¿Qué es la puerta de enlace del servicio de acceso remoto (RAS) para redes definidas por software?
Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
En este artículo se proporciona información general sobre la puerta de enlace del servicio de acceso remoto (RAS) para redes definidas por software (SDN) en Azure Stack HCI y Windows Server.
La puerta de enlace de RAS es un enrutador compatible con el Protocolo de puerta de enlace de borde (BGP), basado en software y diseñado para los proveedores de servicios en la nube (CSP) y las empresas que hospedan redes virtuales multiinquilino con la virtualización de red de Hyper-V (HNV). Puede usar la puerta de enlace de RAS para enrutar el tráfico de red entre una red virtual y otra red, ya sea local o remota.
La puerta de enlace ras requiere controladora de red, que realiza la implementación de grupos de puertas de enlace, configura las conexiones de inquilino en cada puerta de enlace y cambia los flujos de tráfico de red a una puerta de enlace en espera si se produce un error en una puerta de enlace.
Nota:
La arquitectura multiempresa es la capacidad que tiene una infraestructura en la nube de admitir las cargas de trabajo de las máquinas virtuales de varios inquilinos aislándolas unas de otras y permitiendo que todas las cargas de trabajo se ejecuten en la misma infraestructura. Las distintas cargas de trabajo de un inquilino individual pueden interconectarse y administrarse de manera remota, pero estos sistemas no se interconectan con las cargas de trabajo de los demás inquilinos, ni tampoco pueden los demás inquilinos administrarlas de manera remota.
Características
La puerta de enlace de RAS ofrece muchas características para la red privada virtual (VPN), la tunelización, el reenvío y el enrutamiento dinámico.
VPN de sitio a sitio (IPsec)
Esta característica de puerta de enlace de RAS le permite conectar dos redes en diferentes ubicaciones físicas a través de Internet mediante una conexión de red privada virtual de sitio a sitio (S2S). Se trata de una conexión cifrada que usa el protocolo VPN IKEv2.
Para los proveedores de servicios en la nube que hospedan muchos inquilinos en su centro de datos, la puerta de enlace de RAS proporciona una solución de puerta de enlace multiinquilino que permite a los inquilinos acceder a sus recursos y administrarlos mediante conexiones VPN de sitio a sitio desde sitios remotos. La puerta de enlace de RAS permite el flujo de tráfico de red entre los recursos virtuales del centro de datos y la red física.
Túneles de sitio a sitio basados en la encapsulación de enrutamiento genérico (GRE)
Los túneles basados en la encapsulación de enrutamiento genérico (GRE) permiten la conectividad entre redes virtuales de inquilino y redes externas. Dado que el protocolo GRE es ligero y la compatibilidad con GRE está disponible en la mayoría de los dispositivos de red, es una opción ideal para la tunelización en la que no se requiere el cifrado de datos.
La compatibilidad con GRE en túneles de sitio a sitio resuelve el problema del reenvío entre redes virtuales de inquilinos y redes externas de inquilinos mediante una puerta de enlace multiinquilino.
Reenvío de capa 3
El reenvío de capa 3 (L3) permite la conectividad entre la infraestructura física del centro de datos y la infraestructura virtualizada de la nube de virtualización de red de Hyper-V. Mediante la conexión de reenvío L3, las máquinas virtuales de red de inquilinos pueden conectarse a una red física a través de la puerta de enlace de SDN, que ya está configurada en el entorno de SDN. En este caso, la puerta de enlace de SDN actúa como un enrutador entre la red virtualizada y la red física.
En el diagrama siguiente se muestra un ejemplo de la configuración de reenvío L3 en un clúster de Azure Stack HCI configurado con SDN:
- Hay dos redes virtuales en el clúster de Azure Stack HCI: red virtual de SDN 1 con el prefijo de dirección 10.0.0.0/16 y la red virtual SDN 2 con el prefijo de dirección 16.0.0.0/16.
- Cada red virtual tiene una conexión L3 a la red física.
- Dado que las conexiones L3 son para diferentes redes virtuales, la puerta de enlace de SDN tiene un compartimiento independiente para cada conexión para proporcionar garantías de aislamiento.
- Cada compartimiento de puerta de enlace de SDN tiene una interfaz en el espacio de red virtual y una interfaz en el espacio de red físico.
- Cada conexión L3 debe asignarse a una VLAN única en la red física. Esta VLAN debe ser diferente de la VLAN del proveedor HNV, que se usa como red física de reenvío de datos subyacente para el tráfico de red virtualizado.
- En este ejemplo se usa el enrutamiento estático.
Estos son los detalles de cada conexión usada en este ejemplo:
| Elemento de red | Conexión 1 | Conexión 2 |
|---|---|---|
| Prefijo de subred de puerta de enlace | 10.0.1.0/24 | 16.0.1.0/24 |
| Dirección IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Dirección IP del mismo nivel L3 | 15.0.0.1 | 20.0.0.1 |
| Rutas en la conexión | 18.0.0.0/24 | 22.0.0.0/24 |
Consideraciones de enrutamiento al usar el reenvío L3
Para el enrutamiento estático, debe configurar una ruta en la red física para acceder a la red virtual. Por ejemplo, una ruta con el prefijo de dirección 10.0.0.0/16 con el próximo salto como dirección IP L3 de la conexión (15.0.0.5).
Para el enrutamiento dinámico con BGP, todavía debe configurar una ruta estática /32 porque la conexión BGP está entre la interfaz interna del compartimiento de puerta de enlace y la dirección IP del mismo nivel L3. Para Connection 1, el emparejamiento estaría entre 10.0.1.6 y 15.0.0.1. Por lo tanto, para esta conexión, necesita una ruta estática en el conmutador físico con el prefijo de destino 10.0.1.6/32 con el próximo salto como 15.0.0.5.
Si tiene previsto implementar conexiones de puerta de enlace L3 con enrutamiento BGP, asegúrese de configurar el conmutador BGP superior del bastidor (ToR) con lo siguiente:
- update-source: especifica la dirección de origen para las actualizaciones de BGP, que es la VLAN L3. Por ejemplo, VLAN 250.
- ebgp multihop: especifica que se requieren más saltos, ya que el vecino BGP es más de un salto de distancia.
Enrutamiento dinámico con BGP
BGP reduce la necesidad de configuración manual de rutas en enrutadores porque es un protocolo de enrutamiento dinámico y aprende automáticamente las rutas entre sitios conectados mediante conexiones VPN de sitio a sitio. Si su organización tiene varios sitios conectados mediante enrutadores habilitados para BGP, como puerta de enlace ras, BGP permite que los enrutadores calculen y usen automáticamente rutas válidas entre sí en caso de interrupción o error de red.
El reflector de rutas BGP incluido con la puerta de enlace de RAS proporciona una alternativa a la topología de malla completa BGP necesaria para la sincronización de rutas entre los enrutadores. Para más información, consulte ¿Qué es el reflector de rutas?
Funcionamiento de la puerta de enlace de RAS
La puerta de enlace de RAS enruta el tráfico de red entre la red física y los recursos de la red de VM, independientemente de la ubicación. Puede enrutar el tráfico de red en la misma ubicación física o en muchas ubicaciones diferentes.
Puede implementar la puerta de enlace de RAS en grupos de alta disponibilidad que usan varias características a la vez. Los grupos de puertas de enlace contienen varias instancias de puerta de enlace de RAS para la alta disponibilidad y la conmutación por error.
Puede escalar o reducir verticalmente un grupo de puertas de enlace fácilmente agregando o quitando máquinas virtuales de puerta de enlace del grupo. La eliminación o adición de puertas de enlace no interrumpe los servicios proporcionados por un grupo. También puede agregar y quitar grupos de puertas de enlace completos. Para más información, consulte Alta disponibilidad de la puerta de enlace de RAS.
Cada grupo de puertas de enlace proporciona redundancia M + N. Esto significa que se realiza una copia de seguridad de "M" máquinas virtuales de puertas de enlace activas mediante "N" máquinas virtuales de puerta de enlace en espera. La redundancia M + N proporciona más flexibilidad a la hora de determinar el nivel de confiabilidad que necesita al implementar la puerta de enlace de RAS.
Puede asignar una sola dirección IP pública a todos los grupos o a un subconjunto de grupos. Esto reduce considerablemente el número de direcciones IP públicas que debe usar, ya que es posible que todos los inquilinos se conecten a la nube en una sola dirección IP.
Pasos siguientes
Para obtener información relacionada, consulte:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de