حول بوابات VPN في الوضع النشط-النشط
يمكن تكوين بوابات Azure VPN على أنها نشطة في وضع الاستعداد أو نشطة- نشطة. تشرح هذه المقالة تكوينات بوابة الوضع النشط-النشط وتسلط الضوء على فوائد استخدام الوضع النشط-النشط.
لماذا تنشئ بوابة نشطة؟
تتكون بوابات VPN من مثيلين في تكوين الاستعداد النشط ما لم تحدد الوضع النشط-النشط.
سلوك وضع الاستعداد النشط
في وضع الاستعداد النشط، أثناء أي صيانة مخطط لها أو تعطيل غير مخطط له يؤثر على المثيل النشط، يحدث السلوك التالي:
- S2S وVNet-to-VNet: يستحوذ مثيل الاستعداد تلقائيا (تجاوز الفشل)، ويستأنف اتصالات VPN من موقع إلى موقع (S2S) أو VNet-to-VNet. يؤدي هذا التبديل إلى انقطاع قصير. للصيانة المخطط لها، تتم استعادة الاتصال بسرعة. بالنسبة للمشكلات غير المخطط لها، يكون استرداد الاتصال أطول.
- P2S: بالنسبة لاتصالات عميل VPN من نقطة إلى موقع (P2S) بالبوابة، يتم قطع اتصال اتصالات P2S. يحتاج المستخدمون إلى إعادة الاتصال من أجهزة العميل.
لتجنب الانقطاعات، قم بإنشاء البوابة في الوضع النشط-النشط ، أو قم بتبديل بوابة active-standby إلى active-active.
تصميم الوضع النشط-النشط
في تكوين نشط-نشط لاتصال S2S، ينشئ كلا مثيلي الأجهزة الظاهرية للبوابة أنفاق S2S VPN لجهاز VPN المحلي، كما هو موضح في الرسم التخطيطي التالي:
في هذا التكوين، يحتوي كل مثيل بوابة Azure على عنوان IP عام فريد، وسينشئ كل منها نفق IPsec/IKE S2S VPN إلى جهاز VPN المحلي. كلا النفقين جزء من نفس الاتصال. قم بتكوين جهاز VPN المحلي لقبول نفقي S2S VPN، واحد لكل مثيل بوابة. لا تتطلب اتصالات P2S بالبوابات في الوضع النشط-النشط تكوينا إضافيا.
في التكوين النشط-النشط، يوجه Azure نسبة استخدام الشبكة من شبكتك الظاهرية إلى شبكتك المحلية عبر كلا النفقين في وقت واحد، حتى إذا كان جهاز VPN المحلي قد يفضل نفقا واحدا على الآخر. لتدفق بروتوكول تحكم الإرسال أو بروتوكول مخطط بيانات المستخدم واحد، يحاول Azure استخدام النفق نفسه عند إرسال الحزم إلى شبكة الاتصال المحلية. ومع ذلك، قد تستخدم شبكتك المحلية نفقا مختلفا لإرسال الحزم مرة أخرى إلى Azure.
عند حدوث صيانة مخطط لها أو حدث غير مخطط له لمثيل بوابة واحدة، سيتم قطع نفق أمان برتوكول الإنترنت من هذا المثيل إلى جهاز الشبكة الظاهرية الخاصة المحلي. يجب إزالة المسارات المقابلة الموجودة على أجهزة VPN أو سحبها تلقائيًا، وذلك ليتسنى تبديل نفق نسبة استخدام الشبكة إلى نفق IPsec نشط آخر. على جانب Azure، سيحدث التبديل تلقائيا من المثيل المتأثر إلى المثيل النشط الآخر.
إشعار
بالنسبة لاتصالات S2S مع بوابة VPN في الوضع النشط-النشط، تأكد من إنشاء أنفاق لكل مثيل جهاز ظاهري للبوابة. إذا قمت بإنشاء نفق لمثيل VM لبوابة واحدة فقط، فسيتعطل الاتصال أثناء الصيانة. إذا كان جهاز VPN الخاص بك لا يدعم هذا الإعداد، فكون بوابتك لوضع الاستعداد النشط بدلا من ذلك.
تصميم الوضع النشط-النشط ثنائي التكرار
خيار التصميم الأكثر موثوقية هو دمج البوابات النشطة على كل من الشبكة وAzure، كما هو موضح في الرسم التخطيطي التالي.
في هذا التكوين، يمكنك إنشاء وإعداد بوابة Azure VPN في الوضع النشط-النشط. يمكنك إنشاء بوابتي شبكة محلية واتصالين لجهازي VPN المحليين. والنتيجة هي اتصال شبكة كاملة من أربعة أنفاق IPsec بين شبكة Azure الظاهرية والشبكة المحلية الخاصة بك.
جميع البوابات والأنفاق نشطة من جانب Azure، لذلك تنتشر نسبة استخدام الشبكة بين جميع الأنفاق الأربعة في وقت واحد، على الرغم من أن كل تدفق TCP أو UDP سيتبع نفس النفق أو المسار من جانب Azure. على الرغم من أنه من خلال نشر نسبة استخدام الشبكة، قد ترى معدل نقل أفضل قليلا عبر أنفاق IPsec، فإن الهدف الأساسي من هذا التكوين هو التوفر العالي. ونظرا للطبيعة الإحصائية للانتشار، من الصعب توفير القياس حول كيفية تأثير ظروف حركة مرور التطبيقات المختلفة على الإنتاجية الإجمالية.
يتطلب هذا المخطط بوابتي شبكة محلية واتصالين لدعم زوج من أجهزة VPN المحلية. لمزيد من المعلومات، راجع حول الاتصال المتوفر بشكل كبير.
تكوين بوابة الوضع النشط-النشط
يمكنك تكوين بوابة نشطة-نشطة باستخدام مدخل Microsoft Azure أو PowerShell أو CLI. يمكنك أيضا تغيير بوابة الاستعداد النشط إلى الوضع النشط-النشط. للحصول على خطوات، راجع تغيير بوابة إلى نشط-نشط.
تحتوي البوابة النشطة-النشطة على متطلبات تكوين مختلفة قليلا عن بوابة الاستعداد النشطة.
- لا يمكنك تكوين بوابة نشطة-نشطة باستخدام Basic gateway SKU.
- يجب أن يكون VPN مستندا إلى المسار. لا يمكن أن يكون مستندا إلى النهج.
- مطلوب عنواني IP عامين. يجب أن يكون كلاهما عناوين IP عامة SKU قياسية تم تعيينها ك ثابت.
- يكلف تكوين البوابة النشطة-النشطة نفس تكاليف تكوين الاستعداد النشط. ومع ذلك، تتطلب التكوينات النشطة-النشطة عنواني IP عامين بدلا من عنوان واحد. راجع تسعير عنوان IP.
إعادة تعيين بوابة الوضع النشط-النشط
إذا كنت بحاجة إلى إعادة تعيين بوابة نشطة-نشطة، يمكنك إعادة تعيين كلا المثيلين باستخدام المدخل. يمكنك أيضا استخدام PowerShell أو CLI لإعادة تعيين كل مثيل بوابة بشكل منفصل باستخدام مثيل VIPs. راجع إعادة تعيين اتصال أو بوابة.