Share via

Architecture de déploiement de la passerelle du serveur d’accès à distance

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI versions 21H2 et 20H2

Vous pouvez utiliser cette rubrique pour en savoir plus sur le déploiement du fournisseur de services cloud (CSP) de la passerelle RAS, notamment les pools de passerelle RAS, les réflecteurs de routage et le déploiement de plusieurs passerelles pour des locataires individuels.

Les sections suivantes fournissent une brève vue d’ensemble de certaines des nouvelles fonctionnalités de la passerelle RAS afin que vous puissiez comprendre comment utiliser ces fonctionnalités dans la conception de votre déploiement de passerelle.

En outre, un exemple de déploiement est fourni, y compris des informations sur le processus d’ajout de nouveaux locataires, la synchronisation des itinéraires et le routage du plan de données, le basculement de passerelle et de réflecteur de routage, et bien plus encore.

Cette rubrique contient les sections suivantes.

Utilisation de nouvelles fonctionnalités de la passerelle RAS pour concevoir votre déploiement

La passerelle RAS inclut plusieurs nouvelles fonctionnalités qui modifient et améliorent la façon dont vous déployez votre infrastructure de passerelle dans votre centre de données.

Réflecteur de routage BGP

La fonction BGP (Border Gateway Protocol) Réflecteur de routage est maintenant incluse dans RAS Gateway, et fournit une alternative à la topologie BGP maillage complet qui est normalement requise pour la synchronisation des routes entre les routeurs. Avec la synchronisation à maillage complet, tous les routeurs BGP doivent se connecter à tous les autres routeurs de la topologie de routage. Toutefois, quand vous utilisez le réflecteur de route, celui-ci est le seul routeur qui se connecte à tous les autres routeurs, appelés clients du réflecteur de route BGP, ce qui simplifie la synchronisation des routes et réduit le trafic réseau. Le réflecteur de route apprend toutes les routes, calcule les meilleures routes et les redistribue à ses clients BGP.

Pour plus d’informations, consultez Nouveautés de la passerelle RAS.

Pools de passerelles

Dans Windows Server 2016, vous pouvez créer de nombreux pools de passerelle de différents types. Les pools de passerelle contiennent de nombreuses instances de passerelle RAS et routent le trafic réseau entre les réseaux physiques et virtuels.

Pour plus d’informations, consultez Nouveautés de la passerelle RAS et la Haute disponibilité de la passerelle RAS.

Scalabilité du pool de passerelle

Vous pouvez facilement effectuer un scale-up ou un scale-down d’un pool de passerelles en ajoutant ou en supprimant des machines virtuelles de passerelle dans le pool. La suppression ou l’ajout de passerelles n’interrompt pas les services fournis par un pool. Vous pouvez également ajouter et supprimer des pools de passerelles complets.

Pour plus d’informations, consultez Nouveautés de la passerelle RAS et la Haute disponibilité de la passerelle RAS.

Redondance du pool de passerelles M+N

Chaque pool de passerelles est redondant M+N. Cela signifie qu’un nombre « M » de machines virtuelles de passerelle actives sont secondées par un nombre « N » de machines virtuelles de passerelle de secours. La redondance M+N offre une plus grande flexibilité pour déterminer le niveau de fiabilité dont vous avez besoin quand vous déployez la passerelle RAS.

Pour plus d’informations, consultez Nouveautés de la passerelle RAS et la Haute disponibilité de la passerelle RAS.

Exemple de déploiement

L’illustration suivante fournit un exemple de peering eBGP sur des connexions VPN de site à site configurées entre deux locataires, Contoso et Woodgrove, et le centre de données CSP Fabrikam.

eBGP peering over site-to-site VPN

Dans cet exemple, Contoso a besoin d’une bande passante de passerelle supplémentaire, ce qui conduit à la décision de conception de l’infrastructure de passerelle de mettre fin au site Contoso Los Angeles sur GW3 au lieu de GW2. Pour cette raison, les connexions VPN Contoso à partir de différents sites se terminent dans le centre de données CSP sur deux passerelles différentes.

Ces deux passerelles, GW2 et GW3, étaient les premières passerelles RAS configurées par le contrôleur de réseau lorsque le fournisseur de solutions cloud a ajouté les locataires Contoso et Woodgrove à son infrastructure. Pour cette raison, ces deux passerelles sont configurées en tant que réflecteurs de routage pour ces clients (ou locataires) correspondants. GW2 est le réflecteur de routage Contoso et GW3 est le réflecteur de route Woodgrove, en plus d’être le point d’arrêt de la passerelle RAS CSP pour la connexion VPN avec le site QG de Contoso Los Angeles.

Remarque

Une passerelle RAS peut acheminer le trafic réseau virtuel et physique pour jusqu’à cent locataires différents, en fonction des besoins en bande passante de chaque locataire.

En tant que réflecteurs de routage, GW2 envoie des itinéraires d’espace d’autorité de certification Contoso au contrôleur de réseau, et GW3 envoie des itinéraires d’espace d’autorité de certification Woodgrove au contrôleur de réseau.

Le contrôleur de réseau envoie les stratégies de virtualisation de réseau Hyper-V aux réseaux virtuels Contoso et Woodgrove, ainsi que les stratégies RAS aux passerelles RAS et les stratégies d’équilibrage de charge aux multiplexeurs (MUX) configurés en tant que pool d’équilibrage de charge logiciel.

Ajout de nouveaux locataires et d’espace d’adresse client (CA) Appairage eBGP

Lorsque vous signez un nouveau client et ajoutez le client en tant que nouveau locataire dans votre centre de données, vous pouvez utiliser le processus suivant, dont une grande partie est effectuée automatiquement par les routeurs eBGP du contrôleur de réseau et de la passerelle RAS.

  1. Approvisionnez un nouveau réseau virtuel et des charges de travail en fonction des besoins de votre locataire.

  2. Si nécessaire, configurez la connectivité à distance entre le site d’entreprise du locataire distant et son réseau virtuel au niveau de votre centre de données. Lorsque vous déployez une connexion VPN de site à site pour le locataire, le contrôleur de réseau sélectionne automatiquement une machine virtuelle de passerelle RAS disponible dans le pool de passerelles disponible et configure la connexion.

  3. Lors de la configuration de la machine virtuelle de passerelle RAS pour le nouveau locataire, le contrôleur de réseau configure également la passerelle RAS en tant que routeur BGP et la désigne comme réflecteur de routage pour le locataire. Cela est vrai même dans les cas où la passerelle RAS sert de passerelle ou de réflecteur de passerelle et de routage pour d’autres locataires.

  4. Selon que le routage de l’espace d’autorité de certification est configuré pour utiliser des réseaux configurés de manière statique ou un routage BGP dynamique, le contrôleur de réseau configure les itinéraires statiques correspondants, les voisins BGP ou les deux sur la machine virtuelle de passerelle RAS et le réflecteur de routage.

    Notes

    • Une fois que le contrôleur de réseau a configuré une passerelle RAS et un réflecteur de routage pour le locataire, chaque fois que le même locataire a besoin d’une nouvelle connexion VPN de site à site, le contrôleur de réseau vérifie la capacité disponible sur cette machine virtuelle de passerelle RAS. Si la passerelle d’origine peut traiter la capacité requise, la nouvelle connexion réseau est également configurée sur la même machine virtuelle de passerelle RAS. Si la machine virtuelle de passerelle RAS ne peut pas gérer une capacité supplémentaire, le contrôleur de réseau sélectionne une nouvelle machine virtuelle de passerelle RAS disponible et configure la nouvelle connexion sur celle-ci. Cette nouvelle machine virtuelle de passerelle RAS associée au locataire devient le client Réflecteur de route du client d’origine RAS Gateway Réflecteur de routage.

    • Étant donné que les pools de passerelle RAS sont derrière les équilibreurs de charge logiciels (SLB), les adresses VPN de site à site des locataires utilisent chacune une seule adresse IP publique, appelée adresse IP virtuelle (VIP), qui est traduite par les SLB en une adresse IP interne au centre de données, appelée adresse IP dynamique (DIP), pour une passerelle RAS qui achemine le trafic pour le locataire Entreprise. Ce mappage d’adresses IP publiques à privées par SLB garantit que les tunnels VPN de site à site sont correctement établis entre les sites d’entreprise et les passerelles CSP RAS et les réflecteurs de routage.

      Pour plus d’informations sur l’équilibrage de charge SLB, les adresses IP virtuelles et les adresses IP virtuelles, consultez L’équilibrage de charge logicielle (SLB) pour SDN.

  5. Une fois que le tunnel VPN de site à site entre le site d’entreprise et la passerelle RAS du centre de données CSP est établi pour le nouveau locataire, les itinéraires statiques associés aux tunnels sont automatiquement provisionnés sur les côtés Entreprise et CSP du tunnel.

  6. Avec le routage BGP de l’espace d’autorité de certification, le peering eBGP entre les sites d’entreprise et le réflecteur de routage de passerelle RAS CSP est également établi.

Routage de la synchronisation et du plan de données

Une fois le peering eBGP établi entre les sites d’entreprise et le réflecteur de routage de passerelle CSP RAS, le réflecteur de route apprend toutes les routes d’entreprise à l’aide du routage BGP dynamique. Le réflecteur de routage synchronise ces itinéraires entre tous les clients du réflecteur de routage afin qu’ils soient tous configurés avec le même ensemble d’itinéraires.

Le réflecteur de routage met également à jour ces itinéraires consolidés, à l’aide de la synchronisation des itinéraires, vers le contrôleur de réseau. Le contrôleur de réseau traduit ensuite les itinéraires en stratégies de virtualisation de réseau Hyper-V et configure le réseau fabric pour s’assurer que le routage des chemins de données de bout en bout est approvisionné. Ce processus rend le réseau virtuel du locataire accessible à partir des sites d’entreprise du locataire.

Pour le routage du plan de données, les paquets qui atteignent les machines virtuelles de passerelle RAS sont directement acheminés vers le réseau virtuel du locataire, car les itinéraires requis sont désormais disponibles avec toutes les machines virtuelles de passerelle RAS participantes.

De même, une fois les stratégies de virtualisation de réseau Hyper-V en place, le réseau virtuel locataire achemine les paquets directement vers les machines virtuelles de passerelle RAS (sans avoir besoin de connaître le réflecteur de routage), puis vers les sites d’entreprise via les tunnels VPN de site à site.

Par ailleurs : Le retour du trafic du réseau virtuel du locataire vers le site d’entreprise du locataire distant contourne les SLB, un processus appelé Retour direct du serveur (DSR).

Comment le contrôleur de réseau répond à la passerelle RAS et au basculement du réflecteur de routage

Voici deux scénarios de basculement possibles : l’un pour les clients de réflecteurs de routage de passerelle RAS et l’autre pour les réflecteurs de routage de passerelle RAS, y compris des informations sur la façon dont le contrôleur de réseau gère le basculement pour les machines virtuelles dans l’une ou l’autre configuration.

Échec de machine virtuelle d’un client de réflecteur de routage BGP de passerelle RAS

Le contrôleur de réseau effectue les actions suivantes lorsqu’un client de réflecteur de routage de passerelle RAS échoue.

Notes

Lorsqu’une passerelle RAS n’est pas un réflecteur de routage pour l’infrastructure BGP d’un locataire, il s’agit d’un client réflecteur de routage dans l’infrastructure BGP du locataire.

  • Le contrôleur de réseau sélectionne une machine virtuelle de passerelle RAS de secours disponible et approvisionne la nouvelle machine virtuelle de passerelle RAS avec la configuration de la machine virtuelle de passerelle RAS ayant échoué.

  • Le contrôleur de réseau met à jour la configuration SLB correspondante pour s’assurer que les tunnels VPN de site à site des sites locataires vers la passerelle RAS ayant échoué sont correctement établis avec la nouvelle passerelle RAS.

  • Le contrôleur de réseau configure le client BGP Réflecteur de routage sur la nouvelle passerelle.

  • Le contrôleur de réseau configure le nouveau client de réflecteur de routage BGP de passerelle RAS comme actif. La passerelle RAS démarre immédiatement le peering avec le réflecteur de routage du locataire pour partager des informations de routage et activer le peering eBGP pour le site d’entreprise correspondant.

Échec de machine virtuelle pour un réflecteur de routage BGP de passerelle RAS

Le contrôleur de réseau effectue les actions suivantes lorsqu’un réflecteur de routage BGP de passerelle RAS échoue.

  • Le contrôleur de réseau sélectionne une machine virtuelle de passerelle RAS de secours disponible et approvisionne la nouvelle machine virtuelle de passerelle RAS avec la configuration de la machine virtuelle de passerelle RAS ayant échoué.

  • Le contrôleur de réseau configure le réflecteur de routage sur la nouvelle machine virtuelle de passerelle RAS et affecte à la nouvelle machine virtuelle la même adresse IP que celle utilisée par la machine virtuelle défaillante, fournissant ainsi l’intégrité de la route malgré l’échec de la machine virtuelle.

  • Le contrôleur de réseau met à jour la configuration SLB correspondante pour s’assurer que les tunnels VPN de site à site des sites locataires vers la passerelle RAS ayant échoué sont correctement établis avec la nouvelle passerelle RAS.

  • Le contrôleur de réseau configure la nouvelle machine virtuelle de réflecteur de routage BGP de passerelle RAS en tant que machine virtuelle active.

  • Le réflecteur de routage devient immédiatement actif. Le tunnel VPN de site à site vers l’entreprise est établi, et le réflecteur de routage utilise le peering eBGP et échange des itinéraires avec les routeurs de site d’entreprise.

  • Après la sélection de l’itinéraire BGP, le réflecteur de routage BGP de la passerelle RAS met à jour les clients de réflecteur de routage du locataire dans le centre de données et synchronise les itinéraires avec le contrôleur de réseau, ce qui rend le chemin des données de bout en bout disponible pour le trafic client.

Avantages de l’utilisation de nouvelles fonctionnalités de passerelle RAS

Voici quelques-uns des avantages de l’utilisation de ces nouvelles fonctionnalités de passerelle RAS lors de la conception de votre déploiement de passerelle RAS.

Extensibilité de la passerelle RAS

Étant donné que vous pouvez ajouter autant de machines virtuelles de passerelle RAS que nécessaire aux pools de passerelle RAS, vous pouvez facilement mettre à l’échelle votre déploiement de passerelle RAS pour optimiser les performances et la capacité. Lorsque vous ajoutez des machines virtuelles à un pool, vous pouvez configurer ces passerelles RAS avec des connexions VPN de site à site de tout type (IKEv2, L3, GRE), éliminant ainsi les goulots d’étranglement de la capacité sans temps d’arrêt.

Gestion simplifiée de la passerelle de site d’entreprise

Lorsque votre locataire a plusieurs sites d’entreprise, le locataire peut configurer tous les sites avec une adresse IP VPN de site à site distante et une seule adresse IP de voisin distante : l’adresse IP de votre centre de données CSP RAS Gateway BGP Réflecteur de routage pour ce locataire. Cela simplifie la gestion de la passerelle pour vos locataires.

Correction rapide de l’échec de passerelle

Pour garantir une réponse de basculement rapide, vous pouvez configurer le temps du paramètre BGP Keepalive entre les itinéraires de périphérie et le routeur de contrôle sur un intervalle de temps court, par exemple inférieur ou égal à dix secondes. Avec ce court intervalle de maintien en vie, si un routeur de périphérie BGP de passerelle RAS échoue, l’échec est rapidement détecté et le contrôleur de réseau suit les étapes fournies dans les sections précédentes. Cet avantage peut réduire la nécessité d’un protocole de détection des défaillances distinct, tel que le protocole BFD (Bidirectional Forwarding Detection).