Maximaal beschikbare gatewayconnectiviteit ontwerpen voor cross-premises en VNet-naar-VNet-verbindingen
Dit artikel helpt u te begrijpen hoe u maximaal beschikbare gatewayconnectiviteit ontwerpt voor cross-premises en VNet-naar-VNet-verbindingen.
Over vpn-gatewayredundantie
Elke Azure VPN-gateway bestaat uit twee instanties in een actieve stand-byconfiguratie. Bij gepland onderhoud of niet-geplande onderbrekingen die met het actieve exemplaar plaatsvinden, neemt de stand-byinstantie de activiteiten automatisch over (failover) en worden de S2S VPN- of VNet-naar-VNet-verbindingen hervat. De omschakeling veroorzaakt een korte onderbreking. Bij gepland onderhoud moet de connectiviteit binnen 10 tot 15 seconden worden hersteld. Voor niet-geplande problemen is het herstel van de verbinding langer, ongeveer 1 tot 3 minuten in het ergste geval. Voor P2S VPN-clientverbindingen met de gateway worden de P2S-verbindingen verbroken en moeten de gebruikers opnieuw verbinding maken vanaf de clientcomputers.
Maximaal beschikbare cross-premises
Er zijn enkele opties beschikbaar om een betere beschikbaarheid te bieden voor uw cross-premises verbindingen:
- Meerdere on-premises VPN-apparaten
- Actief/actief Azure VPN-gateway
- Combinatie van beide
Meerdere on-premises VPN-apparaten
U kunt meerdere VPN-apparaten van uw on-premises netwerk gebruiken om verbinding te maken met uw Azure VPN-gateway, zoals in het volgende diagram wordt weergegeven:
Deze configuratie biedt meerdere actieve tunnels van dezelfde Azure VPN-gateway op on-premises apparaten op dezelfde locatie. Er zijn enkele vereisten en beperkingen:
- U moet meerdere S2S VPN-verbindingen maken van uw VPN-apparaten naar Azure. Wanneer u meerdere VPN-apparaten van hetzelfde on-premises netwerk verbindt met Azure, moet u één lokale netwerkgateway maken voor elk VPN-apparaat en één verbinding van uw Azure VPN-gateway naar elke lokale netwerkgateway.
- De lokale netwerkgateways die overeenkomen met uw VPN-apparaten moeten unieke openbare IP-adressen hebben in de eigenschap 'GatewayIpAddress'.
- BGP is vereist voor deze configuratie. Elke lokale netwerkgateway voor een VPN-apparaat moet een uniek IP-adres voor BGP-peering hebben in de eigenschap 'BgpPeerIpAddress'.
- Gebruik BGP om dezelfde voorvoegsels van dezelfde on-premises netwerkvoorvoegsels te adverteren naar uw Azure VPN-gateway. Het verkeer wordt tegelijkertijd doorgestuurd via deze tunnels.
- U moet ECMP (Equal-Cost Multi-Path Routing) gebruiken.
- Elke verbinding wordt meegeteld voor het maximum aantal tunnels voor uw Azure VPN-gateway. Zie de pagina met VPN Gateway-instellingen voor de meest recente informatie over tunnels, verbindingen en doorvoer.
In deze configuratie bevindt de Azure VPN-gateway zich nog steeds in de actieve stand-bymodus, dus hetzelfde failovergedrag en de korte onderbreking die hierboven worden beschreven, zullen optreden. Deze installatie beschermt echter tegen storingen of onderbrekingen op uw on-premises netwerk en VPN-apparaten.
Actief-actief VPN-gateways
U kunt een Azure VPN-gateway maken in een actief-actief-configuratie, waarbij beide exemplaren van de gateway-VM's S2S VPN-tunnels tot stand brengen op uw on-premises VPN-apparaat, zoals in het volgende diagram wordt weergegeven:
In deze configuratie heeft elk Exemplaar van de Azure-gateway een uniek openbaar IP-adres en wordt er een IPsec-/IKE S2S VPN-tunnel ingesteld op uw on-premises VPN-apparaat dat is opgegeven in uw lokale netwerkgateway en -verbinding. Beide VPN-tunnels maken eigenlijk deel uit van dezelfde verbinding. U moet uw on-premises VPN-apparaat nog steeds configureren om twee S2S VPN-tunnels te accepteren of tot stand te brengen voor deze twee openbare IP-adressen van de Azure VPN-gateway.
Omdat de Azure Gateway-exemplaren zich in een actief-actief-configuratie bevinden, wordt het verkeer van uw virtuele Azure-netwerk naar uw on-premises netwerk gelijktijdig gerouteerd via beide tunnels, zelfs als uw on-premises VPN-apparaat de voorkeur kan geven aan één tunnel via de andere. Voor één TCP- of UDP-stroom probeert Azure dezelfde tunnel te gebruiken bij het verzenden van pakketten naar uw on-premises netwerk. Uw on-premises netwerk kan echter een andere tunnel gebruiken om pakketten naar Azure te verzenden.
Wanneer er gepland onderhoud wordt uitgevoerd op een gatewayexemplaar of er zich een niet-gepland voorval voordoet, wordt de verbinding met de IPsec-tunnel vanuit het betreffende exemplaar met uw on-premises VPN-apparaat verbroken. De bijbehorende routes op uw VPN-apparaten moeten automatisch worden verwijderd of ingetrokken zodat het verkeer wordt omgeleid naar de andere actieve IPsec-tunnel. Vanuit Azure gebeurt de overschakeling van het betreffende exemplaar naar het actieve exemplaar automatisch.
Dubbele redundantie: actief/actief VPN-gateways voor Azure en on-premises netwerken
De meest betrouwbare optie is het combineren van de actief-actieve gateways in uw netwerk en Azure, zoals wordt weergegeven in het volgende diagram.
Hier maakt en stelt u de Azure VPN-gateway in een actief-actief-configuratie in en maakt u twee lokale netwerkgateways en twee verbindingen voor uw twee on-premises VPN-apparaten, zoals hierboven beschreven. Het resultaat is een volledig connectiviteitsraster van vier IPsec-tunnels tussen uw virtuele Azure-netwerk en uw on-premises netwerk.
Alle gateways en tunnels zijn actief vanaf de Azure-zijde, dus het verkeer wordt tegelijkertijd verdeeld over alle 4 tunnels, hoewel elke TCP- of UDP-stroom dezelfde tunnel of hetzelfde pad van de Azure-zijde volgt. Ondanks dat de doorvoer via de IPsec-tunnels mogelijk iets verbetert doordat het verkeer wordt verspreid, is het voornaamste doel van deze configuratie maximale beschikbaarheid. En vanwege de statistische aard van de verspreiding is het moeilijk om de meting te geven over hoe verschillende toepassingsverkeersomstandigheden van invloed zijn op de geaggregeerde doorvoer.
Voor deze topologie zijn twee lokale netwerkgateways en twee verbindingen vereist om het paar on-premises VPN-apparaten te ondersteunen. BGP is vereist om gelijktijdige connectiviteit op de twee verbindingen met hetzelfde on-premises netwerk mogelijk te maken. Deze vereisten zijn hetzelfde als die hierboven.
Maximaal beschikbare VNet-naar-VNet
Dezelfde actief/actief-configuratie kan ook worden toegepast op VNet-naar-VNet-verbindingen van Azure. U kunt actief-actieve VPN-gateways maken voor beide virtuele netwerken en deze verbinden om dezelfde volledige mesh-connectiviteit van 4 tunnels tussen de twee VNets te vormen, zoals wordt weergegeven in het volgende diagram:
Hiermee zorgt u ervoor dat er altijd een paar tunnels tussen de twee virtuele netwerken actief is voor gepland onderhoud, waardoor de beschikbaarheid nog beter wordt. Hoewel dezelfde topologie voor cross-premises connectiviteit twee verbindingen vereist, is er voor de VNet-naar-VNet-topologie die hierboven wordt weergegeven slechts één verbinding per gateway nodig. BGP is bovendien optioneel, tenzij doorvoerroutering via de VNet-naar-VNet-verbinding vereist is.
Volgende stappen
Zie Actief-actief-gateways configureren met behulp van Azure Portal of PowerShell.