Windows Server Gateway

Van toepassing op: Windows Server 2012 R2

Dit onderwerp is bedoeld voor IT-professionals (Information Technology) en bevat overzichtsgegevens over Windows Server Gateway, inclusief de mogelijkheden en functies van Windows Server Gateway.

Wie zijn er geïnteresseerd in Windows Server Gateway?

Als u een systeembeheerder, netwerkarchitect of andere IT-professional bent, is Windows Server Gateway in de volgende gevallen mogelijk interessant voor u:

• U gebruikt of wilt System Center 2012 R2 gaan gebruiken. Dit hebt u nodig wanneer u Windows Server Gateway implementeert.

• U ontwerpt of ondersteunt een IT-infrastructuur voor een organisatie die gebruikmaakt of gebruik wil gaan maken van Hyper-V om virtuele machines (VM's) op virtuele netwerken te implementeren.

• U ontwerpt of ondersteunt een IT-infrastructuur voor een organisatie die cloudtechnologieën heeft geïmplementeerd of wil gaan implementeren.

• U wilt een volledige netwerkverbinding tussen de fysieke netwerken en virtuele netwerken bieden.

• U wilt de klanten van uw organisatie via internet toegang bieden tot hun virtuele netwerken.

Dit onderwerp bevat de volgende secties:

• Routerversies in Windows Server 2012 R2

• Wat is Windows Server Gateway?

• Integratie van Windows Server Gateway met Hyper-V-netwerkvirtualisatie

• Clusteren van Windows Server Gateway voor een hoge beschikbaarheid

• Windows Server Gateway als een doorstuurgateway voor privécloudomgevingen

• Windows Server Gateway als een site-naar-site VPN-gateway voor hybride cloudomgevingen

• Multitenant NAT (Network Address Translation) voor toegang tot internet via VM

• Multitenant VPN-verbindingen voor extern toegang

Routerversies in Windows Server 2012 R2

Er zijn twee verschillende versies van de gatewayrouter beschikbaar in Windows Server 2012 R2, de RRAS Multitenant Gateway en de Windows Server Gateway. Hoewel de routers dezelfde functionaliteit en mogelijkheden bieden, kunt u verschillende methoden gebruiken om de routers te beheren, afhankelijk van het gebruik van System Center 2012 R2.

RRAS Multitenant Gateway. De RRAS Multitenant Gateway-router kan worden gebruikt voor multitenant of niet-multitenant implementaties en is een volwaardige BGP-router. Als u een RRAS Multitenant Gateway-router wilt implementeren, moet u Windows PowerShell-opdrachten gebruiken. Zie Remote Access Cmdlets in Windows PowerShell en Implementatiehandleiding voor RRAS Multitenant Gateway in Windows Server 2012 R2 voor meer informatie.

Windows Server Gateway. Als u Windows Server Gateway wilt implementeren, moet u System Center 2012 R2 en Virtual Machine Manager (VMM) gebruiken. De Windows Server Gateway-router is ontworpen voor gebruik met multitenant implementaties. Met de System Center 2012 R2 VMM Windows Server Gateway-router, zijn er slechts een zeer beperkt aantal BGP-configuratieopties (Border Gateway Protocol ) beschikbaar in de interface van de VMM-software, waaronder de IP-adres van de lokale BGP en autonome systeemnummers (ASN), lijst met peering-IP-adressen van de lokale BGP en ASN. U kunt echter BGP-opdrachten voor extern toegang tot Windows PowerShell gebruiken om alle andere functies van Windows Server Gateway te configureren. Zie Windows Server Gateway en Virtual Machine Manager voor meer informatie.

Wat is Windows Server Gateway?

Windows Server Gateway is een VM-gebaseerde softwarerouter en gateway waarmee cloudserviceproviders (CSP's) en bedrijven het datacenter- en cloudnetwerkverkeer tussen virtuele en fysieke netwerken kunnen omleiden, inclusief internet.

Virtuele netwerken worden gemaakt met behulp van Hyper-V-netwerkvirtualisatie, een technologie die is geïntroduceerd in Windows Server® 2012.

Hyper-V-netwerkvirtualisatie biedt een concept waarbij het VM-netwerk onafhankelijk is van het onderliggende fysieke netwerk. Met dit concept van VM-netwerken, die bestaan uit een of meer virtuele subnetten, wordt de exacte fysieke locatie van het IP-subnet losgekoppeld van de topologie van het virtuele netwerk. Hierdoor kunnen organisaties hun subnetten eenvoudig naar de cloud verplaatsen en hun bestaande IP-adressen en topologie in de cloud bewaren. Doordat de infrastructuur wordt behouden, kunnen de bestaande services gewoon blijven werken, zonder dat ze de fysieke locatie van de subnetten kennen. Oftewel, Hyper-V-netwerkvirtualisatie staat garant voor een naadloze hybride cloud.

Het was voorheen zowel voor privé- als hybride cloudomgevingen met Windows Server 2012 lastig om connectiviteit tussen de VM's op het virtuele netwerk en de bronnen op de fysieke netwerken op lokale en externe sites te bieden, waardoor de virtuele subnetten werden afgezonderd van de rest van het netwerk.

In Windows Server 2012 R2 leidt Windows Server Gateway het netwerkverkeer om tussen het fysieke netwerk en de VM-netwerkbronnen, ongeacht waar de bronnen zich bevinden. U kunt Windows Server Gateway gebruiken om het netwerkverkeer te routeren tussen fysieke en virtuele netwerken op dezelfde fysieke locatie of op verschillende fysieke locaties. Als u zowel een fysiek als een virtueel netwerk op dezelfde fysieke locatie hebt, kunt u bijvoorbeeld een computer met Hyper-V configureren met een Windows Server Gateway VM en deze gebruiken als doorstuurgateway om het verkeer tussen de virtuele en fysieke netwerken te routeren. In een ander voorbeeld, waarbij uw virtuele netwerken zich in de cloud bevinden, kan uw CSP een Windows Server-gateway implementeren, zodat u een site-naar-site VPN-verbinding (Virtueel Particulier Netwerk) tussen de VPN-server en de Windows Server-gateway van de CSP kunt maken. Zodra deze koppeling tot stand is gebracht, kunt u via de VPN-verbinding verbinding maken met uw virtuele bronnen in de cloud.

Integratie van Windows Server Gateway met Hyper-V-netwerkvirtualisatie

Windows Server Gateway is geïntegreerd met Hyper-V-netwerkvirtualisatie en kan het netwerkverkeer ook effectief omleiden in het geval van een groot aantal verschillende klanten, of tenants, met geïsoleerde virtuele netwerken in hetzelfde datacenter.

Multitenancy is de mogelijkheid van een cloudinfrastructuur om de VM-werkbelastingen van meerdere tenants te ondersteunen, maar ze van elkaar te isoleren, terwijl alle werkbelastingen op dezelfde infrastructuur worden uitgevoerd. De meerdere werkbelastingen van een afzonderlijke tenant kunnen onderling worden verbonden en extern worden beheerd, maar deze systemen maken geen onderlinge verbindingen tussen de werkbelastingen van andere tenants en de andere tenants kunnen ze ook niet op afstand beheren.

Een onderneming kan bijvoorbeeld verschillende virtuele subnetten hebben die elk worden gebruikt voor het onderhoud van een bepaalde afdeling, bijvoorbeeld Onderzoek en ontwikkeling of Accounting. In een ander voorbeeld heeft een CSP tal van tenants met geïsoleerde virtuele subnetten in hetzelfde fysieke datacenter. In beide gevallen kan Windows Server Gateway het verkeer omleiden naar en vanaf elke tenant en tegelijkertijd de ontworpen isolatie van elke tenant handhaven. Dit maakt de Windows Server Gateway multitenantbewust.

Hyper-V-netwerkvirtualisatie is een technologie voor netwerkoverlays die gebruikmaakt van NVGRE (Network Virtualization Generic Routing Encapsulation). NVGRE stelt tenants in staat hun eigen adresruimte mee te nemen en biedt CSP's een betere schaalbaarheid dan wanneer er VLAN's voor de isolatie worden gebruikt.

Clusteren van Windows Server Gateway voor een hoge beschikbaarheid

Windows Server Gateway wordt geïmplementeerd op een toegewijde computer waarop Hyper-V wordt uitgevoerd en die is geconfigureerd met één VM. De VM wordt vervolgens geconfigureerd als een Windows Server-gateway.

Voor een hoge beschikbaarheid van netwerkbronnen kunt u Windows Server Gateway met failover implementeren door gebruik te maken van twee fysieke hostservers met Hyper-V waarop een virtuele machine (VM) wordt uitgevoerd die is geconfigureerd als een gateway. De gateway-VM's worden vervolgens geconfigureerd als een cluster om failoverbescherming te bieden tegen netwerkstoringen en hardwareproblemen.

Wanneer u Windows Server Gateway implementeert, moet u Windows Server 2012 R2 uitvoeren op de hostservers met Hyper-V en de VM's die u als gateway configureert.

Tenzij anders wordt aangegeven in de afbeeldingen in de onderstaande gedeelten, staat het volgende pictogram voor twee Hyper-V-hosts met elk een VM die is geconfigureerd als een Windows Server-gateway. Bovendien wordt op beide servers met Hyper-V en op de VM's op elke server Windows Server 2012 R2 uitgevoerd en zijn de gateway-VM's geclusterd.

Windows Server Gateway als een doorstuurgateway voor privécloudomgevingen

De privécloud is een computermodel dat gebruikmaakt van een infrastructuur die volledig is toegespitst op uw organisatie. Een privécloud vertoont veel overeenkomsten met een openbare cloud, inclusief het gebruik van resourcegroepen, zelfservice, elasticiteit en het gebruik van gecontroleerde services die worden geleverd op een gestandaardiseerde manier en waarvoor extra controles en aanpassingen beschikbaar zijn van toegewijde bronnen.

Het enige fundamentele verschil tussen een privécloud een openbare cloud is dat een openbare cloud cloudbronnen levert aan meerdere organisaties, terwijl de privécloud bronnen host voor één organisatie. Een organisatie kan echter zijn onderverdeeld in meerdere bedrijfseenheden en afdelingen die zichzelf goed kunnen lenen voor een multitenant structuur. In dat soort gevallen gelden veel van de beveiligings- en isolatievereisten voor de openbare cloud ook voor een privécloud.

Voor bedrijven die lokaal een privécloud implementeren, kan Windows Server Gateway als doorstuurgateway fungeren en het verkeer tussen de virtuele netwerken en het fysieke netwerk routeren. Als u voor een of meer afdelingen virtuele netwerken hebt gemaakt, bijvoorbeeld voor Onderzoek en ontwikkeling of Accounting, maar veel van uw belangrijke bronnen (zoals Active Directory Domain Services, SharePoint of DNS) zich op het fysieke netwerk bevinden, kan Windows Server Gateway het verkeer tussen het virtuele netwerk en het fysieke netwerk routeren om de werknemers op het virtuele netwerk te voorzien van alle benodigde services.

In de onderstaande afbeelding bevinden de fysieke en virtuele netwerken zich op dezelfde fysieke locatie. Windows Server Gateway wordt gebruikt om het verkeer tussen het fysieke netwerk en de virtuele netwerken te routeren.

Windows Server Gateway als een site-naar-site VPN-gateway voor hybride cloudomgevingen

Windows Server Gateway biedt CSP's die meerdere tenants in hun datacenter hosten, een multitenant gatewayoplossing waarmee de bronnen van uw tenants via site-naar-site VPN-verbindingen extern toegankelijk zijn en extern kunnen worden beheerd en waarmee netwerkverkeer tussen virtuele bronnen in uw datacenter en hun fysieke netwerk mogelijk is.

In de onderstaande afbeelding biedt een CSP datacenternetwerktoegang aan meerdere tenants, waarvan sommige meerdere sites op internet hebben. In dit voorbeeld gebruiken de tenants VPN-servers van derden op hun zakelijke sites, terwijl de CSP voor de site-naar-site VPN-verbindingen gebruikmaakt van Windows Server Gateway.

Multitenant NAT (Network Address Translation) voor toegang tot internet via VM

In de onderstaande afbeelding doet een thuisgebruiker via de webbrowser op de computer een aankoop op internet vanaf een Contoso-webserver die een VM op het virtuele netwerk van Contoso is. Tijdens het aankoopproces verifieert de webtoepassing de creditcardgegevens die de thuisgebruiker verstrekt door verbinding te maken met een financiële dienstverlener op internet. Deze mogelijkheid om vanaf het virtuele netwerk verbinding te maken met internetbronnen, wordt geboden wanneer NAT is ingeschakeld op de Windows Server Gateway van de CSP.

Multitenant VPN-verbindingen voor extern toegang

In de onderstaande afbeelding gebruiken beheerders VPN-inbelverbindingen om VM's op hun virtuele bedrijfsnetwerken te beheren. De beheerder van Contoso start de VPN-verbinding vanuit een internetfiliaal en wordt er via de Windows Server van de CSP verbinding gemaakt met het virtuele netwerk van Contoso.

De beheerder van Northwind Traders brengt op vergelijkbare wijze vanuit zijn kantoor aan huis een VPN-verbinding tot stand om de VM's op het virtuele netwerk van Nortwind Traders te beheren.

Zie ook

Overzicht van BGP (Border Gateway Protocol)