Magas rendelkezésre állású helyek közötti és virtuális hálózatok közötti kapcsolat

  • Cikk

Ez a cikk áttekintést nyújt a létesítmények közötti és a virtuális hálózatok közötti kapcsolatokra vonatkozó magas rendelkezésre állású konfigurációs lehetőségekről az Azure-alapú VPN-átjárók használatával.

Tudnivalók a VPN-átjáró redundanciáról

Minden egyes Azure-alapú VPN-átjáró két példányból áll, amelyek aktív-készenléti konfigurációban vannak. Az aktív példányt érintő bármilyen tervezett karbantartás vagy nem tervezett kimaradás esetén a készenléti példány automatikusan átveszi az aktív szerepét (feladatátvétel), és fenntartja az S2S VPN- vagy a virtuális hálózatok közötti kapcsolatokat. The switch over will cause a brief interruption. For planned maintenance, the connectivity should be restored within 10 to 15 seconds. Nem tervezett problémák esetén a kapcsolat helyreállítása hosszabb, a legrosszabb esetben körülbelül 1–3 perc. Az átjáróval létesített P2S VPN-ügyfélkapcsolatok esetében a P2S-kapcsolatok megszakadnak, és a felhasználóknak újra kell csatlakozniuk az ügyfélszámítógépekről.

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Magas rendelkezésre állású helyek közötti

A helyek közötti kapcsolatok jobb rendelkezésre állása érdekében néhány lehetőség áll rendelkezésre:

  • Több helyszíni VPN-eszköz
  • Aktív-aktív Azure-alapú VPN-átjáró
  • A kettő kombinációja

Több helyszíni VPN-eszköz

Az alábbi ábrán látható módon több VPN-eszközt is használhat a helyszíni hálózatából az Azure-alapú VPN-átjáróhoz való csatlakozásra:

Diagram shows multiple on-premises sites with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Ez a konfiguráció több aktív alagutat biztosít ugyanabból az Azure-alapú VPN-átjáróból az azonos helyen lévő helyszíni eszközeihez. Van néhány követelmény és megkötés:

  1. Több S2S VPN-kapcsolatot kell létesítenie a VPN-eszközök és az Azure között. Ha több VPN-eszközt csatlakoztat ugyanabból a helyszíni hálózatból az Azure-hoz, minden VPN-eszközhöz létre kell hoznia egy helyi hálózati átjárót, és egy kapcsolatot az Azure VPN-átjáróról minden helyi hálózati átjáróhoz.
  2. A VPN-eszközöknek megfelelő helyi hálózati átjáróknak egyedi nyilvános IP-címmel kell rendelkezniük a GatewayIpAddress tulajdonságban.
  3. Ehhez a konfigurációhoz BGP szükséges. A VPN-eszközöknek megfelelő összes helyi hálózati átjáróhoz meg kell adnia egy egyedi BGP társ IP-címet a BgpPeerIpAddress tulajdonságban.
  4. Az azonos helyszíni hálózatok előtagjait BGP használatával kell meghirdetnie az Azure-alapú VPN-átjárónak, hogy a forgalom továbbítása egyszerre történjen ezeken az alagutakon keresztül.
  5. Egyenlő költségű többútvonalos útválasztást (ECMP) kell használnia.
  6. A rendszer minden kapcsolatot az Azure VPN-átjáró alagútjainak maximális számával számol. Az alagutakról, kapcsolatokról és átviteli sebességről a VPN Gateway beállításainak oldalán tájékozódhat.

Ebben a konfigurációban az Azure-alapú VPN-átjáró továbbra is aktív-készenléti állapotban van, ezért a feladatátvétel és a rövid megszakítás továbbra is bekövetkezik a fent leírtak szerint. Ez a beállítás viszont védelmet nyújt a hibák vagy megszakítások ellen a helyszíni hálózat és a VPN-eszközök esetében.

Aktív-aktív VPN-átjárók

Azure VPN-átjárót aktív-aktív konfigurációban hozhat létre, ahol az átjáró virtuális gépek mindkét példánya S2S VPN-alagutakat hoz létre a helyszíni VPN-eszközhöz, ahogy az alábbi ábra is mutatja:

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to two active Azure V P N gateway to connect to subnets hosted in Azure.

Ebben a konfigurációban minden Azure Gateway-példány egyedi nyilvános IP-címmel rendelkezik, és mindegyik létrehoz egy IPsec/IKE S2S VPN-alagutat a helyi hálózati átjáróban és -kapcsolatban megadott helyszíni VPN-eszközhöz. Vegye figyelembe, hogy valójában mindkét VPN-alagút azonos kapcsolat része. Továbbra is konfigurálnia kell a helyszíni VPN-eszközt, hogy két S2S VPN-alagutat fogadjon el vagy hozzon létre a két nyilvános Azure VPN Gateway IP-címhez.

Mivel az Azure-átjárópéldányok konfigurációja aktív-aktív, az Azure virtuális hálózat és a helyszíni hálózat közötti forgalom továbbítása még akkor is egyszerre történik a két alagúton, ha a helyszíni VPN-eszköz előnyben részesíti az egyik alagutat a másikhoz képest. Egyetlen TCP- vagy UDP-folyamat esetén az Azure ugyanazt az alagutat próbálja használni, amikor csomagokat küld a helyszíni hálózatnak. A helyszíni hálózat azonban egy másik alagút használatával küldhet csomagokat az Azure-ba.

Ha az egyik átjárópéldány esetében tervezett karbantartás vagy nem tervezett esemény következik be, az adott példány és a helyszíni VPN-eszköz közötti IPsec-alagút megszakad. A VPN-eszköz megfelelő útvonalait a rendszer automatikusan eltávolítja vagy visszavonja, hogy a forgalom a másik aktív IPsec-alagútra kerüljön át. Az Azure részéről az érintett példányról az aktív példányra való átállás automatikusan megtörténik.

Kettős redundancia: aktív-aktív VPN-átjárók az Azure és a helyszíni hálózatok számára egyaránt

A legmegbízhatóbb megoldás az aktív-aktív átjárók kombinálása a hálózaton és az Azure-ban is, ahogy az az alábbi ábrán is látható.

Diagram shows a Dual Redundancy scenario.

Itt egy aktív-aktív konfigurációban hozza létre és állítja be az Azure VPN-átjárót, és hozzon létre két helyi hálózati átjárót és két kapcsolatot a két helyszíni VPN-eszközhöz a fent leírtak szerint. Az eredmény 4 IPsec-alagút szoros hálókapcsolata az Azure virtuális hálózat és a helyszíni hálózat között.

Az Összes átjáró és alagút aktív az Azure-oldalról, így a forgalom egyszerre oszlik el mind a 4 alagút között, bár minden TCP- vagy UDP-folyamat ismét ugyanazt az alagutat vagy útvonalat követi az Azure-oldalról. A forgalom elosztása ellenére valamennyivel jobb átviteli sebességet tapasztalhat az IPsec-alagutak esetében, de ennek a konfigurációnak a magas rendelkezésre állás az elsődleges célja. A szórás statisztikai jellege miatt nehéz megállapítani, hogy a különböző alkalmazásforgalmi feltételek milyen hatással lesznek az összesített átviteli sebességre.

Ehhez a topológiához két helyi hálózati átjáróra és két kapcsolatra van szükség a helyszíni VPN-eszközök párjának támogatásához, és a BGP-nek engedélyeznie kell a két kapcsolatot ugyanahhoz a helyszíni hálózathoz. Ezek a követelmények megegyeznek a fentiekkel.

Magas rendelkezésre állású virtuális hálózatok közötti hálózat

Ugyanez az aktív-aktív konfiguráció az Azure virtuális hálózatok közötti kapcsolatokra is alkalmazható. Mindkét virtuális hálózathoz létrehozhat aktív-aktív VPN-átjárókat, és összekapcsolhatja őket úgy, hogy a két virtuális hálózat között 4 alagút teljes hálókapcsolata legyen, ahogyan az alábbi ábrán látható:

Diagram shows two Azure regions hosting private I P subnets and two Azure V P N gateways through which the two virtual sites connect.

Ez biztosítja, hogy bármilyen tervezett karbantartási esemény esetében legyen két alagút a két virtuális hálózat között, ami még jobb rendelkezésre állást eredményez. Bár az azonos topológia a létesítmények közötti kapcsolatok esetében két kapcsolatot igényel, a fent bemutatott virtuális hálózatok közötti topológiához az egyes átjárókhoz csak egy kapcsolat szükséges. Emellett a BGP használata nem kötelező, kivéve, ha a virtuális hálózatok közötti kapcsolat esetében átmenő útválasztásra van szükség.

Következő lépések

Lásd: Aktív-aktív átjárók konfigurálása az Azure Portal vagy a PowerShell használatával.