Поделиться через

Что такое шлюз службы удаленного доступа (RAS) для программно-конфигурируемой сети?

  • Статья

Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье представлен обзор шлюза службы удаленного доступа (RAS) для программно-конфигурируемой сети (SDN) в Azure Stack HCI и Windows Server.

Шлюз RAS — это программный маршрутизатор с поддержкой протокола BGP, предназначенный для поставщиков облачных служб (CSP) и предприятий, на которых размещаются мультитенантные виртуальные сети, использующие виртуализацию сети Hyper-V (HNV). Шлюз RAS можно использовать для маршрутизации сетевого трафика между виртуальной сетью и другой сетью, локальной или удаленной.

Для шлюза RAS требуется сетевой контроллер, который выполняет развертывание пулов шлюзов, настраивает подключения клиентов к каждому шлюзу и переключает потоки сетевого трафика на резервный шлюз в случае сбоя шлюза.

Примечание

Мультитенантность — это возможность облачной инфраструктуры поддерживать рабочие нагрузки виртуальных машин нескольких клиентов, но изолировать их друг от друга, в то время как все рабочие нагрузки выполняются в одной инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.

Компоненты

Шлюз RAS предлагает множество функций для виртуальной частной сети (VPN), туннелирования, пересылки и динамической маршрутизации.

VPN IPsec типа "сеть — сеть"

Эта функция шлюза RAS позволяет подключать две сети в разных физических расположениях через Интернет с помощью vpn-подключения типа "сеть — сеть" (S2S). Это зашифрованное подключение с использованием протокола VPN IKEv2.

Для поставщиков облачных служб, которые размещают множество клиентов в центре обработки данных, шлюз RAS предоставляет мультитенантное решение шлюза, которое позволяет клиентам получать доступ к своим ресурсам и управлять ими через VPN-подключения типа "сеть — сеть" с удаленных сайтов. Шлюз RAS обеспечивает поток сетевого трафика между виртуальными ресурсами в центре обработки данных и их физической сетью.

Туннели GRE типа "сеть — сеть"

Туннели на основе универсальной инкапсуляции маршрутизации (GRE) обеспечивают подключение между виртуальными сетями клиента и внешними сетями. Так как протокол GRE является упрощенным и поддержка GRE доступна на большинстве сетевых устройств, это идеальный вариант для туннелирования, когда шифрование данных не требуется.

Поддержка GRE в туннелях S2S решает проблему переадресации между виртуальными сетями клиента и внешними сетями клиента с помощью мультитенантного шлюза.

Layer 3 forwarding (перенаправление уровня 3)

Переадресация уровня 3 (L3) обеспечивает подключение между физической инфраструктурой в центре обработки данных и виртуализированной инфраструктурой в облаке виртуализации сети Hyper-V. С помощью переадресации L3 сетевые виртуальные машины клиента могут подключаться к физической сети через шлюз SDN, который уже настроен в среде SDN. В этом случае шлюз SDN действует как маршрутизатор между виртуализированной сетью и физической сетью.

На следующей схеме показан пример настройки перенаправления L3 в кластере Azure Stack HCI, настроенном с помощью SDN:

Схема примера перенаправления L3.

  • В кластере Azure Stack HCI есть две виртуальные сети: виртуальная сеть SDN 1 с префиксом адреса 10.0.0.0/16 и виртуальная сеть SDN 2 с префиксом адреса 16.0.0.0/16.
  • Каждая виртуальная сеть имеет подключение L3 к физической сети.
  • Так как подключения уровня 3 предназначены для разных виртуальных сетей, шлюз SDN имеет отдельный раздел для каждого подключения, обеспечивая гарантии изоляции.
  • Каждый отсек шлюза SDN имеет один интерфейс в пространстве виртуальной сети и один интерфейс в пространстве физической сети.
  • Каждое подключение L3 должно сопоставляться с уникальной виртуальной локальной сетью в физической сети. Эта виртуальная локальная сеть должна отличаться от виртуальной ЛС поставщика HNV, которая используется в качестве базовой физической сети пересылки данных для виртуализированного сетевого трафика.
  • В этом примере используется статическая маршрутизация.

Ниже приведены сведения о каждом подключении, используемом в этом примере:

Элемент Network Подключение 1 Подключение 2
Префикс подсети шлюза 10.0.1.0/24 16.0.1.0/24
IP-адрес L3 15.0.0.5/24 20.0.0.5/24
IP-адрес однорангового узла L3 15.0.0.1 20.0.0.1
Маршруты подключения 18.0.0.0/24 22.0.0.0/24

Рекомендации по маршрутизации при использовании перенаправления L3

Для статической маршрутизации необходимо настроить маршрут в физической сети для доступа к виртуальной сети. Например, маршрут с префиксом адреса 10.0.0.0/16 со следующим прыжком в качестве IP-адреса L3 подключения (15.0.0.5).

Для динамической маршрутизации с помощью BGP необходимо по-прежнему настроить статический маршрут /32, так как подключение BGP находится между внутренним интерфейсом шлюза и IP-адресом однорангового узла L3. Для подключения 1 пиринг будет находиться в диапазоне от 10.0.1.6 до 15.0.0.1. Таким образом, для этого подключения нужен статический маршрут на физическом коммутаторе с префиксом назначения 10.0.1.6/32 со следующим прыжком 15.0.0.5.

Если вы планируете развернуть подключения шлюза уровня 3 с маршрутизацией BGP, обязательно настройте параметры BGP top of Rack (ToR) с помощью следующих параметров:

  • update-source: указывает исходный адрес для обновлений BGP, то есть L3 VLAN. Например, виртуальная локальная сеть 250.
  • ebgp multihop: указывает, что требуется больше прыжков, так как сосед BGP находится в нескольких прыжках.

Динамическая маршрутизация с помощью BGP

BGP уменьшает потребность в настройке маршрутов вручную на маршрутизаторах, так как это протокол динамической маршрутизации, и автоматически изучает маршруты между сайтами, подключенными с помощью VPN-подключений типа "сеть — сеть". Если в вашей организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP позволяет маршрутизаторам автоматически вычислять и использовать допустимые маршруты друг к другу в случае сбоя или сбоя сети.

Отражатель маршрутов BGP, входящий в состав шлюза RAS, предоставляет альтернативу полной топологии сетки BGP, которая необходима для синхронизации маршрутов между маршрутизаторами. Дополнительные сведения см. в статье Что такое отражатель маршрутов?

Принцип работы шлюза RAS

Шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения. Сетевой трафик можно направлять в одно и то же физическое расположение или несколько разных расположений.

Шлюз RAS можно развернуть в пулах высокой доступности, которые используют несколько функций одновременно. Пулы шлюзов содержат несколько экземпляров шлюза RAS для обеспечения высокой доступности и отработки отказа.

Вы можете легко масштабировать пул шлюзов, добавляя или удаляя виртуальные машины шлюза в пуле. Удаление или добавление шлюзов не нарушает работу служб, предоставляемых пулом. Вы также можете добавлять и удалять целые пулы шлюзов. Дополнительные сведения см. в статье Высокий уровень доступности шлюза RAS.

Каждый пул шлюзов обеспечивает избыточность M+N. Это означает, что резервное копирование количества активных виртуальных машин шлюза "M" на "N" резервных виртуальных машин шлюза. Избыточность M+N обеспечивает большую гибкость при определении уровня надежности, необходимого при развертывании шлюза RAS.

Вы можете назначить один общедоступный IP-адрес всем пулам или подмножества пулов. Это значительно сокращает количество общедоступных IP-адресов, которые необходимо использовать, так как все клиенты могут подключаться к облаку по одному IP-адресу.

Дальнейшие действия

Дополнительные сведения см. также в разделе: