Выбор пути Azure среди нескольких каналов поставщика услуг Интернета
В виртуальной глобальной сети Azure пользователь может добавить сведения о каналах в VPN-сайт. Это позволяет устройству VPN/SD-WAN программировать политики для конкретных ветвей, чтобы направлять трафик в Azure по разным каналам. Это называется выбором пути Azure.
Архитектура
Чтобы понять, как происходит выбор пути Azure, используем пример с виртуальным VPN-сайтом в виртуальной глобальной сети и подключением типа "сеть-сеть".
VPN-сайт представляет локальное устройство SD-WAN/VPN с различными сведениями, такими как общедоступный IP-адрес, модель устройства, имя и т. д. У фактического локального VPN-сайта может быть несколько каналов поставщика услуг Интернета, которые также могут быть включены в сведения о VPN-сайте виртуальной глобальной сети. Это позволяет вам просматривать сведения о каналах в Azure.
Подключение IPsec типа "сеть-сеть", поступающее в VPN виртуальной глобальной сети, завершается на экземплярах VPN-шлюза внутри виртуального концентратора. Подключение типа "сеть-сеть" представляет подключение между VPN-сайтом и VPN-шлюзом Azure. Оно состоит из одного или нескольких соединений с каналами. Подключение к каналу состоит из двух туннелей, каждый из которых завершается на уникальном экземпляре VPN-шлюза виртуальной глобальной сети Azure. В подключении типа "сеть-сеть" можно настроить до четырех подключений к каналами, что позволяет использовать до восьми туннелей в пределах подключения "сеть-сеть". Azure поддерживает до 2000 туннелей, заканчивающихся внутри одного виртуального VPN-шлюза глобальной сети.
На этом рисунке показано несколько каналов на сайте, который подключается к виртуальной глобальной сети Azure. На этой схеме:
В локальной ветви есть два канала поставщика услуг Интернета (устройство VPN или SD-WAN). Каждый канал соответствует соединению по каналу.
Предполагается, что устройство VPN/SD-WAN локального клиента поддерживает IKEv1 или IKEv2 IPsec.
Каждое виртуальное подключение к глобальной сети Azure типа "сеть-сеть" состоит из внутренних соединений к каналу. Подключение поддерживает не более четырех соединений по каналу. В Azure для виртуального подключения глобальной сети взимается плата за единицу подключения. За использование соединений по каналам плата не взимается.
Каждое соединение по каналу состоит из двух туннелей IPsec, которые могут завершаться на двух разных экземплярах VPN-шлюза виртуальной глобальной сети. Для обеспечения устойчивости Шлюзы настраиваются в режиме "активный-активный". У каждого соединения по каналу должен быть уникальный IP-адрес и IP-адрес пиринга BGP. На схеме в этом случае туннель 0 может окончиться на экземпляре 0, а туннель 1 — на экземпляре 1.
Устройства ветвления, которые обеспечивают выбор пути, реализуют соответствующую политику по управлению ветвями, чтобы направлять трафик в Azure из нескольких каналов. Например, канал ISP 1 может использоваться для трафика с более высоким приоритетом, а канал ISP 2 для резервного копирования.
Важно отметить, что VPN-подключение виртуального концентратора использует ECMP (выбор маршрута в зависимости от стоимости) для всех оканчивающихся туннелей.