Freigeben über

Entwerfen hochverfügbarer Gatewaykonnektivität für standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie hoch verfügbare Gatewaykonnektivität für standortübergreifende und VNet-zu-VNet-Verbindungen entwerfen.

Informationen zur VPN Gateway-Redundanz

Jedes Azure-VPN-Gateway umfasst standardmäßig zwei Instanzen in einer Aktiv-Standby-Konfiguration. Für alle geplanten Wartungsarbeiten oder ungeplanten Störungen, die für die aktive Instanz anfallen, wird automatisch zur Standbyinstanz gewechselt (Failover), und die S2S-VPN- oder VNet-zu-VNet-Verbindungen werden wiederhergestellt. Bei diesem Wechsel kommt es zu einer kurzen Unterbrechung. Bei der geplanten Wartung sollte die Verbindung innerhalb von 10 bis 15 Sekunden wiederhergestellt werden. Bei ungeplanten Problemen dauert die Verbindungswiederherstellung länger, schlimmstenfalls zwischen 1 und 3 Minuten. Für P2S-VPN-Clientverbindungen mit dem Gateway werden die P2S-Verbindungen getrennt, und die Benutzer müssen die Verbindungen von den Clientcomputern her neu herstellen.

Das Diagramm zeigt einen lokalen Standort mit Subnetzen, die mit privaten IPs konfiguriert sind, und ein lokales VPN, das für die Verbindung mit in Azure gehosteten Subnetzen über ein Standby-Gateway mit einem aktiven Azure VPN-Gateway verbunden ist.

Standortübergreifende Hochverfügbarkeit

Es gibt einige Optionen, mit denen Sie die Verfügbarkeit für standortübergreifende Verbindungen verbessern können:

  • Mehrere lokale VPN-Geräte
  • Azure-VPN-Gateway vom Typ „Aktiv/Aktiv“
  • Kombination beider Optionen

Mehrere lokale VPN-Geräte

Sie können mehrere VPN-Geräte in Ihrem lokalen Netzwerk verwenden, um eine Verbindung mit Ihrem Azure-VPN-Gateway herzustellen. Dies ist im folgenden Diagramm dargestellt:

Das Diagramm zeigt mehrere lokale Standorte mit Subnetzen, die mit privaten IP-Adressen konfiguriert sind, und ein lokales VPN, das für die Verbindung mit in Azure gehosteten Subnetzen über ein Standby-Gateway mit einem aktiven Azure-VPN-Gateway verbunden ist.

Diese Konfiguration enthält mehrere aktive Tunnel von demselben Azure-VPN-Gateway zu Ihren lokalen Geräten an einem Standort. Bei dieser Konfiguration befindet sich das Azure-VPN-Gateway noch im aktiven Standbymodus. Es kommt also zum gleichen Failover und zur gleichen kurzen Unterbrechung. Diese Konfiguration bietet aber Schutz vor Ausfällen oder Unterbrechungen in Ihrem lokalen Netzwerk und für Ihre VPN-Geräte.

Es gelten einige Anforderungen und Einschränkungen:

  1. Sie müssen mehrere S2S-VPN-Verbindungen von Ihren VPN-Geräten mit Azure herstellen. Wenn Sie für mehrere VPN-Geräte eine Verbindung aus demselben lokalen Netzwerk mit Azure herstellen, erstellen Sie für jedes VPN-Gerät ein Gateway für das lokale Netzwerk und eine Verbindung von Ihrem Azure-VPN-Gateway zu jedem Gateway des lokalen Netzwerks.
  2. Die Gateways des lokalen Netzwerks, die Sie für die VPN-Geräte erstellen, müssen in der „GatewayIpAddress“-Eigenschaft über eindeutige öffentliche IP-Adressen verfügen.
  3. Für diese Konfiguration wird BGP benötigt. Für jedes Gateway des lokalen Netzwerks, das für ein VPN-Gerät steht, muss in der „BgpPeerIpAddress“-Eigenschaft eine eindeutige BGP-Peer-IP-Adresse angegeben werden.
  4. Verwenden Sie BGP, um dieselben Präfixe der gleichen lokalen Netzwerkpräfixe für Ihr Azure VPN-Gateway anzukündigen. Der Verkehr wird durch diese Tunnel gleichzeitig weitergeleitet.
  5. Sie müssen ECMP-Routing (Equal-Cost Multi Path) verwenden.
  6. Jede Verbindung wird anhand der maximalen Anzahl von Tunneln für Ihr Azure-VPN-Gateway gezählt. Auf der Seite VPN Gatewayeinstellungen finden Sie die neuesten Informationen zu Tunneln, Verbindungen und Durchsatz.

VPN Gateways vom Typ „Aktiv/Aktiv“

Sie können ein Azure VPN-Gateway in einer Konfiguration im Aktiv/Aktiv-Modus erstellen. In einem Aktiv/Aktiv-Modus erstellen beide Instanzen der Gateway-VMs jeweils S2S-VPN-Tunnel zu Ihrem lokalen VPN-Gerät, wie im folgenden Diagramm dargestellt:

Das Diagramm zeigt einen lokalen Standort mit Subnetzen, die mit privaten IPs konfiguriert sind, und einem lokalen VPN, das für Verbindungen mit in Azure gehosteten Subnetzen mit zwei aktiven Azure VPN-Gateways verbunden ist.

Bei dieser Konfiguration verfügt jedes Azure-Gateway über eine eindeutige öffentliche IP-Adresse, und es wird jeweils ein IPsec/IKE-S2S-VPN-Tunnel zu Ihrem lokalen VPN-Gerät erstellt, das in Ihrem lokalen Netzwerk-Gateway und der Verbindung angegeben ist. Dabei sind beide VPN-Tunnel Teil derselben Verbindung. Sie müssen Ihr lokales VPN-Gerät trotzdem so konfigurieren, dass zwei S2S-VPN-Tunnel zu diesen beiden öffentlichen IP-Adressen des Azure-VPN-Gateways akzeptiert oder eingerichtet werden.

Da die Azure-Gatewayinstanzen über eine Aktiv/Aktiv-Konfiguration verfügen, wird der Datenverkehr von Ihrem virtuellen Azure-Netzwerk zum lokalen Netzwerk gleichzeitig durch beide Tunnel geleitet. Dies gilt auch, wenn das lokale VPN-Gerät möglicherweise einen Tunnel bevorzugt behandelt. Für einen einzelnen TCP- oder UDP-Flow versucht Azure, beim Senden von Paketen an Ihr lokales Netzwerk denselben Tunnel zu verwenden. Ihr lokales Netzwerk könnte jedoch einen anderen Tunnel verwenden, um Pakete an Azure zu senden.

Wenn für eine Gatewayinstanz eine geplante Wartung oder ein ungeplantes Ereignis eintritt, wird die Verbindung des IPsec-Tunnels von dieser Instanz mit dem lokalen VPN-Gerät getrennt. Die entsprechenden Routen auf Ihren VPN-Geräten sollten automatisch entfernt oder zurückgezogen werden, sodass der Datenverkehr auf den anderen aktiven IPsec-Tunnel umgeleitet wird. Auf Azure-Seite erfolgt automatisch die Umschaltung von der betroffenen Instanz zur aktiven Instanz.

Duale Redundanz: Aktiv/Aktiv-VPN-Gateways für Azure-Netzwerke und lokale Netzwerke

Die zuverlässigste Option ist eine Kombination der Aktiv/Aktiv-Gateways sowohl in Ihrem Netzwerk und in Azure, wie im folgenden Diagramm dargestellt.

Diagramm: Szenario mit dualer Redundanz

In dieser Art von Konfiguration richten Sie das Azure-VPN-Gateway in einer Aktiv/Aktiv-Konfiguration ein. Sie erstellen zwei lokale Netzwerkgateways und zwei Verbindungen für Ihre beiden lokalen VPN-Geräte. Das Ergebnis ist eine vollständig vermaschte Verbindung mit vier IPsec-Tunneln zwischen Ihrem virtuellen Azure-Netzwerk und dem lokalen Netzwerk.

Alle Gateways und Tunnel sind auf der Azure-Seite aktiv. Der Datenverkehr wird also auf alle 4 Tunnel gleichzeitig verteilt, obwohl jeder TCP- oder UDP-Flow von der Azure-Seite aus wieder demselben Tunnel oder Pfad folgen wird. Durch die Verbreitung des Datenverkehrs sehen Sie möglicherweise einen etwas besseren Durchsatz über den IPsec-Tunnel. Das Hauptziel dieser Konfiguration ist jedoch eine hohe Verfügbarkeit. Aufgrund der statistischen Art und Weise der Verteilung ist es außerdem schwierig zu messen, wie sich unterschiedliche Bedingungen für den Anwendungsdatenverkehr auf den aggregierten Durchsatz auswirken könnten.

Für diese Topologie sind zwei lokale Netzwerkgateways und zwei Verbindungen erforderlich, um das lokale VPN-Gerätepaar zu unterstützen, und BGP wird benötigt, um gleichzeitige Konnektivität für die zwei Verbindungen für dasselbe lokale Netzwerk zuzulassen. Diese Anforderungen sind identisch mit dem Szenario Mehrere lokale VPN-Geräte.

VNet-to-VNet mit Hochverfügbarkeit

Die gleiche Aktiv/Aktiv-Konfiguration kann auch für Azure-VNet-zu-VNet-Verbindungen gelten. Sie können Aktiv/Aktiv-VPN-Gateways für jedes virtuelle Netzwerk erstellen und miteinander verbinden, um die gleiche vollständig vermaschte Verbindung mit vier Tunneln zwischen den beiden VNets zu erzielen. Dies ist im folgenden Diagramm dargestellt:

Das Diagramm zeigt zwei Azure-Regionen, in denen zwei mit privaten IPs konfigurierte Subnetze gehostet sind, und zwei Azure VPN-Gateways, über die Verbindungen der beiden virtuellen Standorte erfolgen.

Diese Art Konfiguration stellt sicher, dass zwischen den beiden virtuellen Netzwerken immer ein Tunnelpaar für geplante Wartungsereignisse vorhanden ist. Dies führt zu einer weiteren Verbesserung der Verfügbarkeit. Für die gleiche Topologie für die standortübergreifende Konnektivität sind zwar zwei Verbindungen erforderlich, aber für die VNet-zu-VNet-Topologie im obigen Beispiel wird nur eine Verbindung für jedes Gateway benötigt. Die Verwendung von BGP ist optional, sofern kein Transitrouting über die VNet-zu-VNet-Verbindung erforderlich ist.

Nächste Schritte

Konfigurieren eines Aktiv/Aktiv-VPN-Gateways über das Azure-Portal oder mit PowerShell.