Azure 虛擬網路閘道器提供 Azure 虛擬網路與其他網路(無論是本地網路或 Azure 中的其他虛擬網路)之間的安全連接。
Azure 提供兩種虛擬網路閘道器:
Azure ExpressRoute 閘道 器使用不經公共網際網路的私有連線。
Azure 虛擬私人網路(VPN)閘道 器使用加密的網際網路隧道。
作為 Azure 元件,虛擬網路閘道提供多元功能以支援您的可靠性需求。
當您使用 Azure 時, 可靠性是共同的責任。 Microsoft 提供一系列功能來支援韌性和復原。 您有責任瞭解這些功能在您使用的所有服務中如何運作,並選取符合業務目標和正常運作時間目標所需的功能。
本文說明如何讓虛擬網路閘道器具備對各種潛在故障與問題的韌性,包括暫時性故障、可用性區域故障、區域故障及計畫性服務維護。 同時也強調了關於虛擬網路閘道服務等級協議(SLA)的關鍵資訊。
要查看有關 Azure VPN Gateway 的資訊,請在本頁開頭選擇適當的虛擬網路閘道類型。
這很重要
本文介紹了 ExpressRoute 虛擬網路閘道器的可靠性,這些閘道器是 ExpressRoute 系統中基於 Azure 的元件。
但使用 ExpressRoute 時,你必須設計 整個網路架構——不僅僅是閘道器——以符合韌性需求。 通常你會使用多個站點,也就是所謂的 對等點,並為本地元件啟用高可用性與快速故障轉移。 如需更多資訊,請參閱為復原能力設計和建構 ExpressRoute。
欲查看 ExpressRoute 閘道器的資訊,請在本頁開頭選擇適當的虛擬網路閘道類型。
這很重要
本文將介紹虛擬網路閘道器的可靠性,這些閘道器是 Azure VPN 閘道服務中基於 Azure 的元件。
但當你使用 VPN 時,你必須設計 整個網路架構——不僅僅是閘道器——以符合韌性需求。 你負責管理 VPN 連線的穩定性,包括用於點對站設定的用戶端裝置,以及用於站對站設定的遠端 VPN 裝置。 欲了解更多如何配置基礎架構以達到高可用性的資訊,請參閱 設計跨地及虛擬網路對虛擬網路連線的高可用性閘道連接。
Azure Well-Architected Framework 提供可靠性、效能、安全性、成本和作業的建議。 欲了解這些領域如何相互影響並促成可靠的 ExpressRoute 解決方案,請參閱 Well-Architected 框架中的 ExpressRoute 架構最佳實務。
為確保生產虛擬網路閘道器的高度可靠性,請採用以下做法:
如果你的 VPN Gateway 資源位於支援區域,請啟用區域冗餘。 使用支援的 SKU(VpnGw1AZ 或更高等級)部署 VPN 閘道器,以確保能存取區域冗餘功能。
使用標準 SKU 的公有 IP 位址。
當您的遠端 VPN 裝置支援主動模式時,請設定以提升可用性。
請透過使用 Azure Monitor 來收集並查看 VPN Gateway 的指標來實施適當的監控。
可靠性架構概觀
使用 ExpressRoute 時,你必須在本地環境、對等節點以及 Azure 內部部署元件。 這些組成部分包括以下項目:
電路與連接:ExpressRoute 電路由兩個透過單一對等節點連接到 Microsoft Enterprise Edge 的連線組成。 當你使用兩個連線時,可以實現雙活連接。 但這種配置無法防止站點層級的故障。
用戶端設備(CPE): 這些設備包括邊緣路由器和用戶端裝置。 確保您的 CPE 具備韌性設計,能在 ExpressRoute 基礎設施其他部分出現問題時迅速恢復。
站點: 電路會透過一個站點建立,而站點是一個實體的對等位置。 網站設計為高度可用,並在所有層級內建冗餘功能。 但地點只代表單一的實體地點,因此問題可能會發生。 為降低站點中斷風險,ExpressRoute 提供具備不同保護層級的站點韌性選項。
Azure virtual network gateway: 在 Azure 中,你會建立一個 虛擬網路閘道 ,作為 Azure 虛擬網路中一個或多個 ExpressRoute 迴路的終止點。
下圖展示了兩種不同的 ExpressRoute 配置,每個配置皆有一個虛擬網路閘道器,並針對不同站點的韌性等級進行配置。
VPN 需要你在本地環境和 Azure 內部部署元件:
本地元件: 你部署的元件取決於你使用點對站還是站對站的配置。
站對站配置需要一台本地 VPN 裝置,由你負責部署、配置和管理。
點對站 設定需要你在遠端裝置(如筆電或桌機)部署 VPN 用戶端應用程式,並將使用者資料匯入 VPN 用戶端。 每個點對站連線都有自己的使用者資料。 你負責部署和設定客戶端裝置。
欲了解更多差異,請參閱 VPN 閘道拓撲與設計。
Azure virtual network gateway: 在 Azure 中,你會建立一個虛擬網路閘道,也稱為 VPN 閘道,作為 VPN 連線的終止點。
本地網路閘道器: 站對站 VPN 配置也需要一個區域網路閘道,代表遠端 VPN 裝置。 區域網路閘道器儲存以下資訊:
本地 VPN 裝置的公共 IP 位址,用於建立網際網路金鑰交換(IKE)第一階段與第二階段連線
本地 IP 網路,用於靜態路由
遠端節點的邊界閘道協定(BGP)IP 位址,用於動態路由
下圖顯示了從本地環境連接到 Azure 的 VPN 中的關鍵元件。
該圖分為兩個部分:本地環境與 Azure。 本地環境包含點對站 VPN 與站對站 VPN。 每個 VPN 包含三個用戶端,指向 Azure 中的虛擬網路閘道。 站對站 VPN 中的這種連線也會經過一個 VPN 裝置,該裝置連接到 Azure 中的本地網路閘道器。 本地網路閘道連接到 Azure 中的虛擬網路閘道。 虛擬網路閘道包含兩個公共 IP 位址和兩個閘道虛擬機。
虛擬網路閘道
ExpressRoute 閘道包含兩個或以上的 閘道虛擬機(VM),這些虛擬機是閘道用來處理 ExpressRoute 流量的底層虛擬機。
VPN 虛擬網路閘道器恰好包含兩個 閘道虛擬機(VM),這些虛擬機是閘道用來處理 VPN 流量的底層虛擬機。
你不會直接看到或管理閘道虛擬機。 該平台會自動管理閘道虛擬機的建立、健康監控,以及替換不健康的閘道虛擬機。 為了防止伺服器及伺服器機架故障,Azure 會自動將閘道虛擬機分散到區域內多個故障域。 如果伺服器機架故障,Azure 平台會自動將該叢集上的閘道虛擬機遷移到另一個叢集。
你設定閘道 SKU。 每個 SKU 支援不同的吞吐量層級和不同數量的迴路。 當你使用 ErGwScale SKU(預覽版)時,ExpressRoute 會自動透過增加更多閘道虛擬機來擴展閘道。 欲了解更多資訊,請參閱 ExpressRoute 虛擬網路閘道器。
閘道預設以 主動-主動 模式運行,這支援你的電路的高可用性。 你可以選擇切換為 主動-被動 模式,但這種配置會增加故障影響連線的風險。 如需更多資訊,請參閱 作用中-作用中連線。
通常,流量會經過你的虛擬網路閘道器。 但如果你使用 FastPath,來自本地環境的流量會繞過閘道器。 此方法提升吞吐量並降低延遲。 閘道器依然不可或缺,因為它會為你的流量設定路由。
你設定閘道 SKU。 每個 SKU 支援不同的吞吐量等級和不同數量的 VPN 連線。 如需詳細資訊,請參閱閘道 SKU。
根據您的高可用性需求,您可以將閘道器配置為兩種模式之一:
主動待命: 一個閘道虛擬機處理流量,另一個閘道虛擬機則保持待命狀態。
雙活:兩個閘道器虛擬機同時處理流量。 這種模式並非總是可行,因為連線流程可能不對稱。
欲了解更多資訊,請參閱 為跨地區和虛擬網路對虛擬網路連線設計高可用性的閘道連接。
你可以透過將閘道虛擬機分散到多個區域來防止可用性區故障。 此分佈在區域內提供自動故障切換,並在分區維護或停電期間維持連線。 欲了解更多資訊,請參閱 對於可用性區域失效的韌性。
對瞬態故障的彈性
暫時性錯誤是元件中的短暫間歇性失敗。 它們經常出現在雲端等分散式環境中,而且是作業的一般部分。 暫時性錯誤會在短時間內自行修正。 請務必確保您的應用程式能妥善處理暫時性錯誤,通常透過重試受影響的請求來進行。
所有雲端裝載的應用程式在與任何雲端裝載的 API、資料庫和其他元件通訊時,都應該遵循 Azure 暫時性錯誤處理指引。 如需詳細資訊,請參閱 處理暫時性錯誤的建議。
對於透過虛擬網路閘道連接的應用程式,應實作帶有指數回退的重試邏輯,以處理潛在的暫時性連線問題。 虛擬網路閘道器的有狀態特性確保在短暫的網路中斷時,合法連線能維持。
在分散式網路環境中,瞬態故障可能發生在多個層級,包括以下位置:
- 您的本地環境
- 一個邊緣地點
- 網際網路
- Azure雲服務
ExpressRoute 透過冗餘連線路徑、快速故障偵測及自動故障轉移,減少暫時性故障的影響。 但你必須正確配置應用程式和本地元件,才能對各種問題具備韌性。 關於完整的故障處理策略,請參見 使用 ExpressRoute 實現高可用性設計。
如果你正確設定本地裝置的 IP 位址路由,當斷線時,像傳輸控制協定(TCP)這類資料流量會自動通過主動的網際網路協定安全(IPsec)隧道。
暫時性故障有時會影響 IPsec 隧道或 TCP 資料流。 當斷線時,IKE 會重新協商第一階段與第二階段的安全關聯(SA),以重新建立 IPsec 隧道。
對可用性區域故障的抵抗力
可用性區域 是 Azure 區域內物理上獨立的資料中心群組。 當某個區域發生故障時,服務可以切換至其他剩餘的區域。
虛擬網路閘道器在符合需求時自動具有 區域冗餘 。 區域冗餘消除單一區域作為故障點,並提供最高層級的區域韌性。 區域冗餘閘道器可在同一區域內自動進行故障轉移,並能在區域維護或故障期間維持連線。
區域備援 ExpressRoute 閘道器虛擬機器會自動分布在至少三個可用性區域。
下圖展示了一個區域冗餘的虛擬網路閘道,擁有三個分散在不同可用性區域的閘道虛擬機。
備註
電路或連接不包含可用性區域的配置。 這些資源存在於網路邊緣設施中,而這些設施並非設計來使用可用性區域。
在 VPN Gateway 中,區域冗餘意指閘道虛擬機會自動分布在多個可用區域。
下圖顯示一個區域冗餘虛擬網路閘道,分布於不同可用性區域的兩個閘道虛擬機。
備註
本地網路閘道器不需要配置可用性區域,因為它們自動具備區域韌性。
當你使用 支援的 SKU 時,新建立的閘道器會自動成為區域性冗餘。 我們建議所有生產工作負載都使用區域冗餘。
需求
- 區域支援: 區域冗餘虛擬網路閘道器在 所有支援可用性區域的區域皆可使用。
SKU: 虛擬網路閘道要具備區域冗餘,必須使用支援區域冗餘的 SKU。 下表顯示哪些 SKU 支援區域冗餘。
SKU 名稱 支援可用區域 標準 否 HighPerformance 否 UltraPerformance 否 ErGw1Az Yes ErGw2Az Yes ErGw3Az Yes ErGwScale(預覽版) Yes
SKU: 虛擬網路閘道要具備區域冗餘,必須使用支援區域冗餘的 SKU。 所有 VPN 閘道器層級都支援區域冗餘,唯獨 Basic SKU 僅適用於開發環境。 欲了解更多關於SKU選項的資訊,請參閱Gateway SKU。
公共 IP 位址: 你必須使用標準的 SKU 公共 IP 位址,並將其設定為區域冗餘。
費用
ExpressRoute 的區域冗餘閘道器需要特定的 SKU,這些 SKU 的每小時費率可能高於標準閘道 SKU,因為它們增強的功能及效能特性。 如需詳細資訊,請參閱 ExpressRoute 定價。
如果你使用支援的 SKU 部署在多個可用區域的閘道器,不會額外付費。 欲了解更多資訊,請參閱 VPN Gateway 價格。
設定可用性區域支援
本節說明如何為虛擬網路閘道器設定區域冗餘。
- 建立一個支援可用性區域的新虛擬網路閘道器。 若符合前述需求,新的虛擬網路閘道器自動具有區域冗餘。 欲了解更多資訊,請參閱「 在可用性區域建立區域冗餘虛擬網路閘道」。
- 建立一個支援可用性區域的新虛擬網路閘道器。 若符合前述需求,新的虛擬網路閘道器自動具有區域冗餘。 欲了解更多資訊,請參閱「 在可用性區域建立區域冗餘虛擬網路閘道」。
- 更改現有虛擬網路閘道器的可用性區域設定。 你已經建立的虛擬網路閘道器可能不是區域冗餘。 你可以將非區域閘道器遷移到區域冗餘閘道器,且停機時間極短。 欲了解更多資訊,請參閱 「遷移 ExpressRoute 閘道器至啟用可用性區域的 SKU」。
- 更改現有虛擬網路閘道器的可用性區域設定。 你已經建立的虛擬網路閘道器可能不是區域冗餘。 你可以將非區域閘道器遷移到區域冗餘閘道器,且停機時間極短。 欲了解更多資訊,請參閱 SKU 整合與遷移。
所有區域都狀況良好時的行為
以下章節說明當您的虛擬網路閘道器設定為區域冗餘且所有可用區域都運作時,可以期待的情況。
區域間的流量路由: 來自本地環境的流量會分散到閘道所使用的所有區域內的閘道虛擬機。 此主動-主動設定可確保正常作業條件下的最佳效能與負載散發。
如果你使用 FastPath 來優化效能,來自本地環境的流量會繞過閘道器,提升吞吐量並降低延遲。 欲了解更多資訊,請參閱 ExpressRoute FastPath。
區域間的資料複製: 區域間不會進行資料複製,因為虛擬網路閘道不會儲存持久的客戶資料。
區域間的流量路由: 區域冗餘不會影響流量的路由方式。 根據用戶端的配置,流量會在您閘道的閘道虛擬機之間進行路由。 如果你的閘道器採用主動主動配置並使用兩個公共 IP 位址,兩個閘道虛擬機都可能接收到流量。 在主動待機配置中,流量會路由到 Azure 選擇的單一主要閘道虛擬機。
區域間的資料複製: VPN Gateway 不需要在不同可用性區域同步連線狀態。 在主動-主動模式下,處理 VPN 連線的閘道虛擬機負責管理連線狀態。
- 閘道虛擬機管理: 平台會自動選擇閘道虛擬機的區域,並管理各區域間的配置。 健康監控確保只有健康的閘道器虛擬機能夠接收流量。
區域失敗期間的行為
以下節說明當您的虛擬網路閘道器設定為區域冗餘時,且發生可用性區域中斷時,可以預期的情況。
- 偵測與回應: Azure 平台偵測並回應可用性區域的故障。 您不需要起始區域容錯移轉。
- 通知:Microsoft 不會在區域關閉時自動通知您。 不過,你可以使用 Azure Resource Health 監控單一資源的健康狀況,並設定資源 健康警示 來通知你問題。 你也可以使用 Azure Service Health 來了解整體服務的健康狀況,包括任何區域故障,並設定 服務健康警示 來通知你問題。
活躍請求:所有透過閘道虛擬機連接的活躍請求,在故障區內都會被終止。 用戶端應用程式應依照指引重新嘗試請求, 以處理暫時性故障。
預期資料遺失: 區域故障不應該會導致資料遺失,因為虛擬網路閘道不會儲存持續存在的客戶資料。
預期的停機時間: 在區域斷線期間,連線可能會短暫中斷,通常持續長達一分鐘,因為流量被重新分配。 用戶端應用程式應依照指引重新嘗試請求, 以處理暫時性故障。
交通改道: 該平台會自動將流量分配到健康區域的閘道虛擬機。
啟用 FastPath 的連線在故障轉移過程中維持最佳路由,確保對應用程式效能的影響最小。
- 交通改道: 流量會自動重新導向到位於不同可用性區域的另一個閘道虛擬機。
區域復原
當受影響的可用區恢復時,Azure 會自動恢復該區的閘道虛擬機,並恢復閘道所使用的所有區域的正常流量分布。
測試區域失敗
Azure 平台負責管理區域冗餘虛擬網路閘道器的流量路由、故障轉移與備援。 此功能完全受控,因此您不需要起始或驗證可用性區域失敗程序。
對區域範圍故障的復原能力
虛擬網路閘道是一種單一區域資源。 如果區域變成無法使用,您的閘道也會無法使用。
備註
當你的 Azure 資源分散在多個區域時,可以使用 Premium ExpressRoute SKU。 但高級 SKU 不會影響你的閘道器設定,且仍部署在同一區域。 欲了解更多資訊,請參閱 ExpressRoute概覽。
自訂多區域解決方案,以實現復原能力
您可以透過以下一種或多種方法,建立獨立的 Azure 環境連接路徑:
建立多個 ExpressRoute 迴路,連接不同 Azure 區域的閘道器。
使用站對站 VPN 作為私人對點流量的備份。
使用網際網路連線作為 Microsoft peering 流量的備份。
欲了解更多資訊,請參閱 使用 ExpressRoute 私有對等進行災難復原的設計。
你可以在兩個或更多不同地區部署不同的 VPN 閘道器。 每個閘道器連接於不同的虛擬網路,閘道器各自獨立運作。 它們之間沒有互動或設定或狀態的複製。 你也要負責設定客戶端和遠端裝置,讓它們連接到正確的 VPN,或在需要時切換 VPN。
服務維護的韌性
Azure 定期維護虛擬網路閘道,以確保最佳效能與安全性。 在這些維護期間,可能會發生部分服務中斷,但 Azure 設計這些活動以盡量減少對連線的影響。
在虛擬網路閘道器的計畫性維護作業中,該程序會依序在閘道虛擬機上執行,而非同時進行。 此流程確保維護期間,只有一台閘道虛擬機保持活躍狀態,減少對活躍連線的影響。
為了降低意外中斷的可能性,您可以設定閘道維護時段以符合您的營運需求。
欲了解更多資訊,請參閱 「配置客戶控制的 ExpressRoute 閘道器維護」。
欲了解更多資訊,請參閱 「為您的虛擬網路閘道設定維護視窗」。
服務等級協定
Azure 服務的服務等級協定 (SLA) 描述服務的預期可用性,以及解決方案必須符合才能達到該可用性預期的條件。 如需詳細資訊,請參閱 在線服務的 SLA。
ExpressRoute 提供強而有力的可用性服務等級協議(SLA),確保您的連線能保持高正常運作時間。 如果您在多個互聯位置(站點)部署、使用 ExpressRoute Metro,或者就單一站點設定,則適用不同的服務級別協議 (SLA)。
除了基本 SKU 外,所有 VPN Gateway SKU 都符合更高可用性 SLA 的資格。 Basic SKU 提供的可用性較低且功能有限,建議只用於測試和開發。 欲了解更多資訊,請參閱 閘道 SKU:生產與開發測試工作負載