Łączność między lokalizacjami i sieciami wirtualnymi o wysokiej dostępności

Artykuł
06/23/2023

Ten artykuł zawiera omówienie opcji konfiguracji połączeń obejmujących wiele lokalizacji i połączeń między sieciami wirtualnymi o wysokiej dostępności przy użyciu bram Azure VPN Gateway.

Informacje o nadmiarowości bramy sieci VPN

Każda brama Azure VPN Gateway składa się z dwóch wystąpień działających w konfiguracji aktywne-w gotowości. W przypadku każdej planowanej konserwacji lub nieplanowanych zakłóceń działania aktywnego wystąpienia wystąpienie w trybie gotowości automatycznie przejmie zadanie (tryb failover) i wznowi połączenia typu lokacja-lokacja (S2S) przez sieć VPN lub między sieciami wirtualnymi. Przełączenie spowoduje krótką przerwę w działaniu. W przypadku planowanej konserwacji łączność powinna zostać przywrócona w ciągu od 10 do 15 sekund. W przypadku nieplanowanych problemów odzyskiwanie połączenia jest dłuższe, około 1 do 3 minut w najgorszym przypadku. W przypadku połączeń klienta sieci VPN punkt-lokacja z bramą połączenia punkt-lokacja są rozłączone, a użytkownicy muszą ponownie łączyć się z maszynami klienckimi.

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Wiele lokalizacji o wysokiej dostępności

Aby zapewnić lepszą dostępność połączeń obejmujących wiele lokalizacji, dostępnych jest kilka opcji:

Wiele lokalnych urządzeń sieci VPN
Brama Azure VPN Gateway w konfiguracji aktywne-aktywne
Połączenie obu tych opcji

Wiele lokalnych urządzeń sieci VPN

Można nawiązywać połączenie z bramą Azure VPN Gateway z sieci lokalnej przy użyciu wielu urządzeń, jak przedstawiono na poniższym diagramie:

Diagram shows multiple on-premises sites with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Ta konfiguracja zapewnia wiele aktywnych tuneli z tej samej bramy Azure VPN Gateway do urządzeń lokalnych w tej samej lokalizacji. Istnieją pewne wymagania i ograniczenia:

Należy utworzyć wiele połączeń typu lokacja-lokacja sieci VPN z urządzeń sieci VPN do platformy Azure. W przypadku łączenia wielu urządzeń sieci VPN z tej samej sieci lokalnej z platformą Azure należy utworzyć jedną bramę sieci lokalnej dla każdego urządzenia sieci VPN i jedno połączenie z bramy sieci VPN platformy Azure do każdej bramy sieci lokalnej.
Bramy sieci lokalnej odpowiadające urządzeniom sieci VPN muszą mieć unikatowe publiczne adresy IP we właściwości „GatewayIpAddress”.
Ta konfiguracja wymaga użycia protokołu BGP. Każda brama sieci lokalnej reprezentującą urządzenie sieci VPN musi mieć unikatowy adres IP elementu równorzędnego protokołu BGP określony we właściwości „BgpPeerIpAddress”.
Należy użyć protokołu BGP, aby anonsować te same prefiksy co prefiksy sieci lokalnej dla bramy Azure VPN Gateway, a cały ruch będzie jednocześnie przekazywany przy użyciu tych tuneli.
Należy użyć routingu wielościeżkowego równego kosztu (ECMP).
Każde połączenie jest liczone w odniesieniu do maksymalnej liczby tuneli dla bramy sieci VPN platformy Azure. Zobacz stronę ustawień usługi VPN Gateway, aby uzyskać najnowsze informacje o tunelach, połączeniach i przepływności.

W tej konfiguracji brama Azure VPN Gateway jest nadal w trybie aktywny-w gotowości, dlatego będzie mieć miejsce to samo zachowanie i krótka przerwa jak w opisie powyżej. Ta konfiguracja chroni przed awariami lub przerwami w działaniu sieci lokalnej i urządzeń sieci VPN.

Bramy sieci VPN aktywne-aktywne

Bramę sieci VPN platformy Azure można utworzyć w konfiguracji aktywne-aktywne, w której oba wystąpienia maszyn wirtualnych bramy ustanawiają tunele sieci VPN typu lokacja-lokacja do lokalnego urządzenia sieci VPN, jak pokazano na poniższym diagramie:

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to two active Azure V P N gateway to connect to subnets hosted in Azure.

W tej konfiguracji każde wystąpienie bramy platformy Azure ma unikatowy publiczny adres IP, a każde z nich ustanowi tunel VPN protokołu IPsec/IKE S2S na lokalnym urządzeniu sieci VPN określonym w bramie sieci lokalnej i połączeniu. Należy pamiętać, że oba tunele sieci VPN są w rzeczywistości częścią tego samego połączenia. Nadal musisz skonfigurować lokalne urządzenie sieci VPN do akceptowania lub ustanawiania dwóch tuneli sieci VPN typu lokacja-lokacja do tych dwóch publicznych adresów IP bramy sieci VPN platformy Azure.

Ponieważ wystąpienia bramy platformy Azure są w konfiguracji aktywne-aktywne, ruch z sieci wirtualnej platformy Azure do sieci lokalnej będzie kierowany przez dwa tunele jednocześnie, nawet jeśli lokalne urządzenie sieci VPN może preferować z tuneli. W przypadku pojedynczego przepływu TCP lub UDP platforma Azure próbuje użyć tego samego tunelu podczas wysyłania pakietów do sieci lokalnej. Jednak sieć lokalna może używać innego tunelu do wysyłania pakietów na platformę Azure.

W przypadku planowanej konserwacji lub nieplanowanego zdarzenia dotyczącego jednego wystąpienia bramy tunel IPsec z tego wystąpienia do lokalnego urządzenia sieci VPN zostanie rozłączony. Odpowiednie trasy na urządzeniach sieci VPN powinny zostać automatycznie usunięte lub wycofane, aby umożliwić przełączenie ruchu do innego aktywnego tunelu IPsec. Po stronie platformy Azure przełączenie z wystąpienia, którego dotyczy problem, do aktywnego wystąpienia nastąpi automatycznie.

Podwójna nadmiarowość: bramy sieci VPN w konfiguracji aktywne-aktywne dla platformy Azure i sieci lokalnych

Najbardziej niezawodną opcją jest połączenie bram active-active-active zarówno w sieci, jak i na platformie Azure, jak pokazano na poniższym diagramie.

Diagram shows a Dual Redundancy scenario.

W tym miejscu utworzysz i skonfigurujesz bramę sieci VPN platformy Azure w konfiguracji aktywne-aktywne, a następnie utworzysz dwie bramy sieci lokalnej i dwa połączenia dla dwóch lokalnych urządzeń sieci VPN zgodnie z powyższym opisem. Wynikiem jest pełna siatka łączności składająca się z 4 tuneli IPsec między siecią wirtualną Azure i siecią lokalną.

Wszystkie bramy i tunele są aktywne po stronie platformy Azure, więc ruch jest rozłożony między wszystkie 4 tunele jednocześnie, chociaż każdy przepływ TCP lub UDP będzie ponownie podążał za tym samym tunelem lub ścieżką po stronie platformy Azure. Pomimo rozłożenia ruchu przepływność przy użyciu tuneli IPsec może być nieznacznie wyższa, jednak głównym celem tej konfiguracji jest wysoka dostępność. Ze względu na statystyczny charakter rozkładu trudno jest podać pomiar sposobu, w jaki różne warunki ruchu aplikacji wpłyną na zagregowaną przepływność.

Ta topologia wymaga dwóch bram sieci lokalnej i dwóch połączeń do obsługi pary lokalnych urządzeń sieci VPN, a protokół BGP jest wymagany do zezwalania na dwa połączenia z tą samą siecią lokalną. Te wymagania są takie same jak powyżej.

Sieć wirtualna o wysokiej dostępności

Tę samą konfigurację typu aktywne-aktywne można również zastosować w przypadku połączeń między sieciami wirtualnymi platformy Azure. Możesz utworzyć bramy sieci VPN aktywne-aktywne dla obu sieci wirtualnych i połączyć je ze sobą w celu utworzenia tej samej pełnej siatki łączności 4 tuneli między dwiema sieciami wirtualnymi, jak pokazano na poniższym diagramie:

Diagram shows two Azure regions hosting private I P subnets and two Azure V P N gateways through which the two virtual sites connect.

W tej konfiguracji zawsze istnieje para tuneli między dwiema sieciami wirtualnymi w przypadku planowanych zdarzeń konserwacji, co zapewnia jeszcze lepszą dostępność. Mimo że ta sama topologia dla łączności obejmującej wiele lokalizacji wymaga dwóch połączeń, topologia łączności między sieciami wirtualnymi będzie wymagać tylko jednego połączenia dla każdej bramy. Ponadto użycie protokołu BGP jest opcjonalne, o ile routing tranzytowy za pośrednictwem połączenia między sieciami wirtualnymi nie jest wymagany.

Następne kroki

Zobacz Konfigurowanie bram aktywnych-aktywnych przy użyciu witryny Azure Portal lub programu PowerShell.