Alta disponibilidad de la puerta de enlace de RAS
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016; Azure Stack HCI, versiones 21H2 y 20H2
Puede usar este tema para obtener información sobre las configuraciones de alta disponibilidad para la puerta de enlace multiinquilino RAS para redes definidas por software (SDN).
En este tema se incluyen las siguientes secciones.
Introducción a la puerta de enlace RAS
Si su organización es un proveedor de servicios en la nube (CSP) o una empresa con varios inquilinos, puede implementar una puerta de enlace RAS en modo multiinquilino para proporcionar enrutamiento de tráfico de red hacia redes virtuales y físicas y desde estas, Internet incluida.
Puede implementar la puerta de enlace RAS en modo multiinquilino como puerta de enlace perimetral para enrutar el tráfico de red del cliente del inquilino hacia redes virtuales y recursos de inquilino.
Al implementar varias instancias de VM de puerta de enlace RAS que proporcionan alta disponibilidad y conmutación por error, se implementa un grupo de puertas de enlace. En Windows Server 2012 R2, todas las VM de puerta de enlace formaron un único grupo, lo que dificultaba un poco la separación lógica de la implementación de la puerta de enlace. La puerta de enlace de Windows Server 2012 R2 ofrecía una implementación de redundancia 1:1 para las VM de puerta de enlace, lo que daba lugar a una infrautilización de la capacidad disponible para las conexiones VPN de sitio a sitio (S2S).
Esta incidencia se resuelve en Windows Server 2016, que proporciona varios grupos de puertas de enlace, que pueden ser de diferentes tipos para la separación lógica. El nuevo modo de redundancia de M+N permite una configuración de conmutación por error más eficiente.
Para más información general sobre la puerta de enlace RAS, consulte Puerta de enlace RAS.
Introducción a los grupos de puertas de enlace
En Windows Server 2016, puede implementar puertas de enlace en uno o varios grupos.
En la ilustración siguiente se muestran diferentes tipos de grupos de puertas de enlace que proporcionan enrutamiento de tráfico entre redes virtuales.
Cada grupo tiene las siguientes propiedades.
Cada grupo tiene redundancia de M+N. Esto significa que se realiza una copia de seguridad de "M" VM de puertas de enlace activas mediante "N" VM de puerta de enlace en espera. El valor de N (puertas de enlace en espera) siempre es menor o igual que M (puertas de enlace activas).
Un grupo puede realizar cualquiera de las funciones de puerta de enlace individuales (Intercambio de claves por red versión 2 [IKEv2] S2S, Nivel 3 [L3] y Encapsulación de enrutamiento genérico [GRE]) o el grupo puede realizar todas estas funciones.
Puede asignar una sola dirección IP pública a todos los grupos o a un subconjunto de grupos. Al hacerlo, se reduce en gran medida el número de direcciones IP públicas que se deben usar, ya que es posible que todos los inquilinos se conecten a la nube en una única dirección IP. En la sección siguiente sobre alta disponibilidad y equilibrio de carga se describe cómo funciona todo esto.
Puede escalar o reducir verticalmente un grupo de puertas de enlace fácilmente agregando o quitando máquinas virtuales de puerta de enlace del grupo. La eliminación o adición de puertas de enlace no interrumpe los servicios que proporciona un grupo. También puede agregar y quitar grupos de puertas de enlace completos.
Las conexiones de un solo inquilino pueden finalizar en varios grupos y varias puertas de enlace de un grupo. Sin embargo, si un inquilino tiene conexiones que finalizan en un grupo de puertas de enlace de tipo Todo, no puede suscribirse a otros grupos de puertas de enlace de tipo Todo o de tipo individual.
Los grupos de puertas de enlace también proporcionan la flexibilidad necesaria para habilitar escenarios adicionales:
Grupos de un solo inquilino: puede crear un grupo para que lo use un inquilino.
Si vende servicios en la nube a través de canales de asociados (revendedores), puede crear conjuntos de grupos independientes para cada revendedor.
Varios grupos pueden proporcionar la misma función de puerta de enlace, pero capacidades diferentes. Por ejemplo, puede crear un grupo de puertas de enlace que admita conexiones IKEv2 S2S de alto y de bajo rendimiento.
Introducción a la implementación de puerta de enlace RAS
En la ilustración siguiente se muestra una implementación típica del proveedor de servicios en la nube (CSP) de la puerta de enlace RAS.
Con este tipo de implementación, los grupos de puertas de enlace se implementan detrás de un Equilibrador de carga de software (SLB), lo que permite al CSP asignar una única dirección IP pública para toda la implementación. Varias conexiones de puerta de enlace de un inquilino pueden finalizar en varios grupos de puertas de enlace, y también en varias puertas de enlace dentro de un grupo. Esto se ilustra a través de las conexiones IKEv2 S2S en el diagrama anterior, pero también se aplica a otras funciones de puerta de enlace, como las puertas de enlace L3 y GRE.
En la ilustración, el dispositivo MT BGP es una puerta de enlace multiinquilino RAS con BGP. BGP multiinquilino se usa para el enrutamiento dinámico. El enrutamiento de un inquilino está centralizado: un único punto, denominado reflector de ruta (RR), controla el emparejamiento BGP para todos los sitios de inquilino. El propio RR se distribuye entre todas las puertas de enlace de un grupo. Esto da lugar a una configuración en la que las conexiones de un inquilino (ruta de acceso de datos) finalizan en varias puertas de enlace, pero el RR del inquilino (punto de emparejamiento BGP: ruta de acceso de control) solo está en una de las puertas de enlace.
El enrutador BGP se separa en el diagrama para representar este concepto de enrutamiento centralizado. La implementación de BGP de puerta de enlace también proporciona enrutamiento de tránsito, lo que permite a la nube actuar como punto de tránsito para el enrutamiento entre dos sitios de inquilino. Estas funcionalidades BGP son aplicables a todas las funciones de puerta de enlace.
Integración de la puerta de enlace RAS con controladora de red
La puerta de enlace RAS está totalmente integrada con la controladora de red en Windows Server 2016. Cuando se implementa la puerta de enlace RAS y la controladora de red, dicha controladora realiza las siguientes funciones.
Implementación de los grupos de puerta de enlace
Configuración de conexiones de inquilino en cada puerta de enlace
Cambio del tráfico de red que fluye a una puerta de enlace en espera en caso de error de puerta de enlace
En las secciones siguientes se proporciona información detallada sobre la puerta de enlace RAS y la controladora de red.
Aprovisionamiento y equilibrio de carga de conexiones de puerta de enlace (IKEv2, L3 y GRE)
Cuando un inquilino solicita una conexión de puerta de enlace, la solicitud se envía a la controladora de red. La controladora de red se configura con información sobre todos los grupos de puerta de enlace, incluida la capacidad de cada grupo y cada puerta de enlace de cada grupo. La controladora de red selecciona el grupo y la puerta de enlace correctos para la conexión. Esta selección se basa en el requisito de ancho de banda de la conexión. La controladora de red usa un algoritmo de "mejor ajuste" para elegir las conexiones de forma eficiente en un grupo. El punto de emparejamiento BGP para la conexión también se designa en este momento si se trata de la primera conexión del inquilino.
Después de que la controladora de red seleccione una puerta de enlace RAS para la conexión, dicha controladora aprovisiona la configuración necesaria para la conexión en la puerta de enlace. Si la conexión es una conexión IKEv2 S2S, la controladora de red también aprovisiona una regla de traducción de direcciones de red (NAT) en el grupo de SLB; esta regla NAT del grupo de SLB dirige las solicitudes de conexión del inquilino a la puerta de enlace designada. Los inquilinos se diferencian por la dirección IP de origen, que se espera que sea única.
Nota
Las conexiones L3 y GRE omiten el SLB y se conectan directamente con la puerta de enlace RAS designada. Estas conexiones requieren que el enrutador del punto de conexión remoto (u otro dispositivo de terceros) esté configurado correctamente para conectarse con la puerta de enlace RAS.
Si el enrutamiento BGP está habilitado para la conexión, la puerta de enlace RAS inicia el emparejamiento BGP y las rutas se intercambian entre puertas de enlace locales y en la nube. Las rutas que BGP aprende (o que están configuradas estáticamente si no se usa BGP) se envían a controladora de red. A continuación, la controladora de red asocia las rutas a los hosts de Hyper-V en los que se instalan las VM de inquilino. En este momento, el tráfico de inquilinos se puede enrutar al sitio local correcto. La controladora de red también crea directivas de Virtualización de red de Hyper-V asociadas que especifican ubicaciones de puerta de enlace y las asocia a los hosts de Hyper-V.
Alta disponibilidad para IKEv2 S2S
Una puerta de enlace RAS en un grupo consta de conexiones y emparejamiento BGP de distintos inquilinos. Cada grupo tiene puertas de enlace activas "M" y puertas de enlace en espera "N".
La controladora de red controla el error de las puertas de enlace de la siguiente manera.
La controladora de red hace ping constantemente a las puertas de enlace de todos los grupos y puede detectar una puerta de enlace ya haya dado error o que lo esté dando. La controladora de red puede detectar los siguientes tipos de errores de puerta de enlace RAS.
Error de VM de puerta de enlace RAS
Error del host de Hyper-V en el que se ejecuta la puerta de enlace RAS
Error del servicio de puerta de enlace RAS
La controladora de red almacena la configuración de todas las puertas de enlace activas implementadas. La configuración consta de opciones de conexión y de enrutamiento.
Cuando se produce un error en una puerta de enlace, afecta a las conexiones de inquilino en dicha puerta de enlace, así como a las conexiones de inquilino que se encuentran en otras puertas de enlace pero cuyo RR reside en la puerta de enlace con errores. El tiempo de inactividad de las últimas conexiones es menor que el de las primeras. Cuando la controladora de red detecta una puerta de enlace con errores, realiza las siguientes tareas.
Quita las rutas de las conexiones afectadas de los hosts de proceso.
Quita las directivas de Virtualización de red de Hyper-V de estos hosts.
Selecciona una puerta de enlace en espera, la convierte en una puerta de enlace activa y configura la puerta de enlace.
Cambia las asignaciones NAT del grupo de SLB para que las conexiones apunten a la nueva puerta de enlace.
Al mismo tiempo, a medida que la configuración aparece en la nueva puerta de enlace activa, las conexiones IKEv2 S2S y el emparejamiento BGP se vuelven a establecer. Las conexiones y el emparejamiento BGP se pueden iniciar mediante la puerta de enlace en la nube o la puerta de enlace local. Las puertas de enlace actualizan sus rutas y las envían a la controladora de red. Después de que la controladora de red aprenda las nuevas rutas detectadas por las puertas de enlace, dicha controladora envía las rutas y las directivas de Virtualización de red de Hyper-V asociadas a los hosts de Hyper-V donde residen las VM de los inquilinos afectados por errores. Esta actividad de la controladora de red es similar a la circunstancia de una nueva configuración de conexión, solo que ocurre a mayor escala.
Alta disponibilidad para GRE
El proceso de respuesta de conmutación por error de la puerta de enlace RAS por controladora de red, incluida la detección de errores, la copia de la conexión y la configuración del enrutamiento a la puerta de enlace en espera, la conmutación por error del enrutamiento BGP o el enrutamiento estático de las conexiones afectadas (incluido el retiro y la reasociación de rutas en hosts de proceso) y la reconfiguración de las directivas de Virtualización de red de Hyper-V en hosts de proceso, es el mismo para las conexiones y las puertas de enlace GRE. Sin embargo, el nuevo establecimiento de conexiones GRE se produce de forma diferente y la solución de alta disponibilidad para GRE tiene algunos requisitos adicionales.
En el momento de la implementación de la puerta de enlace, a cada VM de puerta de enlace RAS se le asigna una dirección IP dinámica (DIP). Además, a todas las VM de puerta de enlace también se les asigna una dirección IP virtual (VIP) para alta disponibilidad GRE. Las VIP solo se asignan a puertas de enlace de grupos que pueden aceptar conexiones GRE y no a grupos que no son GRE. Las VIP asignadas se anuncian en la parte superior de los conmutadores de bastidor (TOR) mediante BGP, que luego reitera el anuncio de las VIP en la red física en la nube. Esto hace que las puertas de enlace sean accesibles desde los enrutadores remotos o dispositivos de terceros donde reside el otro extremo de la conexión GRE. Este emparejamiento BGP es diferente del emparejamiento BGP de nivel de inquilino para el intercambio de rutas de inquilino.
En el momento del aprovisionamiento de conexiones GRE, la controladora de red selecciona una puerta de enlace, configura un punto de conexión GRE en la puerta de enlace seleccionada y devuelve la dirección VIP de la puerta de enlace asignada. Después, esta VIP se configura como la dirección del túnel GRE de destino en el enrutador remoto.
Cuando se produce un error en una puerta de enlace, la controladora de red copia la dirección VIP de dicha puerta de enlace y otros datos de configuración en la puerta de enlace en espera. Cuando la puerta de enlace en espera se activa, anuncia la VIP a su conmutador TOR y en la red física. Los enrutadores remotos siguen conectando túneles GRE a la misma VIP y la infraestructura de enrutamiento garantiza que los paquetes se enruten a la nueva puerta de enlace activa.
Alta disponibilidad para puertas de enlace de reenvío L3
Una puerta de enlace de reenvío L3 de Virtualización de red de Hyper-V es un puente entre la infraestructura física del centro de datos y la infraestructura virtualizada de la nube de Virtualización de red de Hyper-V. En una puerta de enlace de reenvío L3 multiinquilino, cada inquilino usa su propia red lógica etiquetada VLAN para la conectividad con la red física del inquilino.
Cuando un nuevo inquilino crea una nueva puerta de enlace L3, Service Manager de la puerta de enlace de la controladora de red selecciona una VM de puerta de enlace disponible y configura una nueva interfaz de inquilino con una dirección IP de espacio de dirección de cliente (CA) de alta disponibilidad (desde la red lógica etiquetada VLAN del inquilino). La dirección IP se usa como dirección IP del mismo nivel en la puerta de enlace remota (red física) y es el próximo salto para llegar a la red de Virtualización de red de Hyper-V del inquilino.
A diferencia de las conexiones de red IPsec o GRE, el conmutador TOR no aprenderá dinámicamente la red etiquetada VLAN del inquilino. El enrutamiento de la red etiquetada VLAN del inquilino debe configurarse en el conmutador TOR y todos los conmutadores y enrutadores intermedios entre la infraestructura física y la puerta de enlace para garantizar la conectividad de un extremo a otro. A continuación se muestra una configuración de red virtual CSP de ejemplo, como se representa en la ilustración más abajo.
| Red | Subnet | ID. DE VLAN | Puerta de enlace predeterminada |
|---|---|---|---|
| Red lógica L3 de Contoso | 10.127.134.0/24 | 1001 | 10.127.134.1 |
| Red lógica L3 de Woodgrove | 10.127.134.0/24 | 1002 | 10.127.134.1 |
A continuación se muestran configuraciones de puerta de enlace de inquilino de ejemplo, como se representa en la ilustración más abajo.
| Nombre del inquilino | Dirección IP de puerta de enlace L3 | ID. DE VLAN | Dirección IP del mismo nivel |
|---|---|---|---|
| Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
| Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
A continuación se muestra la ilustración de estas configuraciones en un centro de datos de CSP.
Los errores de puerta de enlace, la detección de errores y el proceso de conmutación por error de puerta de enlace en el contexto de una puerta de enlace de reenvío L3 son similares a los procesos para puertas de enlace RAS IKEv2 y GRE. Las diferencias se encuentran en la forma en que se controlan las direcciones IP externas.
Cuando el estado de la VM de la puerta de enlace es incorrecto, la controladora de red selecciona una de las puertas de enlace en espera del grupo y vuelve a aprovisionar las conexiones de red y el enrutamiento en la puerta de enlace en espera. Al trasladar las conexiones, la dirección IP del espacio de CA de alta disponibilidad de la puerta de enlace de reenvío L3 también se traslada a la nueva VM de puerta de enlace junto con la dirección IP BGP del espacio de CA del inquilino.
Dado que la dirección IP del emparejamiento L3 se traslada a la nueva VM de puerta de enlace durante la conmutación por error, la infraestructura física remota vuelve a ser capaz de conectarse a esta dirección IP y, posteriormente, llegar a la carga de trabajo Virtualización de red de Hyper-V. Para el enrutamiento dinámico BGP, a medida que la dirección IP BGP del espacio de CA se traslada a la nueva VM de puerta de enlace, el enrutador BGP remoto puede volver a establecer el emparejamiento y aprender de nuevo todas las rutas de Virtualización de red de Hyper-V.
Nota
Debe configurar por separado los conmutadores TOR y todos los enrutadores intermedios para poder usar la red lógica etiquetada VLAN para la comunicación de inquilinos. Además, la conmutación por error L3 está restringida solo a los bastidores que están configurados de esta manera. Por este motivo, el grupo de puertas de enlace L3 debe configurarse cuidadosamente y la configuración manual debe completarse por separado.