Шлюз Windows Server
Применимо к:Windows Server 2012 R2
В этом разделе, предназначенном для специалистов в сфере информационных технологий (ИТ), представлена общая информация о шлюзе Windows Server, в частности о возможностях и характеристиках шлюза Windows Server.
Примечание
В дополнение к данному разделу доступна следующая документация по шлюзу Windows Server.
Кто может заинтересоваться шлюзом Windows Server?
Если вы системный администратор, архитектор сетевых решений или специалист в другой области ИТ, шлюз Windows Server может представлять для вас интерес в следующих случаях.
Вы используете или планируете использовать System Center 2012 R2, что является обязательным условием для развертывания шлюза Windows Server.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая использует или планирует использовать технологию Hyper-V для развертывания виртуальных машин в виртуальных сетях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая развертывает или планирует развертывание облачных технологий.
Вы хотите обеспечить полнофункциональные сетевые подключения между физическими и виртуальными сетями.
Вы хотите предоставить клиентам вашей организации доступ к их виртуальным сетям через Интернет.
Содержание:
Версии маршрутизатора в Windows Server 2012 R2
Что такое шлюз Windows Server?
Интеграция шлюза Windows Server и технологии виртуализации сети Hyper-V
Кластеризация шлюза Windows Server для обеспечения высокой доступности
Использование шлюза Windows Server в качестве шлюза для переадресации в частных облачных средах
Шлюз Windows Server как VPN-шлюз "сеть — сеть" для гибридных облачных сред
Мультитенантное преобразование сетевых адресов (NAT) для доступа в Интернет с виртуальных машин
Мультитенантные VPN-подключения удаленного доступа
Версии маршрутизатора в Windows Server 2012 R2
В Windows Server 2012 R2 доступны две различные версии шлюзов-маршрутизаторов — мультитенантный шлюз RRAS и шлюз Windows Server. Несмотря на то что маршрутизаторы имеют одинаковые функции и возможности, для управления каждым из них можно использовать разные методы, в зависимости от того, используют ли они System Center 2012 R2.
Мультитенантный шлюз RRAS. Мультитенантный шлюз-маршрутизатор RRAS можно использовать для мультитенантного или немультитенантного развертывания; он представляет собой полнофункциональный BGP-маршрутизатор. Для развертывания мультитенантного шлюза-маршрутизатора RRAS необходимо использовать команды Windows PowerShell. Дополнительные сведения см. в разделе Командлеты удаленного доступа в Windows PowerShell и Руководство по развертыванию мультитенантного шлюза RRAS Windows Server 2012 R2.
Шлюз Windows Server. Для развертывания шлюза Windows Server необходимо использовать System Center 2012 R2 и Virtual Machine Manager (VMM). Шлюз-маршрутизатор Windows Server предназначен для использования в мультитенантных средах. При использовании шлюза-маршрутизатора диспетчера виртуальных машин System Center 2012 R2 в интерфейсе программного обеспечения диспетчера виртуальных машин доступен лишь ограниченный набор параметров настройки BGP-протокола, в том числе "Локальный IP-адрес BGP" и "Номер в автономной системе (ASN)", "Список IP-адресов партнеров BGP" и "ASN, значения". Тем не менее вы можете использовать команды удаленного доступа Windows PowerShell для BGP, чтобы настроить все остальные функции шлюза Windows Server. Дополнительные сведения см. в разделах Windows Server Gateway и Диспетчер виртуальных машин.
Что такое шлюз Windows Server?
Шлюз Windows Server — это программный маршрутизатор на основе виртуальной машины, с помощью которого поставщики облачных служб и предприятия могут поддерживать маршрутизацию трафика центра обработки данных и облачной среды между виртуальными и физическими сетями, включая Интернет.
Примечание
Шлюз Windows Server поддерживает протоколы IPv4 и IPv6, включая переадресацию IPv4 и IPv6. При настройке шлюза Windows Server с функцией преобразования сетевых адресов (NAT) поддерживается только NAT44.
Виртуальные сети создаются с помощью виртуализации сети Hyper-V; эта технология была впервые использована в Windows Server® 2012.
Виртуализация сети Hyper-V реализует концепцию сети виртуальной машины, которая не зависит от лежащей в ее основе физической сети. В данной концепции сети виртуальной машины, состоящей из одной или нескольких виртуальных подсетей, точное физическое расположение IP-подсети не связано с топологией виртуальной сети. В результате организации легко могут перенести свои подсети в облако, сохранив свои IP-адреса и топологию в облаке. Эта возможность сохранения инфраструктуры позволяет существующим службам продолжать работать, не имея информации о физическом расположении подсети. Таким образом, виртуализация сети Hyper-V позволяет создать цельное гибридное облако.
Однако и в частных, и в гибридных облачных средах под управлением Windows Server 2012 трудно обеспечить связь между виртуальными машинами в виртуальной сети и ресурсами в физических сетях на локальных и удаленных узлах. В такой ситуации виртуальные подсети становятся островками, отделенными от остальных сетей.
В Windows Server 2012 R2 шлюз Windows Server осуществляет маршрутизацию сетевого трафика между физической сетью и ресурсами виртуальных машин независимо от местоположения ресурсов. Шлюз Windows Server можно использовать для маршрутизации сетевого трафика между физическими и виртуальными сетями, физически расположенными в одном и том же месте или в нескольких разных местах. Например, если физическая и виртуальная сети физически расположены в одном месте, то вы можете установить компьютер с Hyper-V, на котором виртуальная машина шлюза Windows Server будет выполнять функции перенаправляющего шлюза и осуществлять маршрутизацию трафика между физическими и виртуальными сетями. Другой пример. Если ваши виртуальные сети существуют в облаке, то поставщик облачных служб может развернуть шлюз Windows Server, чтобы вы могли создать VPN-подключение "сеть — сеть" между вашим VPN-сервером и шлюзом Windows Server поставщика облачных служб. После того как связь будет установлена, вы сможете подключаться к виртуальным ресурсам в облаке через VPN-подключение.
Интеграция шлюза Windows Server и технологии виртуализации сети Hyper-V
Шлюз Windows Server интегрирован с технологией виртуализации сети Hyper-V и может эффективно осуществлять маршрутизацию сетевого трафика в ситуации со множеством различных клиентов — или тенантов, — которые имеют изолированные виртуальные сети в том же центре обработки данных.
Архитектура обслуживания одним экземпляром приложения нескольких развертываний — это способность инфраструктуры облака обеспечивать рабочие нагрузки виртуальных машин нескольких клиентов, при этом изолируя их друг от друга, несмотря на то что все они работают в одной инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.
Например, предприятие может иметь много различных виртуальных подсетей, каждая из которых предназначена для обслуживания конкретного отдела, например отдела исследований и разработки или бухгалтерского отдела. В другом примере поставщик облачных служб имеет много тенантов с изолированными виртуальными подсетями, которые существуют в одном физическом центре обработки данных. И в том, и в другом случае шлюз Windows Server может осуществлять маршрутизацию трафика для каждого тенанта в прямом и обратном направлении, сохраняя запланированную изоляцию каждого из них. Эта возможность обеспечивает поддержку мультитенантных развертываний шлюзом Windows Server.
Технология виртуализации сети Hyper-V — это технология наложения сети с помощью универсальной инкапсуляции при маршрутизации для виртуализации сети (NVGRE), которая позволяет клиентам добавлять свои собственные адресные пространства, а поставщикам облачных служб — обеспечивать более высокий уровень масштабируемости, чем раньше, когда для изоляции использовались сети VLAN.
Примечание
Дополнительные сведения о технологии виртуализации сети Hyper-V и виртуальном коммутаторе Hyper-V в Windows Server 2012 см. в разделах Обзор виртуализации сети Hyper-V и Обзор виртуального коммутатора Hyper-V в технической библиотеке Windows Server 2012.
Кластеризация шлюза Windows Server для обеспечения высокой доступности
Развертывание шлюза Windows Server осуществляется на специальном компьютере, на котором устанавливается система виртуализации Hyper-V и создается одна виртуальная машина. Затем эта виртуальная машина настраивается как шлюз Windows Server.
Для обеспечения высокой доступности ресурсов сети вы можете развернуть шлюз Windows Server в отказоустойчивой конфигурации с использованием двух физических серверов, на каждом из которых установлена система виртуализации Hyper-V и работает виртуальная машина, сконфигурированная как шлюз. Затем виртуальные машины шлюза необходимо настроить как кластеры, чтобы обеспечить отказоустойчивость и защиту от отказов сети и сбоев оборудования.
При развертывании шлюза Windows Server серверы узлов Hyper-V и виртуальные машины, которые вы настроили как шлюзы, должны работать под управлением Windows Server 2012 R2.
Следующий значок представляет два узла Hyper-V, на каждом из которых работает виртуальная машина, настроенная как шлюз Windows Server (если на рисунках, представленных в следующих разделах, не указано иное). Кроме того, на обоих серверах работает система Hyper-V, а виртуальные машины на каждом сервере работают под управлением Windows Server 2012 R2. Виртуальные машины шлюза кластеризованы.
.jpeg "Шлюз Windows Server")
Использование шлюза Windows Server в качестве шлюза для переадресации в частных облачных средах
Частное облако — это модель организации вычислений, использующая инфраструктуру, выделенную вашей организации. Частное облако имеет много общих характеристик с общедоступными облачными вычислениями, в том числе пулы ресурсов, самообслуживание, эластичность и измеряемые услуги, предоставляемые стандартизованным образом с дополнительным контролем и настройками, доступными с выделенных ресурсов.
Единственным принципиальным отличием частного облака от общедоступного является то, что общедоступное облако предоставляет облачные ресурсы нескольким организациям, тогда как частное облако содержит ресурсы для одной организации. Однако одна организация может иметь несколько бизнес-единиц и подразделений и по своему характеру быть мультитенантной. В этой ситуации к частному облаку предъявляются те же требования изоляции и обеспечения безопасности, что и к общедоступному облаку.
Для предприятий, предпочитающих локальное развертывание частного облака, шлюз Windows Server может выполнять функции шлюза переадресации и осуществлять маршрутизацию трафика между виртуальными и физическими сетями. Например, если вы создали виртуальные сети для одного или нескольких отделов (скажем, для отдела исследований и разработки и бухгалтерского отдела), но многие из ваших основных ресурсов (такие как доменные службы Active Directory, SharePoint или DNS) находятся в физической сети, шлюз Windows Server может осуществлять маршрутизацию трафика между физической и виртуальной сетями для обеспечения доступа сотрудников, работающих в виртуальной сети, ко всем службам, которые им необходимы.
На следующем рисунке физическая и виртуальные сети физически расположены в одном месте. Шлюз Windows Server используется для маршрутизации трафика между физической сетью и виртуальными сетями.
.jpeg "Подключение к физической и виртуальной сети")
Шлюз Windows Server как VPN-шлюз "сеть — сеть" для гибридных облачных сред
Для поставщиков облачных служб, которые размещают в своем центре обработки данных множество клиентов, шлюз Windows Server представляет собой решение мультитенантного шлюза, который позволит вашим клиентам осуществлять доступ к своим ресурсам и управление ими через VPN-подключение "сеть — сеть" с удаленных узлов. Он также будет пропускать потоки сетевого трафика между виртуальными ресурсами в вашем центре обработки данных и их физических сетях.
На следующем рисунке поставщик облачных служб предоставляет доступ по сети нескольким клиентам, некоторые из которых имеют несколько узлов в Интернете. В данном примере клиенты используют на узлах своего предприятия VPN-серверы сторонних производителей, тогда как поставщик облачной службы использует шлюз Windows Server для предоставления VPN-подключений "сеть — сеть".
.jpeg "Мультитенантный шлюз «сайт-сайт» WS")
Мультитенантное преобразование сетевых адресов (NAT) для доступа в Интернет с виртуальных машин
На следующем рисунке домашний пользователь, использующий веб-браузер на своем компьютере, совершает покупку через Интернет на веб-сервере Contoso, который представляет собой виртуальную машину в виртуальной сети компании Contoso. В процессе оформления покупки веб-приложение проверяет информацию кредитной карты, предоставленную домашним пользователем, подключившись к финансовой службе компании через Интернет. Описанная возможность подключения к ресурсам в Интернете из виртуальной сети предоставляется, если на шлюзе Windows Server у поставщика облачных служб включена функция NAT.
.jpeg "Шлюз Windows Server с включенным преобразованием сетевых адресов (NAT)")
Мультитенантные VPN-подключения удаленного доступа
На следующем рисунке администраторы используют коммутируемые VPN-подключения для управления виртуальными машинами в своих виртуальных сетях. Администратор из Contoso инициирует VPN-подключение в филиале, подключенном к Интернету, и подключается к виртуальной сети Contoso через шлюз Windows Server поставщика облачных служб.
Аналогичным образом администратор Northwind Traders устанавливает VPN-подключение из домашнего офиса для управления виртуальными машинами в виртуальной сети Northwind Traders.
.jpeg "VPN-подключения к виртуальным ресурсам")