Udostępnij za pośrednictwem

Projektowanie łączności bramy o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi

  • Artykuł

Ten artykuł pomaga zrozumieć, jak zaprojektować łączność bramy o wysokiej dostępności dla połączeń między lokalizacjami i sieciami wirtualnymi.

Informacje o nadmiarowości bramy sieci VPN

Każda brama Azure VPN Gateway składa się z dwóch wystąpień działających w konfiguracji aktywne-w gotowości. W przypadku każdej planowanej konserwacji lub nieplanowanych zakłóceń działania aktywnego wystąpienia wystąpienie w trybie gotowości automatycznie przejmie zadanie (tryb failover) i wznowi połączenia typu lokacja-lokacja (S2S) przez sieć VPN lub między sieciami wirtualnymi. Przełączenie spowoduje krótką przerwę w działaniu. W przypadku planowanej konserwacji łączność powinna zostać przywrócona w ciągu od 10 do 15 sekund. W przypadku nieplanowanych problemów odzyskiwanie połączenia jest dłuższe, około 1 do 3 minut w najgorszym przypadku. W przypadku połączeń klienta sieci VPN punkt-lokacja z bramą połączenia punkt-lokacja są rozłączone, a użytkownicy muszą ponownie łączyć się z maszynami klienckimi.

Diagram przedstawia lokację lokalną z prywatnymi podsieciami I P I oraz lokalną sieciĄ P N połączoną z aktywną bramą P N platformy Azure w celu nawiązania połączenia z podsieciami hostowanymi na platformie Azure z dostępną bramą rezerwową.

Wiele lokalizacji o wysokiej dostępności

Aby zapewnić lepszą dostępność połączeń obejmujących wiele lokalizacji, dostępnych jest kilka opcji:

  • Wiele lokalnych urządzeń sieci VPN
  • Brama Azure VPN Gateway w konfiguracji aktywne-aktywne
  • Połączenie obu tych opcji

Wiele lokalnych urządzeń sieci VPN

Można nawiązywać połączenie z bramą Azure VPN Gateway z sieci lokalnej przy użyciu wielu urządzeń, jak przedstawiono na poniższym diagramie:

Diagram przedstawia wiele lokacji lokalnych z podsieciami prywatnych adresów IP i lokalną siecią VPN połączoną z aktywną bramą sieci VPN platformy Azure w celu nawiązania połączenia z podsieciami hostowanymi na platformie Azure z dostępną bramą rezerwową.

Ta konfiguracja zapewnia wiele aktywnych tuneli z tej samej bramy Azure VPN Gateway do urządzeń lokalnych w tej samej lokalizacji. Istnieją pewne wymagania i ograniczenia:

  1. Należy utworzyć wiele połączeń typu lokacja-lokacja sieci VPN z urządzeń sieci VPN do platformy Azure. W przypadku łączenia wielu urządzeń sieci VPN z tej samej sieci lokalnej z platformą Azure należy utworzyć jedną bramę sieci lokalnej dla każdego urządzenia sieci VPN i jedno połączenie z bramy sieci VPN platformy Azure do każdej bramy sieci lokalnej.
  2. Bramy sieci lokalnej odpowiadające urządzeniom sieci VPN muszą mieć unikatowe publiczne adresy IP we właściwości „GatewayIpAddress”.
  3. Ta konfiguracja wymaga użycia protokołu BGP. Każda brama sieci lokalnej reprezentującą urządzenie sieci VPN musi mieć unikatowy adres IP elementu równorzędnego protokołu BGP określony we właściwości „BgpPeerIpAddress”.
  4. Należy użyć protokołu BGP, aby anonsować te same prefiksy co prefiksy sieci lokalnej dla bramy Azure VPN Gateway, a cały ruch będzie jednocześnie przekazywany przy użyciu tych tuneli.
  5. Należy użyć routingu wielościeżkowego równego kosztu (ECMP).
  6. Każde połączenie jest liczone w odniesieniu do maksymalnej liczby tuneli dla bramy sieci VPN platformy Azure. Zobacz stronę ustawień usługi VPN Gateway, aby uzyskać najnowsze informacje o tunelach, połączeniach i przepływności.

W tej konfiguracji brama Azure VPN Gateway jest nadal w trybie aktywny-w gotowości, dlatego będzie mieć miejsce to samo zachowanie i krótka przerwa jak w opisie powyżej. Ta konfiguracja chroni przed awariami lub przerwami w działaniu sieci lokalnej i urządzeń sieci VPN.

Bramy sieci VPN aktywne-aktywne

Bramę sieci VPN platformy Azure można utworzyć w konfiguracji aktywne-aktywne, w której oba wystąpienia maszyn wirtualnych bramy ustanawiają tunele sieci VPN typu lokacja-lokacja do lokalnego urządzenia sieci VPN, jak pokazano na poniższym diagramie:

Diagram przedstawia lokację lokalną z prywatnymi podsieciami I P I oraz lokalną sieciĄ P N połączoną z dwiema aktywnymi bramami P N platformy Azure w celu nawiązania połączenia z podsieciami hostowanymi na platformie Azure.

W tej konfiguracji każde wystąpienie bramy platformy Azure ma unikatowy publiczny adres IP, a każde z nich ustanowi tunel VPN protokołu IPsec/IKE S2S na lokalnym urządzeniu sieci VPN określonym w bramie sieci lokalnej i połączeniu. Oba tunele sieci VPN są rzeczywiście częścią tego samego połączenia. Nadal musisz skonfigurować lokalne urządzenie sieci VPN do akceptowania lub ustanawiania dwóch tuneli sieci VPN typu lokacja-lokacja do tych dwóch publicznych adresów IP bramy sieci VPN platformy Azure.

Ponieważ wystąpienia bramy platformy Azure są w konfiguracji aktywne-aktywne, ruch z sieci wirtualnej platformy Azure do sieci lokalnej będzie kierowany przez oba tunele jednocześnie, nawet jeśli lokalne urządzenie sieci VPN może sprzyjać jednemu tunelowi. W przypadku pojedynczego przepływu TCP lub UDP platforma Azure próbuje użyć tego samego tunelu podczas wysyłania pakietów do sieci lokalnej. Jednak sieć lokalna może używać innego tunelu do wysyłania pakietów na platformę Azure.

W przypadku planowanej konserwacji lub nieplanowanego zdarzenia dotyczącego jednego wystąpienia bramy tunel IPsec z tego wystąpienia do lokalnego urządzenia sieci VPN zostanie rozłączony. Odpowiednie trasy na urządzeniach sieci VPN powinny zostać automatycznie usunięte lub wycofane, aby umożliwić przełączenie ruchu do innego aktywnego tunelu IPsec. Po stronie platformy Azure przełączenie z wystąpienia, którego dotyczy problem, do aktywnego wystąpienia nastąpi automatycznie.

Podwójna nadmiarowość: bramy sieci VPN w konfiguracji aktywne-aktywne dla platformy Azure i sieci lokalnych

Najbardziej niezawodną opcją jest połączenie bram active-active-active zarówno w sieci, jak i na platformie Azure, jak pokazano na poniższym diagramie.

Diagram przedstawia scenariusz podwójnej nadmiarowości.

W tym miejscu utworzysz i skonfigurujesz bramę sieci VPN platformy Azure w konfiguracji aktywne-aktywne, a następnie utworzysz dwie bramy sieci lokalnej i dwa połączenia dla dwóch lokalnych urządzeń sieci VPN zgodnie z powyższym opisem. Wynikiem jest pełna siatka łączności składająca się z 4 tuneli IPsec między siecią wirtualną Azure i siecią lokalną.

Wszystkie bramy i tunele są aktywne po stronie platformy Azure, więc ruch jest rozłożony między wszystkie 4 tunele jednocześnie, chociaż każdy przepływ TCP lub UDP będzie ponownie podążał za tym samym tunelem lub ścieżką po stronie platformy Azure. Pomimo rozłożenia ruchu przepływność przy użyciu tuneli IPsec może być nieznacznie wyższa, jednak głównym celem tej konfiguracji jest wysoka dostępność. Ze względu na statystyczny charakter rozkładu trudno jest podać pomiar sposobu, w jaki różne warunki ruchu aplikacji wpłyną na zagregowaną przepływność.

Ta topologia wymaga dwóch bram sieci lokalnej i dwóch połączeń do obsługi pary lokalnych urządzeń sieci VPN, a protokół BGP jest wymagany, aby umożliwić równoczesną łączność z dwiema połączeniami z tą samą siecią lokalną. Te wymagania są takie same jak powyżej.

Sieć wirtualna o wysokiej dostępności

Tę samą konfigurację typu aktywne-aktywne można również zastosować w przypadku połączeń między sieciami wirtualnymi platformy Azure. Możesz utworzyć bramy sieci VPN aktywne-aktywne dla obu sieci wirtualnych i połączyć je ze sobą w celu utworzenia tej samej pełnej siatki łączności 4 tuneli między dwiema sieciami wirtualnymi, jak pokazano na poniższym diagramie:

Diagram przedstawia dwa regiony platformy Azure obsługujące prywatne podsieci I P i dwie bramy P N platformy Azure, za pośrednictwem których łączą się dwie lokacje wirtualne.

W tej konfiguracji zawsze istnieje para tuneli między dwiema sieciami wirtualnymi w przypadku planowanych zdarzeń konserwacji, co zapewnia jeszcze lepszą dostępność. Mimo że ta sama topologia dla łączności obejmującej wiele lokalizacji wymaga dwóch połączeń, topologia łączności między sieciami wirtualnymi będzie wymagać tylko jednego połączenia dla każdej bramy. Ponadto użycie protokołu BGP jest opcjonalne, o ile routing tranzytowy za pośrednictwem połączenia między sieciami wirtualnymi nie jest wymagany.

Następne kroki

Zobacz Konfigurowanie bram aktywnych-aktywnych przy użyciu witryny Azure Portal lub programu PowerShell.