RAS 閘道
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
透過 RAS 閘道,雲端服務提供者 (CSP) 和企業可以在虛擬網路與實體網路 (包括網際網路) 之間啟用資料中心和雲端網路流量路由。
注意
RAS 閘道支援 IPv4 與 IPv6,包括 IPv4 與 IPv6 轉送。 設定 RAS 閘道搭配網路位址轉譯 (NAT) 時,只支援 NAT44。
誰 RAS 閘道感興趣的對象?
如果您是系統管理員、網路架構師或其他 IT 專業人員,下列一或多種情況可能會引起您對 RAS 閘道的興趣:
您為正在使用或計劃使用 Hyper-V 在虛擬網路上部署虛擬機器 (VM) 的組織設計或支援 IT 基礎結構。
您為已部署或計劃部署雲端技術的組織設計或支援 IT 基礎結構。
您想提供實體網路和虛擬網路之間的完整網路連線。
您想提供組織的客戶透過網際網路存取其虛擬網路。
您希望透過網際網路連接位於不同實體位置的辦公室。
本主題適用於資訊技術 (IT) 專業人員,提供有關 RAS 閘道的相關資訊,包括 RAS 閘道部署模式和功能。
本主題包含下列幾節:
RAS 閘道部署模式
RAS 閘道包含下列部署模式:
單一租用戶模式
建議您不要在單一租用戶模式中部署 RAS 閘道。 如需單一租用戶模式案例,請參閱單一租用戶。
多租用戶模式
如果您的組織是具有多租用戶的 CSP 或企業版,您可以在多租用戶模式中部署 RAS 閘道,以提供虛擬網路和實體網路之間的網路流量路由。
多組織用戶管理是雲端基礎結構支援多個租用戶虛擬電腦工作負載的能力,但將彼此個別分開,而且所有的工作負載都會在相同的基礎結構上執行。 個別租用戶的多個工作負載可以互連並從遠端管理,但是這些系統不會與其他租用戶的工作負載互連,其他租用戶也無法從遠端管理它們。
例如,一個企業可能有許多不同的虛擬子網路,每個虛擬子網路都專門用來服務特定的部門,像是研發部門或會計部門。 在另一個例子中,CSP 有許多租用戶,他們在相同的實體資料中心有隔離的虛擬子網路。 在這兩種情況下,RAS 閘道可以在每個租用戶之間路由傳送流量,同時保持每個租用戶的獨立性。 這項功能可讓 RAS 閘道多租用戶感知。
虛擬網路是使用 Hyper-V 網路虛擬化所建立。 RAS 閘道已與 Hyper-V 網路虛擬化整合,如果許多不同客戶 (或租用戶) 在相同資料中心有隔離的虛擬網路,它能夠有效地路由傳送網路流量。
Hyper-V 網路虛擬化提供讓您部署與基礎實體網路無關的虛擬機器 (VM) 網路。 利用由一或多個虛擬子網路組成的 VM 網路,就可以分隔 IP 子網路的實際實體位置與虛擬網路拓撲。 因此,您可以輕鬆地將內部部署子網移至雲端,同時將現有的 IP 位址和拓撲保留在雲端中。 這種保留基礎結構的能力可讓現有服務繼續運作,不用知道子網路的實體位置。 也就是說,Hyper-V 網路虛擬化有助於順暢進行混合雲端。
注意
Hyper-V 網路虛擬化是使用 Network Virtualization Generic Routing Encapsulation (NVGRE) 的網路覆蓋技術,允許租用戶帶入他們自己的位址空間,且讓 CSP 擁有比使用 VLAN 進行租用戶隔離更好的延展性。
在 Windows Server 中,RAS 閘道會在實體網路與 VM 網路資源 (無論資源位於何處) 之間路由傳送網路流量。 您可使用 RAS 閘道,在位於相同實體位置或許多不同實體位置的實體和虛擬網路之間路由傳送網路流量。
例如,如果您在同一個實體位置擁有實體網路和虛擬網路,可以部署一部執行 Hyper-V 的電腦,設定為 RAS 閘道 VM 當做虛擬與實體網路之間的轉送閘道和路由傳送流量。
另一個例子是,如果雲端中有虛擬網路,CSP 可以部署 RAS 閘道,這樣即可在 VPN 伺服器與 CSP 的 RAS 閘道之間建立虛擬私人網路 (VPN) 站台對站台連線;建立這個連結之後,您就可以透過 VPN 連線,連線到雲端中的虛擬資源。
如需詳細資訊,請參閱 RAS 閘道高可用性。
叢集 RAS 閘道以提供高可用性
RAS 閘道部署在執行 Hyper-V 的專用電腦上,該電腦以一個 VM 設定。 VM 接著會設定為 RAS 閘道。
為了網路資源的高可用性,您可以使用兩部執行 Hyper-V 的實體主機伺服器,且每部伺服器也都執行設定為閘道的虛擬機器 (VM),以部署具有容錯移轉的 RAS 閘道。 然後,閘道 VM 設定為叢集,針對網路中斷和硬體故障提供容錯移轉保護。
例如,如果您的組織是具有私人雲端部署的企業版,您可能只需要兩個 RAS 閘道 VM,每個 VM 安裝在執行 Hyper-V 的不同電腦上。 在此案例中,RAS 閘道 VM 會新增至叢集以提供高可用性。
另一個例子是,如果您的組織是在資料中心有兩百個租用戶的雲端服務提供者 (CSP),可以使用八個 RAS 閘道 VM,每對叢集 RAS 閘道 VM 會提供五十個租用戶的路由服務。 在此案例中,執行 Hyper-V 的兩部電腦各有四個設定為 RAS 閘道的 VM。 接著,您會設定四個 RAS 閘道 VM 叢集,每個叢集包含來自每個執行 Hyper-V 之電腦的一個 VM。
部署 RAS 閘道時,執行 Hyper-V 的主機伺服器以及設定為閘道的 VM 必須執行 Windows Server。
RAS 閘道功能
RAS 閘道包含下列功能:
站台對站台 VPN。 此 RAS 閘道功能可讓您使用站對站 VPN 連線,透過網際網路將不同實體位置的兩個網路連接在一起。 如果您有一個主要辦公室和多個分公司,則可以在每個位置部署邊緣 RAS 閘道,並建立站對站連線,以提供位置之間的網路流量。 對於在自己的資料中心裝載許多租用戶的 CSP 來說,RAS 閘道提供一個多組織用戶共享閘道的解決方案,允許您的租用戶透過站台對站台 VPN 連線,從遠端站台存取和管理他們的資源,也允許網路流量在您資料中心的虛擬資源與他們的實體網路之間進行交換。
點對站 VPN。 此 RAS 閘道功能可讓組織員工或系統管理員從遠端位置連線到組織的網路。 針對 RAS 閘道的單一租用戶部署,遠端員工可以使用 VPN 連線來連線至您的組織網路。 此連線可讓它們使用內部網路資源,例如內部網路網站和檔案伺服器。 針對多租用戶部署,租用戶網路系統管理員可以使用點對站 VPN 連線來存取 CSP 資料中心的虛擬網路資源。
使用邊界閘道協定 (BGP) 的動態路由。 BGP 可以降低在路由器上手動路由設定的需求,因為它是動態路由通訊協定,並且會自動學習使用站台對站台 VPN 連線來連接的網站之間的路由。 如果您的組織使用已啟用 BGP 的路由器 (例如 RAS 閘道) 連線了多個網站,BGP 可讓路由器在網路中斷或故障時自動計算並使用彼此的有效路由。 如需詳細資訊,請參閱 RFC 4271。
網路位址轉譯 (NAT)。 網路位址轉譯 (NAT) 可讓您透過具有單一公用 IP 位址的單一介面共用與公用網際網路的連線。 私人網路上的電腦會使用私人、無法路由傳送的位址。 NAT 會將私人位址對應至公用位址。 此 RAS 閘道功能可讓具有單一租用戶部署的組織員工從閘道後方存取網際網路資源。 針對 CSP,此功能可允許租用戶 VM 上執行的應用程式存取網際網路。 例如,設定為網頁伺服器的租用戶 VM 可以連絡外部財務資源來處理信用卡交易。
RAS 閘道部署案例
以下是 RAS 閘道的建議部署案例:
Enterprise Edge - 單一租用戶部署。 透過單一租用戶企業部署,您可以使用站對站 VPN 功能,將一個實體連線到網際網路上的多個其他實體位置,而邊界閘道協定 (BGP) 可讓您使用動態路由。 您也可以使用點對站 VPN 連線和 DirectAccess 連線,為遠端員工提供組織網路的存取權。 (DirectAccess 連線一律為開啟狀態,而且具有一個優勢,亦即您可以輕鬆地管理使用 DirectAccess 連線的電腦,因為它們會在每次開啟並連線到網際網路時保持連線。)您也可以使用 NAT 設定單一租用戶企業 RAS 閘道,以便內部網路上的電腦可以輕鬆地與網際網路通訊。
雲端服務提供者 Edge - 多租用戶部署。 CSP 的 RAS 閘道多租用戶部署可讓您為租用戶提供 Enterprise Edge 單一租用戶部署可用的所有功能。 資料中心內的租用戶虛擬網路與網際網路上租用戶網路位置之間的站對站 VPN 連線,表示租用戶始終可以順暢地存取其雲端資源。 租用戶的點對站 VPN 存取表示租用戶系統管理員始終可以連線到資料中心內的虛擬網路來管理其資源。 BGP 提供動態路由,並讓租用戶連線到其資產,即使在網際網路或其他位置發生網路問題也一樣。 NAT 可讓租用戶 VM 連線到網際網路上的資源,例如信用卡處理資源。
RAS 閘道管理工具
以下是 RAS 閘道的管理工具:
在 Windows Server 2016 中,若要部署 RAS 閘道路由器,您必須使用 Windows PowerShell 命令。 如需詳細資訊,請參閱 Windows Server 和 Windows 11 的遠端存取 Cmdlet。
在 System Center Virtual Machine Manager (VMM) 中,RAS 閘道名為 Windows Server 閘道。 VMM 軟體介面中提供一組有限的邊界閘道協定 (BGP) 設定選項,包含本機 BGP IP 位址和自發的系統編號 (ASN)、BGP 對等 IP 位址清單與 ASN 值。 不過,您可以使用遠端存取 Windows PowerShell BGP 命令來設定 Windows Server 閘道的其他所有功能。 如需詳細資訊,請參閱適用於 Windows Server 和 Windows 用戶端的 Virtual Machine Manager (VMM) 和遠端存取 Cmdlet。