Sobre gateways VPN de modo ativo-ativo
Os gateways de VPN do Azure podem ser configurados como active-standby ou active-active. Este artigo explica as configurações de gateway do modo ativo-ativo e destaca os benefícios do uso do modo ativo-ativo.
Por que criar um gateway ativo-ativo?
Os gateways VPN consistem em duas instâncias em uma configuração de espera ativa, a menos que você especifique o modo ativo-ativo.
Comportamento do modo de espera ativa
No modo de espera ativa, durante qualquer manutenção planejada ou interrupção não planejada que afete a instância ativa, ocorre o seguinte comportamento:
- S2S e VNet-to-VNet: a instância em espera assume automaticamente (failover) e retoma as conexões VPN site a site (S2S) ou VNet-to-VNet. Esta mudança provoca uma breve interrupção. Para manutenção planejada, a conectividade é restaurada rapidamente. Para problemas não planejados, a recuperação da conexão é mais longa.
- P2S: Para conexões de cliente VPN ponto a site (P2S) com o gateway, as conexões P2S são desconectadas. Os usuários precisam se reconectar a partir das máquinas clientes.
Para evitar interrupções, crie seu gateway no modo ativo-ativo ou alterne um gateway de espera ativa para ativo-ativo.
Design de modo ativo-ativo
Em uma configuração ativa-ativa para uma conexão S2S, ambas as instâncias das VMs de gateway estabelecem túneis VPN S2S para seu dispositivo VPN local, conforme mostrado no diagrama a seguir:
Nessa configuração, cada instância de gateway do Azure tem um endereço IP público exclusivo e cada uma estabelecerá um túnel VPN IPsec/IKE S2S para o dispositivo VPN local. Ambos os túneis fazem parte da mesma ligação. Configure seu dispositivo VPN local para aceitar dois túneis VPN S2S, um para cada instância de gateway. As conexões P2S com gateways no modo ativo-ativo não exigem configuração adicional.
Em uma configuração ativa-ativa, o Azure roteia o tráfego de sua rede virtual para sua rede local por meio de ambos os túneis simultaneamente, mesmo que seu dispositivo VPN local possa favorecer um túnel em detrimento do outro. Para um único fluxo TCP ou UDP, o Azure tenta usar o mesmo túnel ao enviar pacotes para sua rede local. No entanto, sua rede local pode usar um túnel diferente para enviar pacotes de volta ao Azure.
Quando se verifica um evento de manutenção planeada ou não planeada numa instância do gateway, o túnel IPsec dessa instância para o dispositivo VPN no local será desligado. As rotas correspondentes nos seus dispositivos VPN devem ser removidas ou retiradas automaticamente, para que o tráfego mude para o outro túnel IPsec ativo. No lado do Azure, a alternância acontecerá automaticamente da instância afetada para a outra instância ativa.
Nota
Para conexões S2S com um gateway VPN de modo ativo-ativo, certifique-se de que os túneis sejam estabelecidos para cada instância de VM de gateway. Se você estabelecer um túnel para apenas uma instância de VM de gateway, a conexão ficará inativa durante a manutenção. Se o seu dispositivo VPN não suportar esta configuração, configure o gateway para o modo de espera ativa.
Design de modo ativo-ativo de redundância dupla
A opção de design mais confiável é combinar os gateways ativos-ativos em sua rede e no Azure, conforme mostrado no diagrama a seguir.
Nessa configuração, você cria e configura o gateway de VPN do Azure no modo ativo-ativo. Você cria dois gateways de rede local e duas conexões para seus dois dispositivos VPN locais. O resultado é uma conectividade de malha completa de quatro túneis IPsec entre sua rede virtual do Azure e sua rede local.
Todos os gateways e túneis estão ativos do lado do Azure, portanto, o tráfego é distribuído entre todos os quatro túneis simultaneamente, embora cada fluxo TCP ou UDP siga o mesmo túnel ou caminho do lado do Azure. Mesmo que, ao espalhar o tráfego, você possa ver uma taxa de transferência ligeiramente melhor nos túneis IPsec, o objetivo principal dessa configuração é a alta disponibilidade. E devido à natureza estatística do spreading, é difícil fornecer a medição de como diferentes condições de tráfego de aplicativos afetam a taxa de transferência agregada.
Essa topologia requer dois gateways de rede local e duas conexões para dar suporte ao par de dispositivos VPN locais. Para obter mais informações, consulte Sobre conectividade altamente disponível.
Configurar um gateway de modo ativo-ativo
Você pode configurar um gateway ativo-ativo usando o portal do Azure, o PowerShell ou a CLI. Você também pode alterar um gateway de espera ativa para o modo ativo-ativo. Para conhecer as etapas, consulte Alterar um gateway para ativo-ativo.
Um gateway ativo-ativo tem requisitos de configuração ligeiramente diferentes de um gateway ativo-espera.
- Não é possível configurar um gateway ativo-ativo usando a SKU de gateway básica.
- A VPN deve ser baseada em rota. Não pode ser baseado em políticas.
- São necessários dois endereços IP públicos. Ambos devem ser endereços IP públicos SKU padrão atribuídos como estáticos.
- Uma configuração de gateway ativo-ativo custa o mesmo que uma configuração de espera ativa. No entanto, as configurações ativas-ativas exigem dois endereços IP públicos em vez de um. Consulte Preços de endereços IP.
Redefinir um gateway de modo ativo-ativo
Se você precisar redefinir um gateway ativo-ativo, poderá redefinir ambas as instâncias usando o portal. Você também pode usar o PowerShell ou a CLI para redefinir cada instância de gateway separadamente usando VIPs de instância. Consulte Redefinir uma conexão ou um gateway.