Co to jest brama usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo?
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Ten artykuł zawiera omówienie bramy usługi dostępu zdalnego (RAS) dla sieci zdefiniowanej programowo (SDN) w usługach Azure Stack HCI i Windows Server.
Brama RAS to oparty na oprogramowaniu router obsługujący protokół BGP (Border Gateway Protocol) przeznaczony dla dostawców usług w chmurze (CSP) i przedsiębiorstw hostujących wielodostępne sieci wirtualne przy użyciu wirtualizacji sieci funkcji Hyper-V (HNV). Brama RAS umożliwia kierowanie ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną.
Brama RAS wymaga kontrolera sieci, który wykonuje wdrożenie pul bramy, konfiguruje połączenia dzierżawy w każdej bramie i przełącza ruch sieciowy przepływa do bramy rezerwowej, jeśli brama ulegnie awarii.
Uwaga
Wielodostępność to zdolność infrastruktury chmurowej do obsługi obciążeń maszyn wirtualnych wielu dzierżawców, ale odizolowania ich od siebie, podczas gdy wszystkie obciążenia działają w tej samej infrastrukturze. Wiele obciążeń pojedynczego dzierżawcy można łączyć wzajemnie, a także zarządzać nimi zdalnie. Nie można jednak łączyć tych systemów z obciążeniami innych dzierżawców ani nie mogą one być zarządzane zdalnie przez innych dzierżawców.
Funkcje
Brama RAS oferuje wiele funkcji wirtualnej sieci prywatnej (VPN), tunelowania, przesyłania dalej i routingu dynamicznego.
Sieć VPN IPsec typu lokacja-lokacja
Ta funkcja bramy RAS umożliwia łączenie dwóch sieci w różnych lokalizacjach fizycznych w Internecie przy użyciu połączenia międzylokacyjnej (S2S) wirtualnej sieci prywatnej (VPN). Jest to szyfrowane połączenie przy użyciu protokołu SIECI VPN IKEv2.
W przypadku dostawców CSP hostujących wiele dzierżaw w centrum danych brama RAS udostępnia wielodostępne rozwiązanie bramy, które umożliwia dzierżawcom dostęp do zasobów i zarządzanie nimi za pośrednictwem połączeń sieci VPN typu lokacja-lokacja z lokacji zdalnych. Brama RAS umożliwia przepływ ruchu sieciowego między zasobami wirtualnymi w centrum danych i ich sieci fizycznej.
Tunele GRE typu lokacja-lokacja
Tunele oparte na protokole GRE (Generic Routing Encapsulation) umożliwiają łączność między sieciami wirtualnymi dzierżawców a sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki i obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, najlepszym wyborem jest tunelowanie, w którym szyfrowanie danych nie jest wymagane.
Obsługa protokołu GRE w tunelach S2S rozwiązuje problem z przekazywaniem między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi dzierżawców przy użyciu wielodostępnej bramy.
Przekazywanie w warstwie 3
Przekazywanie w warstwie 3 (L3) umożliwia łączność między infrastrukturą fizyczną w centrum danych a zwirtualizowaną infrastrukturą w chmurze wirtualizacji sieci funkcji Hyper-V. Korzystając z połączenia przekazującego L3, maszyny wirtualne sieci dzierżawczej mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN, która jest już skonfigurowana w środowisku SDN. W takim przypadku brama SDN działa jako router między siecią zwirtualizowaną a siecią fizyczną.
Na poniższym diagramie przedstawiono przykład konfiguracji przekazywania L3 w klastrze azure Stack HCI skonfigurowanym przy użyciu sieci SDN:
- W klastrze rozwiązania Azure Stack HCI istnieją dwie sieci wirtualne: sieć wirtualna SDN 1 z prefiksem adresu 10.0.0.0/16 i siecią wirtualną SDN 2 z prefiksem adresu 16.0.0.0/16.
- Każda sieć wirtualna ma połączenie L3 z siecią fizyczną.
- Ponieważ połączenia L3 są przeznaczone dla różnych sieci wirtualnych, brama SDN ma oddzielny przedział dla każdego połączenia w celu zapewnienia gwarancji izolacji.
- Każdy przedział bramy SDN ma jeden interfejs w przestrzeni wirtualnej i jeden interfejs w fizycznej przestrzeni sieciowej.
- Każde połączenie L3 musi mapować na unikatową sieć VLAN w sieci fizycznej. Ta sieć VLAN musi być inna niż sieć VLAN dostawcy HNV, która jest używana jako podstawowa sieć fizyczna przekazująca dane do zwirtualizowanego ruchu sieciowego.
- W tym przykładzie użyto routingu statycznego.
Poniżej przedstawiono szczegółowe informacje o każdym połączeniu używanym w tym przykładzie:
| Element sieciowy | Połączenie 1 | Połączenie 2 |
|---|---|---|
| Prefiks podsieci bramy | 10.0.1.0/24 | 16.0.1.0/24 |
| Adres IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Adres IP elementu równorzędnego L3 | 15.0.0.1 | 20.0.0.1 |
| Trasy w połączeniu | 18.0.0.0/24 | 22.0.0.0/24 |
Zagadnienia dotyczące routingu podczas korzystania z przekazywania L3
W przypadku routingu statycznego należy skonfigurować trasę w sieci fizycznej, aby uzyskać dostęp do sieci wirtualnej. Na przykład trasa z prefiksem adresu 10.0.0.0/16 z następnym przeskokiem jako adres IP L3 połączenia (15.0.0.5).
W przypadku routingu dynamicznego przy użyciu protokołu BGP należy nadal skonfigurować trasę statyczną /32, ponieważ połączenie BGP jest między wewnętrznym interfejsem przedziału bramy a adresem IP elementu równorzędnego L3. W przypadku połączenia 1 komunikacja równorzędna będzie należeć do przedziału od 10.0.1.6 do 15.0.0.1. W związku z tym w przypadku tego połączenia potrzebna jest trasa statyczna w przełączniku fizycznym z prefiksem docelowym 10.0.1.6/32 z następnym przeskokiem jako 15.0.0.5.
Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurować ustawienia protokołu BGP top of Rack (ToR) z następującymi ustawieniami:
- update-source: określa adres źródłowy aktualizacji protokołu BGP, czyli sieć VLAN L3. Na przykład sieć VLAN 250.
- multihop ebgp: określa więcej przeskoków jest wymaganych, ponieważ sąsiad protokołu BGP jest więcej niż jeden przeskok.
Routing dynamiczny przy użyciu protokołu BGP
Protokół BGP zmniejsza potrzebę ręcznej konfiguracji tras na routerach, ponieważ jest to protokół routingu dynamicznego i automatycznie uczy się tras między lokacjami połączonymi przy użyciu połączeń sieci VPN typu lokacja-lokacja. Jeśli organizacja ma wiele lokacji połączonych przy użyciu routerów obsługujących protokół BGP, takich jak brama RAS, protokół BGP umożliwia routerom automatyczne obliczanie i używanie prawidłowych tras do siebie w przypadku przerw w działaniu sieci lub awarii.
Reflektor trasy BGP dołączony do bramy RAS stanowi alternatywę dla topologii pełnej siatki protokołu BGP, która jest wymagana do synchronizacji tras między routerami. Aby uzyskać więcej informacji, zobacz Co to jest odblaskowe trasy?
Jak działa brama RAS
Brama RAS kieruje ruch sieciowy między siecią fizyczną a zasobami sieci maszyny wirtualnej, niezależnie od lokalizacji. Ruch sieciowy można kierować w tej samej lokalizacji fizycznej lub w wielu różnych lokalizacjach.
Bramę RAS można wdrożyć w pulach wysokiej dostępności, które używają wielu funkcji jednocześnie. Pule bramy zawierają wiele wystąpień bramy RAS w celu zapewnienia wysokiej dostępności i trybu failover.
Pula bram można łatwo skalować w górę lub w dół, dodając lub usuwając bramy maszyny wirtualne w puli. Usunięcie lub dodanie bram nie zakłóca usług udostępnianych przez pulę. Można również dodawać i usuwać całego pule bram. Aby uzyskać więcej informacji, zobacz wysoką dostępność bramy RAS.
Każda pula bramy zapewnia nadmiarowość M+N. Oznacza to, że liczba aktywnych maszyn wirtualnych bramy "M" jest tworzona przez "N" maszyn wirtualnych bramy rezerwowej. Nadmiarowość M+N zapewnia większą elastyczność w określaniu poziomu niezawodności wymaganego podczas wdrażania bramy RAS.
Pojedynczy publiczny adres IP można przypisać do wszystkich pul lub do podzestawu pul. W ten sposób znacznie zmniejsza liczbę publicznych adresów IP, których należy użyć, ponieważ istnieje możliwość połączenia wszystkich dzierżaw z chmurą na jednym adresie IP.
Następne kroki
Aby uzyskać powiązane informacje, zobacz również:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla