Windows Server 閘道
適用於: Windows Server 2012 R2
本主題的目標對象是資訊技術 (IT) 專業人員,提供 Windows Server 閘道的概觀資訊,其中包括 Windows Server 閘道的各項功能和特色。
.jpeg "System_CAPS_note") 注意事項 |
|---|
除了本主題之外,還有下列 Windows Server 閘道文件。 |
對 Windows Server 閘道感興趣的對象?
如果您是系統管理員、網路架構師或其他 IT 專業人員,下列一或多種情況可能會引起您對 Windows Server 閘道的興趣:
您正在使用或計劃使用部署 Windows Server 閘道時所需的 System Center 2012 R2。
您為正在使用或計劃使用 Hyper-V 在虛擬網路上部署虛擬機器 (VM) 的組織設計或支援 IT 基礎結構。
您為已部署或計劃部署雲端技術的組織設計或支援 IT 基礎結構。
您想提供實體網路和虛擬網路之間的完整網路連線。
您想提供組織的客戶透過網際網路存取其虛擬網路。
本主題包括下列各節。
Windows Server 2012 R2 的路由器版本
什麼是 Windows Server 閘道?
Windows Server 閘道與 Hyper-V 網路虛擬化整合
叢集 Windows Server 閘道以提供高可用性
使用 Windows Server 閘道做為私人雲端環境的轉送閘道
使用 Windows Server 閘道做為混合式雲端環境的站台對站台 VPN 閘道
用於 VM 網際網路存取的多組織用戶共享網路位址轉譯 (NAT)
多組織用戶共享遠端存取 VPN 連線
Windows Server 2012 R2 的路由器版本
Windows Server 2012 R2 提供兩種不同版本的閘道路由器 – RRAS 多租用戶閘道和 Windows Server 閘道。雖然路由器有相同的功能和能力,但您可以使用不同方法來管理每個路由器,視您是否使用 System Center 2012 R2 而定。
RRAS 多組織用戶共享閘道。RRAS 多組織用戶共享閘道路由器可用於多組織用戶共享或非多組織用戶共享部署,這是一個功能完整的 BGP 路由器。若要部署 RRAS 多組織用戶共享閘道路由器,您必須使用 Windows PowerShell 命令。如需詳細資訊,請參閱 Windows PowerShell 的遠端存取 Cmdlet 和 Windows Server 2012 R2 RRAS 多租用戶閘道部署指南。
Windows Server 閘道。若要部署 Windows Server 閘道,您必須使用 System Center 2012 R2 和 Virtual Machine Manager (VMM)。Windows Server 閘道路由器是專為搭配多組織用戶共享部署使用所設計。使用 System Center 2012 R2 VMM Windows Server 閘道路由器時,VMM 軟體介面只提供非常有限的一組邊界閘道通訊協定 (BGP) 設定選項,包括本機 BGP IP 位址和自發系統編號 (ASN)、BGP 對等 IP 位址清單與 ASN、值。不過,您可以使用遠端存取 Windows PowerShell BGP 命令來設定 Windows Server 閘道的其他所有功能。如需詳細資訊,請參閱 Windows Server 閘道和 Virtual Machine Manager。
什麼是 Windows Server 閘道?
Windows Server 閘道是以虛擬機器 (VM) 為基礎的軟體路由器和閘道,可允許雲端服務提供者 (CSP) 和企業啟用虛擬和實體網路 (包括網際網路) 之間的資料中心和雲端網路流量路由。
| 注意事項 |
|---|
Windows Server 閘道支援 IPv4 與 IPv6,包括 IPv4 與 IPv6 轉送。設定 Windows Server 閘道搭配網路位址轉譯 (NAT) 時,只支援 NAT44。 |
虛擬網路是使用 Hyper-V 網路虛擬化建立的,它是 Windows Server® 2012 引進的一項技術。
Hyper-V 網路虛擬化提供的虛擬機器 (VM) 網路概念與基礎實體網路無關。利用由一或多個虛擬子網路組成的 VM 網路概念,就可以分隔 IP 子網路的實際實體位置與虛擬網路拓撲。因此,組織可以輕易地將他們的子網路移到雲端,同時將現有的 IP 位址和拓撲保留在雲端。這種保留基礎結構的能力可讓現有服務繼續運作,不用知道子網路的實體位置。也就是說,Hyper-V 網路虛擬化有助於順暢進行混合雲端。
不過,在使用 Windows 2012 Server 的私人和混合式雲端環境中,很難在虛擬網路上的 VM 與本機和遠端網站上的實體網路資源之間提供連線,形成虛擬子網路與網路其餘部分分離而成為孤島的情況。
在 Windows Server 2012 R2 中,Windows Server 閘道會在實體網路與 VM 網路資源 (無論資源位於何處) 之間路由傳送網路流量。您可使用 Windows Server 閘道,在位於相同實體位置或許多不同實體位置的實體和虛擬網路之間路由傳送網路流量。例如,如果您在同一個實體位置擁有實體網路和虛擬網路,可以部署一部執行 Hyper-V 的電腦,設定為 Windows Server 閘道 VM 當做虛擬與實體網路之間的轉送閘道和路由傳送流量。另一個例子是,如果雲端中有虛擬網路,CSP 可以部署 Windows Server 閘道,這樣即可在 VPN 伺服器與 CSP 的 Windows Server 閘道之間建立虛擬私人網路 (VPN) 站台對站台連線;建立這個連結之後,您就可以透過 VPN 連線,連線到雲端中的虛擬資源。
Windows Server 閘道與 Hyper-V 網路虛擬化整合
Windows Server 閘道已與 Hyper-V 網路虛擬化整合,如果許多不同客戶 (或租用戶) 在相同資料中心有隔離的虛擬網路,它能夠有效地路由傳送網路流量。
多組織用戶管理是雲端基礎結構支援多個租用戶虛擬電腦工作負載的能力,但會將彼此個別分開,而且所有的工作負載都會在相同的基礎結構上執行。個別租用戶的多個工作負載可以互連並從遠端管理,但是這些系統不會與其他租用戶的工作負載互連,其他租用戶也無法從遠端管理它們。
例如,一個企業可能有許多不同的虛擬子網路,每個虛擬子網路都專門用來服務特定的部門,像是研發部門或會計部門。在另一個例子中,CSP 有許多租用戶,他們在相同的實體資料中心有隔離的虛擬子網路。在這兩種情況下,Windows Server 閘道可以在每個租用戶之間路由傳送流量,同時保持每個租用戶的獨立性。這項功能讓 Windows Server 閘道可感知多組織用戶共享。
Hyper-V 網路虛擬化是使用 Network Virtualization Generic Routing Encapsulation (NVGRE) 的網路覆蓋技術,允許租用戶帶入他們自己的位址空間,且讓 CSP 擁有比使用 VLAN 進行隔離更好的延展性。
| 注意事項 |
|---|
如需 Windows 2012 Server 中 Hyper-V 網路虛擬化和 Hyper-V 虛擬交換器的相關詳細資訊,請參閱 Windows 2012 Server 技術文件庫中的 Hyper-V 網路虛擬化概觀 和 Hyper-V 虛擬交換器概觀。 |
叢集 Windows Server 閘道以提供高可用性
Windows Server 閘道部署在執行 Hyper-V 的專用電腦上,該電腦以一個 VM 設定。然後這個 VM 設定為 Windows Server 閘道。
為了網路資源的高可用性,您可以使用兩部執行 Hyper-V 的實體主機伺服器,且每部伺服器也都執行設定為閘道的虛擬機器 (VM),以部署具有容錯移轉的 Windows Server 閘道。然後,閘道 VM 設定為叢集,針對網路中斷和硬體故障提供容錯移轉保護。
部署 Windows Server 閘道的時候,執行 Hyper-V 的主機伺服器以及設定為閘道的 VM 必須執行 Windows Server 2012 R2。
除非以下幾節提供的圖解中另有註明,否則以下圖示代表兩部 Hyper-V 主機,每部主機都執行設定為 Windows Server 閘道的 VM。此外,執行 Hyper-V 的伺服器以及各伺服器上的 VM 都是執行 Windows Server 2012 R2,且閘道 VM 已叢集。
.jpeg "Windows Server 閘道")
使用 Windows Server 閘道做為私人雲端環境的轉送閘道
私人雲端是使用您組織專用之基礎結構的運算模型。私人雲端具備公用雲端運算的許多特性,包括以標準方式提供的資源集區、自助服務、彈性以及計量付費服務,另外兼具專用資源所提供的額外控制及自訂功能。
私人雲端和公用雲端的唯一基本差別在於,公用雲端為多個組織提供雲端資源,而私人雲端則裝載單一組織的資源。不過,單一組織可能包含多個業務單位和部門,因此使得它在本質上具有多組織用戶共享的特性。在這些情況下,私人雲端就會共用公用雲端的許多安全性和隔離性需求。
對於部署內部部署私人雲端的企業來說,Windows Server 閘道可做為虛擬網路與實體網路之間的轉送閘道和路由傳送流量。舉例來說,如果您為一或多個部門 (例如,研發部門或會計部門) 建立虛擬網路,但是許多關鍵資源 (如 Active Directory 網域服務、SharePoint 或 DNS) 位於實體網路上,那麼 Windows Server 閘道可以在虛擬網路與實體網路之間路由傳送流量,為在虛擬網路上工作的員工提供他們需要的所有服務。
在下面的圖例中,實體網路和虛擬網路位於相同的實體位置。Windows Server 閘道用於在實體網路和虛擬網路之間路由傳送流量。
.jpeg "實體和虛擬網路連線")
使用 Windows Server 閘道做為混合式雲端環境的站台對站台 VPN 閘道
對於在自己的資料中心裝載許多租用戶的 CSP 來說,Windows Server 閘道提供一個多組織用戶共享閘道的解決方案,允許您的租用戶透過站台對站台 VPN 連線,從遠端站台存取和管理他們的資源,也允許網路流量在您資料中心的虛擬資源與他們的實體網路之間進行交換。
在下面的圖例中,CSP 將資料中心網路存取權提供給多個租用戶,其中有些租用戶在網際網路上有多個站台。在此範例中,租用戶在他們的公司站台上使用第三方 VPN 伺服器,而 CSP 則為站台對站台 VPN 連線使用 Windows Server 閘道。
.jpeg "WSG 多租用戶站台對站台閘道")
用於 VM 網際網路存取的多組織用戶共享網路位址轉譯 (NAT)
在下面的圖例中,在電腦上執行網頁瀏覽器的家用使用者在網際網路上從 Contoso Web 伺服器進行採購,該伺服器是 Contoso 虛擬網路上的一個 VM。採購時,Web 應用程式會連線到網際網路上的金融服務公司,驗證家用使用者提供的信用卡資訊。當 CSP Windows Server 閘道上啟用了 NAT 時,就會提供這種從虛擬網路連線到網際網路資源的能力。
.jpeg "已啟用 NAT 的 Windows Server 閘道")
多組織用戶共享遠端存取 VPN 連線
在下面的圖例中,系統管理員使用 VPN 撥號連線管理公司虛擬網路上的 VM。Contoso 的系統管理員從具有網際網路連線能力的分公司初始化 VPN 連線,然後透過 CSP Windows Server 閘道連線到 Contoso 虛擬網路。
同樣的,Northwind Traders 的系統管理員從住所建立 VPN 連線,以管理 Northwind Traders 虛擬網路上的 VM。
.jpeg "連線到虛擬資源的 VPN 連線")