Konfigurowanie bram sieci VPN active-active przy użyciu portalu
Ten artykuł ułatwia tworzenie bram sieci VPN o wysokiej dostępności aktywne-aktywne przy użyciu modelu wdrażania usługi Resource Manager i witryny Azure Portal. Bramę active-active-active można również skonfigurować przy użyciu programu PowerShell.
Aby uzyskać wysoką dostępność połączeń między lokalizacjami i sieciami wirtualnymi, należy wdrożyć wiele bram sieci VPN i ustanowić wiele równoległych połączeń między sieciami a platformą Azure. Zobacz Łączność między lokalizacjami i sieciami wirtualnymi o wysokiej dostępności, aby zapoznać się z omówieniem opcji łączności i topologii.
Ważne
Tryb aktywny-aktywny jest dostępny dla wszystkich jednostek SKU z wyjątkiem warstwy Podstawowa lub Standardowa. Zobacz artykuł About Gateway SKUs (Informacje o jednostkach SKU bramy), aby uzyskać najnowsze informacje o jednostkach SKU bramy, wydajności i obsługiwanych funkcjach. W przypadku tej konfiguracji wymagane są publiczne adresy IP jednostki SKU w warstwie Standardowa. Nie można użyć publicznego adresu IP jednostki SKU w warstwie Podstawowa.
Kroki opisane w tym artykule ułatwiają konfigurowanie bramy sieci VPN w trybie aktywny-aktywny. Istnieje kilka różnic między trybami aktywne-aktywne i aktywne-wstrzymanie. Inne właściwości są takie same jak bramy nieaktywne-aktywne.
- Bramy aktywne-aktywne mają dwie konfiguracje adresów IP bramy i dwa publiczne adresy IP.
- Bramy aktywne-aktywne mają włączone ustawienie aktywne-aktywne.
- Jednostka SKU bramy sieci wirtualnej nie może być podstawowa ani Standardowa.
Jeśli masz już bramę sieci VPN, możesz zaktualizować istniejącą bramę sieci VPN z trybu aktywne-rezerwowego do trybu aktywny-aktywny lub z trybu aktywne-aktywne do trybu wstrzymania aktywnego.
Tworzenie sieci wirtualnej
Jeśli nie masz jeszcze sieci wirtualnej, której chcesz użyć, utwórz sieć wirtualną przy użyciu następujących wartości:
- Grupa zasobów: TestRG1
- Nazwa: VNet1
- Region: (USA) Wschodnie stany USA
- Przestrzeń adresowa IPv4: 10.1.0.0/16
- Nazwa podsieci: FrontEnd
- Przestrzeń adresowa podsieci: 10.1.0.0/24
Zaloguj się w witrynie Azure Portal.
W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.
Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.
Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.
- Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
- Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
- Nazwa: Wprowadź nazwę sieci wirtualnej.
- Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą znajdować się zasoby wdrażane w tej sieci wirtualnej.
Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.
Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.
Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.
+ Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.
- Nazwa podsieci: możesz użyć wartości domyślnej lub określić nazwę. Przykład: FrontEnd.
- Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.
Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.
Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.
Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.
Tworzenie bramy sieci VPN aktywne-aktywne
W tym kroku utworzysz bramę sieci wirtualnej aktywne-aktywne (brama sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.
Utwórz bramę sieci wirtualnej przy użyciu następujących wartości:
- Nazwa: VNet1GW
- Region: Wschodnie stany USA
- Typ bramy: VPN
- Typ sieci VPN: oparta na trasach
- Jednostka SKU: VpnGw2
- Generacja: Generacja2
- Sieć wirtualna: VNet1
- Zakres adresów podsieci bramy: 10.1.255.0/27
- Publiczny adres IP: utwórz nowy
- Publiczny adres IP: VNet1GWpip
W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.
Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.
Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.
Grupa zasobów: to ustawienie jest wypełniane automatycznie po wybraniu sieci wirtualnej na tej stronie.
Nazwa: Nadaj nazwę bramie. Nazewnictwo bramy nie jest takie samo jak nazewnictwo podsieci bramy. Jest to nazwa tworzonego obiektu bramy.
Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.
Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.
Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć. Zobacz Jednostki SKU bramy. Jednostki SKU AZ obsługują strefy dostępności.
Generacja: wybierz generację, której chcesz użyć. Zalecamy używanie jednostki SKU generacji2. Aby uzyskać więcej informacji, zobacz Gateway SKUs (Jednostki SKU bramy).
Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, dla której chcesz utworzyć bramę, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.
Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.
W tej chwili to pole może wyświetlać różne opcje ustawień, w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.
Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.
Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekt publicznego adresu IP, który zostanie skojarzony z bramą sieci VPN. Podczas tworzenia obiektu publicznego adresu IP adres IP jest przypisywany do obiektu. Publiczny obiekt adresu IP jest następnie skojarzony z bramą. W przypadku bram, które nie są strefowo nadmiarowe, jedyną zmianą publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się on w przypadku zmiany rozmiaru, zresetowania ani przeprowadzania innych wewnętrznych czynności konserwacyjnych bądź uaktualnień bramy sieci VPN. Należy skojarzyć obiekt publicznego adresu IP, który używa jednostki SKU w warstwie Standardowa . Obiekt publicznego adresu IP jednostki SKU w warstwie Podstawowa jest obsługiwany tylko w przypadku bram sieci VPN jednostki SKU w warstwie Podstawowa.
- Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .
- Nazwa publicznego adresu IP: w polu tekstowym wpisz nazwę wystąpienia publicznego adresu IP.
- Przypisanie: Statyczne jest wybierane automatycznie.
- Włącz tryb aktywny-aktywny: wybierz pozycję Włączone.
- Drugi publiczny adres IP: wybierz pozycję Utwórz nowy.
- Nazwa publicznego adresu IP: nadaj drugiego publicznego adresu IP.
- Pozostaw opcję Skonfiguruj protokół BGP jako Wyłączony, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, ale można użyć innych numerów ASN.
Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.
Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.
Stan wdrożenia można zobaczyć na stronie Przegląd bramy. Po utworzeniu bramy można znaleźć adres IP, który został do niej przypisany, spoglądając na sieć wirtualną w portalu. Brama jest widoczna jako urządzenie podłączone.
Ważne
Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)
Aktualizowanie istniejącej bramy sieci VPN
Ta sekcja ułatwia zmianę istniejącej bramy sieci VPN platformy Azure z trybu aktywne-rezerwowego na aktywny-aktywny i z trybu aktywne-aktywne do trybu wstrzymania aktywnego. Po zmianie bramy aktywne-rezerwowej na aktywny-aktywny utworzysz inny publiczny adres IP, a następnie dodaj drugą konfigurację adresu IP bramy.
Zmień tryb aktywny-rezerwowy na aktywny-aktywny
Wykonaj poniższe kroki, aby przekonwertować bramę trybu aktywne-rezerwowego na tryb aktywny-aktywny. Jeśli brama została utworzona przy użyciu modelu wdrażania usługi Resource Manager, możesz również uaktualnić jednostkę SKU na tej stronie.
Przejdź do strony bramy sieci wirtualnej.
W menu po lewej stronie wybierz pozycję Konfiguracja.
Na stronie Konfiguracja skonfiguruj następujące ustawienia:
- Zmień tryb Aktywny-aktywny na Włączone.
- Kliknij pozycję Dodaj nowy , aby dodać inny publiczny adres IP. Jeśli masz już utworzony wcześniej adres IP, który jest dostępny do dedykowania tego zasobu, możesz zamiast tego wybrać go z listy rozwijanej DRUGI PUBLICZNY ADRES IP.
Na stronie Wybierz publiczny adres IP i określ istniejący publiczny adres IP spełniający kryteria lub wybierz pozycję +Utwórz nowy, aby utworzyć nowy publiczny adres IP do użycia dla drugiego wystąpienia bramy sieci VPN. Po określeniu drugiego publicznego adresu IP kliknij przycisk OK.
W górnej części strony Konfiguracja kliknij przycisk Zapisz. Ukończenie tej aktualizacji może potrwać około 30–45 minut.
Ważne
Jeśli masz uruchomione sesje protokołu BGP, pamiętaj, że konfiguracja protokołu BGP usługi Azure VPN Gateway zmieni się, a dwa nowo przypisane adresy IP protokołu BGP zostaną aprowidowane w zakresie adresów podsieci bramy. Stary adres IP protokołu BGP usługi Azure VPN Gateway już nie istnieje. Spowoduje to przestój i aktualizacja elementów równorzędnych protokołu BGP na urządzeniach lokalnych będzie wymagana. Po zakończeniu aprowizacji bramy można uzyskać nowe adresy IP protokołu BGP i odpowiednio zaktualizować konfigurację urządzenia lokalnego. Dotyczy to adresów IP protokołu BGP innych niż APIPA. Aby dowiedzieć się, jak skonfigurować protokół BGP na platformie Azure, zobacz Jak skonfigurować protokół BGP w usłudze Azure VPN Gateway.
Zmień wartość active-active na active-standby
Wykonaj poniższe kroki, aby przekonwertować bramę trybu aktywny-aktywny na tryb aktywny-rezerwowy.
Przejdź do strony bramy sieci wirtualnej.
W menu po lewej stronie wybierz pozycję Konfiguracja.
Na stronie Konfiguracja zmień tryb Aktywny-aktywny na Wyłączone.
W górnej części strony Konfiguracja kliknij przycisk Zapisz.
Ważne
Jeśli masz uruchomione sesje protokołu BGP, pamiętaj, że konfiguracja protokołu BGP usługi Azure VPN Gateway zmieni się z dwóch adresów IP protokołu BGP na jeden adres BGP. Platforma zazwyczaj przypisuje ostatni użyteczny adres IP podsieci bramy. Spowoduje to przestój i aktualizacja elementów równorzędnych protokołu BGP na urządzeniach lokalnych będzie wymagana. Dotyczy to adresów IP protokołu BGP innych niż APIPA. Aby dowiedzieć się, jak skonfigurować protokół BGP na platformie Azure, zobacz Jak skonfigurować protokół BGP w usłudze Azure VPN Gateway.
Następne kroki
Aby skonfigurować połączenia, zobacz następujące artykuły: