Acerca de las puertas de enlace de VPN en modo activo-activo

Las puertas de enlace de VPN de Azure se pueden configurar como activo-en espera o activo-activo. En este artículo se explican las configuraciones de puerta de enlace en modo activo-activo y se resaltan las ventajas de usar el modo activo-activo.

¿Por qué crear una puerta de enlace activa y activa?

Las puertas de enlace de VPN constan de dos instancias en una configuración en espera activa a menos que especifique el modo activo-activo.

Comportamiento del modo activo-en espera

En modo activo-en espera, durante cualquier mantenimiento planeado o interrupción no planeada que afecte a la instancia activa, se produce el siguiente comportamiento:

  • S2S y red virtual a red virtual: la instancia en espera toma el control automáticamente (conmutación por error) y reanuda las conexiones VPN de sitio a sitio (S2S) o de red virtual a red virtual. Este cambio provoca una breve interrupción. Para el mantenimiento planeado, la conectividad se restaura rápidamente. En caso de problemas imprevistos, la recuperación de la conexión es más larga.
  • P2S: para las conexiones de cliente VPN punto a sitio (P2S) a la pasarela, las conexiones P2S se desconectan. Los usuarios deben volver a conectarse desde las máquinas cliente.

Para evitar interrupciones, cree su puerta de enlace en modo activo-activo o cambie una puerta de enlace activa-en espera a activa-activa.

Diseño del modo activo-activo

En una configuración activa-activa para una conexión S2S, ambas instancias de las máquinas virtuales de puerta de enlace establecen túneles VPN S2S con su dispositivo VPN local, como se muestra en el siguiente diagrama:

En el diagrama se muestra un sitio local con subredes IP privadas y una puerta de enlace local conectada a dos instancias de VPN Gateway.

En esta configuración, cada instancia de puerta de enlace Azure tiene una dirección IP pública única, y cada una establecerá un túnel VPN S2S IPsec/IKE hacia el dispositivo VPN local. Ambos túneles forman parte de la misma conexión. Configure el dispositivo VPN local para aceptar dos túneles VPN S2S, uno para cada instancia de puerta de enlace. Las conexiones P2S a las puertas de enlace en modo activo-activo no requieren ninguna configuración adicional.

En una configuración activa-activa, Azure enruta el tráfico de la red virtual a la red local a través de ambos túneles simultáneamente, incluso si el dispositivo VPN local podría favorecer un túnel sobre el otro. Para un único flujo TCP o UDP, Azure intenta usar el mismo túnel al enviar paquetes a la red local. Sin embargo, su red local podría usar un túnel diferente para volver a enviar paquetes a Azure.

Cuando se produce un mantenimiento planeado o un evento imprevisto en una instancia de puerta de enlace, se desconectará el túnel IPsec desde esa instancia hacia el dispositivo VPN local. Las rutas correspondientes en los dispositivos VPN se deben eliminar o retirar automáticamente para que el tráfico cambie al otro túnel IPsec activo. En el lado de Azure, el cambio se realizará automáticamente a la otra instancia afectada a la activa.

Nota:

En el caso de las conexiones S2S con una puerta de enlace de VPN en modo activo-activo, asegúrese de que los túneles se establecen en cada instancia de máquina virtual de puerta de enlace. Si establece un túnel en una sola instancia de máquina virtual de puerta de enlace, la conexión dejará de funcionar durante el mantenimiento. Si el dispositivo VPN no admite esta configuración, configure la puerta de enlace para el modo activo-en espera en su lugar.

Diseño del modo activo-activo de redundancia doble

La opción de diseño más confiable es combinar las puertas de enlace activas-activas tanto en su red como en Azure, como se muestra en el diagrama siguiente.

Diagrama que muestra un escenario de redundancia dual.

En esta configuración, creará y configurará la puerta de enlace de VPN de Azure en modo activo-activo. Puede crear dos puertas de enlace de red local y dos conexiones para los dos dispositivos VPN locales. El resultado es una conectividad de malla completa con cuatro túneles IPsec entre su instancia de Azure Virtual Network y la red local.

Todas las puertas de enlace y túneles están activos desde el lado Azure, por lo que el tráfico se reparte entre los cuatro túneles simultáneamente, aunque cada flujo TCP o UDP seguirá el mismo túnel o ruta desde el lado Azure. Aunque al repartir el tráfico podría notar un rendimiento ligeramente mejor en los túneles IPsec, el objetivo principal de esta configuración es la alta disponibilidad. Además, dada la naturaleza estadística de este método, es difícil proporcionar la medida en que las diferentes situaciones de tráfico de aplicaciones afectan al rendimiento agregado.

Esta topología requiere dos puertas de enlace de red local y dos conexiones para admitir el par de dispositivos VPN locales. Para obtener más información, consulte Acerca de la conectividad de alta disponibilidad.

Configuración de una puerta de enlace en modo activo-activo

Puede configurar una puerta de enlace activa-activa mediante Azure Portal, PowerShell o la CLI. También puede cambiar una puerta de enlace activa-en espera a activa-activa. Para conocer los pasos, consulte Cambio de una puerta de enlace a activa-activa.

Una puerta de enlace activa-activa tiene requisitos de configuración ligeramente diferentes a los de una puerta de enlace en espera activa.

  • No se puede configurar una puerta de enlace activa-activa mediante la SKU de puerta de enlace básica.
  • La VPN debe basarse en rutas. No se puede basar en directivas.
  • Se requieren dos direcciones IP públicas. Ambos deben ser direcciones IP públicas de SKU estándar que se asignan como Estáticas.
  • Una configuración de puerta de enlace activa-activa cuesta lo mismo que una configuración en espera activa. Sin embargo, las configuraciones activas y activas requieren dos direcciones IP públicas en lugar de una. Consulte Precios de direcciones IP.

Restablecimiento de una puerta de enlace en modo activo-activo

Si necesita restablecer una puerta de enlace activa-activa, puede restablecer ambas instancias mediante el portal. También puede usar PowerShell o la CLI para restablecer cada instancia de puerta de enlace por separado mediante VIP de instancia. Consulte Restablecer una conexión o una puerta de enlace.

Pasos siguientes