O que é o Gateway de Serviço de Acesso Remoto (RAS) para Redes Definidas pelo Software?
Aplica-se a: Azure Stack HCI, versões 22H2 e 21H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
O Gateway RAS é um router compatível com o Protocolo BGP (Border Gateway Protocol) baseado em software concebido para fornecedores de serviços cloud (CSPs) e empresas que alojam redes virtuais multi-inquilino com a Virtualização de Rede Hyper-V (HNV). Pode utilizar o Gateway RAS para encaminhar o tráfego de rede entre uma rede virtual e outra rede, local ou remota.
O Gateway RAS requer o Controlador de Rede, que executa a implementação de conjuntos de gateways, configura ligações de inquilino em cada gateway e muda os fluxos de tráfego de rede para um gateway de reserva se um gateway falhar.
Nota
A multi-inquilino é a capacidade de uma infraestrutura de cloud suportar as cargas de trabalho da máquina virtual (VM) de vários inquilinos, mas isolá-las umas das outras, enquanto todas as cargas de trabalho são executadas na mesma infraestrutura. As múltiplas cargas de trabalho de um inquilino individual podem interligar-se e serem geridas remotamente, mas estes sistemas não são interligados com as cargas de trabalho de outros inquilinos, nem podem os outros inquilinos geri-las remotamente.
Funcionalidades
O Gateway RAS oferece muitas funcionalidades para rede privada virtual (VPN), túnel, reencaminhamento e encaminhamento dinâmico.
VPN IPsec site a site
Esta funcionalidade de Gateway RAS permite-lhe ligar duas redes em diferentes localizações físicas através da Internet através de uma ligação de rede privada virtual (VPN) site a site (S2S). Esta é uma ligação encriptada com o protocolo VPN IKEv2.
Para CSPs que alojam muitos inquilinos no respetivo datacenter, o Gateway RAS fornece uma solução de gateway multi-inquilino que permite aos inquilinos aceder e gerir os respetivos recursos através de ligações VPN site a site a partir de sites remotos. O Gateway RAS permite o fluxo de tráfego de rede entre os recursos virtuais no datacenter e a respetiva rede física.
Túneis GRE Site a Site
Os túneis baseados em Encapsulamento de Encaminhamento Genérico (GRE) permitem a conectividade entre redes virtuais de inquilino e redes externas. Uma vez que o protocolo GRE é simples e o suporte para GRE está disponível na maioria dos dispositivos de rede, é a opção ideal para fazer um túnel onde a encriptação de dados não é necessária.
O suporte gre em túneis S2S resolve o problema de reencaminhamento entre redes virtuais de inquilino e redes externas de inquilinos com um gateway multi-inquilino.
Reencaminhamento de camada 3
O reencaminhamento da camada 3 (L3) permite a conectividade entre a infraestrutura física no datacenter e a infraestrutura virtualizada na cloud de virtualização de rede Hyper-V. Ao utilizar a ligação de reencaminhamento L3, as VMs de rede de inquilinos podem ligar-se a uma rede física através do gateway de Rede Definida pelo Software (SDN), que já está configurado no ambiente SDN. Neste caso, o gateway de SDN atua como um router entre a rede virtualizada e a rede física.
O diagrama seguinte mostra um exemplo da configuração do reencaminhamento L3 num cluster do Azure Stack HCI configurado com SDN:
- Existem duas redes virtuais no cluster do Azure Stack HCI: a rede virtual SDN 1 com o prefixo de endereço 10.0.0.0/16 e a rede virtual SDN 2 com o prefixo de endereço 16.0.0.0/16.
- Cada rede virtual tem uma ligação L3 à rede física.
- Uma vez que as ligações L3 são para redes virtuais diferentes, o gateway de SDN tem um compartimento separado para cada ligação para fornecer garantias de isolamento.
- Cada compartimento de gateway SDN tem uma interface no espaço de rede virtual e uma interface no espaço de rede física.
- Cada ligação L3 tem de mapear para uma VLAN exclusiva na rede física. Esta VLAN tem de ser diferente da VLAN do fornecedor HNV, que é utilizada como a rede física de reencaminhamento de dados subjacente para tráfego de rede virtualizado.
- Este exemplo utiliza o encaminhamento estático.
Eis os detalhes de cada ligação utilizada neste exemplo:
| Elemento de rede | Ligação 1 | Ligação 2 |
|---|---|---|
| Prefixo da sub-rede do gateway | 10.0.1.0/24 | 16.0.1.0/24 |
| Endereço IP L3 | 15.0.0.5/24 | 20.0.0.5/24 |
| Endereço IP do elemento da rede L3 | 15.0.0.1 | 20.0.0.1 |
| Rotas na ligação | 18.0.0.0/24 | 22.0.0.0/24 |
Considerações de encaminhamento ao utilizar o reencaminhamento L3
Para o encaminhamento estático, tem de configurar uma rota na rede física para chegar à rede virtual. Por exemplo, uma rota com o prefixo de endereço 10.0.0.0/16 com o próximo salto como o Endereço IP L3 da ligação (15.0.0.5).
Para o encaminhamento dinâmico com BGP, ainda tem de configurar uma rota estática /32 porque a ligação BGP está entre a interface interna do compartimento do gateway e o IP do elemento de rede L3. Para a Ligação 1, o peering seria entre 10.0.1.6 e 15.0.0.1. Assim, para esta ligação, precisa de uma rota estática no comutador físico com o prefixo de destino de 10.0.1.6/32 com o próximo salto como 15.0.0.5.
Se planear implementar ligações de Gateway L3 com o encaminhamento BGP, certifique-se de que configurou as definições BGP do comutador Top of Rack (ToR) com o seguinte:
- update-source: especifica o endereço de origem para atualizações BGP, ou seja, VLAN L3. Por exemplo, VLAN 250.
- ebgp multihop: isto especifica que são necessários mais saltos, uma vez que o vizinho BGP está a mais de um salto de distância.
Encaminhamento dinâmico com BGP
O BGP reduz a necessidade da configuração de rota manual nos routers, porque é um protocolo de encaminhamento dinâmico e aprende automaticamente as rotas entre os sites que estão ligados utilizando as ligações de rede de VPNs. Se a sua organização tiver vários sites ligados através de routers compatíveis com BGP, como o Gateway RAS, o BGP permite que os routers calculem e utilizem automaticamente rotas válidas entre si em caso de interrupção ou falha da rede.
O Refletor de Rotas BGP incluído com o Gateway RAS fornece uma alternativa à topologia de malha completa BGP necessária para a sincronização de rotas entre routers. Para obter mais informações, consulte O que é o Refletor de Rotas?
Como funciona o Gateway RAS
O Gateway RAS encaminha o tráfego de rede entre a rede física e os recursos de rede da VM, independentemente da localização. Pode encaminhar o tráfego de rede na mesma localização física ou em muitas localizações diferentes.
Pode implementar o Gateway RAS em conjuntos de elevada disponibilidade que utilizam várias funcionalidades ao mesmo tempo. Os conjuntos de gateways contêm várias instâncias do Gateway RAS para elevada disponibilidade e ativação pós-falha.
Pode dimensionar ou reduzir facilmente um conjunto de gateways ao adicionar ou remover VMs de gateway no conjunto. A remoção ou adição de gateways não interrompe os serviços fornecidos por um conjunto. Também pode adicionar e remover conjuntos inteiros de gateways. Para obter mais informações, veja Elevada Disponibilidade do Gateway RAS.
Cada conjunto de gateways fornece redundância M+N. Isto significa que o número "M" de VMs de gateway ativo é suportado pelo número "N" de VMs de gateway de reserva. A redundância M+N proporciona-lhe mais flexibilidade para determinar o nível de fiabilidade necessário quando implementa o Gateway RAS.
Pode atribuir um único endereço IP público a todos os conjuntos ou a um subconjunto de conjuntos. Ao fazê-lo, reduz significativamente o número de endereços IP públicos que tem de utilizar, uma vez que é possível que todos os inquilinos se liguem à cloud num único endereço IP.
Passos seguintes
Para obter informações relacionadas, consulte também:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários