Informacje o bramach sieci VPN w trybie aktywny-aktywny
Bramy sieci VPN platformy Azure można skonfigurować jako aktywne-wstrzymanie lub aktywne-aktywne. W tym artykule opisano konfiguracje bramy trybu aktywne-aktywne i wyróżniono zalety korzystania z trybu aktywne-aktywne.
Dlaczego warto utworzyć bramę active-active?
Bramy sieci VPN składają się z dwóch wystąpień w konfiguracji trybu aktywnego wstrzymania, chyba że określono tryb aktywny-aktywny. W trybie gotowości aktywnej podczas planowanej konserwacji lub nieplanowanych zakłóceń wpływających na aktywne wystąpienie występuje następujące zachowanie:
- Połączenia typu lokacja-lokacja i sieć wirtualna-sieć wirtualna: wystąpienie rezerwowe przejmuje automatycznie (tryb failover) i wznawia połączenie sieci VPN typu lokacja-lokacja (S2S) lub połączenia między sieciami wirtualnymi. To przełączenie powoduje krótką przerwę. W przypadku planowanej konserwacji łączność jest szybko przywracana. W przypadku nieplanowanych problemów odzyskiwanie połączenia jest dłuższe.
- P2S: W przypadku połączeń klienta sieci VPN typu punkt-lokacja (P2S) z bramą połączenia punkt-lokacja są rozłączone. Użytkownicy muszą ponownie nawiązać połączenie z komputerów klienckich.
Aby uniknąć przerw, utwórz bramę w trybie aktywny-aktywny lub przełącz bramę trybu aktywne-rezerwowego na aktywny-aktywny.
Projekt aktywny-aktywny
W konfiguracji aktywne-aktywne dla połączenia S2S oba wystąpienia maszyn wirtualnych bramy ustanawiają tunele sieci VPN typu lokacja-lokacja do lokalnego urządzenia sieci VPN, jak pokazano na poniższym diagramie:
W tej konfiguracji każde wystąpienie bramy platformy Azure ma unikatowy publiczny adres IP, a każdy z nich utworzy tunel VPN protokołu IPsec/IKE S2S na lokalnym urządzeniu sieci VPN. Oba tunele są częścią tego samego połączenia. Skonfiguruj lokalne urządzenie sieci VPN tak, aby akceptowały dwa tunele sieci VPN typu lokacja-lokacja, po jednym dla każdego wystąpienia bramy. Połączenia typu punkt-lokacja z bramami w trybie aktywny-aktywny nie wymagają dodatkowej konfiguracji.
W konfiguracji aktywne-aktywne platforma Azure kieruje ruch z sieci wirtualnej do sieci lokalnej przez oba tunele jednocześnie, nawet jeśli lokalne urządzenie sieci VPN może faworyzować jeden tunel przez drugi. W przypadku pojedynczego przepływu TCP lub UDP platforma Azure próbuje użyć tego samego tunelu podczas wysyłania pakietów do sieci lokalnej. Jednak sieć lokalna może używać innego tunelu do wysyłania pakietów z powrotem na platformę Azure.
W przypadku planowanej konserwacji lub nieplanowanego zdarzenia dotyczącego jednego wystąpienia bramy tunel IPsec z tego wystąpienia do lokalnego urządzenia sieci VPN zostanie rozłączony. Odpowiednie trasy na urządzeniach sieci VPN powinny zostać automatycznie usunięte lub wycofane, aby umożliwić przełączenie ruchu do innego aktywnego tunelu IPsec. Po stronie platformy Azure przełączenie nastąpi automatycznie z wystąpienia, którego dotyczy problem, do innego aktywnego wystąpienia.
Uwaga
W przypadku połączeń typu lokacja-lokacja z bramą sieci VPN w trybie aktywny-aktywny upewnij się, że tunele są ustanawiane dla każdego wystąpienia maszyny wirtualnej bramy. Jeśli ustanowić tunel tylko do jednego wystąpienia maszyny wirtualnej bramy, połączenie spadnie podczas konserwacji. Jeśli urządzenie sieci VPN nie obsługuje tej konfiguracji, skonfiguruj bramę pod kątem trybu wstrzymania aktywnego.
Projekt z podwójną nadmiarowością aktywny-aktywny
Najbardziej niezawodną opcją projektowania jest połączenie bram aktywnych-aktywnych zarówno w sieci, jak i na platformie Azure, jak pokazano na poniższym diagramie.
W tej konfiguracji utworzysz i skonfigurujesz bramę sieci VPN platformy Azure w trybie aktywny-aktywny. Utworzysz dwie bramy sieci lokalnej i dwa połączenia dla dwóch lokalnych urządzeń sieci VPN. Wynikiem jest pełna łączność siatki czterech tuneli IPsec między siecią wirtualną platformy Azure i siecią lokalną.
Wszystkie bramy i tunele są aktywne po stronie platformy Azure, więc ruch jest rozłożony między wszystkie cztery tunele jednocześnie, chociaż każdy przepływ TCP lub UDP będzie podążał za tym samym tunelem lub ścieżką po stronie platformy Azure. Mimo że rozprzestrzenianie ruchu może być nieco lepszej przepływności w tunelach IPsec, głównym celem tej konfiguracji jest wysoka dostępność. Ze względu na statystyczny charakter rozkładu trudno jest podać pomiar sposobu, w jaki różne warunki ruchu aplikacji wpływają na zagregowaną przepływność.
Ta topologia wymaga dwóch bram sieci lokalnej i dwóch połączeń do obsługi pary lokalnych urządzeń sieci VPN. Aby uzyskać więcej informacji, zobacz Informacje o łączności o wysokiej dostępności.
Konfigurowanie bramy aktywne-aktywne
Bramę active-active-active można skonfigurować przy użyciu witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia. Możesz również zmienić bramę trybu aktywny-rezerwowy na tryb aktywny-aktywny. Aby uzyskać instrukcje, zobacz Zmienianie bramy na aktywne-aktywne.
Brama aktywna-aktywna ma nieco inne wymagania dotyczące konfiguracji niż brama trybu wstrzymania aktywnego.
- Nie można skonfigurować bramy aktywne-aktywne przy użyciu jednostki SKU bramy Podstawowej.
- Sieć VPN musi być oparta na trasach. Nie może być oparta na zasadach.
- Wymagane są dwa publiczne adresy IP. Oba muszą być publicznymi adresami IP jednostek SKU w warstwie Standardowa, które są przypisane jako statyczne.
- Konfiguracja bramy aktywne-aktywne kosztuje tak samo jak konfiguracja trybu wstrzymania aktywnego. Jednak konfiguracje aktywne-aktywne wymagają dwóch publicznych adresów IP zamiast jednego. Zobacz Cennik adresów IP.
Resetowanie bramy aktywne-aktywne
Jeśli chcesz zresetować bramę active-active-active, możesz zresetować oba wystąpienia przy użyciu portalu. Możesz również użyć programu PowerShell lub interfejsu wiersza polecenia, aby zresetować każde wystąpienie bramy oddzielnie przy użyciu adresów VIP wystąpień. Zobacz Resetowanie połączenia lub bramy.