Haute disponibilité de la passerelle du serveur d’accès à distance
Vous pouvez utiliser cette rubrique pour en savoir plus sur les configurations de haute disponibilité pour la passerelle mutualisée RAS pour la mise en réseau à définition logicielle (SDN).
Cette rubrique contient les sections suivantes.
Vue d’ensemble de la passerelle RAS
Si votre organisation est un fournisseur de services cloud (CSP) ou une entreprise avec plusieurs locataires, vous pouvez déployer la passerelle RAS en mode multilocataire pour fournir le routage du trafic réseau à destination et en provenance de réseaux virtuels et physiques, y compris Internet.
Vous pouvez déployer la passerelle RAS en mode multilocataire en tant que passerelle de périphérie pour acheminer le trafic réseau client vers les ressources et réseaux virtuels du locataire.
Lorsque vous déployez plusieurs instances de machines virtuelles de passerelle RAS qui fournissent une haute disponibilité et un basculement, vous déployez un pool de passerelles. Dans Windows Server 2012 R2, toutes les machines virtuelles de passerelle formaient un pool unique, ce qui rendait une séparation logique du déploiement de la passerelle un peu difficile. Windows Server 2012 passerelle R2 offrait un déploiement de redondance 1:1 pour les machines virtuelles de passerelle, ce qui a entraîné une sous-utilisation de la capacité disponible pour les connexions VPN de site à site (S2S).
Ce problème est résolu dans Windows Server 2016, qui fournit plusieurs pools de passerelles, qui peuvent être de types différents pour la séparation logique. Le nouveau mode de redondance M+N permet une configuration de basculement plus efficace.
Pour plus d’informations sur la passerelle RAS, consultez Passerelle RAS.
Vue d’ensemble des pools de passerelles
Dans Windows Server 2016, vous pouvez déployer des passerelles dans un ou plusieurs pools.
L’illustration suivante montre différents types de pools de passerelles qui fournissent le routage du trafic entre les réseaux virtuels.
Chaque pool possède les propriétés suivantes.
Chaque pool est redondant M+N. Cela signifie qu’un nombre « M » de machines virtuelles de passerelle actives sont secondées par un nombre « N » de machines virtuelles de passerelle de secours. La valeur de N (passerelles de secours) est toujours inférieure ou égale à M (passerelles actives).
Un pool peut effectuer l’une des fonctions de passerelle individuelles - Internet Key Exchange version 2 (IKEv2) S2S, Couche 3 (L3) et GRE (Generic Routing Encapsulation) - ou le pool peut effectuer toutes ces fonctions.
Vous pouvez affecter une adresse IP publique unique à tous les pools ou à une partie des pools. Cela réduit considérablement le nombre d’adresses IP publiques que vous devez utiliser, car vous pouvez ainsi obliger tous les locataires à se connecter au cloud sur une seule adresse IP. La section ci-dessous sur la haute disponibilité et l’équilibrage de charge décrit comment cela fonctionne.
Vous pouvez facilement effectuer un scale-up ou un scale-down d’un pool de passerelles en ajoutant ou en supprimant des machines virtuelles de passerelle dans le pool. La suppression ou l’ajout de passerelles n’interrompt pas les services fournis par un pool. Vous pouvez également ajouter et supprimer des pools de passerelles complets.
Les connexions d’un seul locataire peuvent se terminer sur plusieurs pools et plusieurs passerelles dans un pool. Toutefois, si un client a des connexions qui se terminent dans un pool de passerelles Tous, il ne peut pas s’abonner à d’autres pools de passerelles Tous ou de type individuel.
Les pools de passerelles offrent également la flexibilité nécessaire pour activer des scénarios supplémentaires :
Pools à locataire unique : vous pouvez créer un pool à utiliser par un locataire.
Si vous vendez des services cloud par le biais de canaux partenaires (revendeurs), vous pouvez créer des ensembles distincts de pools pour chaque revendeur.
Plusieurs pools peuvent fournir la même fonction de passerelle, mais des capacités différentes. Par exemple, vous pouvez créer un pool de passerelles qui prend en charge à la fois les connexions S2S IKEv2 à haut débit et à faible débit.
Vue d’ensemble du déploiement de la passerelle RAS
L’illustration suivante illustre un déploiement de fournisseur de services cloud (CSP) classique de la passerelle RAS.
Avec ce type de déploiement, les pools de passerelles sont déployés derrière un software Load Balancer (SLB), ce qui permet au fournisseur de services cloud d’attribuer une seule adresse IP publique pour l’ensemble du déploiement. Plusieurs connexions de passerelle d’un locataire peuvent se terminer sur plusieurs pools de passerelles, ainsi que sur plusieurs passerelles au sein d’un pool. Cela est illustré par les connexions IKEv2 S2S dans le diagramme ci-dessus, mais la même chose s’applique également à d’autres fonctions de passerelle, telles que les passerelles L3 et GRE.
Dans l’illustration, l’appareil MT BGP est une passerelle multilocataire RAS avec BGP. Le protocole BGP multilocataire est utilisé pour le routage dynamique. Le routage d’un locataire est centralisé : un point unique, appelé réflecteur de routage (RR), gère le peering BGP pour tous les sites de locataire. Le RR lui-même est distribué sur toutes les passerelles d’un pool. Il en résulte une configuration où les connexions d’un locataire (chemin de données) se terminent sur plusieurs passerelles, mais la RR du locataire (point d’homologation BGP - chemin de contrôle) se trouve sur une seule des passerelles.
Le routeur BGP est séparé dans le diagramme pour représenter ce concept de routage centralisé. L’implémentation BGP de la passerelle fournit également le routage de transit, ce qui permet au cloud d’agir en tant que point de transit pour le routage entre deux sites clients. Ces fonctionnalités BGP s’appliquent à toutes les fonctions de passerelle.
Intégration de la passerelle RAS avec le contrôleur de réseau
La passerelle RAS est entièrement intégrée au contrôleur de réseau dans Windows Server 2016. Lorsque la passerelle RAS et le contrôleur de réseau sont déployés, le contrôleur de réseau effectue les fonctions suivantes.
Déploiement des pools de passerelles
Configuration des connexions de locataire sur chaque passerelle
Basculement des flux de trafic réseau vers une passerelle de secours en cas de défaillance de la passerelle
Les sections suivantes fournissent des informations détaillées sur la passerelle RAS et le contrôleur de réseau.
Provisionnement et équilibrage de charge des connexions de passerelle (IKEv2, L3 et GRE)
Lorsqu’un locataire demande une connexion de passerelle, la demande est envoyée au contrôleur de réseau. Le contrôleur de réseau est configuré avec des informations sur tous les pools de passerelles, y compris la capacité de chaque pool et de chaque passerelle dans chaque pool. Le contrôleur de réseau sélectionne le pool et la passerelle appropriés pour la connexion. Cette sélection est basée sur la bande passante requise pour la connexion. Le contrôleur de réseau utilise un algorithme « best fit » pour sélectionner efficacement les connexions dans un pool. Le point d’homologation BGP pour la connexion est également désigné à ce stade s’il s’agit de la première connexion du locataire.
Une fois que le contrôleur de réseau a sélectionné une passerelle RAS pour la connexion, le contrôleur de réseau provisionne la configuration nécessaire pour la connexion sur la passerelle. Si la connexion est une connexion IKEv2 S2S, le contrôleur de réseau provisionne également une règle NAT (Network Address Translation) sur le pool SLB ; cette règle NAT sur le pool SLB dirige les demandes de connexion du locataire vers la passerelle désignée. Les locataires sont différenciés par l’adresse IP source, qui est censée être unique.
Remarque
Les connexions L3 et GRE contournent l’équilibrage de charge SLB et se connectent directement à la passerelle RAS désignée. Ces connexions nécessitent que le routeur de point de terminaison distant (ou tout autre appareil tiers) soit correctement configuré pour se connecter à la passerelle RAS.
Si le routage BGP est activé pour la connexion, l’homologation BGP est lancée par la passerelle RAS et les itinéraires sont échangés entre les passerelles locales et cloud. Les itinéraires appris par le protocole BGP (ou configurés de manière statique si le protocole BGP n’est pas utilisé) sont envoyés au contrôleur de réseau. Le contrôleur de réseau transmet ensuite les itinéraires aux hôtes Hyper-V sur lesquels les machines virtuelles clientes sont installées. À ce stade, le trafic client peut être routé vers le site local approprié. Le contrôleur de réseau crée également des stratégies de virtualisation de réseau Hyper-V associées qui spécifient des emplacements de passerelle et les répartit vers les hôtes Hyper-V.
Haute disponibilité pour IKEv2 S2S
Une passerelle RAS dans un pool se compose à la fois de connexions et d’homologation BGP de différents locataires. Chaque pool a des passerelles actives « M » et des passerelles de secours « N ».
Le contrôleur de réseau gère la défaillance des passerelles de la manière suivante.
Le contrôleur de réseau effectue constamment un test ping sur les passerelles dans tous les pools et peut détecter une passerelle qui a échoué ou en cours d’échec. Le contrôleur de réseau peut détecter les types suivants d’échecs de passerelle RAS.
Échec de la machine virtuelle de la passerelle RAS
Défaillance de l’hôte Hyper-V sur lequel la passerelle RAS s’exécute
Échec du service de passerelle RAS
Le contrôleur de réseau stocke la configuration de toutes les passerelles actives déployées. La configuration se compose de paramètres de connexion et de paramètres de routage.
En cas d’échec d’une passerelle, cela a un impact sur les connexions de locataire sur la passerelle, ainsi que sur les connexions de locataire qui se trouvent sur d’autres passerelles, mais dont la RR réside sur la passerelle ayant échoué. Le temps d’arrêt des dernières connexions est inférieur à la première. Lorsque le contrôleur de réseau détecte une passerelle défaillante, il effectue les tâches suivantes.
Supprime les routes des connexions impactées des hôtes de calcul.
Supprime les stratégies de virtualisation de réseau Hyper-V sur ces hôtes.
Sélectionne une passerelle de secours, la convertit en passerelle active et configure la passerelle.
Modifie les mappages NAT sur le pool SLB pour pointer les connexions vers la nouvelle passerelle.
Simultanément, à mesure que la configuration se produit sur la nouvelle passerelle active, les connexions S2S IKEv2 et l’homologation BGP sont rétablis. Les connexions et l’homologation BGP peuvent être lancés par la passerelle cloud ou la passerelle locale. Les passerelles actualisent leurs itinéraires et les envoient au contrôleur de réseau. Une fois que le contrôleur de réseau a appris les nouveaux itinéraires découverts par les passerelles, le contrôleur de réseau envoie les itinéraires et les stratégies de virtualisation de réseau Hyper-V associées aux hôtes Hyper-V où résident les machines virtuelles des locataires affectés par une défaillance. Cette activité du contrôleur de réseau est similaire à la situation d’une nouvelle configuration de connexion, mais elle se produit à une plus grande échelle.
Haute disponibilité pour GRE
Le processus de réponse de basculement de la passerelle RAS par le contrôleur de réseau , y compris la détection des défaillances, la copie de la configuration de la connexion et du routage vers la passerelle de secours, le basculement du routage BGP/statique des connexions impactées (y compris le retrait et le réacheminement des routes sur les hôtes de calcul et la ré-homologation BGP) et la reconfiguration des stratégies de virtualisation de réseau Hyper-V sur les hôtes de calcul, est le même pour les passerelles et connexions GRE. Toutefois, le rétablissement des connexions GRE se produit différemment, et la solution de haute disponibilité pour GRE présente certaines exigences supplémentaires.
Au moment du déploiement de la passerelle, une adresse IP dynamique (DIP) est attribuée à chaque machine virtuelle de passerelle RAS. En outre, chaque machine virtuelle de passerelle se voit également attribuer une adresse IP virtuelle (VIP) pour la haute disponibilité GRE. Les adresses IP virtuelles sont affectées uniquement aux passerelles dans les pools qui peuvent accepter des connexions GRE, et non aux pools non GRE. Les adresses IP virtuelles affectées sont publiées sur les commutateurs TOR (top of rack) à l’aide de BGP, qui publie ensuite les adresses IP virtuelles dans le réseau physique cloud. Cela rend les passerelles accessibles à partir des routeurs distants ou des appareils tiers où réside l’autre extrémité de la connexion GRE. Cette homologation BGP est différente de l’homologation BGP au niveau du locataire pour l’échange d’itinéraires de locataire.
Au moment de l’approvisionnement de la connexion GRE, le contrôleur de réseau sélectionne une passerelle, configure un point de terminaison GRE sur la passerelle sélectionnée et retourne l’adresse IP virtuelle de la passerelle affectée. Cette adresse IP virtuelle est ensuite configurée comme adresse de tunnel GRE de destination sur le routeur distant.
En cas de défaillance d’une passerelle, le contrôleur de réseau copie l’adresse IP virtuelle de la passerelle ayant échoué et d’autres données de configuration vers la passerelle de secours. Lorsque la passerelle de secours devient active, elle publie l’adresse IP virtuelle sur son commutateur TOR et plus loin dans le réseau physique. Les routeurs distants continuent de connecter les tunnels GRE à la même adresse IP virtuelle et l’infrastructure de routage garantit que les paquets sont acheminés vers la nouvelle passerelle active.
Haute disponibilité pour les passerelles de transfert L3
Une Virtualisation de réseau Hyper-V L3 agit comme un pont entre l’infrastructure physique du centre de données et l’infrastructure virtualisée dans le cloud de virtualisation de réseau Hyper-V. Sur une passerelle de transfert L3 multilocataire, chaque locataire utilise son propre réseau logique balisé VLAN pour la connectivité avec le réseau physique du locataire.
Lorsqu’un nouveau locataire crée une passerelle L3, la passerelle du contrôleur de réseau Service Manager sélectionne une machine virtuelle de passerelle disponible et configure une nouvelle interface de locataire avec une adresse IP d’espace d’adresse client (CA) hautement disponible (à partir du réseau logique étiqueté VLAN du locataire). L’adresse IP est utilisée comme adresse IP homologue sur la passerelle distante (réseau physique) et est le tronçon suivant pour atteindre le réseau de virtualisation de réseau Hyper-V du locataire.
Contrairement aux connexions réseau IPsec ou GRE, le commutateur TOR n’apprend pas dynamiquement le réseau VLAN du locataire. Le routage du réseau balisé VLAN du locataire doit être configuré sur le commutateur TOR et tous les commutateurs et routeurs intermédiaires entre l’infrastructure physique et la passerelle pour garantir une connectivité de bout en bout. Voici un exemple de configuration Réseau virtuel CSP, comme illustré dans l’illustration ci-dessous.
| Réseau | Subnet | ID du réseau local virtuel | Passerelle par défaut |
|---|---|---|---|
| Réseau logique Contoso L3 | 10.127.134.0/24 | 1001 | 10.127.134.1 |
| Réseau logique Woodgrove L3 | 10.127.134.0/24 | 1002 | 10.127.134.1 |
Voici des exemples de configurations de passerelle de locataire, comme illustré dans l’illustration ci-dessous.
| Nom du locataire | Adresse IP de la passerelle L3 | ID du réseau local virtuel | Adresse IP du pair |
|---|---|---|---|
| Contoso | 10.127.134.50 | 1001 | 10.127.134.55 |
| Woodgrove | 10.127.134.60 | 1002 | 10.127.134.65 |
Voici l’illustration de ces configurations dans un centre de données CSP.
Les défaillances de passerelle, la détection des défaillances et le processus de basculement de passerelle dans le contexte d’une passerelle de transfert L3 sont similaires aux processus pour les passerelles RAS IKEv2 et GRE. Les différences concernent la façon dont les adresses IP externes sont gérées.
Lorsque l’état de la machine virtuelle de la passerelle devient défectueux, le contrôleur de réseau sélectionne l’une des passerelles de secours dans le pool et approvisionne à nouveau les connexions réseau et le routage sur la passerelle de secours. Lors du déplacement des connexions, l’adresse IP de l’espace d’autorité de certification hautement disponible de la passerelle de transfert L3 est également déplacée vers la nouvelle machine virtuelle de passerelle avec l’adresse IP BGP de l’espace d’autorité de certification du locataire.
Étant donné que l’adresse IP de peering L3 est déplacée vers la nouvelle machine virtuelle de passerelle pendant le basculement, l’infrastructure physique distante est à nouveau en mesure de se connecter à cette adresse IP et, par la suite, d’atteindre la charge de travail Virtualisation de réseau Hyper-V. Pour le routage dynamique BGP, à mesure que l’adresse IP BGP de l’espace d’autorité de certification est déplacée vers la nouvelle machine virtuelle de passerelle, le routeur BGP distant peut rétablir le peering et apprendre à nouveau tous les itinéraires de virtualisation de réseau Hyper-V.
Remarque
Vous devez configurer séparément les commutateurs TOR et tous les routeurs intermédiaires afin d’utiliser le réseau logique balisé VLAN pour la communication du locataire. En outre, le basculement L3 est limité aux racks configurés de cette façon. Pour cette raison, le pool de passerelles L3 doit être configuré avec soin et la configuration manuelle doit être effectuée séparément.