Sobre gateways de VPN de modo ativo-ativo
Os gateways de VPN do Azure podem ser configurados como ativo-em espera ou ativo-ativo. Esse artigo explica as configurações do gateway do modo ativo-ativo e destaca os benefícios do uso do modo ativo-ativo.
Por que criar um gateway ativo-ativo?
Os gateways de VPN consistem em duas instâncias em uma configuração de espera ativa, a menos que você especifique o modo ativo-ativo. No modo de espera ativo, durante qualquer manutenção planejada ou interrupção não planejada que afete a instância ativa, ocorre o seguinte comportamento:
- S2S e VNet para VNet: a instância em espera assume automaticamente (failover) e retoma as conexões VPN site a site (S2S) ou VNet para VNet. Essa troca causa uma breve interrupção. Para manutenção planejada, a conectividade é restaurada rapidamente. Para problemas não planejados, a recuperação da conexão é mais longa.
- P2S: para conexões de cliente VPN ponto a site (P2S) com o gateway, as conexões P2S são desconectadas. Os usuários precisam se reconectar das máquinas cliente.
Para evitar interrupções, crie seu gateway no modo ativo-ativo ou mude um gateway ativo-standby para ativo-ativo.
Design ativo-ativo
Em uma configuração ativa-ativa para uma conexão site a site, as duas instâncias das VMs de gateway estabelecem túneis VPN S2S para seu dispositivo VPN local, conforme mostrado no diagrama a seguir:
Nessa configuração, cada instância de gateway do Azure tem um endereço IP público exclusivo e cada uma estabelecerá um túnel VPN IPsec/IKE S2S para o dispositivo VPN local. Ambos os túneis fazem parte da mesma conexão. Configure seu dispositivo VPN local para aceitar dois túneis VPN S2S, um para cada instância de gateway. As conexões P2S com gateways no modo ativo-ativo não requerem configuração adicional.
Numa configuração ativa-ativa, o Azure encaminha o tráfego da sua rede virtual para a sua rede local através de ambos os túneis simultaneamente, mesmo que o seu dispositivo VPN local possa favorecer um túnel em detrimento do outro. Para um único fluxo TCP ou UDP, o Azure tenta usar o mesmo túnel ao enviar pacotes para sua rede local. No entanto, a sua rede local poderá usar um túnel diferente para enviar pacotes de volta ao Azure.
Quando um evento não planejado ou manutenção planejada acontecer em uma instância do gateway, o túnel IPsec dessa instância para o dispositivo VPN local será desconectado. As rotas correspondentes em seus dispositivos VPN devem ser removidas ou retiradas automaticamente para que o tráfego seja trocado para outro túnel IPsec ativo. No lado do Azure, a alternância ocorrerá automaticamente da instância afetada para a outra instância ativa.
Observação
Para conexões S2S com um gateway de VPN de modo ativo-ativo, verifique se os túneis são estabelecidos para cada instância de VM de gateway. Caso estabeleça um túnel para apenas uma instância de VM de gateway, a conexão diminuirá durante a manutenção. Se o dispositivo VPN não der suporte a essa configuração, configure o gateway para o modo ativo-em espera.
Design ativo-ativo de redundância dupla
A opção de design mais confiável é combinar os gateways ativos-ativos em sua rede e no Azure, conforme mostrado no diagrama a seguir.
Nessa configuração, você cria e configura o gateway Azure VPN no modo ativo-ativo. Você cria dois gateways de rede local e duas conexões para seus dois dispositivos VPN locais. O resultado é uma conectividade de malha completa de quatro túneis IPsec entre sua rede virtual do Azure e sua rede local.
Todos os gateways e túneis estão ativos no lado do Azure, portanto, o tráfego é distribuído entre todos os quatro túneis simultaneamente, embora cada fluxo TCP ou UDP siga o mesmo túnel ou caminho do lado do Azure. Mesmo que, ao distribuir o tráfego, você possa ver uma taxa de transferência um pouco melhor nos túneis IPsec, o objetivo principal dessa configuração é a alta disponibilidade. E devido à natureza estatística da propagação, é difícil fornecer a medição de como diferentes condições de tráfego de aplicativos afetam a taxa de transferência agregada.
Essa topologia requer dois gateways de rede local e duas conexões para dar suporte ao par de dispositivos VPN locais. Para obter mais informações, consulte Sobre conectividade altamente disponível.
Configurar um gateway ativo-ativo
Você pode configurar um gateway ativo-ativo usando o portal Azure, o PowerShell ou a CLI. Você também pode alterar um gateway ativo-standby para o modo ativo-ativo. Para conhecer as etapas, consulte Alterar um gateway para ativo-ativo.
Um gateway ativo-ativo tem requisitos de configuração ligeiramente diferentes de um gateway ativo-standby.
- Você não pode configurar um gateway ativo-ativo usando o SKU do gateway básico.
- A VPN deve ser baseada em rota. Não pode ser baseado em políticas.
- Dois endereços IP públicos são necessários. Ambos devem ser endereços IP públicos SKU Padrão atribuídos como Estáticos.
- Uma configuração de gateway ativo-ativo custa o mesmo que uma configuração ativa-standby. No entanto, as configurações ativo-ativo exigem dois endereços IP públicos em vez de um. Consulte Preços de endereço IP.
Redefinir um gateway ativo-ativo
Se você precisar redefinir um gateway ativo-ativo, poderá redefinir ambas as instâncias usando o portal. Você também pode usar o PowerShell ou a CLI para redefinir cada instância de gateway separadamente usando VIPs de instância. Consulte Redefinir uma conexão ou um gateway.