Informazioni sui gateway VPN con modalità attiva-attiva
I gateway VPN di Azure possono essere configurati con modalità attiva-standby o attiva-attiva. Questo articolo illustra le configurazioni del gateway in modalità attiva-attiva ed evidenzia i vantaggi dell'uso della modalità attiva-attiva.
Perché creare un gateway con modalità attiva-attiva?
I gateway VPN sono costituiti da due istanze in una configurazione con modalità attiva-standby, a meno che non venga specificata la modalità attiva-attiva. In modalità standby attivo, durante qualsiasi manutenzione pianificata o interruzione non pianificata che influisce sull'istanza attiva, si verifica il comportamento seguente:
- Da sito a sito e da rete virtuale a rete virtuale: l'istanza in modalità standby acquisisce automaticamente la precedenza (failover) e riprende le connessioni VPN da sito a sito o da rete virtuale a rete virtuale. Questo passaggio causa una breve interruzione. Per la manutenzione pianificata, la connettività viene ripristinata rapidamente. Per i problemi non pianificati, il ripristino della connessione impiega più tempo.
- Da punto a sito: per le connessioni client VPN da punto a sito al gateway, le connessioni da punto a sito vengono disconnesse. Gli utenti devono riconnettersi dai computer client.
Per evitare interruzioni, creare il gateway in modalità attiva-attiva o impostare un gateway attivo-standby su attivo-attivo.
Progettazione con modalità attiva-attiva
In una configurazione attiva-attiva per una connessione da sito a sito, entrambe le istanze delle macchine virtuali del gateway stabiliscono tunnel VPN da sito a sito al dispositivo VPN locale, come illustrato nel diagramma seguente:
In questa configurazione, ogni istanza del gateway di Azure ha un indirizzo IP pubblico univoco e ognuno stabilisce un tunnel VPN IPsec/IKE S2S al dispositivo VPN locale. Entrambi i tunnel fanno parte della stessa connessione. Configurare il dispositivo VPN locale per accettare due tunnel VPN da sito a sito, uno per ogni istanza del gateway. Le connessioni da sito a sito ai gateway in modalità attiva-attiva non richiedono alcuna configurazione aggiuntiva.
In una configurazione attiva-attiva, Azure instrada il traffico dalla rete virtuale alla rete locale attraverso entrambi i tunnel contemporaneamente, anche se il dispositivo VPN locale potrebbe favorire un tunnel sull'altro. Per un singolo flusso TCP o UDP, Azure prova a usare lo stesso tunnel durante l'invio di pacchetti alla rete locale. Tuttavia, la rete locale potrebbe usare un tunnel diverso per inviare pacchetti ad Azure.
In caso di evento imprevisto o di manutenzione pianificata in un'istanza del gateway, il tunnel IPsec da tale istanza al dispositivo VPN locale verrà disconnesso. Le route corrispondenti nei dispositivi VPN verranno rimosse o revocate automaticamente in modo che il traffico venga trasferito sull'altro tunnel IPsec attivo. Sul lato Azure, verrà eseguito automaticamente il passaggio dall'istanza interessata all'altra istanza attiva.
Nota
Per le connessioni da sito a sito con un gateway VPN in modalità attiva, assicurarsi che i tunnel vengano stabiliti in ogni istanza di macchina virtuale del gateway. Se si stabilisce un tunnel per una sola istanza di macchina virtuale del gateway, la connessione verrà disattivata durante la manutenzione. Se il dispositivo VPN non supporta questa configurazione, configurare il gateway per la modalità di standby attivo.
Progettazione in modalità attiva-attiva con doppia ridondanza
L'opzione di progettazione più affidabile consiste nel combinare gateway di tipo attivo-attivo sia nella propria rete che in Azure, come illustrato nel diagramma di seguito.
In questa configurazione si crea e si configura il gateway VPN di Azure in modalità attiva-attiva. Si creano due gateway di rete locale e due connessioni per i due dispositivi VPN locali. Si ottiene così una connettività a maglia completa di quattro tunnel IPSec tra la rete virtuale di Azure e la rete locale.
Tutti i gateway e i tunnel sono attivi dal lato Azure e il traffico è distribuito simultaneamente tra tutti e quattro i tunnel, anche se ogni flusso TCP o UDP seguirà lo stesso tunnel o percorso dal lato Azure. Anche se distribuendo il traffico si può rilevare un lieve miglioramento della velocità effettiva sui tunnel IPsec, l'obiettivo principale di questa configurazione è la disponibilità elevata. A causa della natura statistica della distribuzione, è difficile misurare l'impatto di differenti condizioni di traffico delle applicazioni sulla velocità effettiva aggregata.
Questa topologia richiede due gateway di rete locale e due connessioni per supportare la coppia di dispositivi VPN locali. Per altre informazioni, vedere Informazioni sulla connettività disponibilità elevata.
Configurare un gateway con modalità attiva-attiva
È possibile configurare un gateway con modalità attiva-attiva tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando. Inoltre, è possibile modificare un gateway dalla modalità attiva-standby alla modalità attiva-attiva. Per i passaggi, vedere Modificare un gateway con modalità attiva-attiva.
Un gateway con modalità attiva-attiva presenta requisiti di configurazione leggermente diversi rispetto a un gateway con modalità attiva-standby.
- Non è possibile configurare un gateway con modalità attiva-attiva tramite lo SKU del gateway di base.
- La VPN deve essere basata su route. Non può essere basata su criteri.
- Sono necessari due indirizzi IP pubblici. Entrambi devono essere indirizzi IP pubblici con SKU Standard assegnati come statici.
- Una configurazione del gateway con modalità attiva-attiva necessita della stessa configurazione della modalità attiva-standby. Tuttavia, le configurazioni con modalità attiva-attiva richiedono due indirizzi IP pubblici anziché uno. Vedere Prezzi degli indirizzi IP.
Reimpostare un gateway con modalità attiva-attiva
Se è necessario reimpostare un gateway con modalità attiva-attiva, è possibile reimpostare entrambe le istanze tramite il portale. È anche possibile usare PowerShell o l'interfaccia della riga di comando per reimpostare ogni istanza del gateway separatamente usando indirizzi VIP dell'istanza. Vedere Reimpostare una connessione o un gateway.