 网关,使 Intranet 上的计算机可以轻松与 Internet 通信。
云服务提供商边缘 - 多租户部署。 通过 CSP 的 RAS 网关多租户部署,可为租户提供企业边缘单租户部署所提供的所有功能。 数据中心内的租户虚拟网络与 Internet 上的租户网络位置之间的站点到站点 VPN 连接意味着租户始终可以无缝访问其云资源。 租户的点到站点 VPN 访问意味着租户管理员始终可以连接到数据中心内的虚拟网络来管理其资源。 BGP 提供动态路由,即使 Internet 或其他位置出现网络问题,也能使租户与其资产保持连接。 另外,NAT 使租户 VM 能够连接到 Internet 上的资源,例如信用卡处理资源。
RAS 网关管理工具
下面是 RAS 网关的管理工具:
在 Windows Server 2016 中,若要部署 RAS 网关路由器,必须使用 Windows PowerShell 命令。 有关详细信息,请参阅适用于 Windows Server 和 Windows 11 的远程访问 Cmdlet。
在 System Center Virtual Machine Manager (VMM) 中,RAS 网关被命名为 Windows Server 网关。 VMM 软件界面中提供有限的一组边界网关协议 (BGP) 配置选项,包括“BGP 本地 IP 地址”和“自治系统编号(ASN)”、“BGP 对等 IP 地址列表”和“ASN 值”。 但是,你可以使用远程访问 Windows PowerShell BGP 命令来配置 Windows Server 网关的所有其他功能。 有关详细信息,请参阅适用于 Windows Server 和 Windows 客户端的 Virtual Machine Manager (VMM) 和远程访问 Cmdlet。