Gateway de RAS
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Com o Gateway de RAS, CSPs (Provedores do Serviço em Nuvem) e empresas podem habilitar o roteamento de tráfego de rede de nuvem e datacenter entre redes virtuais e físicas, incluindo a Internet.
Observação
O Gateway de RAS oferece suporte a IPv4 e IPv6, incluindo o encaminhamento de IPv4 e IPv6. Quando você configura o Gateway de RAS com NAT (Conversão de Endereços de Rede), somente o NAT44 tem suporte.
Quem terá interesse no Gateway de RAS?
Se você for administrador de sistema, arquiteto de rede ou outro profissional de TI, o Gateway de RAS poderá ser útil em uma ou mais das seguintes ocasiões:
Você projeta ou dá suporte à infraestrutura de TI para uma organização que está usando ou planejando usar o Hyper-V para implantar VMs (máquinas virtuais) em redes virtuais.
Você projeta ou dá suporte à infraestrutura de TI de uma organização que implantou ou está planejando implantar tecnologias de nuvem.
Você deseja fornecer conectividade total de rede entre redes físicas e redes virtuais.
Você deseja proporcionar aos clientes de sua organização acesso às suas redes virtuais pela Internet.
Você deseja conectar escritórios em diferentes locais físicos pela Internet.
Este tópico, que foi desenvolvido para profissionais de TI (Tecnologia da Informação), apresenta informações sobre o Gateway de RAS, incluindo seus modos de implantação e recursos.
Este tópico contém as seguintes seções:
Modos de implantação do Gateway de RAS
O Gateway de RAS inclui os seguintes modos de implantação:
Modo de locatário único
É recomendável que você não implante o Gateway de RAS no modo de locatário único. Para cenários de modo de locatário único, consulte Locatário único.
Modo multilocatário
Se a organização for um CSP ou uma Empresa com vários locatários, será possível implantar o Gateway de RAS no modo multilocatário para fornecer roteamento de tráfego de rede de e para redes virtuais e físicas.
A multilocação é a capacidade que uma infraestrutura de nuvem tem de oferecer suporte às cargas de trabalho das máquinas virtuais de vários locatários, mas isolando-as umas das outras, embora todas as cargas de trabalho sejam executadas na mesma infraestrutura. As várias cargas de trabalho de um locatário individual podem se interconectar e serem gerenciadas remotamente, mas esses sistemas não interconectam com as cargas de trabalho de outros locatários, nem outros locatários podem gerenciá-las remotamente.
Por exemplo, uma Empresa pode ter várias sub-redes virtuais diferentes, cada uma dedicada a servir um departamento específico, como Pesquisa e Desenvolvimento ou Contabilidade. Em outro exemplo, um CSP tem muitos locatários com sub-redes virtuais isoladas existentes no mesmo datacenter físico. Nos dois casos, o Gateway de RAS pode rotear o tráfego para e a partir de cada locatário, ao mesmo tempo em que mantém o isolamento projetado de cada um. Esse recurso torna o Gateway de RAS compatível com multilocatários.
As redes virtuais são criadas usando a Virtualização de Rede Hyper-V. O Gateway de RAS é integrado com a Virtualização de Rede Hyper-V e é capaz de rotear o tráfego de rede com eficácia em ocasiões em que há muitos clientes ou locatários diferentes que têm redes virtuais isoladas no mesmo datacenter.
A Virtualização de Rede Hyper-V oferece a capacidade de implantar uma rede de VM que é independente da rede física subjacente. Com redes de VM, que são compostas de uma ou mais sub-redes virtuais, a localização física exata de uma sub-rede IP é separada da topologia da rede virtual. Como resultado, é possível mover com facilidade suas sub-redes para a nuvem, ao mesmo tempo em que preserva seus endereços IP e topologia na nuvem. Essa capacidade de preservar a infraestrutura permite que os serviços existentes continuem funcionando, sem reconhecimento do local físico das sub-redes. Ou seja, a Virtualização de Rede Hyper-V permite uma nuvem híbrida integrada.
Observação
A Virtualização de Rede Hyper-V é uma tecnologia de sobreposição de rede que usa o Encapsulamento de Roteamento Genérico de Virtualização da Rede (NVGRE), o que permite que os locatários ativem seus próprios espaços de endereço e permite aos CSPs melhor escalabilidade do que é possível usando VLANs para isolamento do locatário.
No Windows Server, o Gateway de RAS roteia o tráfego de rede entre a rede física e os recursos de rede de VM, independentemente de onde os recursos estão localizados. É possível usar o Gateway de RAS para rotear o tráfego de rede entre redes físicas e virtuais no mesmo local físico ou em vários locais físicos diferentes.
Por exemplo, se você tiver uma rede física e uma rede virtual no mesmo local físico, será possível implantar um computador que está executando o Hyper-V configurado com uma VM de Gateway de RAS para funcionar como um gateway de encaminhamento e rotear o tráfego entre as redes físicas e virtuais.
Em outro exemplo, se suas redes virtuais existirem na nuvem, seu CSP poderá implantar um Gateway de RAS de forma que você possa criar uma conexão site a site de VPN (rede virtual privada) entre seu servidor VPN e o Gateway de RAS do CSP. Quando esse link for estabelecido, será possível conectar aos recursos virtuais na nuvem pela conexão VPN.
Para obter mais informações, consulte Alta disponibilidade do Gateway de RAS.
Clustering do Gateway de RAS para alta disponibilidade
O Gateway de RAS é implantado em um computador dedicado que está executando o Hyper-V e está configurado com uma VM. Em seguida, a VM é configurada como um Gateway de RAS.
Para alta disponibilidade de recursos de rede, você pode implantar o Gateway de RAS com failover usando dois servidores host físicos que executam o Hyper-V e que também estão executando uma VM configurada como um gateway. Em seguida, as VMs do gateway são configuradas como um cluster para fornecer proteção de failover contra interrupções da rede e falha de hardware.
Por exemplo, se sua organização for uma empresa com uma implantação de nuvem privada, talvez seja necessário apenas duas VMs de Gateway de RAS, cada uma instalada em um computador diferente que executa o Hyper-V. Nesse cenário, as VMs do Gateway de RAS são adicionadas a um cluster para fornecer alta disponibilidade.
Em outro exemplo, se sua organização for um CSP (Provedor de Serviço de Nuvem) com 200 locatários em seu datacenter, você poderá usar oito VMS de Gateway de RAS, com cada par de VMs de Gateway de RAS em cluster fornecendo serviços de roteamento para 50 locatários. Nesse cenário, dois computadores que executam o Hyper-V têm cada uma quatro VMs configuradas como Gateways de RAS. Em seguida, configure quatro clusters de VM do Gateway de RAS, cada cluster contendo uma VM de cada computador que executa o Hyper-V.
Quando você implanta o Gateway de RAS, os servidores host que executam o Hyper-V e as VMs que você configura como gateways devem estar executando o Windows Server.
Recursos do Gateway de RAS
O Gateway de RAS inclui os seguintes recursos:
VPN site a site. Esse recurso do Gateway de RAS permite que você conecte duas redes em locais físicos diferentes pela Internet usando uma conexão VPN site a site. Se você tiver um escritório principal e várias filiais, poderá implantar um Gateway de RAS de borda em cada local e criar conexões site a site para fornecer fluxo de tráfego de rede entre os locais. Para os CSPs que hospedam muitos locatários em seus datacenters, o Gateway de RAS fornece uma solução de gateway multilocatário que permite a seus locatários acessar e gerenciar seus recursos em conexões VPN de site a site a partir de sites remotos, e que permite o fluxo do tráfego de rede entre recursos virtuais no seu datacenter e em sua rede física.
VPN de Ponto a site. Esse recurso de Gateway de RAS permite que funcionários ou administradores da organização se conectem à rede da sua organização a partir de locais remotos. Para implantações de locatário único de Gateway de RAS, os funcionários remotos podem se conectar à rede da sua organização usando uma conexão VPN. Essa conexão permite que eles usem recursos de rede internos, como sites da intranet e servidores de arquivos. Para implantações multilocatários, os administradores de rede de locatário podem usar conexões VPN ponto a site para acessar recursos de rede virtual no datacenter do CSP.
Roteamento dinâmico com BGP (Border Gateway Protocol). O BGP reduz a necessidade de configuração de roteamento manual em roteadores, porque ele é um protocolo de roteamento dinâmico e aprende rotas entre sites conectados usando conexões VPN site a site automaticamente. Se sua organização tiver vários sites conectados usando roteadores habilitados para BGP, como o Gateway de RAS, o BGP permitirá que os roteadores calculem e usem automaticamente rotas válidas entre si em caso de interrupção ou falha de rede. Para obter mais informações, consulte RFC 4271.
Conversão de endereços de rede (NAT). A NAT (Conversão de Endereços de Rede) permite que você compartilhe uma conexão com a Internet pública por meio de uma única interface com um único endereço IP público. Os computadores na rede privada usam endereços privados e não roteáveis. A NAT mapeia os endereços privados para o endereço público. Esse recurso de Gateway de RAS permite que os funcionários da organização com implantações de locatário único acessem recursos da Internet por trás do gateway. Para CSPs, esse recurso permite que aplicativos em execução nas VMs do locatário acessem a Internet. Por exemplo, uma VM de locatário configurada como um servidor Web pode contatar recursos financeiros externos para processar transações com cartão de crédito.
Cenários de implantação do Gateway de RAS
Estes são os cenários de implantação recomendados para o Gateway de RAS:
Enterprise Edge – implantação de locatário único. Com a implantação Enterprise de locatário único, você pode conectar um local físico a vários outros locais físicos pela Internet usando o recurso VPN site a site – e o BGP (Border Gateway Protocol) permite usar o roteamento dinâmico. Você também pode fornecer aos funcionários remotos acesso à rede da sua organização com conexões VPN ponto a site e conexões DirectAccess. (As conexões do DirectAccess estão sempre ativadas e também fornecem a vantagem de que você pode gerenciar facilmente computadores conectados usando o DirectAccess, pois eles estão conectados sempre que estão conectados à Internet.) Você também pode configurar Gateways de RAS Enterprise de locatário único com NAT, para que os computadores em sua Intranet possam se comunicar facilmente com a Internet.
Borda do Provedor de Serviços de Nuvem – implantação multilocatário. A implantação multilocatária do Gateway de RAS para CSPs permite que você ofereça aos locatários todos os recursos disponíveis com a implantação de locatário único do Enterprise Edge. Conexões VPN site a site entre redes virtuais de locatário em seu datacenter e os locais de rede de locatário na Internet significam que os locatários têm acesso contínuo aos recursos de nuvem o tempo todo. O acesso à VPN ponto a site para locatários significa que os administradores de locatários sempre podem se conectar às redes virtuais no datacenter para gerenciar seus recursos. O BGP fornece roteamento dinâmico e mantém os locatários conectados a seus ativos mesmo quando ocorrem problemas de rede na Internet ou em outro lugar. E o NAT permite que as VMs de locatário se conectem a recursos na Internet, como recursos de processamento de cartão de crédito.
Ferramentas de Gerenciamento de Gateway de RAS
Veja a seguir as ferramentas de gerenciamento para o Gateway de RAS:
Para implantar um roteador de Gateway de RAS no Windows Server 2016, você deve usar comandos do Windows PowerShell. Para obter mais informações, confira Cmdlets para acesso remoto para Windows Server e Windows 11.
No VMM (System Center Virtual Machine Manager), o Gateway de RAS é chamado de Gateway do Windows Server. Um conjunto limitado de opções de configuração do protocolo BGP (Border Gateway Protocol) está disponível na interface de software do VMM, incluindo Endereço IP do BGP Local e ASN (Números do Sistema Autônomo, Lista de Endereços IP de Pares do BGP e Valores do ASN. No entanto, você pode usar os comandos BGP do Windows PowerShell de Acesso Remoto para configurar todos os outros recursos do Gateway do Windows Server. Para obter mais informações, consulte VMM (Virtual Machine Manager) e Cmdlets de Acesso Remoto para Windows Server e o cliente Windows.