Windows Server 网关
适用对象:Windows Server 2012 R2
本主题面向信息技术 (IT) 专业人员,提供有关 Windows Server 网关的概述信息,包括 Windows Server 网关的功能和特性。
备注
除了本主题外,我们还提供了以下 Windows Server 网关文档。
谁会对 Windows Server 网关感兴趣?
如果你是系统管理员、网络架构师或其他 IT 专业人员,在遇到下列一种或多种情况时,你可能会对 Windows Server 网关感兴趣:
你正在使用或者计划使用部署 Windows Server 网关时必需的 System Center 2012 R2。
你要为某个组织设计 IT 基础结构或提供相应支持,而该组织正在使用或计划使用 Hyper-V 在虚拟网络中部署虚拟机 (VM)。
你要为某个组织设计 IT 基础结构或提供相应支持,而该组织已部署或计划部署云技术。
你想要在物理网络与虚拟网络之间提供全面的网络连接。
你想要使组织的客户能够通过 Internet 访问其虚拟网络。
本主题包含以下部分:
Windows Server 2012 R2 中的路由器版本
什么是 Windows Server 网关?
Windows Server 网关与 Hyper-V 网络虚拟化的集成
组建 Windows Server 网关的群集以实现高可用性
将 Windows Server 网关用作私有云环境的转发网关
将 Windows Server 网关用作混合云环境的点对点 VPN 网关
用于 VM Internet 访问的多租户网络地址转换 (NAT)
多租户远程访问 VPN 连接
Windows Server 2012 R2 中的路由器版本
Windows Server 2012 R2 中提供了两个不同版本的网关路由器 – RRAS 多租户网关和 Windows Server 网关。 尽管这些路由器具有相同的功能,但你可以使用不同的方法来管理每个路由器,具体取决于你是否使用 System Center 2012 R2。
RRAS 多租户网关。 RRAS 多租户网关路由器可用于多租户或非多租户部署,它是全功能的 BGP 路由器。 若要部署 RRAS 多租户网关路由器,必须使用 Windows PowerShell 命令。 有关详细信息,请参阅 Windows PowerShell 中的远程访问 Cmdlet 和 Windows Server 2012 R2 RRAS 多租户网关部署指南。
Windows Server 网关。 若要部署 Windows Server 网关,必须使用 System Center 2012 R2 和 Virtual Machine Manager (VMM)。 Windows Server 网关路由器旨在与多租户部署配合使用。 使用 System Center 2012 R2 VMM Windows Server 网关路由器时,VMM 软件界面中提供非常有限的一组边界网关协议 (BGP) 配置选项,包括 BGP 本地 IP 地址和自治系统编号 (ASN)、BGP 对等 IP 地址列表和 ASN 及其值。 但是,你可以使用远程访问 Windows PowerShell BGP 命令来配置 Windows Server 网关的所有其他功能。 有关详细信息,请参阅 Windows Server Gateway 和虚拟机管理器。
什么是 Windows Server 网关?
Windows Server 网关 (Windows Server Gateway) 是基于虚拟机 (VM) 的软件路由器和网关,它使云服务提供商 (CSP) 和企业能够在虚拟和物理网络(包括 Internet)之间路由数据中心与云网络流量。
备注
Windows Server 网关支持 IPv4 和 IPv6,包括 IPv4 和 IPv6 转发。 使用网络地址转换 (NAT) 配置 Windows Server 网关时,只支持 NAT44。
可以使用 Windows Server® 2012 中引入的 Hyper-V 网络虚拟化技术创建虚拟网络。
Hyper-V 网络虚拟化提供了一种独立于基础物理网络的虚拟机 (VM) 网络的概念。 VM 网络由一个或多个虚拟子网组成,在这种概念下,一个 IP 子网的确切物理位置与虚拟网络拓扑相互脱耦。 因此,组织可以轻松地将其子网移至云中,同时在云中仍保持其现有 IP 地址和拓扑。 这种保留基础结构的能力使得现有服务能够继续工作,而不考虑子网的物理位置, 也就是说,Hyper-V 网络虚拟化可实现无缝混合云的建立。
但是,在使用 Windows Server 2012 的私有云和混合云环境中,难以在虚拟网络中的 VM 与本地和远程站点上的物理网络中的资源之间提供连接,从而造成了虚拟子网孤立于其他网络的局面。
在 Windows Server 2012 R2 中,Windows Server 网关可以在物理网络与 VM 网络资源之间路由网络流量,而不管资源位于哪个位置。 可以使用 Windows Server 网关在位于同一物理位置或多个不同物理位置的物理网络与虚拟网络之间路由网络流量。 例如,如果你在同一物理位置使用了物理网络和虚拟网络,则你可以部署一台运行 Hyper-V 且配置了 Windows Server 网关 VM 的计算机,让它充当转发网关,并在虚拟网络与物理网络之间路由流量。 另举一例,如果你的虚拟网络位于云中,则你的 CSP 可以部署一个 Windows Server 网关,使你能够在 VPN 服务器与 CSP 的 Windows Server 网关之间创建虚拟专用网络 (VPN) 点对点连接;建立这种链接后,你可以通过 VPN 连接来连接到云中的虚拟资源。
Windows Server 网关与 Hyper-V 网络虚拟化的集成
Windows Server 网关已与 Hyper-V 网络虚拟化集成,在有许多不同的客户或租户,并且其虚拟网络在同一数据中心内处于隔离状态的环境中,Windows Server 网关可以有效地路由网络流量。
多租户是云基础结构的功能,用于支持多个租户的虚拟机工作负荷,但要将其彼此隔离,并且所有工作负荷要在同一基础结构上运行。 单个租户的多个工作负载可以互连和接受远程管理,但这些系统不与其他租户的工作负载互连,其他租户也不能远程管理它们。
例如,某家企业使用了许多不同的虚拟子网,每个虚拟子网专门为特定的部门(如研发或会计部门)提供服务。 另举一例,某家 CSP 有许多租户,他们的虚拟子网在同一物理数据中心内处于隔离状态。 在这两种情况下,Windows Server 网关都可以与每个租户相互路由流量,同时按设计维持每个租户的隔离状态。 这种功能使得 Windows Server 网关拥有多租户感知能力。
Hyper-V 网络虚拟化是一种网络叠加技术,它利用网络虚拟化基本路由封装 (NVGRE),使租户能够享用自己的地址空间,对于 CSP 而言,与使用 VLAN 进行隔离相比,它可以让 CSP 获得更好的可伸缩性。
备注
有关 Windows Server 2012 中的 Hyper-V 网络虚拟化和 Hyper-V 虚拟交换机的详细信息,请参阅 Windows Server 2012 技术库中的 Hyper-V 网络虚拟化概述和 Hyper-V 虚拟交换机概述。
组建 Windows Server 网关的群集以实现高可用性
可将 Windows Server 网关部署在运行 Hyper-V 且配置了一个 VM 的专用计算机上。 然后,可将该 VM 配置为 Windows Server 网关。
要实现网络资源的高可用性,你可以部署具有故障转移功能的 Windows Server 网关,方法是使用两台运行 Hyper-V 的物理主机服务器,其中每台服务器同时还运行已配置为网关的虚拟机 (VM)。 然后,可将网关 VM 配置为群集,以便在出现网络中断和硬件故障时提供故障转移保护。
当你部署 Windows Server 网关时,运行 Hyper-V 以及配置为网关的 VM 的主机服务器必须正在运行 Windows Server 2012 R2。
除非后续部分中提供的插图内另有说明,否则以下图标表示两台 Hyper-V 主机,其中每台主机运行已配置为 Windows Server 网关的 VM。 此外,这两台运行 Hyper-V 的服务器以及每台服务器上的 VM 都在运行 Windows Server 2012 R2,并且网关 VM 已组成群集。
.jpeg "Windows Server 网关")
将 Windows Server 网关用作私有云环境的转发网关
私有云是一种计算模型,它使用组织专用的基础结构。 私有云与公有云计算具有许多相同的特征,包括资源池、自助服务、弹性和以标准化方式提供的计量服务,另外,还可以通过专用资源进行其他控制和自定义。
私有云与公有云之间的唯一重要差别在于,公有云向多家组织提供云资源,而私有云只托管一家组织的资源。 但是,一家组织可能有多个业务单位和部门,因此,在性质上可能就成了多租户用户。 在这种环境中,在许多的安全与隔离要求方面,私有云与公有云是相同的。
对于部署了本地私有云的企业而言,Windows Server 网关可以充当转发网关,在虚拟网络与物理网络之间路由流量。 例如,如果你为一个或多个部门(例如研发或会计部门)创建了虚拟网络,但是许多关键资源(例如 Active Directory 域服务、SharePoint 或 DNS)位于物理网络中,那么,Windows Server 网关可以在虚拟网络与物理网络之间路由流量,为使用虚拟网络工作的员工提供他们所需的所有服务。
在下图中,物理网络和虚拟网络位于同一个物理位置。 Windows Server 网关用于在物理网络与虚拟网络之间路由流量。
.jpeg "物理和虚拟网络连接")
将 Windows Server 网关用作混合云环境的点对点 VPN 网关
对于在数据中心托管许多租户的 CSP 而言,Windows Server 网关提供多租户网关解决方案,使租户能够从远程站点通过点对点 VPN 连接访问和管理其资源,并使网络流量能够在数据中心的虚拟资源与租户的物理网络之间传递。
在下图中,CSP 可让多个租户访问数据中心网络,其中一些租户通过 Internet 运营多个站点。 在本示例中,租户在其企业站点上使用第三方 VPN 服务器,而 CSP 使用 Windows Server 网关来实现点对点 VPN 连接。
.jpeg "WSG 多租户站点到站点网关")
用于 VM Internet 访问的多租户网络地址转换 (NAT)
在下图中,一个在计算机上运行 Web 浏览器的家庭用户正在通过 Internet 从 Contoso Web 服务器购买商品,该服务器为 Contoso 虚拟网络中的 VM。 在购买过程中,Web 应用会通过 Internet 连接到一家金融服务公司,以验证该家庭用户提供的信用卡信息。 在 CSP Windows Server 网关上启用 NAT 后,便可以从虚拟网络连接到 Internet 资源。
.jpeg "已启用 NAT 的 Windows Server 网关")
多租户远程访问 VPN 连接
在下图中,管理员使用 VPN 拨入连接来管理其企业虚拟网络中的 VM。 Contoso 管理员从已开通 Internet 的分支机构发起 VPN 连接,并通过 CSP Windows Server 网关连接到 Contoso 虚拟网络。
同样,Northwind Traders 管理员从公寓办公室建立 VPN 连接,以管理 Northwind Traders 虚拟网络中的 VM。
.jpeg "与虚拟资源建立的 VPN 连接")