Share via

Maximaal beschikbare cross-premises en VNet-naar-VNet-connectiviteit

  • Artikel

Dit artikel bevat een overzicht van maximaal beschikbare configuratieopties voor uw cross-premises en VNet-naar-VNet-connectiviteit met Azure VPN-gateways.

Over vpn-gatewayredundantie

Elke Azure VPN-gateway bestaat uit twee instanties in een actieve stand-byconfiguratie. Bij gepland onderhoud of niet-geplande onderbrekingen die met het actieve exemplaar plaatsvinden, neemt de stand-byinstantie de activiteiten automatisch over (failover) en worden de S2S VPN- of VNet-naar-VNet-verbindingen hervat. De omschakeling veroorzaakt een korte onderbreking. Bij gepland onderhoud moet de connectiviteit binnen 10 tot 15 seconden worden hersteld. Voor niet-geplande problemen is het herstel van de verbinding langer, ongeveer 1 tot 3 minuten in het ergste geval. Voor P2S VPN-clientverbindingen met de gateway worden de P2S-verbindingen verbroken en moeten de gebruikers opnieuw verbinding maken vanaf de clientcomputers.

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Maximaal beschikbare cross-premises

Er zijn enkele opties beschikbaar om een betere beschikbaarheid te bieden voor uw cross-premises verbindingen:

  • Meerdere on-premises VPN-apparaten
  • Actief/actief Azure VPN-gateway
  • Combinatie van beide

Meerdere on-premises VPN-apparaten

U kunt meerdere VPN-apparaten van uw on-premises netwerk gebruiken om verbinding te maken met uw Azure VPN-gateway, zoals in het volgende diagram wordt weergegeven:

Diagram shows multiple on-premises sites with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Deze configuratie biedt meerdere actieve tunnels van dezelfde Azure VPN-gateway op on-premises apparaten op dezelfde locatie. Er zijn enkele vereisten en beperkingen:

  1. U moet meerdere S2S VPN-verbindingen maken van uw VPN-apparaten naar Azure. Wanneer u meerdere VPN-apparaten van hetzelfde on-premises netwerk verbindt met Azure, moet u één lokale netwerkgateway maken voor elk VPN-apparaat en één verbinding van uw Azure VPN-gateway naar elke lokale netwerkgateway.
  2. De lokale netwerkgateways die overeenkomen met uw VPN-apparaten moeten unieke openbare IP-adressen hebben in de eigenschap 'GatewayIpAddress'.
  3. BGP is vereist voor deze configuratie. Elke lokale netwerkgateway voor een VPN-apparaat moet een uniek IP-adres voor BGP-peering hebben in de eigenschap 'BgpPeerIpAddress'.
  4. Gebruik BGP om dezelfde voorvoegsels van dezelfde on-premises netwerkvoorvoegsels te adverteren naar uw Azure VPN-gateway. Het verkeer wordt tegelijkertijd doorgestuurd via deze tunnels.
  5. U moet ECMP (Equal-Cost Multi-Path Routing) gebruiken.
  6. Elke verbinding wordt meegeteld voor het maximum aantal tunnels voor uw Azure VPN-gateway. Zie de pagina met VPN Gateway-instellingen voor de meest recente informatie over tunnels, verbindingen en doorvoer.

In deze configuratie bevindt de Azure VPN-gateway zich nog steeds in de actieve stand-bymodus, dus hetzelfde failovergedrag en de korte onderbreking die hierboven worden beschreven, zullen optreden. Deze installatie beschermt echter tegen storingen of onderbrekingen op uw on-premises netwerk en VPN-apparaten.

Actief-actief VPN-gateways

U kunt een Azure VPN-gateway maken in een actief-actief-configuratie, waarbij beide exemplaren van de gateway-VM's S2S VPN-tunnels tot stand brengen op uw on-premises VPN-apparaat, zoals in het volgende diagram wordt weergegeven:

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to two active Azure V P N gateway to connect to subnets hosted in Azure.

In deze configuratie heeft elk Exemplaar van de Azure-gateway een uniek openbaar IP-adres en wordt er een IPsec-/IKE S2S VPN-tunnel ingesteld op uw on-premises VPN-apparaat dat is opgegeven in uw lokale netwerkgateway en -verbinding. Houd er rekening mee dat beide VPN-tunnels deel uitmaken van dezelfde verbinding. U moet uw on-premises VPN-apparaat nog steeds configureren om twee S2S VPN-tunnels te accepteren of tot stand te brengen voor deze twee openbare IP-adressen van de Azure VPN-gateway.

Omdat de Azure-gatewayexemplaren zich in de configuratie actief/actief bevinden, wordt het verkeer van uw virtuele netwerk van Azure naar uw on-premises netwerk gerouteerd. Dit gebeurt via beide tunnels tegelijkertijd, ook als uw lokale VPN-apparaat een tunnel prioriteit geeft. Voor één TCP- of UDP-stroom probeert Azure dezelfde tunnel te gebruiken bij het verzenden van pakketten naar uw on-premises netwerk. Uw on-premises netwerk kan echter een andere tunnel gebruiken om pakketten naar Azure te verzenden.

Wanneer er gepland onderhoud wordt uitgevoerd op een gatewayexemplaar of er zich een niet-gepland voorval voordoet, wordt de verbinding met de IPsec-tunnel vanuit het betreffende exemplaar met uw on-premises VPN-apparaat verbroken. De bijbehorende routes op uw VPN-apparaten moeten automatisch worden verwijderd of ingetrokken zodat het verkeer wordt omgeleid naar de andere actieve IPsec-tunnel. Vanuit Azure gebeurt de overschakeling van het betreffende exemplaar naar het actieve exemplaar automatisch.

Dubbele redundantie: actief/actief VPN-gateways voor Azure en on-premises netwerken

De meest betrouwbare optie is het combineren van de actief-actieve gateways in uw netwerk en Azure, zoals wordt weergegeven in het volgende diagram.

Diagram shows a Dual Redundancy scenario.

Hier maakt en stelt u de Azure VPN-gateway in een actief-actief-configuratie in en maakt u twee lokale netwerkgateways en twee verbindingen voor uw twee on-premises VPN-apparaten, zoals hierboven beschreven. Het resultaat is een volledig connectiviteitsraster van vier IPsec-tunnels tussen uw virtuele Azure-netwerk en uw on-premises netwerk.

Alle gateways en tunnels zijn actief vanaf de Azure-zijde, dus het verkeer wordt tegelijkertijd verdeeld over alle 4 tunnels, hoewel elke TCP- of UDP-stroom dezelfde tunnel of hetzelfde pad van de Azure-zijde volgt. Ondanks dat de doorvoer via de IPsec-tunnels mogelijk iets verbetert doordat het verkeer wordt verspreid, is het voornaamste doel van deze configuratie maximale beschikbaarheid. En vanwege de statistische aard van de verspreiding is het moeilijk om de meting te geven over hoe verschillende toepassingsverkeersomstandigheden van invloed zijn op de geaggregeerde doorvoer.

Deze topologie vereist twee lokale netwerkgateways en twee verbindingen ter ondersteuning van het paar on-premises VPN-apparaten en BGP is vereist om de twee verbindingen met hetzelfde on-premises netwerk toe te staan. Deze vereisten zijn hetzelfde als die hierboven.

Maximaal beschikbare VNet-naar-VNet

Dezelfde actief/actief-configuratie kan ook worden toegepast op VNet-naar-VNet-verbindingen van Azure. U kunt actief-actieve VPN-gateways maken voor beide virtuele netwerken en deze verbinden om dezelfde volledige mesh-connectiviteit van 4 tunnels tussen de twee VNets te vormen, zoals wordt weergegeven in het volgende diagram:

Diagram shows two Azure regions hosting private I P subnets and two Azure V P N gateways through which the two virtual sites connect.

Hiermee zorgt u ervoor dat er altijd een paar tunnels tussen de twee virtuele netwerken actief is voor gepland onderhoud, waardoor de beschikbaarheid nog beter wordt. Hoewel dezelfde topologie voor cross-premises connectiviteit twee verbindingen vereist, is er voor de VNet-naar-VNet-topologie die hierboven wordt weergegeven slechts één verbinding per gateway nodig. BGP is bovendien optioneel, tenzij doorvoerroutering via de VNet-naar-VNet-verbinding vereist is.

Volgende stappen

Zie Actief-actief-gateways configureren met behulp van Azure Portal of PowerShell.