Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Você pode usar este tópico para aprender sobre configurações de alta disponibilidade para o RAS Multitenant Gateway for Software Defined Networking (SDN).
Este tópico contém as seguintes seções.
Visão geral do gateway RAS
Se sua organização for um CSP (Provedor de Serviços de Nuvem) ou uma Empresa com vários locatários, você poderá implantar o Gateway RAS no modo multilocatário para fornecer roteamento de tráfego de rede de e para redes virtuais e físicas, incluindo a Internet.
Você pode implementar o Gateway RAS em modo multi-inquilino como gateway de fronteira para rotear o tráfego da rede dos clientes para as redes e os recursos virtuais desses clientes.
Ao implantar várias instâncias de VMs de Gateway RAS que fornecem alta disponibilidade e failover, você está implantando um pool de gateways. No Windows Server 2012 R2, todas as VMs de gateway formavam um único pool, o que dificultava um pouco a separação lógica da implantação do gateway. O gateway do Windows Server 2012 R2 oferecia uma implantação de redundância 1:1 para as VMs de gateway, o que resultou na subutilização da capacidade disponível para conexões VPN site a site (S2S).
Esse problema é resolvido no Windows Server 2016, que fornece vários pools de gateways - que podem ser de diferentes tipos para separação lógica. O novo modo de redundância M+N permite uma configuração de failover mais eficiente.
Para obter mais informações gerais sobre o Gateway RAS, consulte Gateway RAS.
Visão geral dos agrupamentos de gateway
No Windows Server 2016, você pode implantar gateways em um ou mais pools.
A ilustração a seguir mostra diferentes tipos de pools de gateway que fornecem roteamento de tráfego entre redes virtuais.
Cada pool tem as seguintes propriedades.
Cada pool tem redundância M+N. Isso significa que um número 'M' de VMs de gateway ativas é suportado por um número 'N' de VMs de gateway em espera. O valor de N (gateways em espera) é sempre menor ou igual a M (gateways ativos).
Um pool pode executar qualquer uma das funções de gateway individuais - Internet Key Exchange versão 2 (IKEv2), S2S, Layer 3 (L3) e Generic Routing Encapsulation (GRE) - ou o pool pode executar todas essas funções.
Você pode atribuir um único endereço IP público a todos os pools ou a um subconjunto de pools. Isso reduz muito o número de endereços IP públicos que você deve usar, porque é possível ter todos os locatários conectados à nuvem em um único endereço IP. A seção abaixo sobre Alta disponibilidade e balanceamento de carga descreve como isso funciona.
Você pode facilmente dimensionar um pool de gateways para cima ou para baixo adicionando ou removendo VMs de gateway no pool. A remoção ou adição de gateways não interrompe os serviços fornecidos por um pool. Você também pode adicionar e remover grupos inteiros de gateways.
As conexões de um único locatário podem ser encerradas em múltiplos pools e em múltiplos gateways dentro destes pools. No entanto, se um locatário tiver conexões terminando em um pool de gateway Todos os tipos, ele não poderá assinar outros pools de gateway Todos os tipos ou individuais.
Os pools de gateway também oferecem a flexibilidade para habilitar cenários adicionais:
Pools de locatário único - você pode criar um pool para uso por um locatário.
Se estiver a vender serviços na nuvem através de canais de parceiros (revendedores), pode criar conjuntos separados de agrupamentos para cada revendedor.
Vários pools podem fornecer a mesma função de gateway, mas capacidades diferentes. Por exemplo, você pode criar um pool de gateway que ofereça suporte a conexões IKEv2 S2S de alta e baixa taxa de transferência.
Visão geral da implantação do gateway RAS
A ilustração a seguir demonstra uma implantação típica do CSP (Provedor de Serviços de Nuvem) do Gateway RAS.
Com esse tipo de implantação, os pools de gateway são implantados atrás de um SLB (Software Load Balancer), que permite que o CSP atribua um único endereço IP público para toda a implantação. Várias conexões de portas de entrada de um locatário podem ser finalizadas em vários pools de portas de entrada - também em vários gateways dentro de um pool. Isso é ilustrado através de conexões IKEv2 S2S no diagrama acima, mas o mesmo é aplicável a outras funções de gateway também, como gateways L3 e GRE.
Na ilustração, o dispositivo MT BGP é um RAS Multitenant Gateway com BGP. O BGP multilocatário é usado para roteamento dinâmico. O roteamento para um locatário é centralizado - um único ponto, chamado refletor de rota (RR), lida com o protocolo BGP para todos os sites do locatário. O RR em si é distribuído em todos os gateways em um pool. Isso resulta numa configuração onde as conexões de um inquilino (caminho de dados) terminam em múltiplos gateways, mas o RR para o inquilino (ponto de emparelhamento do BGP - caminho de controle) está em apenas um dos gateways.
O roteador BGP é separado no diagrama para representar esse conceito de roteamento centralizado. A implementação do gateway BGP também fornece roteamento de trânsito, o que permite que a nuvem atue como um ponto de trânsito para roteamento entre dois sites de arrendatários. Esses recursos BGP são aplicáveis a todas as funções do gateway.
Integração de gateway RAS com controlador de rede
O Gateway RAS está totalmente integrado com o Controlador de Rede no Windows Server 2016. Quando o Gateway RAS e o Controlador de Rede são implantados, o Controlador de Rede executa as seguintes funções.
Implantação das agrupações de gateways
Configuração de conexões de locatário em cada gateway
Transferência dos fluxos de tráfego da rede para um gateway de reserva no caso de falha do gateway
As seções a seguir fornecem informações detalhadas sobre o Gateway RAS e o Controlador de Rede.
Configuração e balanceamento de carga de conexões de gateway (IKEv2, L3 e GRE)
Quando um locatário solicita uma conexão de gateway, a solicitação é enviada ao Controlador de Rede. O controlador de rede é configurado com informações sobre todos os conjuntos de gateways, incluindo a capacidade de cada conjunto e de cada gateway em cada conjunto. O controlador de rede seleciona o pool e o gateway corretos para a conexão. Essa seleção é baseada no requisito de largura de banda para a conexão. O controlador de rede usa um algoritmo de "melhor ajuste" para selecionar conexões de forma eficiente em um pool. O ponto de emparelhamento BGP para a conexão também é designado neste momento se esta for a primeira conexão do locatário.
Depois que o Controlador de Rede seleciona um Gateway RAS para a conexão, o Controlador de Rede provisiona a configuração necessária para a conexão no gateway. Se a conexão for uma conexão IKEv2 S2S, o Controlador de Rede também provisionará uma regra NAT (Network Address Translation) no pool SLB; essa regra NAT no pool SLB direciona as solicitações de conexão do locatário para o gateway designado. Os locatários são diferenciados pelo IP de origem, que se espera que seja exclusivo.
Note
As conexões L3 e GRE ignoram o SLB e se conectam diretamente com o gateway RAS designado. Essas conexões exigem que o roteador de ponto de extremidade remoto (ou outro dispositivo de terceiros) esteja configurado corretamente para se conectar ao Gateway RAS.
Se o roteamento BGP estiver habilitado para a conexão, o emparelhamento BGP será iniciado pelo Gateway RAS - e as rotas serão trocadas entre gateways locais e na nuvem. As rotas aprendidas pelo BGP (ou que são rotas configuradas estaticamente se o BGP não for usado) são enviadas para o Controlador de Rede. Em seguida, o Controlador de Rede canaliza as rotas para os hosts Hyper-V nos quais as VMs locatárias estão instaladas. Neste ponto, o tráfego de locatários pode ser roteado para o site local correto. O Controlador de Rede também cria políticas de Virtualização de Rede Hyper-V associadas que especificam locais de gateway e os direciona para os hosts Hyper-V.
Alta disponibilidade para IKEv2 S2S
Um gateway RAS em um pool consiste em conexões e emparelhamento BGP de diferentes locatários. Cada pool tem 'M' gateways ativos e 'N' gateways em espera.
O controlador de rede lida com a falha de gateways da seguinte maneira.
O Controlador de Rede pinga constantemente os gateways em todos os grupos e pode detetar um gateway que está avariado ou a falhar. O controlador de rede pode detetar os seguintes tipos de falhas de gateway RAS.
Falha da VM do RAS Gateway
Falha do host Hyper-V no qual o gateway RAS está sendo executado
Falha no serviço RAS Gateway
O controlador de rede armazena a configuração de todos os gateways ativos implantados. A configuração consiste em configurações de conexão e configurações de roteamento.
Quando um gateway falha, isso afeta as conexões de inquilinos nesse gateway e as conexões de inquilinos que estão em outros gateways, mas cujo RR reside no gateway que falhou. O tempo de inatividade das últimas conexões é menor do que o primeiro. Quando o controlador de rede deteta um gateway com falha, ele executa as seguintes tarefas.
Remove as rotas das conexões afetadas dos hosts de computação.
Removem-se as políticas de virtualização de rede Hyper-V nesses hosts.
Seleciona um gateway em espera, converte-o em um gateway ativo e configura o gateway.
Altera os mapeamentos NAT no pool SLB para apontar conexões para o novo gateway.
Simultaneamente, à medida que a configuração entra em vigor no novo gateway ativo, as conexões IKEv2 S2S e o emparelhamento BGP são restabelecidos. As conexões e o emparelhamento BGP podem ser iniciados pelo gateway de nuvem ou pelo gateway local. Os gateways atualizam suas rotas e as enviam para o Controlador de Rede. Depois que o Controlador de Rede aprende as novas rotas descobertas pelos gateways, o Controlador de Rede envia as rotas e as políticas de Virtualização de Rede Hyper-V associadas para os hosts Hyper-V onde residem as VMs dos locatários afetados por falhas. Esta atividade do controlador de rede é semelhante à circunstância de uma nova configuração de conexão, só que ocorre em uma escala maior.
Alta disponibilidade para GRE
O processo de resposta de failover do Gateway RAS pelo Controlador de Rede, que inclui deteção de falhas, cópia da configuração de conexão e roteamento para o gateway de reserva, failover de BGP/roteamento estático das ligações afetadas (incluindo a retirada e o redirecionamento de rotas em hosts de computação e reconfiguração de emparelhamento BGP) e reconfiguração das políticas de Virtualização de Rede Hyper-V em hosts de computação, é idêntico para gateways e conexões GRE. O restabelecimento das conexões GRE acontece de forma diferente, no entanto, e a solução de alta disponibilidade para GRE tem alguns requisitos adicionais.
No momento da implantação do gateway, cada VM de Gateway RAS recebe um endereço IP dinâmico (DIP). Além disso, cada máquina virtual (VM) do gateway também é atribuída um endereço IP virtual (VIP) para garantir alta disponibilidade do GRE. Os VIPs são atribuídos apenas a gateways em pools que podem aceitar conexões GRE, e não em pools que não aceitam GRE. Os VIPs atribuídos são anunciados para a parte superior dos switches de rack (TOR) usando BGP, que então anuncia ainda mais os VIPs na rede física em nuvem. Isso torna os gateways acessíveis a partir dos roteadores remotos ou dispositivos de terceiros onde reside a outra extremidade da conexão GRE. Esse emparelhamento BGP é diferente do emparelhamento BGP ao nível do locatário para o intercâmbio de rotas de locatário.
No momento do provisionamento da conexão GRE, o Controlador de Rede seleciona um gateway, configura um ponto de extremidade GRE no gateway selecionado e retorna o endereço VIP do gateway atribuído. Este VIP é então configurado como o endereço do túnel GRE de destino no roteador remoto.
Quando um gateway falha, o Controlador de Rede copia o endereço VIP do gateway com falha e outros dados de configuração para o gateway em espera. Quando o gateway em espera se torna ativo, ele anuncia o VIP ao seu switch TOR e posteriormente à rede física. Os roteadores remotos continuam a conectar túneis GRE ao mesmo VIP e a infraestrutura de roteamento garante que os pacotes sejam roteados para o novo gateway ativo.
Alta disponibilidade para gateways de reencaminhamento L3
Um gateway de routação L3 de Virtualização de Rede Hyper-V é uma ligação entre a infraestrutura física no centro de dados e a infraestrutura virtualizada na nuvem de Virtualização de Rede Hyper-V. Num gateway L3 de encaminhamento para múltiplos locatários, cada locatário usa a sua própria rede lógica etiquetada com VLAN para conectividade com a rede física do locatário.
Quando um novo locatário cria um novo gateway L3, o Network Controller Gateway Service Manager seleciona uma VM de gateway disponível e configura uma nova interface de locatário com um endereço IP do espaço de Endereço de Cliente (CA) altamente disponível, proveniente da rede lógica do locatário marcada com VLAN. O endereço IP é usado como o endereço IP de mesmo nível no gateway remoto (rede física) e é o próximo salto para alcançar a rede de virtualização de rede Hyper-V do locatário.
Ao contrário das ligações de rede IPsec ou GRE, o switch TOR não irá aprender dinamicamente a rede VLAN etiquetada do cliente. O roteamento para a rede marcada com VLAN do locatário precisa ser configurado no switch TOR e em todos os switches e roteadores intermediários entre a infraestrutura física e o gateway para garantir a conectividade de ponta a ponta. A seguir está um exemplo de configuração de Rede Virtual CSP, conforme descrito na ilustração abaixo.
| Network | Subnet | VLAN ID | Gateway padrão |
|---|---|---|---|
| Rede lógica Contoso L3 | 10.127.134.0/24 | 1001 | 10.127.134.1 |
| Rede lógica Woodgrove L3 | 10.127.134.0/24 | 1002 | 10.127.134.1 |
A seguir estão exemplos de configurações de gateway de locatário, conforme representado na ilustração abaixo.
| Nome do locatário | Endereço IP do gateway L3 | VLAN ID | Endereço IP do par |
|---|---|---|---|
| Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
| Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
A seguir está a ilustração dessas configurações em um datacenter CSP.
As falhas do gateway, a deteção de falhas e o processo de alternância do gateway no contexto de um gateway de encaminhamento na camada 3 são semelhantes aos processos dos gateways IKEv2 e GRE RAS. As diferenças estão na forma como os endereços IP externos são tratados.
Quando o estado da VM do gateway não se torna íntegro, o Controlador de Rede seleciona um dos gateways em espera do pool e reprovisiona as conexões de rede e o roteamento no gateway em espera. Ao mover as conexões, o endereço IP do espaço de CA altamente disponível do gateway de encaminhamento L3 também é movido para a nova VM de gateway, juntamente com o endereço IP BGP do espaço da CA do locatário.
Como o endereço IP de emparelhamento L3 é movido para a nova VM de gateway durante o failover, a infraestrutura física remota é novamente capaz de se conectar a esse endereço IP e, posteriormente, alcançar a carga de trabalho de virtualização de rede Hyper-V. Para o roteamento dinâmico do BGP, à medida que o endereço IP do espaço BGP da CA é movido para a nova VM de gateway, o router BGP remoto pode restabelecer a conexão e recuperar todas as rotas de virtualização de rede Hyper-V novamente.
Note
Você deve configurar separadamente os switches TOR e todos os roteadores intermediários para usar a rede lógica marcada com VLAN para comunicação com locatário. Além disso, o failover L3 é restrito apenas aos racks configurados desta forma. Por isso, o pool de gateway L3 deve ser cuidadosamente configurado e a configuração manual deve ser concluída separadamente.