À propos des passerelles VPN en mode actif/actif
Les passerelles VPN Azure peuvent être configurées en mode actif/passif ou actif/actif. Cet article explique les configurations de passerelle en mode actif-actif et met l’accent sur les avantages de l’utilisation du mode actif-actif.
Pourquoi créer une passerelle de type actif/actif ?
Les passerelles VPN sont constituées de deux instances dans une configuration de type actif/passif, sauf si vous spécifiez le mode actif/actif. En mode actif-passif, pendant une maintenance planifiée ou une interruption non planifiée affectant l’instance active, le comportement est le suivant :
- S2S et VNet-to-VNet : L’instance de type passive prend automatiquement le relais (basculement) et reprend les connexions VPN site à site (S2S) ou de réseau virtuel à réseau virtuel (VNet-to-VNet). Ce basculement entraîne une brève interruption. En cas de maintenance planifiée, la connectivité est rétablie rapidement. Pour les problèmes non planifiés, le rétablissement de la connexion est plus long.
- P2S : Pour les connexions de clients VPN point à site (P2S) à la passerelle, les connexions P2S sont déconnectées. Les utilisateurs doivent se reconnecter à partir des ordinateurs clients.
Pour éviter des interruptions, créez votre passerelle en mode actif-actif ou faites passer la passerelle du mode actif-passif au mode actif-actif.
Conception de type actif/actif
Dans une configuration active-active pour une connexion S2S, les deux instances des VM de passerelle établissent des tunnels VPN S2S vers votre appareil local VPN, comme le montre le diagramme suivant :
Dans cette configuration, chaque instance de passerelle Azure a une adresse IP publique unique, et chacune va établir un tunnel VPN S2S IPsec/IKE vers l’appareil VPN local. Les deux tunnels font partie de la même connexion. Configurez votre appareil VPN local pour qu’il accepte deux tunnels VPN S2S, un pour chaque instance de passerelle. Les connexions P2S aux passerelles en mode actif-actif ne nécessitent pas de configuration supplémentaire.
Dans une configuration actif-actif, Azure route le trafic de votre réseau virtuel vers votre réseau local via les deux tunnels simultanément, même si votre appareil VPN local peut privilégier un tunnel plutôt que l’autre. Dans le cas d’un seul canal TCP ou UDP, Azure tente d’utiliser le même tunnel lors de l’envoi de paquets au réseau local. Cependant, votre réseau local peut utiliser un autre tunnel pour renvoyer des paquets à Azure.
Lorsqu’une instance de passerelle est affectée par une maintenance planifiée ou un événement imprévu, le tunnel IPsec entre votre périphérique VPN local et cette instance est déconnecté. Les itinéraires correspondants sur vos périphériques VPN doivent être supprimés ou retirés automatiquement afin de permettre le basculement du trafic sur l’autre tunnel IPsec actif. Du côté d’Azure, le basculement se fera automatiquement de l’instance affectée vers l’autre instance active.
Remarque
Pour les connexions S2S avec une passerelle VPN en mode actif/actif, vérifiez que les tunnels sont mis en place sur chaque instance de machine virtuelle de passerelle. Si vous mettez en place un tunnel vers une seule instance de machine virtuelle de passerelle, la connexion tombe en panne pendant la maintenance. Si votre appareil VPN ne prend pas en charge cette configuration, configurez votre passerelle de façon à utiliser le mode de secours actif à la place.
Conception de type actif/actif à double redondance
L’option de conception la plus fiable consiste à combiner les passerelles de type actif/actif à la fois sur votre réseau et sur Azure, comme illustré dans le schéma suivant.
Dans cette configuration, vous créez et vous configurez la passerelle VPN Azure en mode actif-actif. Vous créez deux passerelles de réseau local et deux connexions pour vos deux appareils VPN locaux. Vous obtenez une connectivité entièrement maillée pour les quatre tunnels IPsec qui relient votre réseau virtuel Azure à votre réseau local.
Toutes les passerelles et tous les tunnels sont actifs du côté d’Azure, de sorte que le trafic est réparti entre les quatre tunnels simultanément, bien que chaque flux TCP ou UDP suive le même tunnel ou le même chemin du côté d’Azure. Même si la répartition du trafic permet d’améliorer légèrement le débit des tunnels IPsec, l’objectif premier de cette configuration est la haute disponibilité. Et en raison de la nature statistique de la propagation, il est difficile de déterminer de quelle manière les différentes conditions de trafic d’applications affecteront le débit global.
Cette topologie nécessite deux passerelles de réseau local et deux connexions pour prendre en charge la paire d’appareils VPN locaux. Pour plus d’informations, consultez À propos de la connectivité hautement disponible.
Configurer une passerelle de type actif/actif
Vous pouvez configurer une passerelle de type actif/actif à l’aide du Portail Azure, de PowerShell ou de l’interface de ligne de commande (CLI). Vous pouvez également modifier une passerelle de type actif/passif en mode actif/actif. Pour connaître les étapes, consultez Modifier une passerelle afin qu’elle soit de type actif/actif.
La configuration d’une passerelle de type actif/actif est légèrement différente de celle d’une passerelle de type actif/passif.
- Il n’est pas possible de configurer une passerelle de type actif/actif à l’aide de la référence SKU de passerelle de base.
- Le VPN doit être basé sur un itinéraire. Il ne peut pas être basé sur une stratégie.
- Deux adresses IP publiques sont nécessaires. Les deux doivent être des adresses IP publiques de référence SKU Standard qui sont affectées en tant qu’adresses Statiques.
- Une configuration de passerelle de type actif/actif a le même coût qu’une configuration de type actif/passif. Toutefois, les configurations de type actif/actif ont besoin de deux adresses IP publiques au lieu d’une seule. Consultez Tarification des adresses IP.
Réinitialiser une passerelle de type actif/actif
Si vous devez réinitialiser une passerelle de type actif/actif, vous pouvez réinitialiser les deux instances à l’aide du portail. Vous pouvez également utiliser PowerShell ou l’interface CLI pour réinitialiser chaque instance de passerelle séparément en utilisant des adresses IP virtuelles d’instance. Consultez Réinitialiser une connexion ou une passerelle.