Sdílet prostřednictvím

Informace o branách VPN v režimu aktivní-aktivní

  • Článek

Brány Azure VPN je možné nakonfigurovat jako aktivní-pohotovostní nebo aktivní-aktivní. Tento článek vysvětluje konfigurace brány v režimu aktivní-aktivní a zdůrazňuje výhody používání režimu aktivní-aktivní.

Proč vytvořit bránu typu aktivní-aktivní?

Brány VPN se skládají ze dvou instancí v konfiguraci aktivního pohotovostního režimu, pokud nezadáte režim aktivní-aktivní.

Chování režimu aktivního pohotovostního režimu

V pohotovostním režimu aktivního režimu dojde během plánované údržby nebo neplánovaného přerušení ovlivňujícího aktivní instanci k následujícímu chování:

  • S2S a VNet-to-VNet: Pohotovostní instance převezme automaticky (převzetí služeb při selhání) a obnoví připojení SITE-to-Site (S2S) VPN nebo VNet-to-VNet. Tento přepínač způsobí krátké přerušení. V případě plánované údržby se připojení obnoví rychle. U neplánovaných problémů je obnovení připojení delší.
  • P2S: Pro připojení klienta VPN typu point-to-site (P2S) k bráně se připojení P2S odpojí. Uživatelé se musí znovu připojit z klientských počítačů.

Abyste se vyhnuli přerušení, vytvořte bránu v režimu aktivní-aktivní nebo přepněte bránu aktivní-pohotovostní na aktivní-aktivní.

Návrh režimu aktivní-aktivní

V konfiguraci aktivní-aktivní pro připojení S2S obě instance virtuálních počítačů brány navazují tunely S2S VPN k místnímu zařízení VPN, jak je znázorněno v následujícím diagramu:

Diagram znázorňuje místní lokalitu s privátními podsítěmi IP a místní bránou připojenou ke dvěma instancím brány VPN.

V této konfiguraci má každá instance brány Azure jedinečnou veřejnou IP adresu a každá z nich vytvoří tunel VPN IPsec/IKE S2S k místnímu zařízení VPN. Oba tunely jsou součástí stejného připojení. Nakonfigurujte místní zařízení VPN tak, aby přijímalo dva tunely S2S VPN, jedno pro každou instanci brány. Připojení P2S k branám v režimu aktivní-aktivní nevyžadují žádnou další konfiguraci.

V konfiguraci aktivní-aktivní Azure směruje provoz z vaší virtuální sítě do místní sítě prostřednictvím obou tunelů současně, i když vaše místní zařízení VPN může upřednostňovat jeden tunel přes druhý. V případě jednoho toku TCP nebo UDP se Azure pokusí použít stejný tunel při odesílání paketů do místní sítě. Vaše místní síť ale může k odesílání paketů zpět do Azure používat jiný tunel.

Když na jedné z instancí dojde k plánované údržbě nebo neplánované události, tunel IPsec z této instance do vašeho místního zařízení VPN se odpojí. Odpovídající trasy pro vaše zařízení VPN by se měly uzavřít automaticky a provoz by se měl přepnout na druhý aktivní tunel IPsec. Na straně Azure se přepnutí provede automaticky z ovlivněné instance na druhou aktivní instanci.

Poznámka:

U připojení S2S s bránou VPN v režimu aktivní-aktivní se ujistěte, že jsou tunely navázány na každou instanci virtuálního počítače brány. Pokud navážete tunel pouze na jednu instanci virtuálního počítače brány, připojení se během údržby vypne. Pokud vaše zařízení VPN toto nastavení nepodporuje, nakonfigurujte bránu pro režim aktivního pohotovostního režimu.

Návrh režimu aktivní-aktivní s duální redundancí

Nejspolehlivější možností návrhu je kombinovat brány aktivní-aktivní ve vaší síti i v Azure, jak je znázorněno v následujícím diagramu.

Diagram znázorňuje scénář duální redundance.

V této konfiguraci vytvoříte a nastavíte bránu Azure VPN Gateway v režimu aktivní-aktivní. Vytvoříte dvě brány místní sítě a dvě připojení pro dvě místní zařízení VPN. Výsledkem je úplné síťové připojení čtyř tunelů IPsec mezi vaší virtuální sítí Azure a vaší místní sítí.

Všechny brány a tunely jsou aktivní na straně Azure, takže provoz je rozložený mezi všechny čtyři tunely současně, i když každý tok TCP nebo UDP bude následovat za stejným tunelem nebo cestou ze strany Azure. I když rozprostřením provozu můžete vidět mírně vyšší propustnost tunelů IPsec, primárním cílem této konfigurace je vysoká dostupnost. A vzhledem ke statistické povaze šíření je obtížné zajistit měření toho, jak různé podmínky provozu aplikace ovlivňují agregovanou propustnost.

Tato topologie vyžaduje dvě brány místní sítě a dvě připojení pro podporu dvojice místních zařízení VPN. Další informace najdete v tématu O připojení s vysokou dostupností.

Konfigurace brány v režimu aktivní-aktivní

Bránu aktivní-aktivní můžete nakonfigurovat pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. Můžete také změnit aktivní-pohotovostní bránu na režim aktivní-aktivní. Postup najdete v tématu Změna brány na aktivní-aktivní.

Brána typu aktivní-aktivní má mírně odlišné požadavky na konfiguraci než brána aktivní-pohotovostní.

  • Bránu typu aktivní-aktivní nemůžete nakonfigurovat pomocí skladové položky brány Basic.
  • Síť VPN musí být založená na směrování. Nemůže být založená na zásadách.
  • Vyžadují se dvě veřejné IP adresy. Oba musí být veřejné IP adresy skladové položky standardu, které jsou přiřazené jako statické.
  • Konfigurace brány aktivní-aktivní stojí stejně jako konfigurace aktivní-pohotovostní. Konfigurace aktivní-aktivní však vyžadují místo jedné dvě veřejné IP adresy. Viz ceny IP adres.

Resetování brány aktivní-aktivního režimu

Pokud potřebujete resetovat bránu typu aktivní-aktivní, můžete obě instance resetovat pomocí portálu. Pomocí PowerShellu nebo rozhraní příkazového řádku můžete každou instanci brány resetovat samostatně pomocí virtuálních IP adres instancí. Viz Resetování připojení nebo brány.

Další kroky