Dela via

Utforma gatewayanslutningar med hög tillgänglighet för anslutningar mellan platser och VNet-till-VNet

  • Artikel

Den här artikeln hjälper dig att förstå hur du utformar gatewayanslutningar med hög tillgänglighet för anslutningar mellan platser och VNet-till-VNet.

Om VPN Gateway-redundans

Varje Azure VPN-gateway består av två instanser i en aktiv väntelägeskonfiguration som standard. För planerat underhåll eller oplanerade avbrott som inträffar på den aktiva instansen tar standby-instansen över automatiskt (redundans) och återupptar S2S VPN- eller VNet-till-VNet-anslutningarna. Övergången orsakar ett kort avbrott. Vid ett planerat underhåll återställs anslutningen inom 10 till 15 sekunder. För oplanerade problem är anslutningsåterställningen längre, cirka 1 till 3 minuter i värsta fall. För P2S VPN-klientanslutningar till gatewayen kopplas P2S-anslutningarna från och användarna måste återansluta från klientdatorerna.

Diagram visar en lokal plats med privata I P-undernät och lokal V P N ansluten till en aktiv Azure V P N-gateway för att ansluta till undernät som finns i Azure, med en tillgänglig standby-gateway.

Hög tillgänglighet mellan olika platser

För att ge bättre tillgänglighet för dina anslutningar mellan platser finns det några tillgängliga alternativ:

  • Flera lokala VPN-enheter
  • Aktiv-aktiv Azure VPN gateway
  • En kombination av båda

Flera lokala VPN-enheter

Du kan använda flera VPN-enheter från ditt lokala nätverk för att ansluta till din Azure VPN-gateway enligt följande diagram:

Diagrammet visar flera lokala platser med privata IP-undernät och lokalt VPN som är anslutna till en aktiv Azure VPN-gateway för att ansluta till undernät som finns i Azure, med en tillgänglig standby-gateway.

Med den här konfigurationen får du flera aktiva tunnlar från samma Azure VPN-gateway till dina lokala enheter på samma plats. I den här konfigurationen är Azure VPN-gatewayen fortfarande i aktivt vänteläge, så samma redundansbeteende och korta avbrott kommer fortfarande att inträffa. Men den här konfigurationen skyddar mot fel eller avbrott i ditt lokala nätverk och VPN-enheter.

Det finns vissa krav och begränsningar:

  1. Du måste skapa flera S2S VPN-anslutningar från dina VPN-enheter till Azure. När du ansluter flera VPN-enheter från samma lokala nätverk till Azure skapar du en lokal nätverksgateway för varje VPN-enhet och en anslutning från din Azure VPN-gateway till varje lokal nätverksgateway.
  2. De lokala nätverkgateways som motsvarar dina VPN-enheter måste ha unika offentliga IP-adresser i GatewayIpAddress-egenskapen.
  3. BGP krävs för den här konfigurationen. Varje lokal nätverksgateway som representerar en VPN-enhet måste ha en unik IP-adress för BGP-peer angiven i BgpPeerIpAddress-egenskapen.
  4. Använd BGP för att annonsera samma prefix för samma lokala nätverksprefix till din Azure VPN-gateway. Trafiken vidarebefordras genom dessa tunnlar samtidigt.
  5. Du måste använda ECMP (Equal-cost multi-path routing).
  6. Varje anslutning räknas mot det maximala antalet tunnlar för din Azure VPN-gateway. På sidan VPN Gateway-inställningar finns den senaste informationen om tunnlar, anslutningar och dataflöde.

Aktiva VPN-gatewayer

Du kan skapa en Azure VPN-gateway i en aktiv-aktiv lägeskonfiguration. I aktivt-aktivt läge upprättar båda instanserna av de virtuella gatewaydatorerna S2S VPN-tunnlar till din lokala VPN-enhet, enligt följande diagram:

Diagram visar en lokal plats med privata I P-undernät och lokal V P N ansluten till två aktiva Azure V P N-gatewayer för att ansluta till undernät som finns i Azure.

I den här konfigurationen har varje Azure Gateway-instans en unik offentlig IP-adress och var och en upprättar en IPsec/IKE S2S VPN-tunnel till din lokala VPN-enhet som anges i din lokala nätverksgateway och anslutning. Båda VPN-tunnlarna är faktiskt en del av samma anslutning. Du måste fortfarande konfigurera din lokala VPN-enhet för att acceptera eller upprätta två S2S VPN-tunnlar till dessa två offentliga IP-adresser för Azure VPN Gateway.

Eftersom Azure Gateway-instanserna är i aktiv-aktiv konfiguration dirigeras trafiken från ditt virtuella Azure-nätverk till ditt lokala nätverk genom båda tunnlarna samtidigt, även om din lokala VPN-enhet kan gynna den ena tunneln framför den andra. För ett enda TCP- eller UDP-flöde försöker Azure använda samma tunnel när paket skickas till ditt lokala nätverk. Det lokala nätverket kan dock använda en annan tunnel för att skicka paket till Azure.

När ett planerat underhåll eller en oplanerad händelse inträffar för en gatewayinstans kopplas IPsec-tunneln från den instansen till din lokala VPN-enhet från. Motsvarande vägar på dina VPN-enheter bör tas bort eller dras tillbaka automatiskt så att trafiken växlas över till den andra aktiva IPsec-tunneln. På Azure-sidan sker övergången automatiskt från den berörda instansen till den aktiva instansen.

Dubbel redundans: aktiv-aktiv VPN-gateways för både Azure och lokala nätverk

Det mest tillförlitliga alternativet är att kombinera aktiva-aktiva gatewayer i både nätverket och Azure, som du ser i följande diagram.

Diagrammet visar ett scenario med dubbel redundans.

I den här typen av konfiguration konfigurerar du Azure VPN-gatewayen i en aktiv-aktiv konfiguration. Du skapar två lokala nätverksgatewayer och två anslutningar för dina två lokala VPN-enheter. Resultatet är en anslutning med ett helt nät med 4 IPSec-tunnlar mellan ditt virtuella Azure-nätverk och ditt lokala nätverk.

Alla gatewayer och tunnlar är aktiva från Azure-sidan, så trafiken sprids mellan alla fyra tunnlar samtidigt, även om varje TCP- eller UDP-flöde följer samma tunnel eller sökväg från Azure-sidan. Genom att sprida trafiken kan du se något bättre dataflöde över IPsec-tunnlarna. Det primära målet med den här konfigurationen är dock hög tillgänglighet. På grund av den statistiska typen av trafikspridning är det svårt att ange mätningen av hur olika programtrafikförhållanden kan påverka det aggregerade dataflödet.

Den här topologin kräver två lokala nätverksgatewayer och två anslutningar för att stödja paret med lokala VPN-enheter, och BGP krävs för att tillåta samtidig anslutning på de två anslutningarna till samma lokala nätverk. Dessa krav är desamma som scenariot med flera lokala VPN-enheter .

VNet-till-VNet med hög tillgänglighet

Samma aktiv-aktiv-konfiguration gäller även för Azure VNet-till-VNet-anslutningar. Du kan skapa aktiva och aktiva VPN-gatewayer för varje virtuellt nätverk och sedan ansluta dem till samma fullständiga nätanslutning på 4 tunnlar mellan de två virtuella nätverken. Detta visas i följande diagram:

Diagram visar två Azure-regioner som är värdar för privata I P-undernät och två Azure V P N-gatewayer som de två virtuella platserna ansluter till.

Den här typen av konfiguration säkerställer att det alltid finns ett par tunnlar mellan de två virtuella nätverken för planerade underhållshändelser, vilket ger ännu bättre tillgänglighet. Även om samma topologi för anslutning mellan platser kräver två anslutningar behöver topologin VNet-till-VNet i det här exemplet bara en anslutning för varje gateway. BGP är valfritt om inte överföringsroutning över VNet-till-VNet-anslutningen krävs.

Nästa steg

Konfigurera en aktiv-aktiv VPN-gateway med hjälp av Azure Portal eller PowerShell.