Windows Server Gateway

Dotyczy: Windows Server 2012 R2

Ten temat jest przeznaczony dla specjalistów zajmujących się technologiami informatycznymi (IT). Zawiera on przegląd informacji dotyczących bramy Windows Server Gateway, w tym możliwości i funkcji bramy Windows Server Gateway.

Dla kogo jest przeznaczona brama Windows Server Gateway?

Jeśli jesteś administratorem systemu, architektem sieci lub innym specjalistą branży IT, możesz zainteresować się bramą Windows Server Gateway w następujących okolicznościach:

• Już korzystasz z programu System Center 2012 R2, który jest wymagany w przypadku wdrażania bramy Windows Server Gateway, lub planujesz rozpoczęcie pracy z tym programem.

• Projektujesz lub obsługujesz infrastrukturę informatyczną dla organizacji, w której do wdrażania maszyn wirtualnych w sieciach wirtualnych używa się funkcji Hyper-V lub planowane jest rozpoczęcie korzystania z tej funkcji.

• Projektujesz lub obsługujesz infrastrukturę informatyczną dla organizacji, w której wdrożono technologie chmurowe lub takie wdrożenie jest planowane.

• Chcesz zapewnić stałe połączenie z siecią między sieciami fizycznymi i wirtualnymi.

• Chcesz zapewnić klientom organizacji dostęp do ich sieci wirtualnych za pośrednictwem Internetu.

Ten temat zawiera następujące sekcje:

• Wersje routera w systemie Windows Server 2012 R2

• Co to jest brama Windows Server Gateway?

• Integracja bramy Windows Server Gateway z wirtualizacją sieci funkcji Hyper-V

• Klastrowanie w bramie Windows Server Gateway w celu uzyskania wysokiej dostępności

• Brama Windows Server Gateway jako brama przesyłania dalej dla środowisk chmury prywatnej

• Brama Windows Server Gateway jako brama sieci VPN między lokacjami dla środowisk chmury hybrydowej

• Wielodostępny translator adresów sieciowych dla dostępu do Internetu z poziomu maszyny wirtualnej

• Wielodostępne połączenia sieci VPN z dostępem zdalnym

Wersje routera w systemie Windows Server 2012 R2

W systemie Windows Server 2012 R2 są dostępne dwie różne wersje routera bramy — wielodostępna brama usługi RRAS i brama Windows Server Gateway. Mimo że routery mają te same funkcje i możliwości, można użyć różnych metod do zarządzania każdym z routerów, w zależności od tego, czy jest używany program System Center 2012 R2.

Wielodostępna brama usługi RRAS. Router wielodostępnej bramy usługi RRAS może być używany dla wdrożeń wielodostępnych i innych — jest to w pełni funkcjonalny router BGP. Aby wdrożyć router wielodostępnej bramy usługi RRAS, należy użyć poleceń programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz temat Polecenia cmdlet na potrzeby dostępu zdalnego w programie Windows PowerShell i Przewodnik wdrażania wielodostępnej bramy usługi RRAS w systemie Windows Server 2012 R2..

Windows Server Gateway. Przed wdrożeniem bramy Windows Server Gateway należy użyć programu System Center 2012 R2 i programu Virtual Machine Manager (VMM). Router bramy Windows Server Gateway jest przeznaczony do użytku razem z wdrożeniami wielodostępnymi. W przypadku korzystania z routera bramy Windows Server Gateway w programie VMM i programie System Center 2012 R2 w interfejsie oprogramowania VMM jest dostępny tylko bardzo ograniczony zestaw opcji konfiguracji protokołu Border Gateway Protocol (BGP). Dostępne opcje dotyczą na przykład wartości lokalnego adresu IP i autonomicznych numerów systemu (ASN) protokołu BGP, listy adresów IP i numerów ASN elementów równorzędnych protokołu BGP. Można jednak używać poleceń protokołu BGP w środowisku programu Windows PowerShell dla dostępu zdalnego w celu skonfigurowania wszystkich innych funkcji bramy Windows Server Gateway. Aby uzyskać więcej informacji, zobacz temat Windows Server Gateway i Virtual Machine Manager.

Co to jest brama Windows Server Gateway?

Brama Windows Server Gateway (WSG) to router programowy i brama oparta na maszynie wirtualnej, która umożliwia dostawcom usług w chmurze (CSP, Cloud Service Providers) i przedsiębiorstwom włączanie funkcji routingu ruchu sieciowego w centrum danych i w chmurze między sieciami wirtualnymi i prywatnymi, z uwzględnieniem Internetu.

Sieci wirtualne są tworzone przy użyciu wirtualizacji sieci funkcji Hyper-V, czyli technologii wprowadzonej w systemie Windows Server® 2012.

Wirtualizacja sieci funkcji Hyper-V wprowadza pojęcie sieci maszyn wirtualnych, która jest niezależna od podstawowej sieci fizycznej. Takie podejście do sieci maszyn wirtualnych, składających się z co najmniej jednej podsieci wirtualnej, zakłada, że dokładna fizyczna lokalizacja podsieci IP jest oddzielona od topologii sieci wirtualnej. Dzięki temu organizacje mogą w prosty sposób przenosić podsieci do chmury, zachowując równocześnie istniejące adresy IP i topologię w chmurze. Ta możliwość zachowywania infrastruktury umożliwia kontynuowanie pracy przy użyciu istniejących usług bez względu na fizyczną lokalizację podsieci. Oznacza to, że wirtualizacja sieci funkcji Hyper-V umożliwia bezproblemową obsługę chmur hybrydowych.

W środowiskach chmur prywatnych i hybrydowych w systemie Windows Server 2012 było jednak trudno zapewnić łączność między maszynami wirtualnymi w sieci wirtualnej i zasobami w sieciach fizycznych w lokacjach zdalnych i lokalnych, co zaowocowało powstaniem sytuacji, w której podsieci wirtualne były odseparowane od pozostałej części sieci.

W systemie Windows Server 2012 R2 brama Windows Server Gateway umożliwia kierowanie ruchem sieciowym między zasobami sieci fizycznych i sieci wirtualnych bez względu na lokalizację tych zasobów. Korzystając z bramy Windows Server Gateway, można kierować ruchem sieciowym między sieciami fizycznymi i wirtualnymi w tej samej lokalizacji fizycznej lub w wielu różnych lokalizacjach fizycznych. Jeśli na przykład w tej samej lokalizacji fizycznej istnieje sieć fizyczna i sieć wirtualna, można wdrożyć komputer z funkcją Hyper-V skonfigurowany z maszyną wirtualną bramy Windows Server Gateway do działania jako brama przesyłania dalej i kierować ruchem między sieciami wirtualnymi i fizycznymi. Inny przykład: jeśli sieci wirtualne istnieją w chmurze, dostawca usług chmury może wdrożyć bramę Windows Server Gateway. Dzięki temu będzie można utworzyć połączenie wirtualnej sieci prywatnej (VPN) między lokacjami dla serwera VPN i bramy Windows Server Gateway dostawcy usług chmury. Po ustanowieniu tego połączenia będzie można łączyć się z zasobami wirtualnymi w chmurze za pośrednictwem połączenia sieci VPN.

Integracja bramy Windows Server Gateway z wirtualizacją sieci funkcji Hyper-V

Brama Windows Server Gateway została zintegrowana z wirtualizacją sieci funkcji Hyper-V. Umożliwia ona efektywne kierowanie ruchem sieciowym w sytuacji, gdy istnieje wielu różnych klientów lub dzierżawców, którzy odizolowali sieci wirtualne w tym samym centrum danych.

Wielodostępność to funkcja infrastruktury w chmurze, która służy do obsługiwania obciążeń maszyn wirtualnych z wieloma wystąpieniami dzierżawy przy jednoczesnym izolowaniu ich od siebie, nawet jeśli wszystkie obciążenia są uruchamianie w tej samej infrastrukturze. Wiele obciążeń pojedynczej dzierżawy można łączyć wzajemnie, a także zarządzać nimi zdalnie. Nie można jednak łączyć tych systemów wzajemnie z obciążeniami innych dzierżaw ani zarządzać nimi zdalnie z poziomu innych dzierżaw.

Na przykład przedsiębiorstwo może mieć wiele różnych podsieci wirtualnych, z których każda jest przeznaczona do obsługi określonego działu, takiego jak badania i rozwój lub księgowość. Inny przykład: dostawca usług chmury ma wiele dzierżaw z izolowanymi podsieciami wirtualnymi, które istnieją w tym samym fizycznym centrum danych. W obu przypadkach brama Windows Server Gateway może kierować ruchem do i z każdej dzierżawy, zachowując równocześnie stopień odizolowania każdej dzierżawy. Dzięki temu można korzystać z bramy Windows Server Gateway z wieloma dzierżawami.

Wirtualizacja sieci funkcji Hyper-V jest technologią nakładki na sieć, która korzysta z wirtualizacji sieci dla protokołu GRE (NVGRE). Umożliwia ona dzierżawcom używanie własnej przestrzeni adresowej, a dostawcom usług chmury osiąganie lepszej skalowalności niż przy użyciu sieci VLAN na potrzeby izolacji.

Klastrowanie w bramie Windows Server Gateway w celu uzyskania wysokiej dostępności

Brama Windows Server Gateway jest wdrażana na dedykowanym komputerze z funkcją Hyper-V, który skonfigurowano z jedną maszyną wirtualną. Maszyna wirtualna jest następnie konfigurowana jako brama Windows Server Gateway.

Aby uzyskać wysoką dostępność zasobów sieciowych, można wdrożyć bramę Windows Server Gateway z trybem failover przy użyciu dwóch serwerów fizycznych hosta z funkcją Hyper-V. Na każdym z tych serwerów jest uruchomiona maszyna wirtualna skonfigurowana jako brama. Maszyny wirtualne bramy następnie są konfigurowane jako klaster, dzięki czemu zapewniają ochronę przed awarią sieci i sprzętu.

W przypadku wdrażania bramy Windows Server Gateway na serwerach hostów z uruchomioną funkcją Hyper-V i maszynami wirtualnymi, które można konfigurować jako bramy, musi zostać uruchomiony system Windows Server 2012 R2.

O ile nie zaznaczono inaczej, na ilustracjach w pozostałych sekcjach poniższa ikona reprezentuje dwa hosty funkcji Hyper-V, z których każdy ma uruchomioną maszynę wirtualną skonfigurowaną jako brama Windows Server Gateway. Dodatkowo na serwerach z funkcją Hyper-V i maszynach wirtualnych na każdym serwerze uruchomiono system Windows Server 2012 R2, a maszyny wirtualne bramy są klastrowane.

Brama Windows Server Gateway jako brama przesyłania dalej dla środowisk chmury prywatnej

Chmura prywatna to model przetwarzania, w którym jest używana infrastruktura dedykowana dla danej organizacji. Chmura prywatna ma wiele właściwości przetwarzania znanych z chmur publicznych, np. pule zasobów, samoobsługa, elastyczność i usługi taryfowe dostarczane w sposób standardowy z dodatkową kontrolą i dostosowywaniem dostępnym dla zasobów dedykowanych.

Jedyna podstawowa różnica między chmurą prywatną i publiczną polega na tym, że chmura publiczna udostępnia zasoby chmury wielu organizacjom, a chmura prywatna obsługuje zasoby dla jednej organizacji. Jednak jedna organizacja może mieć wiele jednostek biznesowych i działów, co może spowodować w przyszłości zmianę charakteru organizacji na wielodostępną. W takiej sytuacji chmura prywatna może mieć wiele wymagań dotyczących zabezpieczeń i izolacji takich samych jak chmura publiczna.

Dla przedsiębiorstw wdrażających lokalną chmurę prywatną brama Windows Server Gateway pełni rolę bramy przesyłania dalej i kieruje ruchem między sieciami wirtualnymi i siecią fizyczną. Jeśli na przykład utworzono sieci wirtualne dla co najmniej jednego działu (na przykład badań i rozwoju lub księgowości), ale wiele kluczowych zasobów (na przykład Usługi domenowe Active Directory, program SharePoint lub system DNS) jest w sieci fizycznej, brama Windows Server Gateway może kierować ruchem między siecią wirtualną i siecią fizyczną, aby udostępnić pracownikom pracującym w sieci wirtualnej wszystkie potrzebne usługi.

Na poniższej ilustracji sieci fizyczne i wirtualne znajdują się w tej samej lokalizacji fizycznej. Brama Windows Server Gateway jest używana do kierowania ruchem między siecią fizyczną i sieciami wirtualnymi.

Brama Windows Server Gateway jako brama sieci VPN między lokacjami dla środowisk chmury hybrydowej

Jeśli dostawcy usług chmury obsługują wiele dzierżaw w centrum danych, brama Windows Server Gateway udostępnia rozwiązanie bramy wielodostępowej, które umożliwia dzierżawcom dostęp do zasobów i zarządzanie nimi za pośrednictwem połączeń sieci VPN między lokacjami z poziomu lokacji zdalnych. Rozwiązanie to obsługuje również ruch sieciowy między zasobami wirtualnymi w centrum danych i siecią fizyczną.

Na poniższej ilustracji dostawca usług chmury zapewnia wielu dzierżawcom dostęp do sieci w centrum danych. Niektórzy z nich mogą mieć wiele witryn w Internecie. W tym przykładzie dzierżawcy używają serwerów sieci VPN innych firm w lokacjach firmy, natomiast dostawca usług chmury nawiązuje połączenia sieci VPN między lokacjami przy użyciu bramy Windows Server Gateway.

Wielodostępny translator adresów sieciowych dla dostępu do Internetu z poziomu maszyny wirtualnej

Na poniższej ilustracji użytkownik, który w domu korzysta z przeglądarki sieci Web na komputerze, dokonuje zakupu w Internecie przez serwer sieci Web firmy Contoso, który jest maszyną wirtualną w sieci wirtualnej firmy Contoso. W trakcie procesu dokonywania zakupu aplikacja sieci Web sprawdza informacje o karcie kredytowej dostarczone przez użytkownika, łącząc się z usługodawcą finansowym w Internecie. Możliwość łączenia z poziomu sieci wirtualnych z zasobami internetowymi jest dostępna po włączeniu translatora adresów sieciowych dla bramy Windows Server Gateway dostawcy usług chmury.

Wielodostępne połączenia sieci VPN z dostępem zdalnym

Na poniższej ilustracji administratorzy używają telefonicznych połączeń sieci VPN do administrowania maszynami wirtualnymi w firmowych sieciach wirtualnych. Administrator firmy Contoso inicjuje połączenie sieci VPN z oddziału firmy z dostępem do Internetu i nawiązuje połączenie przez bramę Windows Server Gateway dostawcy usług chmury z siecią wirtualną firmy Contoso.

Podobnie administrator firmy Northwind Traders ustanawia połączenie sieci VPN z biura, aby umożliwić zarządzenie maszynami wirtualnymi w sieci wirtualnej firmy Northwind Traders.

Zobacz też

Omówienie protokołu BGP (Border Gateway Protocol)