RAS-Gateway: Bereitstellungsarchitektur

Gilt für Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI (Version 21H2 und 20H2)

In diesem Thema erfahren Sie mehr über die Bereitstellung des RAS-Gateways durch den Cloud-Dienstanbieter (Cloud Service Provider, CSP) einschließlich RAS-Gateway-Pools, Routenreflektoren und Bereitstellen mehrerer Gateways für einzelne Mandanten.

Die folgenden Abschnitte enthalten kurze Übersichten über einige der neuen Features des RAS-Gateways, damit Sie wissen, wie Sie diese Features beim Entwurf Ihrer Gatewaybereitstellung verwenden können.

Darüber hinaus finden Sie eine Beispielbereitstellung einschließlich Informationen zum Hinzufügen neuer Mandanten, zu Routensynchronisierung und Datenebenenrouting, Gateway- und Routenreflektorfailover und vieles mehr.

Dieses Thema enthält folgende Abschnitte:

• Verwenden neuer RAS-Gateway-Features für den Entwurf Ihrer Bereitstellung

• Beispielbereitstellung

• Hinzufügen von neuen Mandanten und Kundenadressbereich-EBGP-Peering (Customer Address, CA)

• Routensynchronisierung und Datenebenenrouting

• Reaktion des Netzwerkcontrollers auf RAS-Gateway- und Routenreflektorfailover

• Vorteile der Verwendung neuer RAS-Gateway-Features

Verwenden neuer RAS-Gateway-Features für den Entwurf Ihrer Bereitstellung

Das RAS-Gateway enthält mehrere neue Features. Sie ändern und verbessern die Art und Weise, in der Sie Ihre Gatewayinfrastruktur in Ihrem Rechenzentrum bereitstellen.

BGP-Routenreflektor

Die BGP-Routenreflektorfunktion (Border Gateway Protocol) ist jetzt in RAS-Gateway enthalten und stellt eine Alternative zur BGP-Full-Mesh-Topologie dar, die normalerweise für die Routensynchronisierung zwischen Routern erforderlich ist. Bei der Full-Mesh-Synchronisierung müssen alle BGP-Router eine Verbindung mit allen anderen Routern in der Routingtopologie herstellen. Wenn Sie den Routenreflektor verwenden, ist der Routenreflektor jedoch der einzige Router, der mit allen anderen Routern (als BGP-Routenreflektorclients bezeichnet) eine Verbindung herstellt, wodurch die Routensynchronisierung vereinfacht und der Netzwerkdatenverkehr reduziert wird. Der Routenreflektor lernt alle Routen, berechnet optimale Routen und verteilt die optimalen Routen wieder an seine BGP-Clients.

Weitere Informationen finden Sie unter Neues im RAS-Gateway.

Gatewaypools

In Windows Server 2016 können Sie viele Gatewaypools unterschiedlicher Typen erstellen. Gatewaypools enthalten viele Instanzen von RAS-Gateway und leiten Netzwerkdatenverkehr zwischen physischen und virtuellen Netzwerken weiter.

Weitere Informationen finden Sie unter Neues im RAS-Gateway und Hochverfügbarkeit des RAS-Gateways.

Skalierbarkeit des Gatewaypools

Sie können einen Gatewaypool problemlos zentral hoch- oder herunterskalieren, indem Sie virtuelle Gatewaycomputer im Pool hinzufügen oder entfernen. Das Entfernen oder Hinzufügen von Gateways beeinträchtigt nicht die Dienste, die von einem Pool bereitgestellt werden. Sie können auch ganze Pools von Gateways hinzufügen oder entfernen.

Weitere Informationen finden Sie unter Neues im RAS-Gateway und Hochverfügbarkeit des RAS-Gateways.

Redundanz des M+N-Gatewaypools

Jeder Gatewaypool ist M+N-redundant. Dies bedeutet, dass eine Anzahl von „M“ aktiven Gateway-VMs von „N“ Standbygateway-VMs gesichert wird. „M+N“-Redundanz bietet Ihnen mehr Flexibilität bei der Ermittlung des Zuverlässigkeitsniveaus, das Sie bei der Bereitstellung des RAS-Gateways benötigen.

Weitere Informationen finden Sie unter Neues im RAS-Gateway und Hochverfügbarkeit des RAS-Gateways.

Beispielbereitstellung

Die folgende Abbildung zeigt ein Beispiel mit eBGP-Peering über Site-to-Site-VPN-Verbindungen, die zwischen zwei Mandanten (Contoso und Woodgrove) und dem Fabrikam CSP-Rechenzentrum konfiguriert sind.

In diesem Beispiel benötigt Contoso zusätzliche Gatewaybandbreite, was beim Entwurf der Gatewayinfrastruktur zu der Entscheidung führte, den Standort Contoso Los Angeles auf GW3 anstelle von GW2 abzuschließen. Darum werden Contoso-VPN-Verbindungen von verschiedenen Standorten im CSP-Rechenzentrum auf zwei verschiedenen Gateways abgeschlossen.

Beide Gateways, GW2 und GW3, waren die ersten vom Netzwerkcontroller konfigurierten RAS-Gateways, als der CSP der Infrastruktur die Mandanten Contoso und Woodgrove hinzufügte. Aus diesem Grund werden diese beiden Gateways als Routenreflektoren für diese entsprechenden Kunden (oder Mandanten) konfiguriert. GW2 ist der Contoso-Routenreflektor, und GW3 ist nicht nur der CSP-RAS-Gateway-Abschlusspunkt für die VPN-Verbindung mit dem Contoso-HQ-Standort Los Angeles, sondern auch der Woodgrove-Routenreflektor.

Hinweis

Ein RAS-Gateway kann abhängig von den Bandbreitenanforderungen der einzelnen Mandanten virtuellen und physischen Netzwerkdatenverkehr für bis zu hundert verschiedene Mandanten weiterleiten.

Als Routenreflektor sendet GW2 Contoso-Kundenadressraum-Routen an den Netzwerkcontroller und GW3 Woodgrove-Kundenadressraum-Routen an den Netzwerkcontroller.

Der Netzwerkcontroller pusht Richtlinien zur Hyper-V-Netzwerkvirtualisierung an die virtuellen Contoso- und Woodgrove-Netzwerke sowie RAS-Richtlinien an die RAS-Gateways und Lastenausgleichsrichtlinien an die Multiplexer (MUXes), die als Softwarelastenausgleichspool konfiguriert sind.

Hinzufügen von neuen Mandanten und Kundenadressbereich-EBGP-Peering (Customer Address, CA)

Wenn Sie einen neuen Kunden registrieren und den Kunden als neuen Mandanten Ihrem Rechenzentrum hinzufügen, können Sie den folgenden Prozess verwenden, der größtenteils automatisch von Netzwerkcontrollern und RAS-Gateway-eBGP-Routern ausgeführt wird.

1. Stellen Sie ein neues virtuelles Netzwerk und Workloads gemäß den Anforderungen Ihres Mandanten bereit.

2. Konfigurieren Sie bei Bedarf die Remotekonnektivität zwischen dem Remote-Mandantenunternehmensstandort und dem zugehörigen virtuellen Netzwerk in Ihrem Rechenzentrum. Wenn Sie eine Site-to-Site-VPN-Verbindung für den Mandanten bereitstellen, wählt der Netzwerkcontroller automatisch eine verfügbare RAS-Gateway-VM aus dem verfügbaren Gatewaypool aus und konfiguriert die Verbindung.

3. Beim Konfigurieren der RAS-Gateway-VM für den neuen Mandanten konfiguriert der Netzwerkcontroller auch das RAS-Gateway als BGP-Router und legt es als Routenreflektor für den Mandanten fest. Dies gilt auch dann, wenn das RAS-Gateway für andere Mandanten als Gateway oder als Gateway und Routenreflektor dient.

4. Je nachdem, ob das Kundenadressraumrouting für die Verwendung statisch konfigurierter Netzwerke oder dynamisches BGP-Routing konfiguriert ist, konfiguriert der Netzwerkcontroller die entsprechenden statischen Routen, BGP-Nachbarn oder beides auf der RAS-Gateway-VM und dem Routenreflektor.

   Hinweis

   • Nachdem der Netzwerkcontroller ein RAS-Gateway und einen Routenreflektor für den Mandanten konfiguriert hat, überprüft der Netzwerkcontroller immer dann, wenn derselbe Mandant eine neue Site-to-Site-VPN-Verbindung erfordert, die verfügbare Kapazität auf dieser RAS-Gateway-VM. Wenn das ursprüngliche Gateway die erforderliche Kapazität verwalten kann, wird die neue Netzwerkverbindung auch auf derselben RAS-Gateway-VM konfiguriert. Wenn die RAS-Gateway-VM keine zusätzliche Kapazität verarbeiten kann, wählt der Netzwerkcontroller eine neue verfügbare RAS-Gateway-VM aus und konfiguriert die neue Verbindung darauf. Diese neue RAS-Gateway-VM, die dem Mandanten zugeordnet ist, wird zum Routenreflektorclient des ursprünglichen RAS-Gateway-Routenreflektors des Mandanten.

   • Da sich RAS-Gateway-Pools hinter Softwarelastenausgleichs-Modulen (Software Load Balancers, SLB) befinden, verwenden die Site-to-Site-VPN-Adressen der Mandanten jeweils eine einzelne, als virtuelle IP-Adresse (VIP) bezeichnete öffentliche IP-Adresse, die von den SLBs in eine als dynamische IP-Adresse (DIP) bezeichnete rechenzentrumsinterne IP-Adresse für ein RAS-Gateway übersetzt wird, das Datenverkehr für den Unternehmensmandanten weiterleitet. Durch diese Zuordnung von öffentlichen zu privaten IP-Adressen durch SLB wird sichergestellt, dass die Site-to-Site-VPN-Tunnel ordnungsgemäß zwischen den Unternehmensstandorten und den CSP-RAS-Gateways und Routenreflektoren eingerichtet werden.

     Weitere Informationen zu SLB, VIPs und DIPs finden Sie unter Softwarelastenausgleich (Software Load Balancing, SLB) für SDN.

5. Nachdem der Site-to-Site-VPN-Tunnel zwischen dem Unternehmensstandort und dem CSP-Rechenzentrum-RAS-Gateway für den neuen Mandanten eingerichtet wurde, werden die den Tunneln zugeordneten statischen Routen automatisch sowohl auf der Unternehmens- als auch CSP-Seite des Tunnels bereitgestellt.

6. Mit dem Kundenadressraum-BGP-Routing wird auch das eBGP-Peering zwischen den Unternehmensstandorten und dem CSP-RAS-Gateway-Routenreflektor eingerichtet.

Routensynchronisierung und Datenebenenrouting

Nachdem das eBGP-Peering zwischen Unternehmensstandorten und dem CSP-RAS-Gateway-Routenreflektor eingerichtet wurde, lernt der Routenreflektor alle Unternehmensrouten mithilfe von dynamischem BGP-Routing. Der Routenreflektor synchronisiert diese Routen zwischen allen Routenreflektorclients, sodass sie alle mit demselben Satz von Routen konfiguriert sind.

Der Routenreflektor aktualisiert auch diese konsolidierten Routen mithilfe der Routensynchronisierung auf dem Netzwerkcontroller. Der Netzwerkcontroller übersetzt dann die Routen in die Richtlinien zur Hyper-V-Netzwerkvirtualisierung und konfiguriert das Fabric-Netzwerk, um sicherzustellen, dass End-to-End-Datenpfadrouting bereitgestellt wird. Dieser Prozess macht das virtuelle Netzwerk des Mandanten von den Unternehmensstandorten des Mandanten aus zugänglich.

Beim Routing auf Datenebene werden die Pakete, die die RAS-Gateway-VMs erreichen, direkt an das virtuelle Netzwerk des Mandanten weitergeleitet, da die erforderlichen Routen jetzt für alle teilnehmenden RAS-Gateway-VMs verfügbar sind.

Analog dazu leitet das virtuelle Mandantennetzwerk gemäß der Richtlinien zur Hyper-V-Netzwerkvirtualisierung Pakete direkt an die RAS-Gateway-VMs (ohne den Routenreflektor kennen zu müssen) und dann über die Site-to-Site-VPN-Tunnel an die Unternehmensstandorte weiter.

Außerdem Vom virtuellen Mandantennetzwerk an den Remote-Mandantenunternehmensstandort zurückgehender Datenverkehr umgeht die SLBs, ein Prozess namens Direct Server Return (DSR).

Reaktion des Netzwerkcontrollers auf RAS-Gateway- und Routenreflektorfailover

Im Folgenden finden Sie zwei mögliche Failoverszenarien – eines für RAS-Gateway-Routenreflektorclients und eines für RAS-Gateway-Routereflektoren – einschließlich Informationen dazu, wie der Netzwerkcontroller das Failover für VMs in beiden Konfigurationen verarbeitet.

VM-Fehler eines RAS-Gateway-BGP-Routenreflektorclients

Der Netzwerkcontroller führt die folgenden Aktionen aus, wenn ein RAS-Gateway-Routenreflektorclient ausfällt.

Hinweis

Wenn ein RAS-Gateway kein Routenreflektor für die BGP-Infrastruktur eines Mandanten ist, handelt es sich um einen Routenreflektorclient in der BGP-Infrastruktur des Mandanten.

• Der Netzwerkcontroller wählt eine verfügbare RAS-Gateway-Standby-VM aus und stellt die neue RAS-Gateway-VM mit der Konfiguration der fehlerhaften RAS-Gateway-VM bereit.

• Der Netzwerkcontroller aktualisiert die entsprechende SLB-Konfiguration, um sicherzustellen, dass die Site-to-Site-VPN-Tunnel von Mandantenstandorten zum fehlerhaften RAS-Gateway ordnungsgemäß mit dem neuen RAS-Gateway eingerichtet werden.

• Der Netzwerkcontroller konfiguriert den BGP-Routenreflektorclient auf dem neuen Gateway.

• Der Netzwerkcontroller konfiguriert den neuen RAS-Gateway-BGP-Routenreflektorclient als aktiv. Das RAS-Gateway startet sofort das Peering mit dem Routenreflektor des Mandanten, um Routinginformationen zu teilen und eBGP-Peering für den entsprechenden Unternehmensstandort zu aktivieren.

VM-Fehler eines RAS-Gateway-BGP-Routenreflektors

Der Netzwerkcontroller führt die folgenden Aktionen aus, wenn ein RAS-Gateway-BGP-Routenreflektor ausfällt.

• Der Netzwerkcontroller wählt eine verfügbare RAS-Gateway-Standby-VM aus und stellt die neue RAS-Gateway-VM mit der Konfiguration der fehlerhaften RAS-Gateway-VM bereit.

• Der Netzwerkcontroller konfiguriert den Routenreflektor auf der neuen RAS-Gateway-VM und weist dem neuen virtuellen Computer dieselbe IP-Adresse zu, die von der fehlerhaften VM verwendet wurde, wodurch die Routenintegrität trotz des VM-Fehlers gewährleistet wird.

• Der Netzwerkcontroller aktualisiert die entsprechende SLB-Konfiguration, um sicherzustellen, dass die Site-to-Site-VPN-Tunnel von Mandantenstandorten zum fehlerhaften RAS-Gateway ordnungsgemäß mit dem neuen RAS-Gateway eingerichtet werden.

• Der Netzwerkcontroller konfiguriert die neue RAS-Gateway-BGP-Routenreflektor-VM als aktiv.

• Der Routenreflektor wird sofort aktiv. Der Site-to-Site-VPN-Tunnel zum Unternehmen wird eingerichtet, und der Routenreflektor verwendet eBGP-Peering und tauscht Routen mit den Unternehmensstandortroutern aus.

• Nach der Auswahl der BGP-Route aktualisiert der RAS-Gateway-BGP-Routenreflektor Mandantenroutenreflektor-Clients im Rechenzentrum und synchronisiert Routen mit dem Netzwerkcontroller, sodass der End-to-End-Datenpfad für den Mandantendatenverkehr verfügbar ist.

Vorteile der Verwendung neuer RAS-Gateway-Features

Im Folgenden finden Sie einige der Vorteile der Verwendung dieser neuen RAS-Gateway-Features beim Entwerfen Ihrer RAS-Gateway-Bereitstellung.

Skalierbarkeit des RAS-Gateways

Da Sie RAS-Gatewaypools so viele RAS-Gateway-VMs wie nötig hinzufügen können, können Sie Ihre RAS-Gateway-Bereitstellung problemlos skalieren, um Leistung und Kapazität zu optimieren. Wenn Sie einem Pool VMs hinzufügen, können Sie diese RAS-Gateways mit Site-to-Site-VPN-Verbindungen jeglicher Art (IKEv2, L3, GRE) konfigurieren, wodurch Kapazitätsengpässe ohne Downtime beseitigt werden.

Vereinfachte Verwaltung des Unternehmensstandortgateways

Wenn Ihr Mandant über mehrere Unternehmensstandorte verfügt, kann der Mandant alle Standorte mit einer Remote-Site-to-Site-VPN-IP-Adresse und einer einzelnen Remotenachbar-IP-Adresse konfigurieren – Ihrer CSP-Rechenzentrum-RAS-Gateway-BGP-Routenreflektor-VIP für diesen Mandanten. Dadurch wird die Gatewayverwaltung für Ihre Mandanten vereinfacht.

Schnelle Behebung von Gatewayfehlern

Um eine schnelle Failoverantwort sicherzustellen, können Sie die BGP-Keepalive-Parameterzeit zwischen Edgerouten und dem Steuerungsrouter auf ein kurzes Zeitintervall konfigurieren, z. B. weniger als oder gleich zehn Sekunden. Bei diesem kurzen Keep Alive-Intervall wird der Fehler schnell erkannt, wenn ein BGP-Edgerouter des RAS-Gateways ausfällt, und der Netzwerkcontroller führt die in den vorherigen Abschnitten beschriebenen Schritte aus. Dieser Vorteil kann die Notwendigkeit eines separaten Fehlererkennungsprotokolls wie BFD (Bidirectional Forwarding Detection, bidirektionale Weiterleitungserkennung) reduzieren.