Concevoir une connectivité de passerelle à haute disponibilité pour les connexions intersite et de réseau virtuel à réseau virtuel

Cet article vous aide à comprendre comment concevoir une connectivité de passerelle à haute disponibilité pour les connexions intersite et de réseau virtuel à réseau virtuel.

À propos de la redondance de passerelles VPN

Chaque passerelle VPN Azure se compose de deux instances dans une configuration de secours active par défaut. Pour toute interruption planifiée ou non planifiée qui se produit à l’instance active, l’instance de secours prend le relais automatiquement (basculement) et reprend les connexions VPN S2S ou de réseau virtuel à réseau virtuel. Le basculement entraîne une brève interruption. Dans le cadre d’une maintenance planifiée, la connectivité doit être restaurée dans les 10 à 15 secondes. En cas de problèmes non planifiés, la récupération de la connexion est plus longue et peut atteindre de 1 à 3 minutes dans le pire des cas. Pour les connexions client VPN P2S à la passerelle, les connexions P2S sont rompues et les utilisateurs doivent se reconnecter à partir des ordinateurs clients.

Connectivité hautement disponible entre différents locaux

Plusieurs options sont disponibles pour augmenter la disponibilité d’une connexion entre différents locaux :

• Utilisation de plusieurs périphériques VPN en local
• Utilisation d’une passerelle VPN Azure en mode actif-actif
• Combinaison des deux

Utilisation de plusieurs périphériques VPN en local

Vous pouvez utiliser plusieurs périphériques VPN de votre réseau local pour vous connecter à votre passerelle VPN Azure, comme illustré dans le schéma suivant :

Cette configuration offre plusieurs tunnels actifs reliant la même passerelle VPN Azure à vos périphériques locaux dans le même emplacement. Dans cette configuration, la passerelle VPN Azure est toujours en mode de secours actif, de sorte que le même comportement de basculement et l’interruption brève se produisent toujours. Mais cette configuration protège contre les défaillances ou les interruptions sur votre réseau local et vos périphériques VPN.

Elle comporte certaines exigences et contraintes :

1. Vous devez créer plusieurs connexions VPN S2S entre vos périphériques VPN et Azure. Lorsque vous connectez plusieurs appareils VPN du même réseau local à Azure, créez une passerelle de réseau local pour chaque appareil VPN et une connexion de votre passerelle VPN Azure à chaque passerelle de réseau local.
2. Les passerelles réseau locales correspondant à vos périphériques VPN doivent avoir des adresses IP publiques uniques dans la propriété « GatewayIpAddress ».
3. Cette configuration requiert le protocole BGP. Pour chaque passerelle réseau locale qui représente un périphérique VPN, une adresse IP d’homologue BGP unique doit être spécifiée dans la propriété « BgpPeerIpAddress ».
4. Utilisez BGP pour publier les mêmes préfixes de même réseau local sur votre passerelle VPN Azure. Le trafic est transféré simultanément via ces tunnels.
5. Vous devez utiliser un routage ECMP (Equal-Cost Multi-Path).
6. Chaque connexion est comptabilisée dans le nombre maximum de tunnels de votre passerelle Azure VPN. Consultez la page Paramètres de la passerelle VPN pour obtenir les dernières informations sur les tunnels, les connexions et le débit.

Passerelles VPN en mode actif/actif

Vous pouvez créer une passerelle VPN Azure dans une configuration en mode actif/actif. En mode actif-actif, les deux instances des machines virtuelles de passerelle établissent des tunnels VPN S2S sur votre appareil VPN local, comme illustré dans le diagramme suivant :

Dans cette configuration, chaque instance de passerelle Azure a une adresse IP publique unique et établit un tunnel VPN IPsec/IKE S2S sur votre périphérique VPN local spécifié dans votre passerelle de réseau local et connexion. Les deux tunnels VPN font en fait partie de la même connexion. Vous devez toujours configurer votre périphérique VPN local pour accepter ou établir deux tunnels VPN S2S sur ces deux adresses IP publiques de passerelle VPN Azure.

Étant donné que les instances de passerelle Azure sont en configuration active-active, le trafic de votre réseau virtuel Azure vers votre réseau local est acheminé simultanément via les deux tunnels, même si votre appareil VPN local peut favoriser un tunnel par rapport à l’autre. Dans le cas d’un seul canal TCP ou UDP, Azure tente d’utiliser le même tunnel lors de l’envoi de paquets au réseau local. Toutefois, il est possible que ce dernier utilise un autre tunnel pour envoyer des paquets à Azure.

Quand un événement de maintenance planifiée ou un événement imprévu se produit sur une des instances de passerelle, le tunnel IPsec qui va de cette instance à votre appareil VPN local est déconnecté. Les routes correspondantes sur vos périphériques VPN doivent être supprimées ou retirées automatiquement afin de permettre le basculement du trafic sur l’autre tunnel IPsec actif. Côté Azure, le basculement se produit automatiquement de l’instance affectée à l’instance active.

Double redondance : passerelles VPN de type actif-actif pour Azure et les réseaux locaux

L’option la plus fiable consiste à combiner les passerelles de type actif-actif sur votre réseau et sur Azure, comme illustré dans le schéma suivant.

Dans ce type de configuration, vous configurez la passerelle VPN Azure dans une configuration active-active. Vous créez deux passerelles de réseau local et deux connexions pour vos deux appareils VPN locaux. Vous obtenez une connectivité entièrement maillée pour les 4 tunnels IPsec qui relient votre réseau virtuel Azure à votre réseau local.

Toutes les passerelles et tunnels sont actifs du côté Azure. Par conséquent, le trafic est réparti entre les 4 tunnels simultanément, bien que chaque flux TCP ou UDP suit le même tunnel ou chemin du côté Azure. En répartissant le trafic, vous pouvez voir un débit légèrement meilleur sur les tunnels IPsec. Toutefois, l’objectif principal de cette configuration est la haute disponibilité. En raison de la nature statistique de la propagation du trafic, il est difficile de fournir la mesure sur la façon dont différentes conditions de trafic d’application peuvent affecter le débit agrégé.

Cette topologie nécessite deux passerelles réseau locales et deux connexions pour pouvoir prendre en charge les deux périphériques VPN locaux. Elle requiert également un BGP (Border Gateway Protocol) pour permettre une connectivité simultanée sur les deux connexions au même réseau local. Ces exigences sont les mêmes que le scénario plusieurs appareils VPN locaux.

Connectivité hautement disponible de réseau virtuel à réseau virtuel

La même configuration actif-actif peut également s’appliquer aux connexions entre deux réseaux virtuels Azure. Vous pouvez créer des passerelles VPN actives pour chaque réseau virtuel, puis les connecter ensemble pour former la même connectivité de maillage complet de 4 tunnels entre les deux réseaux virtuels. Cette situation est présentée dans le diagramme suivant :

Ce type de configuration garantit qu’il existe toujours une paire de tunnels entre les deux réseaux virtuels pour tous les événements de maintenance planifiée, ce qui offre une meilleure disponibilité. Même si la même topologie pour la connectivité intersite nécessite deux connexions, la topologie de réseau virtuel à réseau virtuel dans cet exemple ne nécessite qu’une seule connexion pour chaque passerelle. Le protocole BGP est facultatif, sauf si le routage du transit via la connexion de réseau virtuel à réseau virtuel est requis.

Étapes suivantes

Configurez une passerelle VPN active-active à l’aide du portail Azure ou PowerShell.