Arquitetura de implantação do Gateway de RAS

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versões 21H2 e 20H2

Você pode usar este tópico para saber mais sobre a implantação do CSP (Provedor de Serviços de Nuvem) do Gateway RAS, incluindo pools de Gateway RAS, Refletores de Rota e implantação de vários gateways para locatários individuais.

As seções a seguir apresentam breves visões gerais de alguns dos novos recursos do Gateway RAS para que você entenda como usar esses recursos no design da implantação do gateway.

Além disso, é apresentada uma implantação de exemplo, incluindo informações sobre o processo de adição de locatários, sincronização de rotas e roteamento de plano de dados, failover de gateway e refletor de rota e muito mais.

Este tópico inclui as seções a seguir.

Como usar novos recursos do gateway RAS para projetar sua implantação

O Gateway RAS inclui vários novos recursos que mudam e melhoram a forma como você implanta sua infraestrutura de gateway no datacenter.

Refletor de rota BGP

A funcionalidade do Refletor de Rota do BGP (Border Gateway Protocol) agora está incluída no Gateway RAS e é uma alternativa à topologia de malha completa BGP que normalmente é necessária para sincronização de rotas entre roteadores. Com a sincronização completa da malha, todos os roteadores BGP devem se conectar com todos os outros roteadores na topologia de roteamento. No entanto, quando você usa o Refletor de Rota, o Refletor de Rota é o único roteador que se conecta a todos os outros roteadores, chamados clientes do Refletor de Rota BGP, simplificando a sincronização de rotas e reduzindo o tráfego de rede. O Refletor de Rota aprende todas as rotas, calcula as melhores rotas e redistribui as melhores rotas para seus clientes do BGP.

Para mais informações, confira Novidades no Gateway RAS.

Pools de gateway

No Windows Server 2016, você pode criar muitos pools de gateway de tipos diferentes. Os pools de gateway contêm muitas instâncias do Gateway RAS e roteiam o tráfego de rede entre redes físicas e virtuais.

Para mais informações, confira Novidades no Gateway ras e Alta Disponibilidade do Gateway RAS.

Escalabilidade do pool de gateway

É possível escalar verticalmente ou reduzir verticalmente um pool de gateway, adicionando ou removendo com facilidade as VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Também é possível adicionar e remover pools inteiros de gateways.

Para mais informações, confira Novidades no Gateway ras e Alta Disponibilidade do Gateway RAS.

Redundância do pool de gateway M+N

Cada pool de gateway é redundante em M+N. Isso significa que um número 'M' de VMs de gateway ativo tem suporte de um número 'N' de VMs de gateway em espera. A redundância M+N oferece mais flexibilidade para determinar o nível de confiabilidade necessário ao implantar o Gateway RAS.

Para mais informações, confira Novidades no Gateway RAS e Alta Disponibilidade do Gateway RAS.

Exemplo de implantação

A ilustração a seguir dá um exemplo com o emparelhamento de eBGP em conexões VPN site a site configuradas entre dois locatários, Contoso e Woodgrove, e o datacenter do CSP da Fabrikam.

eBGP peering over site-to-site VPN

Neste exemplo, a Contoso requer largura de banda de gateway adicional, levando à decisão de design da infraestrutura de gateway de encerrar o site da Contoso Los Angeles em GW3, em vez de GW2. Por isso, as conexões VPN da Contoso de sites diferentes terminam no datacenter do CSP em dois gateways diferentes.

Ambos os gateways, GW2 e GW3, foram os primeiros Gateways RAS configurados pelo Controlador de Rede quando o CSP adicionou os locatários Contoso e Woodgrove à sua infraestrutura. Por isso, esses dois gateways são configurados como Refletores de Rota para esses clientes (ou locatários) correspondentes. O GW2 é o Refletor de Rota da Contoso e GW3 é o Refletor de Rota do Woodgrove, além de ser o ponto de terminação do Gateway RAS do CSP para a conexão VPN com o site da Sede da Contoso em Los Angeles.

Observação

Um Gateway RAS pode rotear o tráfego de rede virtual e física para até cem locatários diferentes, dependendo dos requisitos de largura de banda de cada locatário.

Como Refletores de Rota, o GW2 envia rotas de Espaço de AC da Contoso para o Controlador de Rede e o GW3 envia rotas de Espaço de AC do Woodgrove para o Controlador de Rede.

O Controlador de Rede envia políticas de Virtualização de Rede hyper-V para as redes virtuais Contoso e Woodgrove, bem como políticas RAS para os Gateways RAS e políticas de balanceamento de carga para os MULTIPLEXers (MUXes) configurados como um pool de Balanceamento de Carga de Software.

Como adicionar locatários e emparelhamento eBGP do espaço de CA (endereço do cliente)

Ao assinar um novo cliente e adicioná-lo como um novo locatário em seu datacenter, você pode usar o processo a seguir, grande parte do qual é executada automaticamente pelos roteadores eBGP do Controlador de Rede e do Gateway RAS.

  1. Provisione uma nova rede virtual e cargas de trabalho de acordo com os requisitos do locatário.

  2. Se necessário, configure a conectividade remota entre o site empresarial do locatário remoto e sua rede virtual em seu datacenter. Quando você implanta uma conexão VPN site a site para o locatário, o Controlador de Rede seleciona automaticamente uma VM de Gateway RAS disponível no pool de gateway disponível e configura a conexão.

  3. Ao configurar a VM do Gateway RAS para o novo locatário, o Controlador de Rede também configura o Gateway RAS como um Roteador BGP e o designa como o Refletor de Rota para o locatário. Isso é verdadeiro mesmo em circunstâncias em que o Gateway RAS serve como um gateway ou como gateway e Refletor de Rota para outros locatários.

  4. Dependendo se o roteamento de espaço da AC está configurado para usar redes configuradas estaticamente ou roteamento BGP dinâmico, o Controlador de Rede configura as rotas estáticas correspondentes, os vizinhos BGP ou ambos na VM do Gateway RAS e no Refletor de Rota.

    Observação

    • Depois que o Controlador de Rede tiver configurado um Gateway de RAS e o Refletor de Rota para o locatário, sempre que o mesmo locatário exigir uma nova conexão VPN site a site, o Controlador de Rede verificará a capacidade disponível nessa VM do Gateway RAS. Se o gateway original puder atender à capacidade necessária, a nova conexão de rede também será configurada na mesma VM do Gateway RAS. Se a VM do Gateway RAS não puder lidar com capacidade adicional, o Controlador de Rede selecionará uma nova VM de Gateway RAS disponível e configurará a nova conexão nela. Essa nova VM de Gateway RAS associada ao locatário torna-se o cliente do Refletor de Rota do Gateway RAS de locatário original.

    • Como os pools de Gateway de RAS estão por trás de SLBs (Balanceadores de Carga de Software), os endereços VPN site a site dos locatários usam um só endereço IP público, chamado de ENDEREÇO VIP (IP virtual), que é convertido pelos SLBs em um endereço IP interno do datacenter, chamado DIP (endereço IP dinâmico), para um Gateway RAS que roteia o tráfego para o locatário Enterprise. Esse mapeamento de endereço IP público para privado por SLB garante que os túneis de VPN site a site sejam estabelecidos corretamente entre os sites corporativos e os Gateways RAS do CSP e os refletores de rota.

      Para mais informações sobre SLB, VIPs e DIPs, confira SLB (Balanceamento de Carga de Software) para SDN.

  5. Depois que o túnel VPN site a site entre o site empresarial e o gateway RAS do datacenter CSP for estabelecido para o novo locatário, as rotas estáticas associadas aos túneis serão provisionadas automaticamente nos lados Empresarial e CSP do túnel.

  6. Com o roteamento BGP de espaço de AC, o emparelhamento eBGP entre os sites empresariais e o Refletor de Rota do Gateway RAS do CSP também é estabelecido.

Sincronização de rotas e roteamento de plano de dados

Depois que o emparelhamento eBGP é estabelecido entre sites Empresariais e o Refletor de Rota do Gateway RAS do CSP, o Refletor de Rota aprende todas as rotas Empresariais usando o roteamento BGP dinâmico. O Refletor de Rota sincroniza essas rotas entre todos os clientes do Refletor de Rota para que todos eles sejam configurados com o mesmo conjunto de rotas.

O Refletor de Rota também atualiza essas rotas consolidadas, usando a sincronização de rota, para o Controlador de Rede. Em seguida, o Controlador de Rede converte as rotas nas políticas de Virtualização de Rede Hyper-V e configura a Rede de Malha para garantir que o roteamento do Caminho de Dados de Ponta a Ponta seja provisionado. Esse processo torna a rede virtual do locatário acessível nos sites corporativos do locatário.

Para o roteamento do Plano de Dados, os pacotes que chegam às VMs do Gateway RAS são roteados diretamente para a rede virtual do locatário, pois as rotas necessárias agora estão disponíveis com todas as VMs de Gateway RAS participantes.

Da mesma forma, com as políticas de Virtualização de Rede Hyper-V em vigor, a rede virtual do locatário roteia pacotes diretamente para as VMs do Gateway RAS (sem a necessidade de saber sobre o Refletor de Rota) e então para os sites corporativos pelos túneis vpn site a site.

Além disso. retornar o tráfego da rede virtual do locatário para o site Empresarial do locatário remoto ignora os SLBs, um processo chamado DSR (Retorno do Servidor Direto).

Como o controlador de rede responde ao gateway RAS e ao failover do refletor de rota

A seguir estão dois cenários de failover possíveis: um para clientes do Refletor de Rota de Gateway RAS e outro para refletores de rota de gateway RAS, incluindo informações sobre como o Controlador de Rede lida com o failover para VMs em qualquer configuração.

Falha de VM de um cliente do refletor de rota BGP do Gateway RAS

O Controlador de Rede executa as ações a seguir quando um cliente do Refletor de Rota do Gateway RAS falha.

Observação

Quando um Gateway RAS não é um Refletor de Rota para a infraestrutura BGP de um locatário, ele é um cliente refletor de rota na infraestrutura BGP do locatário.

  • O Controlador de Rede seleciona uma VM de Gateway ras em espera disponível e provisiona a nova VM de Gateway RAS com a configuração da VM do Gateway RAS com falha.

  • O Controlador de Rede atualiza a configuração SLB correspondente para garantir que os túneis de VPN site a site de sites de locatário para o Gateway ras com falha sejam estabelecidos corretamente com o novo Gateway RAS.

  • O Controlador de Rede configura o cliente do Refletor de Rota BGP no novo gateway.

  • O Controlador de Rede configura o novo cliente do Refletor de Rota BGP do Gateway de RAS como ativo. O Gateway RAS inicia imediatamente o emparelhamento com o Refletor de Rota do locatário para compartilhar informações de roteamento e habilitar o emparelhamento eBGP para o site Empresarial correspondente.

Falha da VM para um refletor de rota BGP do Gateway RAS

O Controlador de Rede executa as ações a seguir quando um Refletor de Rota BGP do Gateway RAS falha.

  • O Controlador de Rede seleciona uma VM de Gateway ras em espera disponível e provisiona a nova VM de Gateway RAS com a configuração da VM do Gateway RAS com falha.

  • O Controlador de Rede configura o Refletor de Rota na nova VM do Gateway RAS e atribui à nova VM o mesmo endereço IP usado pela VM com falha, fornecendo integridade de rota apesar da falha da VM.

  • O Controlador de Rede atualiza a configuração SLB correspondente para garantir que os túneis de VPN site a site de sites de locatário para o Gateway ras com falha sejam estabelecidos corretamente com o novo Gateway RAS.

  • O Controlador de Rede configura a nova VM do Refletor de Rota BGP do Gateway RAS como ativa.

  • O Refletor de Rota imediatamente se torna ativo. O túnel VPN site a site para a Empresa é estabelecido e o Refletor de Rota usa o emparelhamento eBGP e troca rotas com os roteadores de site corporativo.

  • Após a seleção de rota BGP, o Refletor de Rota BGP do Gateway RAS atualiza os clientes do Refletor de Rota de Locatário no datacenter e sincroniza rotas com o Controlador de Rede, disponibilizando o Caminho de Dados de Ponta a Ponta para tráfego de locatário.

Vantagens de usar novos recursos de gateway RAS

A seguir estão algumas das vantagens de usar esses novos recursos do Gateway RAS ao projetar sua implantação do Gateway RAS.

Escalabilidade do Gateway RAS

Como você pode adicionar quantas VMs de Gateway RAS precisar aos pools de Gateway RAS, é fácil dimensionar a implantação do Gateway RAS para otimizar o desempenho e a capacidade. Ao adicionar VMs a um pool, você pode configurar esses Gateways RAS com conexões VPN site a site de qualquer tipo (IKEv2, L3, GRE), eliminando gargalos de capacidade sem tempo de inatividade.

Gerenciamento simplificado do Gateway de Site Empresarial

Quando seu locatário tem vários sites empresariais, ele pode configurar todos os sites com um endereço IP de VPN site a site remoto e um só endereço IP de vizinho remoto – o VIP do Refletor de Rota BGP do Gateway RAS do datacenter do CSP para esse locatário. Isso simplifica o gerenciamento de gateway para seus locatários.

Correção rápida da falha do gateway

Para garantir uma resposta de failover rápido, você pode configurar o tempo do parâmetro Keepalive do BGP entre rotas de borda e o roteador de controle para um intervalo de tempo curto, como dez segundos ou menos. Com esse intervalo curto de keep alive, se um roteador de borda BGP do Gateway RAS falhar, a falha será detectada rapidamente e o Controlador de Rede seguirá as etapas apresentadas nas seções anteriores. Essa vantagem pode reduzir a necessidade de um protocolo de detecção de falhas separado, como o protocolo BFD (Detecção de Encaminhamento Bidirecional).