Configurar gateways VPN ativos-ativos usando o portal

  • Artigo

Este artigo ajuda você a criar gateways VPN ativos-ativos altamente disponíveis usando o modelo de implantação do Gerenciador de Recursos e o portal do Azure. Você também pode configurar um gateway ativo-ativo usando o PowerShell.

Para obter alta disponibilidade para conectividade entre locais e VNet-to-VNet, você deve implantar vários gateways VPN e estabelecer várias conexões paralelas entre suas redes e o Azure. Consulte Conectividade altamente disponível entre locais e VNet-to-VNet para obter uma visão geral das opções de conectividade e topologia.

Importante

O modo ativo-ativo está disponível para todos os SKUs, exceto Basic ou Standard. Consulte o artigo Sobre SKUs de gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos suportados. Para esta configuração, são necessários endereços IP públicos SKU padrão. Não é possível usar um endereço IP público SKU básico.

As etapas neste artigo ajudam você a configurar um gateway VPN no modo ativo-ativo. Existem algumas diferenças entre os modos ativo-ativo e ativo-espera. As outras propriedades são as mesmas que os gateways não ativos-ativos.

  • Os gateways ativos-ativos têm duas configurações de IP de gateway e dois endereços IP públicos.
  • Os gateways ativos-ativos têm a configuração ativo-ativo habilitada.
  • O gateway de rede virtual SKU não pode ser Basic ou Standard.

Se você já tiver um gateway VPN, poderá atualizar um gateway VPN existente do modo de espera ativa para o modo ativo-ativo ou do modo ativo-ativo para o modo de espera ativa.

Criar uma rede virtual

Se você ainda não tiver uma rede virtual (VNet) que deseja usar, crie uma VNet usando os seguintes valores:

  • Grupo de recursos: TestRG1
  • Nome: VNet1
  • Região: (EUA) Leste dos EUA
  • Espaço de endereçamento IPv4: 10.1.0.0/16
  • Nome da sub-rede: FrontEnd
  • Espaço de endereço da sub-rede: 10.1.0.0/24

  1. Inicie sessão no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Captura de ecrã que mostra o separador Noções básicas.

    • Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da rede virtual.
    • Região: Selecione o local para sua rede virtual. O local determina onde residirão os recursos implantados nessa rede virtual.

  5. Selecione Avançar ou Segurança para ir para a guia Segurança . Para este exercício, deixe os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP para ir para a guia Endereços IP . Na guia Endereços IP , defina as configurações.

    • Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede . Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: Um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.

  7. Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.

  8. Selecione Rever + criar para validar as definições de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Criar um gateway VPN ativo-ativo

Nesta etapa, você cria um gateway de rede virtual ativo-ativo (gateway VPN) para sua rede virtual. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Crie um gateway de rede virtual usando os seguintes valores:

  • Designação: VNet1GW
  • Região: East US
  • Tipo de gateway: VPN
  • Tipo de VPN: baseado na rota
  • Referência: VpnGw2
  • Geração: Geração2
  • Rede virtual: VNet1
  • Intervalo de endereços de sub-rede do gateway: 10.1.255.0/27
  • Endereço IP público: Criar novo
  • Nome do endereço IP público: VNet1GWpip

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Captura de tela que mostra os campos Instância.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.

    • Nome: dê um nome ao gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que você está criando.

    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.

    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.

    • SKU: Na lista suspensa, selecione o SKU de gateway que suporta os recursos que você deseja usar. Consulte SKUs de gateway. No portal, as SKUs disponíveis na lista suspensa dependem da VPN type sua seleção. A SKU Básica só pode ser configurada usando a CLI do Azure ou o PowerShell. Não é possível configurar a SKU Básica no portal do Azure.

    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.

    • Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual para a qual pretende criar um gateway, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.

    • Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.

      Neste momento, este campo pode mostrar várias opções de configurações diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores para Endereço IP público. Essas configurações especificam o objeto de endereço IP público que fica associado ao gateway de VPN. Quando você cria um objeto de endereço IP público, um endereço IP é atribuído ao objeto. O objeto de endereço IP público é então associado ao gateway. Para gateways que não são redundantes de zona, a única vez que o endereço IP público é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN. Você deve associar um objeto de endereço IP público que usa a SKU padrão . O objeto de endereço IP público Basic SKU só é suportado para gateways VPN Basic SKU.

    Captura de ecrã do campo de endereço IP público.

    • Endereço IP público: Deixe Criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, digite um nome para sua instância de endereço IP público.
    • Atribuição: Estático é selecionado automaticamente.
    • Ativar modo ativo-ativo: Selecione Ativado.
    • Segundo endereço IP público: selecione Criar novo.
    • Nome do endereço IP público: nomeie o segundo endereço IP público.
    • Deixe Configurar BGP como Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão é 65515, mas outros ASNs podem ser usados.

  2. Selecione Rever + criar para executar a validação.

  3. Quando a validação for aprovada, selecione Criar para implantar o gateway de VPN.

Você pode ver o status da implantação na página Visão geral do seu gateway. Uma vez criado o gateway, pode visualizar o endereço IP que lhe foi atribuído vendo a rede virtual no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um NSG (grupo de segurança de rede) à sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.

Atualizar um gateway VPN existente

Esta seção ajuda você a alterar um gateway de VPN do Azure existente do modo de espera ativa para o modo ativo-ativo e do modo ativo-ativo para o modo de espera ativa. Ao alterar um gateway de espera ativa para ativo-ativo, você cria outro endereço IP público e, em seguida, adiciona uma segunda configuração de IP de gateway.

Alterar active-standby para active-active

Use as etapas a seguir para converter o gateway do modo de espera ativa para o modo ativo-ativo. Se o gateway foi criado usando o modelo de implantação do Resource Manager, você também pode atualizar a SKU nesta página.

  1. Navegue até a página do gateway de rede virtual.

  2. No menu à esquerda, selecione Configuração.

  3. Na página Configuração, defina as seguintes configurações:

    • Altere o modo ativo-ativo para Ativado.
    • Clique em Adicionar novo para adicionar outro endereço IP público. Se você já tiver um endereço IP criado anteriormente que esteja disponível para dedicar a esse recurso, poderá selecioná-lo na lista suspensa SEGUNDO ENDEREÇO IP PÚBLICO.

    A captura de tela mostra a página Configuração com o modo ativo-ativo ativado.

  4. Na página Escolher endereço IP público e especifique um endereço IP público existente que atenda aos critérios ou selecione +Criar novo para criar um novo endereço IP público a ser usado para a segunda instância do gateway VPN. Depois de especificar o segundo endereço IP público, clique em OK.

  5. Na parte superior da página Configuração , clique em Salvar. Esta atualização pode levar cerca de 30 a 45 minutos para ser concluída.

Importante

Se você tiver sessões BGP em execução, lembre-se de que a configuração BGP do Gateway VPN do Azure será alterada e dois IPs BGP recém-atribuídos serão provisionados dentro do intervalo de endereços da Sub-rede do Gateway. O antigo endereço IP BGP do Gateway de VPN do Azure não existirá mais. Isso incorrerá em tempo de inatividade e será necessária a atualização dos pares BGP nos dispositivos locais. Quando o gateway terminar o provisionamento, os novos IPs BGP poderão ser obtidos e a configuração do dispositivo local precisará ser atualizada adequadamente. Isso se aplica a IPs BGP não APIPA. Para entender como configurar o BGP no Azure, consulte Como configurar o BGP nos Gateways de VPN do Azure.

Alterar ativo-ativo para ativo-espera

Use as etapas a seguir para converter o gateway do modo ativo-ativo para o modo de espera ativa.

  1. Navegue até a página do gateway de rede virtual.

  2. No menu à esquerda, selecione Configuração.

  3. Na página Configuração, altere o modo Ativo-ativo para Desativado.

  4. Na parte superior da página Configuração , clique em Salvar.

Importante

Se você tiver sessões BGP em execução, lembre-se de que a configuração BGP do Gateway VPN do Azure mudará de dois endereços IP BGP para um único endereço BGP. A plataforma geralmente atribui o último IP utilizável da sub-rede do gateway. Isso incorrerá em tempo de inatividade e será necessária a atualização dos pares BGP nos dispositivos locais. Isso se aplica a IPs BGP não APIPA. Para entender como configurar o BGP no Azure, consulte Como configurar o BGP nos Gateways de VPN do Azure.

Próximos passos

Para configurar conexões, consulte os seguintes artigos: