高可用性跨單位和 VNet 對 VNet 連線

  • 發行項

本文針對使用 Azure VPN 閘道的跨單位和 VNet 對 VNet 連線提供高可用性組態選項的概觀。

關於 VPN 閘道備援

每個 Azure VPN 閘道都是由作用中-待命組態中的兩個執行個體組成。 對於作用中執行個體所發生的任何計劃性維護或非計劃性中斷,待命執行個體都會自動進行接管 (容錯移轉),並繼續 S2S VPN 或 VNet 對 VNet 連線。 切換會導致短暫中斷。 對於計劃性維護,應在 10 到 15 秒內還原連線。 針對非計劃性的問題,連線復原時間較長,在最差的情況下大約 1 到 3 分鐘。 針對對閘道的 P2S VPN 用戶端連線,P2S 連線會中斷連線,而且使用者需要從用戶端電腦重新連線。

此圖顯示內部部署網站,其中包含私人 I P 子網和內部部署 V P N 連線到作用中 Azure V P N 閘道,以連線到裝載于 Azure 中的子網,並提供待命閘道。

高可用性跨單位

若要為跨單位連線提供更好的可用性,有幾個選項可用︰

  • 多個內部部署 VPN 裝置
  • 主動-主動 Azure VPN 閘道
  • 兩者的組合

多個內部部署 VPN 裝置

您可以使用內部部署網路中的多個 VPN 裝置連接到 Azure VPN 閘道,如下圖所示︰

此圖顯示多個內部部署網站,其中具有私人 I P 子網和內部部署 V P N 連線到作用中 Azure V P N 閘道,以連線到裝載在 Azure 中的子網,並可使用待命閘道。

此組態會提供多個作用中通道 (從同一個 Azure VPN 閘道到相同位置的內部部署裝置)。 有一些需求和限制︰

  1. 您需要建立從 VPN 裝置至 Azure 的多個 S2S VPN 連線。 當您從同一個內部部署網路的多個 VPN 裝置連接到 Azure 時,您需要為每個 VPN 裝置建立一個區域網路閘道,以及一個從 Azure VPN 閘道至各個區域網路閘道的連線。
  2. 對應到 VPN 裝置的區域網路閘道在 "GatewayIpAddress" 屬性中必須有唯一的公用 IP 位址。
  3. 此組態需要 BGP。 代表 VPN 裝置的每個區域網路閘道都必須有在 "BgpPeerIpAddress" 屬性中指定的唯一 BGP 對等 IP 位址。
  4. 您應該使用 BGP 向您的 Azure VPN 閘道通告相同內部部署網路首碼的相同首碼,而流量會同時透過這些通道轉送。
  5. 您必須使用等價多路徑路由 (ECMP)。
  6. 每個連線都會計入 Azure VPN 閘道的通道數目上限。 如需通道、連線和輸送量的最新資訊, 請參閱概觀 頁面。

在此組態中,Azure VPN 閘道仍處於作用中-待命模式,因此,仍會發生如 上面所述的相同容錯移轉行為和短暫中斷。 但這項設定可防範內部部署網路和 VPN 裝置發生錯誤或中斷。

主動-主動 VPN 閘道

您可以在主動-主動設定中建立 Azure VPN 閘道,其中兩個閘道 VM 實例都會建立 S2S VPN 通道至內部部署 VPN 裝置,如下圖所示:

圖表顯示內部部署網站,其中包含私人 I P 子網和內部部署 V P N 連線到兩個作用中 Azure V P N 閘道,以連線到 Azure 中裝載的子網。

在此設定中,每個 Azure 閘道實例都有唯一的公用 IP 位址,而且每個實例都會建立 IPsec/IKE S2S VPN 通道,以連線到局域網路閘道和連線中指定的內部部署 VPN 裝置。 請注意,這兩個 VPN 通道實際上屬於相同的連線。 您仍然需要設定內部部署 VPN 裝置,以接受或建立這兩個 Azure VPN 閘道公用 IP 位址的兩個 S2S VPN 通道。

因為 Azure 閘道執行個體是在主動-主動組態中,所以從 Azure 虛擬網路到內部部署網路的流量會同時透過這兩個通道路由傳送,即使內部部署 VPN 裝置可能偏好其中一個通道亦然。 針對單一 TCP 或 UDP 流量,Azure 會在將封包傳送至您的內部部署網路時,嘗試使用相同的通道。 不過,您的內部部署網路可能會使用不同的通道,將封包傳送至 Azure。

當一個閘道器執行個體發生計劃性維護或非計劃性事件時,從該執行個體至內部部署 VPN 裝置的 IPsec 通道將會中斷。 VPN 裝置上的對應路由應會自動移除或撤銷,以便將流量切換到其他作用中 IPsec 通道。 在 Azure 端,會從受影響的執行個體自動切換到作用中執行個體。

雙重備援︰Azure 和內部部署網路的主動-主動 VPN 閘道

最可靠的選項是結合網路和 Azure 上的主動-主動閘道,如下圖所示。

圖表顯示雙重備援案例。

在此,您以主動-主動設定建立和設定 Azure VPN 閘道,然後建立兩個區域網路閘道和兩個連線給您的兩個內部部署 VPN 裝置使用,如上所示。 結果是 Azure 虛擬網路與內部部署網路之間有包含 4 個 IPsec 通道的完整網狀連線。

所有閘道和通道都是來自 Azure 端的作用中,因此流量會同時分散到所有 4 個通道,雖然每個 TCP 或 UDP 流程會再次遵循來自 Azure 端的相同通道或路徑。 即使分散流量,您可能會看到 IPsec 通道上的輸送量稍微變好,而此組態的主要目標是要達到高可用性。 由於分散的統計本質,很難提供不同應用程式流量條件如何影響匯總輸送量的度量。

此拓撲需要兩個局域網路閘道和兩個連線,才能支援內部部署 VPN 裝置配對,而且需要 BGP 才能允許兩個連線到相同的內部部署網路。 這些需求與 上面的需求相同。

高可用性 VNet 對 VNet

相同的主動-主動組態也適用於 Azure VNet 對 VNet 連線。 您可以為這兩個虛擬網路建立主動-主動 VPN 閘道,並將它們連線在一起,以形成兩個 VNet 之間 4 個通道的相同完整網狀連線,如下圖所示:

圖表顯示兩個裝載私人 I P 子網的 Azure 區域,以及兩個 Azure V P N 閘道,兩個虛擬網站會透過此閘道連線。

這可確保任何計劃性維護事件的兩個虛擬網路之間一律有一組通道,以提供更好的可用性。 即使適用於跨單位連線的相同拓撲需要兩個連線,如上所示的 VNet 對 VNet 拓樸對每個閘道只需要一個連線。 此外,除非透過 VNet 對 VNet 連線的傳輸路由是必要的,否則 BGP 是選擇性的。

下一步

請參閱使用Azure 入口網站PowerShell設定主動-主動閘道