Windows Server-Gateway

 

Betrifft: Windows Server 2012 R2

In diesem Thema, das für IT-Spezialisten bestimmt ist, erhalten Sie eine Übersicht über das Windows Server-Gateway sowie die dazugehörigen Funktionen und Features.

Für wen ist das Windows Server-Gateway interessant?

Das Windows Server-Gateway kann für Systemadministratoren, Netzwerkarchitekten oder andere IT-Professionals in den folgenden Situationen von Bedeutung sein:

  • Sie verwenden System Center 2012 R2 oder planen die Verwendung dieser Anwendung, die beim Bereitstellen des Windows Server-Gateways erforderlich ist.

  • Sie entwerfen oder unterstützen eine IT-Infrastruktur für eine Organisation, die Hyper-V zum Bereitstellen virtueller Computer (VMs) in virtuellen Netzwerken nutzt oder die Nutzung plant.

  • Sie entwerfen oder unterstützen IT-Infrastruktur für eine Organisation, die Cloudtechnologie bereitgestellt hat oder die Bereitstellung plant.

  • Sie möchten eine umfassende Netzwerkverbindung zwischen physischen und virtuellen Netzwerken bereitstellen.

  • Sie möchten Kunden Ihrer Organisation den Zugriff auf ihre virtuellen Netzwerke über das Internet gewähren.

Dieses Thema enthält die folgenden Abschnitte:

  • Routerversionen in Windows Server 2012 R2

  • Was ist das Windows Server-Gateway?

  • Integration des Windows Server-Gateways in die Hyper-V-Netzwerkvirtualisierung

  • Anordnen des Windows Server-Gateways in Clustern zur Sicherstellung einer hohen Verfügbarkeit

  • Windows Server-Gateway als Weiterleitungs-Gateway für private Cloud-Umgebungen

  • Windows Server-Gateway als Standort-zu-Standort-VPN-Gateway für Hybrid Cloud-Umgebungen

  • Mehrinstanzenfähige Netzwerkadressübersetzung (NAT) für VM-Internetzugriff

  • Mehrinstanzenfähige Remotezugriff-VPN-Verbindungen

Routerversionen in Windows Server 2012 R2

Unter Windows Server 2012 R2 sind zwei unterschiedliche Versionen des Gatewayrouters verfügbar: das mehrinstanzenfähige RRAS-Gateway und das Windows Server-Gateway. Auch wenn die Router die gleichen Funktionen aufweisen, können Sie unterschiedliche Methoden verwenden, um die einzelnen Router zu verwalten. Dies hängt davon ab, ob Sie System Center 2012 R2 nutzen.

Mehrinstanzenfähiges RRAS-Gateway: Der Router des mehrinstanzenfähigen RRAS-Gateways kann für mehrinstanzenfähige oder nicht mehrinstanzenfähige Bereitstellungen verwendet werden und ist ein BGP-Router mit vollem Funktionsumfang. Zum Bereitstellen eines Routers des mehrinstanzenfähigen RRAS-Gateways müssen Sie Windows PowerShell-Befehle verwenden. Weitere Informationen finden Sie unter Remotezugriff-Cmdlets in Windows PowerShell und Bereitstellungshandbuch für das mehrinstanzenfähige RRAS-Gateway von Windows Server 2012 R2.

Windows Server-Gateway: Zum Bereitstellen des Windows Server-Gateways müssen Sie System Center 2012 R2 und den Virtual Machine Manager (VMM) verwenden. Der Router des Windows Server-Gateways ist für die Nutzung mit mehrinstanzenfähigen Bereitstellungen ausgelegt. Mit dem Windows Server-Gateway-Router ist unter System Center 2012 R2 VMM nur ein sehr eingeschränkter Satz von Border Gateway Protocol (BGP)-Konfigurationsoptionen auf der VMM-Softwareschnittstelle verfügbar, z. B. lokale IP-Adressen und autonome Systemnummern (ASN) für BGP und die Liste mit den IP-Adressen, autonomen Systemnummern und Werten der BGP-Peers. Sie können jedoch Windows PowerShell-BGP-Befehle per Remotezugriff verwenden, um alle anderen Features des Windows Server-Gateways zu konfigurieren. Weitere Informationen finden Sie unter Windows Server-Gateway und Virtual Machine Manager.

Was ist das Windows Server-Gateway?

Das Windows Server-Gateway ist ein auf einem virtuellen Computer basierender Softwarerouter und Gateway, mit dem Clouddienstanbieter (Cloud Service Providers, CSPs) und Unternehmen das Routing von Rechenzentrum- und Cloudnetzwerkdatenverkehr zwischen virtuellen und physischen Netzwerken, einschließlich Internet, ermöglichen können.

Hinweis

Das Windows Server-Gateway unterstützt IPv4 und IPv6, also auch die IPv4- und IPv6-Weiterleitung. Wenn Sie das Windows Server-Gateway mit Netzwerkadressübersetzung (NAT) konfigurieren, wird nur NAT44 unterstützt.

Virtuelle Netzwerke werden per Hyper-V-Netzwerkvirtualisierung erstellt. Diese Technologie wurde unter Windows Server® 2012 eingeführt.

Die Hyper-V-Netzwerkvirtualisierung umfasst das Konzept eines Netzwerks aus virtuellen Computern, das unabhängig vom zugrunde liegenden physischen Netzwerk ist. Bei diesem Konzept der Netzwerke virtueller Computer, die sich aus einem oder mehreren virtuellen Subnetzen zusammensetzen, wird der exakte physische Speicherort eines IP-Subnetzes von der Topologie des virtuellen Netzwerks entkoppelt. Dadurch können Organisationen ihre Subnetze auf einfache Weise in die Cloud verschieben und dabei gleichzeitig die bestehenden IP-Adressen und die Topologie in der Cloud beibehalten. Dank dieser Möglichkeit zur Aufrechterhaltung der Infrastruktur können vorhandene Dienste weiterhin verwendet werden, und zwar unabhängig von deren physischem Speicherort in den Subnetzen. Dies bedeutet, dass mit der Hyper-V-Netzwerkvirtualisierung eine nahtlose hybride Cloud zur Verfügung steht.

Sowohl in privaten als auch in Hybrid-Cloudumgebungen unter Windows Server 2012 war es jedoch schwierig, die Verbindung zwischen virtuellen Computern im virtuellen Netzwerk und Ressourcen in physischen Netzwerken an lokalen Standorten und Remotestandorten bereitzustellen. So kam es zu Fällen, in denen virtuelle Subnetze Inseln darstellten, die vom restlichen Netzwerk getrennt waren.

Unter Windows Server 2012 R2 leitet das Windows Server-Gateway Netzwerkdatenverkehr zwischen dem physischen Netzwerk und VM-Netzwerkressourcen weiter. Dies ist unabhängig davon, wo sich die Ressourcen befinden. Mit dem Windows Server-Gateway können Sie Netzwerkdatenverkehr zwischen physischen und virtuellen Netzwerken an demselben physischen Standort oder an vielen verschiedenen physischen Standorten weiterleiten. Wenn Sie an einem physischen Standort beispielsweise sowohl ein physisches Netzwerk als auch ein virtuelles Netzwerk verwenden, können Sie einen Computer mit Hyper-V bereitstellen, der mit einem virtuellen Windows Server-Gateway-Computer als Weiterleitungsgateway konfiguriert ist und zur Weiterleitung von Datenverkehr zwischen den virtuellen und physischen Netzwerken dient. Ein weiteres Beispiel: Wenn Ihre virtuellen Netzwerke in der Cloud vorhanden sind, kann Ihr CSP ein Windows Server-Gateway bereitstellen, damit Sie eine Standort-zu-Standort-VPN-Verbindung (Virtual Private Network) zwischen Ihrem VPN-Server und dem Windows Server-Gateway des CSP herstellen können. Wenn dieser Link eingerichtet ist, können Sie die Verbindung zu Ihren virtuellen Ressourcen in der Cloud über die VPN-Verbindung herstellen.

Integration des Windows Server-Gateways in die Hyper-V-Netzwerkvirtualisierung

Das Windows Server-Gateway ist in die Hyper-V-Netzwerkvirtualisierung integriert und kann Netzwerkdatenverkehr auch dann effektiv weiterleiten, wenn viele unterschiedliche Kunden – oder Mandanten – vorhanden sind, die in demselben Rechenzentrum über isolierte virtuelle Netzwerke verfügen.

Mehrinstanzenfähigkeit bezeichnet die Fähigkeit einer Cloud-Infrastruktur, die Arbeitsauslastungen virtueller Computer mehrerer Mandanten zu unterstützen, diese jedoch voneinander zu trennen. Alle Arbeitsauslastungen werden aber weiterhin in der gleichen Infrastruktur ausgeführt. Mehrere Arbeitsauslastungen eines einzelnen Mandanten können miteinander verbunden und remote verwaltet werden. Es gibt jedoch keine Verbindung zwischen diesen Systemen und den Arbeitsauslastungen anderer Mandanten, und auch die Remoteverwaltung durch andere Mandanten ist nicht möglich.

Ein Unternehmen kann beispielsweise über viele verschiedene virtuelle Subnetze verfügen, die jeweils einer bestimmten Abteilung zugeordnet sind, z. B. Forschung und Entwicklung oder der Buchhaltung. In einem weiteren Beispiel verfügt ein CSP über viele Mandanten mit isolierten virtuellen Subnetzen in demselben physischen Rechenzentrum. In beiden Fällen kann das Windows Server-Gateway Datenverkehr an die bzw. von den einzelnen Mandanten weiterleiten und dabei gleichzeitig die bestehende Isolation für jeden Mandanten beibehalten. Dank dieser Funktion ist das Windows Server-Gateway mehrinstanzenfähig.

Die Hyper-V-Netzwerkvirtualisierung ist eine Overlay-Netzwerktechnologie mit Network Virtualization Generic Routing Encapsulation (NVGRE). Damit können Mandanten ihren eigenen Adressraum nutzen, und CSPs erhalten eine bessere Skalierbarkeit als bei Verwendung von VLANs für die Isolierung.

Hinweis

Weitere Informationen zur Hyper-V-Netzwerkvirtualisierung und zum virtuellen Hyper-V-Switch unter Windows Server 2012 finden Sie unter Hyper-V-Netzwerkvirtualisierung – Übersicht und Virtueller Hyper-V-Switch (Übersicht) in der technischen Bibliothek zu Windows Server 2012.

Anordnen des Windows Server-Gateways in Clustern zur Sicherstellung einer hohen Verfügbarkeit

Das Windows Server-Gateway wird auf einem dedizierten Computer bereitgestellt, auf dem Hyper-V ausgeführt wird und der mit einem virtuellen Computer konfiguriert ist. Der virtuelle Computer wird dann als Windows Server-Gateway konfiguriert.

Um eine hohe Verfügbarkeit der Netzwerkressourcen zu erzielen, können Sie das Windows Server-Gateway mit Failover bereitstellen, indem Sie zwei physische Hostserver mit Hyper-V nutzen, auf denen jeweils außerdem ein als Gateway konfigurierter virtueller Computer ausgeführt wird. Die virtuellen Gatewaycomputer werden dann als Cluster konfiguriert, um einen Failoverschutz vor Netzwerkausfällen und Hardwarefehlern zu bieten.

Beim Bereitstellen des Windows Server-Gateways muss auf den Hostservern mit Hyper-V und den virtuellen Computern, die Sie als Gateways konfigurieren, Windows Server 2012 R2 ausgeführt werden.

Sofern in den Abbildungen in den folgenden Abschnitten nicht anders angegeben, steht das folgende Symbol für zwei Hyper-V-Hosts, auf denen jeweils ein als Windows Server-Gateway konfigurierter virtueller Computer ausgeführt wird. Außerdem wird sowohl auf den Servern mit Hyper-V als auch auf den virtuellen Computern der Server Windows Server 2012 R2 ausgeführt, und die virtuellen Gatewaycomputer sind in Clustern angeordnet.

Windows Server-Gateway

 

Windows Server-Gateway als Weiterleitungs-Gateway für private Cloud-Umgebungen

Die private Cloud ist ein Modell, bei dem für Ihre Organisation dedizierte Infrastruktur eingesetzt wird. Eine private Cloud weist viele Merkmale der öffentlichen Cloud auf, z. B. Ressourcenpooling, Self-Service, Elastizität und getaktete Dienste, die standardmäßig bereitgestellt werden, und verfügt über die zusätzlichen Steuerungs- und Anpassungsoptionen der dedizierten Ressourcen.

Der einzige wesentliche Unterschied zwischen einer privaten Cloud und einer öffentlichen Cloud besteht darin, dass bei einer öffentlichen Cloud Cloudressourcen für mehrere Organisationen bereitgestellt werden, während in einer privaten Cloud die Ressourcen für eine einzelne Organisation gehostet werden. Eine einzelne Organisation kann jedoch auch über mehrere Geschäfts- und Organisationseinheiten verfügen, sodass eine Mehrinstanzenfähigkeit gefordert ist. Unter diesen Umständen gelten für die private Cloud auch viele Sicherheits- und Isolierungsanforderungen der öffentlichen Cloud.

Für Unternehmen, in denen eine lokale private Cloud bereitgestellt wird, kann das Windows Server-Gateway als Weiterleitungsgateway dienen und Datenverkehr zwischen virtuellen Netzwerken und dem physischen Netzwerk weiterleiten. Wenn Sie für eine oder mehrere Abteilungen, z. B. Forschung und Entwicklung oder die Buchhaltung, virtuelle Netzwerke erstellt haben, sich viele wichtige Ressourcen (wie Active Directory-Domänendienste, SharePoint oder DNS) jedoch in Ihrem physischen Netzwerk befinden, kann das Windows Server-Gateway Datenverkehr zwischen dem virtuellen Netzwerk und dem physischen Netzwerk weiterleiten. So können für Mitarbeiter, die im virtuellen Netzwerk arbeiten, alle erforderlichen Dienste bereitgestellt werden.

In der Abbildung unten befinden sich das physische Netzwerk und die virtuellen Netzwerke an demselben physischen Standort. Das Windows Server-Gateway dient zum Weiterleiten von Datenverkehr zwischen dem physischen Netzwerk und den virtuellen Netzwerken.

Konnektivität von physischem und virtuellem Netzwerk

Windows Server-Gateway als Standort-zu-Standort-VPN-Gateway für Hybrid Cloud-Umgebungen

Für CSPs, die viele Mandanten in ihren Rechenzentren hosten, kann das Windows Server-Gateway als mehrinstanzenfähige Gatewaylösung verwendet werden. Mandanten können auf ihre Ressourcen über Standard-zu-Standort-VPN-Verbindungen von Remotestandorten aus zugreifen und diese verwalten, und der Fluss von Netzwerkdatenverkehr zwischen virtuellen Ressourcen in Ihrem Rechenzentrum und dem jeweiligen physischen Netzwerk ist möglich.

In der Abbildung unten gewährt ein CSP mehreren Mandanten Netzwerkzugriff auf das Rechenzentrum, von denen einige im Internet über mehrere Standorte verfügen. In diesem Beispiel nutzen Mandanten an ihren Unternehmensstandorten VPN-Server von Drittanbietern, und der CSP nutzt das Windows Server-Gateway für die VPN-Verbindungen von Standard zu Standort.

WSG, mehrinstanzenfähiges Standort-zu-Standort-Gateway

Mehrinstanzenfähige Netzwerkadressübersetzung (NAT) für VM-Internetzugriff

In der Abbildung unten kauft eine Privatperson über den Webbrowser ihres Computers im Internet auf einem Webserver von Contoso ein, bei dem es sich um einen virtuellen Computer im virtuellen Netzwerk von Contoso handelt. Während des Kaufvorgangs überprüft die Web-App die von der Privatperson angegebenen Kreditkarteninformationen, indem eine Verbindung mit einem Finanzdienstleister im Internet hergestellt wird. Das Herstellen der Verbindung zwischen dem virtuellen Netzwerk und Ressourcen im Internet ist möglich, wenn auf dem Windows Server-Gateway des CSP die Netzwerkadressübersetzung (NAT) aktiviert ist.

Windows Server-Gateway mit aktivierter NAT

Mehrinstanzenfähige Remotezugriff-VPN-Verbindungen

In der Abbildung unten nutzen Administratoren VPN-DFÜ-Verbindungen zum Verwalten von virtuellen Computern in ihren virtuellen Unternehmensnetzwerken. Der Contoso-Administrator initiiert die VPN-Verbindung über eine Niederlassung mit Internetanschluss und stellt über das Windows Server-Gateway des CSP eine Verbindung mit dem virtuellen Netzwerk von Contoso her.

Ebenso stellt der Northwind Traders-Administrator von zu Hause aus eine VPN-Verbindung her, um die virtuellen Computer im virtuellen Netzwerk von Northwind Traders zu verwalten.

VPN-Verbindungen mit virtuellen Ressourcen

Siehe auch

Border Gateway Protocol (BGP) – Übersicht