Vpn-gateways in de actieve modus
Azure VPN-gateways kunnen worden geconfigureerd als actief-stand-by of actief-actief. In dit artikel worden gatewayconfiguraties voor de actief-actieve modus uitgelegd en worden de voordelen van het gebruik van de actief-actiefmodus gemarkeerd.
Waarom een actief-actief-gateway maken?
VPN-gateways bestaan uit twee exemplaren in een actief-stand-byconfiguratie, tenzij u de modus actief-actief opgeeft.
Gedrag van de modus Actief-stand-by
In de modus actief stand-by, tijdens gepland onderhoud of ongeplande onderbrekingen die van invloed zijn op het actieve exemplaar, gebeurt het volgende gedrag:
- S2S en VNet-naar-VNet: het stand-by-exemplaar neemt automatisch over (failover) en hervat de site-naar-site-VPN- of VNet-naar-VNet-verbindingen. Deze overschakeling veroorzaakt een korte onderbreking. Voor gepland onderhoud wordt de connectiviteit snel hersteld. Voor niet-geplande problemen is het herstel van de verbinding langer.
- P2S: Voor punt-naar-site-VPN-clientverbindingen (P2S) met de gateway worden P2S-verbindingen verbroken. Gebruikers moeten opnieuw verbinding maken vanaf de clientcomputers.
Als u onderbrekingen wilt voorkomen, maakt u uw gateway in de actief-actieve modus of schakelt u een actief-stand-by-gateway over naar actief-actief.
Ontwerp van actief-actieve modus
In een actief-actief-configuratie voor een S2S-verbinding maken beide exemplaren van de gateway-VM's S2S VPN-tunnels tot stand met uw on-premises VPN-apparaat, zoals in het volgende diagram:
In deze configuratie heeft elk Exemplaar van de Azure-gateway een uniek openbaar IP-adres en wordt er een IPsec-/IKE S2S VPN-tunnel naar het on-premises VPN-apparaat gemaakt. Beide tunnels maken deel uit van dezelfde verbinding. Configureer uw on-premises VPN-apparaat om twee S2S VPN-tunnels te accepteren, één voor elk gatewayexemplaren. Voor P2S-verbindingen met gateways in de actief-actieve modus is geen aanvullende configuratie vereist.
In een actief-actief-configuratie routeert Azure verkeer van uw virtuele netwerk naar uw on-premises netwerk tegelijkertijd via beide tunnels, zelfs als uw on-premises VPN-apparaat de voorkeur kan geven aan één tunnel via de andere. Voor één TCP- of UDP-stroom probeert Azure dezelfde tunnel te gebruiken bij het verzenden van pakketten naar uw on-premises netwerk. Uw on-premises netwerk kan echter een andere tunnel gebruiken om pakketten terug te sturen naar Azure.
Wanneer er gepland onderhoud wordt uitgevoerd op een gatewayexemplaar of er zich een niet-gepland voorval voordoet, wordt de verbinding met de IPsec-tunnel vanuit het betreffende exemplaar met uw on-premises VPN-apparaat verbroken. De bijbehorende routes op uw VPN-apparaten moeten automatisch worden verwijderd of ingetrokken zodat het verkeer wordt omgeleid naar de andere actieve IPsec-tunnel. Aan de azure-zijde vindt de overschakeling automatisch plaats van het betrokken exemplaar naar het andere actieve exemplaar.
Notitie
Voor S2S-verbindingen met een VPN-gateway in de actief-actieve modus moet u ervoor zorgen dat tunnels tot stand worden gebracht voor elk gateway-VM-exemplaar. Als u een tunnel tot stand brengt naar slechts één gateway-VM-exemplaar, wordt de verbinding verbroken tijdens het onderhoud. Als uw VPN-apparaat deze installatie niet ondersteunt, configureert u in plaats daarvan uw gateway voor de modus Actief stand-by.
Ontwerp van actieve modus met dubbele redundantie
De meest betrouwbare ontwerpoptie is het combineren van de actief-actieve gateways in zowel uw netwerk als Azure, zoals wordt weergegeven in het volgende diagram.
In deze configuratie maakt en stelt u de Azure VPN-gateway in de actief-actiefmodus in. U maakt twee lokale netwerkgateways en twee verbindingen voor uw twee on-premises VPN-apparaten. Het resultaat is een volledige mesh-connectiviteit van vier IPsec-tunnels tussen uw virtuele Azure-netwerk en uw on-premises netwerk.
Alle gateways en tunnels zijn actief vanaf de Azure-zijde, dus het verkeer wordt tegelijkertijd verdeeld over alle vier tunnels, hoewel elke TCP- of UDP-stroom dezelfde tunnel of hetzelfde pad van de Azure-zijde volgt. Hoewel het verkeer wordt verspreid, ziet u mogelijk iets betere doorvoer via de IPsec-tunnels, het primaire doel van deze configuratie is voor hoge beschikbaarheid. En vanwege de statistische aard van de verspreiding is het moeilijk om de meting te geven over hoe verschillende toepassingsverkeersomstandigheden van invloed zijn op de geaggregeerde doorvoer.
Voor deze topologie zijn twee lokale netwerkgateways en twee verbindingen vereist om het paar on-premises VPN-apparaten te ondersteunen. Zie Over maximaal beschikbare connectiviteit voor meer informatie.
Een gateway voor de actief-actieve modus configureren
U kunt een actief-actief-gateway configureren met behulp van Azure Portal, PowerShell of CLI. U kunt ook een actief-stand-by-gateway wijzigen in de modus Actief-actief. Zie Een gateway wijzigen in actief-actief voor de stappen.
Een actief-actief-gateway heeft iets andere configuratievereisten dan een actief-stand-by-gateway.
- U kunt een actief-actief-gateway niet configureren met behulp van de Basic-gateway-SKU.
- De VPN moet worden gerouteerd. Het kan niet op beleid zijn gebaseerd.
- Er zijn twee openbare IP-adressen vereist. Beide moeten openbare IP-adressen van de Standard-SKU zijn die zijn toegewezen als statisch.
- Een actief-actief-gatewayconfiguratie kost hetzelfde als een actief-stand-byconfiguratie. Active-active-configuraties vereisen echter twee openbare IP-adressen in plaats van één. Zie prijzen voor IP-adressen.
Een gateway voor de actief-actieve modus opnieuw instellen
Als u een actief-actief-gateway opnieuw wilt instellen, kunt u beide exemplaren opnieuw instellen met behulp van de portal. U kunt ook PowerShell of CLI gebruiken om elk gateway-exemplaar afzonderlijk opnieuw in te stellen met behulp van VIP's van exemplaren. Zie Een verbinding of gateway opnieuw instellen.