Mi a távelérési szolgáltatás (RAS) átjárója a szoftveralapú hálózatkezeléshez?
A következőkre vonatkozik: Azure Stack HCI, 23H2 és 22H2 verzió; Windows Server 2022, Windows Server 2019, Windows Server 2016
Ez a cikk áttekintést nyújt az Azure Stack HCI-ben és a Windows Serverben a szoftveralapú hálózatkezelés (SDN) távelérési szolgáltatásának (RAS) átjáróiról.
A RAS Gateway egy szoftveralapú Border Gateway Protocol (BGP) képes útválasztó, amelyet a Hyper-V hálózatvirtualizálást (HNV) használó több-bérlős virtuális hálózatokat üzemeltető vállalatok számára terveztek. A RAS-átjáróval irányíthatja a hálózati forgalmat egy virtuális hálózat és egy másik, helyi vagy távoli hálózat között.
A RAS-átjáróhoz hálózati vezérlő szükséges, amely elvégzi az átjárókészletek üzembe helyezését, konfigurálja a bérlői kapcsolatokat az egyes átjárókon, és ha egy átjáró meghibásodik, a hálózati forgalom készenléti átjáróra vált.
Megjegyzés
A több-bérlősség a felhőinfrastruktúra képessége több bérlő virtuálisgép-számítási feladatainak támogatására, de elkülöníti őket egymástól, miközben az összes számítási feladat ugyanazon az infrastruktúrán fut. Egy adott bérlő több munkaterhelése összekapcsolható és kezelhető távolról, de ezek a rendszerek nem kapcsolódnak össze a többi bérlő munkaterheléseivel, és a többi bérlő nem képes ezek távoli kezelésére.
Funkciók
A RAS-átjáró számos funkciót kínál a virtuális magánhálózathoz (VPN), az bújtatáshoz, a továbbításhoz és a dinamikus útválasztáshoz.
Helyek közötti IPsec VPN
Ez a RAS-átjáró funkció lehetővé teszi, hogy helyek közötti (S2S) virtuális magánhálózati (VPN)-kapcsolattal két hálózatot kapcsoljon össze különböző fizikai helyeken az interneten keresztül. Ez egy IKEv2 VPN protokollt használó titkosított kapcsolat.
Az adatközpontjukban sok bérlőt üzemeltető CSP-k számára a RAS Gateway egy több-bérlős átjárómegoldást biztosít, amely lehetővé teszi a bérlők számára, hogy a távoli helyekről származó helyek közötti VPN-kapcsolatokon keresztül érjék el és kezeljék az erőforrásaikat. A RAS-átjáró lehetővé teszi az adatközpontban lévő virtuális erőforrások és azok fizikai hálózata közötti hálózati forgalmat.
Helyek közötti GRE-alagutak
Az általános útválasztási beágyazási (GRE)-alapú alagutak lehetővé teszik a bérlői virtuális hálózatok és a külső hálózatok közötti kapcsolatot. Mivel a GRE protokoll egyszerű, és a GRE támogatása a legtöbb hálózati eszközön elérhető, ideális választás olyan bújtatáshoz, ahol nincs szükség adatok titkosítására.
Az S2S-alagutak GRE-támogatása megoldja a bérlői virtuális hálózatok és a bérlői külső hálózatok közötti több-bérlős átjáróval történő továbbítás problémáját.
3. rétegbeli továbbítás
A 3. rétegbeli (L3) továbbítás lehetővé teszi az adatközpont fizikai infrastruktúrája és a Hyper-V hálózatvirtualizálási felhő virtualizált infrastruktúrája közötti kapcsolatot. Az L3-továbbítási kapcsolat használatával a bérlői hálózati virtuális gépek az SDN-átjárón keresztül csatlakozhatnak egy fizikai hálózathoz, amely már konfigurálva van az SDN-környezetben. Ebben az esetben az SDN-átjáró útválasztóként működik a virtualizált hálózat és a fizikai hálózat között.
Az alábbi ábrán egy SDN-vel konfigurált Azure Stack HCI-fürt L3-továbbítási beállítása látható:
- Az Azure Stack HCI-fürtben két virtuális hálózat található: az 1. SDN virtuális hálózat a 10.0.0.0/16 címelőtaggal és a 2. SDN virtuális hálózat a 16.0.0.0/16 címelőtaggal.
- Minden virtuális hálózat L3-kapcsolattal rendelkezik a fizikai hálózathoz.
- Mivel az L3-kapcsolatok különböző virtuális hálózatokhoz tartoznak, az SDN-átjáró minden kapcsolathoz külön rekeszt biztosít az elkülönítési garanciák biztosításához.
- Minden SDN-átjárótér egy adapterrel rendelkezik a virtuális hálózati térben és egy adapterrel a fizikai hálózati térben.
- Minden L3-kapcsolatnak egy egyedi VLAN-ra kell leképezést végeznie a fizikai hálózaton. Ennek a VLAN-nak különböznie kell a HNV-szolgáltató VLAN-jától, amelyet a virtualizált hálózati forgalom alapjául szolgáló adattovábbítási fizikai hálózatként használnak.
- Ez a példa statikus útválasztást használ.
A példában használt kapcsolatok részletei a következők:
| Hálózati elem | 1. kapcsolat | 2. kapcsolat |
|---|---|---|
| Átjáró alhálózati előtagja | 10.0.1.0/24 | 16.0.1.0/24 |
| L3 IP-cím | 15.0.0.5/24 | 20.0.0.5/24 |
| L3 társ IP-címe | 15.0.0.1 | 20.0.0.1 |
| Útvonalak a kapcsolaton | 18.0.0.0/24 | 22.0.0.0/24 |
Útválasztási szempontok az L3-továbbítás használatakor
Statikus útválasztáshoz konfigurálnia kell egy útvonalat a fizikai hálózaton a virtuális hálózat eléréséhez. Például egy útvonal 10.0.0.0/16 címelőtaggal, a következő ugrással a kapcsolat L3 IP-címeként (15.0.0.5).
A BGP-vel történő dinamikus útválasztáshoz továbbra is konfigurálnia kell egy statikus /32-es útvonalat, mert a BGP-kapcsolat az átjárótér belső felülete és az L3 társ IP-címe között van. Az 1. kapcsolat esetében a társviszony-létesítés 10.0.1.6 és 15.0.0.1 között lenne. Ezért ehhez a kapcsolathoz egy statikus útvonalra van szükség a fizikai kapcsolón, amelynek célelőtagja 10.0.1.6/32, a következő ugrás pedig 15.0.0.5.
Ha az L3-átjárókapcsolatokat BGP-útválasztással tervezi üzembe helyezni, mindenképpen konfigurálja a Top of Rack (ToR) kapcsoló BGP-beállításait a következőkkel:
- update-source: Ez adja meg a BGP-frissítések forráscímét, azaz az L3 VLAN-t. Például: VLAN 250.
- ebgp multihop: Ez azt határozza meg, hogy több ugrásra van szükség, mivel a BGP-szomszéd több ugrásnyira van.
Dinamikus útválasztás BGP-vel
A BGP csökkenti az útválasztók manuális útvonal-konfigurációjának szükségességét, mivel ez egy dinamikus útválasztási protokoll, és automatikusan megtanulja a helyek közötti VPN-kapcsolatok használatával összekapcsolt helyek közötti útvonalakat. Ha a szervezet több olyan hellyel is rendelkezik, amelyek BGP-kompatibilis útválasztókkal csatlakoznak, például a RAS-átjáróval, a BGP lehetővé teszi az útválasztók számára, hogy hálózatkimaradás vagy hiba esetén automatikusan kiszámítsák és használják az egymáshoz vezető érvényes útvonalakat.
A RAS-átjáróhoz mellékelt BGP-útvonalvisszaverő alternatívát kínál a BGP teljes hálós topológiája helyett, amely az útválasztók közötti útvonal-szinkronizáláshoz szükséges. További információ: Mi az útvonalvisszaverő?
A RAS-átjáró működése
A RAS-átjáró a fizikai hálózat és a virtuális gép hálózati erőforrásai között irányítja a hálózati forgalmat, a helytől függetlenül. A hálózati forgalmat ugyanazon a fizikai helyen vagy számos különböző helyen irányíthatja.
A RAS-átjárót egyszerre több funkciót használó magas rendelkezésre állású készletekben is üzembe helyezheti. Az átjárókészletek a RAS-átjáró több példányát tartalmazzák a magas rendelkezésre állás és a feladatátvétel érdekében.
Az átjárókészletek egyszerűen fel- vagy leskálázhatók a készletben lévő átjáró virtuális gépek hozzáadásával vagy eltávolításával. Az átjárók eltávolítása vagy hozzáadása nem akadályozza meg a készlet által biztosított szolgáltatásokat. Az átjárók teljes készleteit is hozzáadhatja és eltávolíthatja. További információ: RAS-átjáró magas rendelkezésre állása.
Minden átjárókészlet M+N redundanciát biztosít. Ez azt jelenti, hogy az aktív átjáró virtuális gépek "M" számát "N" számú készenléti átjáró virtuális gép készíti el. Az M+N redundancia nagyobb rugalmasságot biztosít a RAS-átjáró üzembe helyezésekor szükséges megbízhatósági szint meghatározásában.
Egyetlen nyilvános IP-címet rendelhet az összes készlethez vagy a készletek egy részhalmazához. Ez jelentősen csökkenti a használni kívánt nyilvános IP-címek számát, mivel lehetséges, hogy az összes bérlő egyetlen IP-címen csatlakozzon a felhőhöz.
Következő lépések
A kapcsolódó információkért lásd még:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: