Konfigurieren von Aktiv/Aktiv-VPN-Gateways über das Portal
Dieser Artikel hilft Ihnen, hochverfügbare Aktiv/Aktiv-VPN-Gateways mithilfe des Resource Manager-Bereitstellungsmodells und des Azure-Portals zu erstellen. Sie können auch ein Aktiv/Aktiv-Gateway mithilfe von PowerShell konfigurieren.
Um für lokale und VNET-zu-VNET-Verbindungen Hochverfügbarkeit zu erzielen, sollten Sie mehrere VPN-Gateways bereitstellen und mehrere parallele Verbindungen zwischen Ihren Netzwerken und Azure herstellen. Eine Übersicht über Verbindungsoptionen und die Topologie finden Sie unter Standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen mit Hochverfügbarkeit.
Wichtig
Der Aktiv/Aktiv-Modus ist für alle SKUs mit Ausnahme von Basic oder Standard verfügbar. Informationen zu Gateway-SKUs, zu den neuesten Informationen zu Gateway-SKUs, zur Leistung und zu unterstützten Funktionen finden Sie im Artikel Über Gateway-SKUs. Für diese Konfiguration sind öffentliche IP-Adressen der SKU „Standard“ erforderlich. Sie können keine öffentliche IP-Adresse der SKU „Basic“ verwenden.
Die Schritte in diesem Artikel helfen Ihnen beim Konfigurieren eines VPN-Gateways im Aktiv/Aktiv-Modus. Es gibt einige Unterschiede zwischen dem Aktiv/Aktiv-Modus und dem Aktiv/Standby-Modus. Die anderen Eigenschaften sind mit den Eigenschaften von anderen Gateways identisch, die nicht den Aktiv/Aktiv-Modus aufweisen.
- Aktiv/Aktiv-Gateways verfügen über zwei Gateway-IP-Konfigurationen und zwei öffentliche IP-Adressen.
- Für Aktiv/Aktiv-Gateways ist die Aktiv/Aktiv-Einstellung aktiviert.
- Die Gateway-SKU des virtuellen Netzwerks darf nicht Basic oder Standard sein.
Wenn Sie bereits über ein VPN-Gateway verfügen, können Sie ein vorhandenes VPN-Gateway vom Aktiv/Standby-Modus in den Aktiv/Aktiv-Modus oder vom Aktiv/Aktiv-Modus in den Aktiv/Standby-Modus aktualisieren.
Erstellen eines virtuellen Netzwerks
Wenn Sie noch nicht über ein virtuelles Netzwerk (VNet) verfügen, das Sie verwenden möchten, erstellen Sie ein VNet mit den folgenden Werten:
- Ressourcengruppe: TestRG1
- Name: VNet1
- Region: (USA) USA, Osten
- IPv4-Adressraum: 10.1.0.0/16
- Subnetzname: FrontEnd
- Subnetzadressraum: 10.1.0.0/24
Melden Sie sich beim Azure-Portal an.
Geben Sie oben auf der Portalseite unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerk ein. Wählen Sie aus den Marketplace-Suchergebnissen den Eintrag Virtuelles Netzwerk aus, um die Seite Virtuelles Netzwerk zu öffnen.
Wählen Sie auf der Seite Virtuelles Netzwerk die Option Erstellen aus, um die Seite Virtuelles Netzwerk erstellen zu öffnen.
Konfigurieren Sie auf der Registerkarte Grundlagen die Einstellungen für das virtuelle Netzwerk für die Projektdetails und die Instanzdetails. Wenn die von Ihnen angegebenen Werte validiert sind, sehen Sie ein grünes Häkchen. Sie können die im Beispiel gezeigten Werte gemäß den von Ihnen benötigten Einstellungen anpassen.
- Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angegeben ist. Sie können Abonnements mithilfe des Dropdownfeldes ändern.
- Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, um eine neue zu erstellen. Weitere Informationen zu Ressourcengruppen finden Sie unter Azure Resource Manager – Übersicht.
- Name: Geben Sie den Namen für Ihr virtuelles Netzwerk ein.
- Region: Wählen Sie den Speicherort für Ihr virtuelles Netzwerk aus. Der Speicherort gibt an, wo sich die in diesem virtuellen Netzwerk bereitgestellten Ressourcen befinden sollen.
Wählen Sie Weiter oder Sicherheit aus, um zur Registerkarte Sicherheit zu wechseln. Behalten Sie für diese Übung die Standardwerte für alle Dienste auf dieser Seite bei.
Wählen Sie IP-Adressen aus, um zur Registerkarte IP-Adressen zu wechseln. Konfigurieren Sie auf der Registerkarte IP-Adressen die Einstellungen.
IPv4-Adressraum: Standardmäßig wird automatisch ein Adressraum erstellt. Sie können den Adressraum auswählen und ihn an Ihre eigenen Werte anpassen. Sie können auch einen anderen Adressraum hinzufügen und den automatisch erstellten Standardwert entfernen. Beispielsweise können Sie die Startadresse als 10.1.0.0 und die Adressraumgröße als /16 angeben. Wählen Sie dann Hinzufügen aus, um diesen Adressraum hinzuzufügen.
+ Subnetz hinzufügen: Wenn Sie den Standardadressraum verwenden, wird automatisch ein Standardsubnetz erstellt. Wenn Sie den Adressraum ändern, fügen Sie innerhalb dieses Adressraums ein neues Subnetz hinzu. Wählen Sie + Subnetz hinzufügen aus, um das Fenster Subnetz hinzufügen zu öffnen. Konfigurieren Sie die folgenden Einstellungen, und wählen Sie dann unten auf der Seite Hinzufügen aus, um die Werte hinzuzufügen.
- Subnetzname: Ein Beispiel ist FrontEnd.
- Subnetzadressbereich: Der Adressbereich für dieses Subnetz. Beispiele sind 10.1.0.0 und /24.
Überprüfen Sie die Seite IP-Adressen, und entfernen Sie alle Adressräume oder Subnetze, die Sie nicht benötigen.
Wählen Sie Bewerten + erstellen aus, um die Einstellungen für das virtuelle Netzwerk zu überprüfen.
Wählen Sie nach Überprüfung der Einstellungen Erstellen aus, um das virtuelle Netzwerk zu erstellen.
Erstellen eines Aktiv/Aktiv-VPN-Gateways
In diesem Schritt erstellen Sie ein Aktiv/Aktiv-VNet-Gateway (VPN-Gateway) für Ihr VNet. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.
Erstellen Sie ein virtuelles Netzwerkgateway mit den folgenden Werten:
- Name: VNet1GW
- Region: East US
- Gatewaytyp: VPN
- VPN-Typ: Routenbasiert
- SKU: VpnGw2
- Generation: Generation2
- Virtuelles Netzwerk: VNet1
- Adressbereich für Gatewaysubnetz: 10.1.255.0/27
- Öffentliche IP-Adresse: Neu erstellen
- Öffentliche IP-Adresse: VNet1GWpip
Geben Sie unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerkgateway ein. Suchen Sie in den Marketplace-Suchergebnissen nach Virtuelles Netzwerkgateway, und wählen Sie dies aus, um die Seite Virtuelles Netzwerkgateway erstellen zu öffnen.
Geben Sie auf der Registerkarte Grundlagen die Werte für Projektdetails und Details zur Instanz ein.
Abonnement: Wählen Sie in der Dropdownliste das Abonnement aus, das Sie verwenden wollen.
Ressourcengruppe: Diese Einstellung wird automatisch ausgefüllt, wenn Sie auf dieser Seite Ihr virtuelles Netzwerk auswählen.
Name: Benennen Sie Ihr Gateway. Das Benennen eines Gateways ist nicht das Gleiche wie das Benennen eines Gatewaysubnetzes. Hierbei handelt es sich um den Namen des Gatewayobjekts, das Sie erstellen.
Region: Wählen Sie die Region aus, in der Sie diese Ressource erstellen möchten. Die Region für das Gateway muss der des virtuellen Netzwerks entsprechen.
Gatewaytyp: Wählen Sie VPN aus. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.
SKU: Wählen Sie in der Dropdownliste die Gateway-SKU aus, welche die Features unterstützt, die Sie verwenden wollen. Informationen hierzu finden Sie unter Gateway-SKUs. VZ-SKUs unterstützen Verfügbarkeitszonen.
Generation: Wählen Sie die zu verwendende Generation aus. Es wird empfohlen, eine Generation2-SKU zu verwenden. Weitere Informationen finden Sie unter Gateway-SKUs.
Virtuelles Netzwerk: Wählen Sie in der Dropdownliste das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen wollen. Wenn Sie das virtuelle Netzwerk, für das Sie ein Gateway erstellen möchten, nicht sehen können, vergewissern Sie sich, dass Sie bei den vorherigen Einstellungen das richtige Abonnement und die richtige Region ausgewählt haben.
Gateway-Subnetzadressbereich oder Subnetz: Das Gatewaysubnetz ist erforderlich, um ein VPN-Gateway zu erstellen.
Zu diesem Zeitpunkt kann dieses Feld verschiedene Einstellungsoptionen aufweisen, je nach Adressraum des virtuellen Netzwerks und ob Sie bereits ein Subnetz mit dem Namen GatewaySubnet für Ihr virtuelles Netzwerk erstellt haben.
Wenn Sie nicht über ein Gatewaysubnetz verfügen und die Option zum Erstellen eines Gateways auf dieser Seite nicht angezeigt wird, wechseln Sie zu Ihrem virtuellen Netzwerk zurück und erstellen das Gatewaysubnetz. Kehren Sie dann zu dieser Seite zurück, und konfigurieren Sie das VPN-Gateway.
Geben Sie die Werte für Öffentliche IP-Adresse an. Mit diesen Einstellungen wird das Objekt für die öffentliche IP-Adresse angegeben, das dem VPN-Gateway zugeordnet wird. Wenn Sie ein Objekt einer öffentlichen IP-Adresse erstellen, wird dem Objekt eine IP-Adresse zugewiesen. Das Objekt der öffentlichen IP-Adresse wird dann dem Gateway zugeordnet. Für Gateways, die nicht zonenredundant sind, ändert sich die öffentliche IP-Adresse nur, wenn das Gateway gelöscht und neu erstellt wird. Sie ändert sich nicht, wenn die Größe geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden. Sie müssen ein Objekt einer öffentlichen IP-Adresse zuordnen, das die SKU Standard verwendet. Das Objekt für öffentliche IP-Adressen der SKU „Basic“ wird nur für VPN-Gateways der SKU „Basic“ unterstützt.
- Öffentliche IP-Adresse: Lassen Sie Neu erstellen aktiviert.
- Öffentliche IP-Adresse: Geben Sie im Textfeld einen Namen für die öffentliche IP-Adressinstanz ein.
- Zuordnung: „Statisch“ wird automatisch ausgewählt.
- Aktiv/Aktiv-Modus aktivieren: Wählen Sie Aktiviert aus.
- Zweite öffentliche IP-Adresse: Wählen Sie Neu erstellen aus.
- Öffentliche IP-Adresse: Name der zweiten öffentlichen IP-Adresse.
- Belassen Sie für BGP konfigurieren den Wert Deaktiviert, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich. Sollte diese Einstellung erforderlich sein, lautet die Standard-ASN 65515, andere ASNs können jedoch verwendet werden.
Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus.
Wählen Sie nach Abschluss der Validierung Erstellen aus, um das VPN-Gateway bereitzustellen.
Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt. Nach der Erstellung des Gateways können Sie die zugewiesene IP-Adresse unter dem Virtual Network im Portal anzeigen. Das Gateway wird als verbundenes Gerät angezeigt.
Wichtig
Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.
Aktualisieren eines vorhandenen VPN-Gateways
Dieser Abschnitt zeigt Ihnen, wie Sie den Modus eines vorhandenen Azure-VPN-Gateways vom Aktiv/Standby-Modus in den Aktiv/Aktiv-Modus und vom Aktiv/Aktiv-Modus in den Aktiv/Standby-Modus ändern. Wenn Sie ein Aktiv/Standby- in ein Aktiv/Aktiv-Gateway ändern, erstellen Sie eine weitere öffentliche IP-Adresse und fügen anschließend eine zweite Gateway-IP-Konfiguration hinzu.
Ändern des Aktiv/Standby-Modus in den Aktiv/Aktiv-Modus
Führen Sie die folgenden Schritte aus, um das Gateway im Aktiv/Standby-Modus in den Aktiv/Aktiv-Modus zu konvertieren. Wenn Ihr Gateway mithilfe des Resource Manager-Bereitstellungsmodells erstellt wurde, können Sie das Upgrade der SKU auch auf dieser Seite durchführen.
Navigieren Sie zu der Seite für Ihr Gateway für virtuelle Netzwerke.
Wählen Sie im linken Menü die Option Konfiguration aus.
Konfigurieren Sie auf der Seite Konfiguration die folgenden Einstellungen:
- Ändern Sie den Aktiv/Aktiv-Modus in Aktiviert.
- Klicken Sie auf Neue hinzufügen, um eine weitere öffentliche IP-Adresse hinzuzufügen. Wenn Sie bereits über eine zuvor erstellte IP-Adresse verfügen, die für diese Ressource verfügbar ist, können Sie sie stattdessen in der Dropdownliste Zweite öffentliche IP-Adresse auswählen.
Geben Sie auf der Seite Öffentliche IP-Adresse auswählen entweder eine vorhandene öffentliche IP-Adresse an, die den Kriterien entspricht, oder wählen Sie +Neu erstellen aus, um eine neue öffentliche IP-Adresse zu erstellen, die für die zweite VPN-Gatewayinstanz verwendet wird. Nachdem Sie die zweite öffentliche IP-Adresse angegeben haben, klicken Sie auf OK.
Klicken Sie oben auf der Seite Konfiguration auf Speichern. Diese Aktualisierung kann 30 bis 45 Minuten dauern.
Wichtig
Beachten Sie bei der Ausführung von BGP-Sitzungen, dass sich die Azure VPN Gateway-BGP-Konfiguration ändert und zwei neu zugewiesene BGP-IP-Adressen innerhalb des Adressbereichs des Gatewaysubnetzes bereitgestellt werden. Die alte Azure VPN Gateway-BGP-IP-Adresse ist nicht mehr vorhanden. Dies führt zu Downtime, und eine Aktualisierung der BGP-Peers auf den lokalen Geräten ist erforderlich. Sobald die Bereitstellung des Gateways abgeschlossen ist, können die neuen BGP-IP-Adressen abgerufen werden, und die lokale Gerätekonfiguration muss entsprechend aktualisiert werden. Dies gilt für nicht APIPA-BGP-IP-Adressen. Informationen zum Konfigurieren von BGP in Azure finden Sie unter Konfigurieren von BGP für Azure-VPN-Gateways.
Ändern des Aktiv/Aktiv-Modus in den Aktiv/Standby-Modus
Führen Sie die folgenden Schritte aus, um das Gateway im Aktiv/Aktiv-Modus in den Aktiv/Standby-Modus zu konvertieren.
Navigieren Sie zu der Seite für Ihr Gateway für virtuelle Netzwerke.
Wählen Sie im linken Menü die Option Konfiguration aus.
Ändern Sie auf der Seite Konfiguration den Aktiv/Aktiv-Modus in Deaktiviert.
Klicken Sie oben auf der Seite Konfiguration auf Speichern.
Wichtig
Beachten Sie bei der Ausführung von BGP-Sitzungen, dass die Azure VPN Gateway-BGP-Konfiguration von zwei BGP-IP-Adressen in eine einzelne BGP-Adresse geändert wird. Die Plattform weist im Allgemeinen die letzte verwendbare IP-Adresse des Gatewaysubnetzes zu. Dies führt zu Downtime, und eine Aktualisierung der BGP-Peers auf den lokalen Geräten ist erforderlich. Dies gilt für nicht APIPA-BGP-IP-Adressen. Informationen zum Konfigurieren von BGP in Azure finden Sie unter Konfigurieren von BGP für Azure-VPN-Gateways.
Nächste Schritte
Informationen zum Konfigurieren der Verbindungen finden Sie in den folgenden Artikeln: