Compartilhar via

Criar conectividade de gateway altamente disponível para conexões entre locais e entre VNets

  • Artigo

Este artigo ajuda você a entender como criar conectividade de gateway altamente disponível para conexões entre locais e entre VNets.

Sobre a redundância do gateway de VPN

Cada gateway de VPN do Azure consiste em duas instâncias em uma configuração de ativo em espera por padrão. Para qualquer manutenção planejada ou interrupção não planejada que ocorra na instância ativa, a instância em espera assumirá automaticamente (failover) e retomará as conexões VPN S2S ou VNet para VNet. Essa troca causa uma breve interrupção. Para uma manutenção planejada, a conectividade deve ser restaurada dentro de 10 a 15 segundos. Para os problemas não planejados, a recuperação da conexão é mais longa, aproximadamente de 1 a 3 minutos, no pior caso. Para as conexões do cliente VPN P2S com o gateway, as conexões P2S são desconectadas e os usuários precisam se reconectar a partir dos computadores cliente.

O diagrama mostra um site local com sub-redes I P privadas e V P N locais conectadas a um gateway V P N ativo do Azure para se conectar a sub-redes hospedadas no Azure, com um gateway disponível em espera.

Altamente Disponível entre os locais

Para fornecer maior disponibilidade para suas conexões entre os locais, há algumas opções disponíveis:

  • Vários dispositivos VPN locais
  • Gateway de VPN do Azure ativo
  • Combinação dos dois

Vários dispositivos VPN locais

Você pode usar vários dispositivos VPN a partir de sua rede local para conectar o gateway de VPN do Azure, como mostrado no diagrama a seguir:

O diagrama mostra vários sites locais com sub-redes IP privadas e VPN local conectada a um gateway de VPN do Azure ativo para se conectar a sub-redes hospedadas no Azure, com um gateway em espera disponível.

Essa configuração fornece vários túneis ativos do mesmo gateway de VPN do Azure para seus dispositivos locais no mesmo local. Nessa configuração, o gateway de VPN do Azure ainda está no modo ativo em espera, portanto, o mesmo comportamento de failover e interrupção breve ainda ocorrerá. Mas essa configuração protege contra falhas ou interrupções na rede local e nos dispositivos VPN.

Há alguns requisitos e restrições:

  1. Você precisa criar várias conexões VPN S2S a partir dos dispositivos VPN no Azure. Quando você conectar vários dispositivos VPN da mesma rede local ao Azure, crie um gateway de rede local para cada dispositivo VPN e uma conexão do gateway de VPN do Azure a cada gateway de rede local.
  2. Os gateways de rede locais que correspondem aos dispositivos VPN devem ter endereços IP públicos exclusivos na propriedade "GatewayIpAddress".
  3. O BGP é necessário para esta configuração. Cada gateway de rede local que representa um dispositivo VPN deve ter um endereço IP no nível do BGP exclusivo especificado na propriedade "BgpPeerIpAddress".
  4. Use o BGP para anunciar os mesmos prefixos dos mesmos prefixos de rede local ao gateway de VPN do Azure. O tráfego é encaminhado por meio desses túneis simultaneamente.
  5. Você precisa usar o ECMP (roteamento de múltiplos caminhos de mesmo custo).
  6. Cada conexão é contada em relação ao número máximo de túneis do seu gateway de VPN do Azure. Consulte a página de Configurações de Gateway de VPN para obter as informações mais recentes sobre túneis, conexões e taxa de transferência.

Gateways de VPN no modo ativo-ativo

Você pode criar um gateway de VPN do Azure em uma configuração de modo ativo-ativo. No modo ativo-ativo, ambas as instâncias das VMs do gateway estabelecem túneis VPN S2S para o dispositivo VPN local, conforme mostrado no diagrama a seguir:

O diagrama mostra um site local com sub-redes I P privadas e uma V P N local conectada a dois gateways V P N ativos do Azure para se conectar a sub-redes hospedadas no Azure.

Nessa configuração, cada instância de gateway do Azure tem um endereço IP público exclusivo e cada uma estabelece um túnel VPN IPsec/IKE S2S para o dispositivo VPN local especificado no gateway de rede local e na conexão. Ambos os túneis VPN, na verdade, fazem parte da mesma conexão. Você ainda precisará configurar o dispositivo VPN local para aceitar ou estabelecer dois túneis VPN S2S para esses dois endereços IP públicos do gateway de VPN do Azure.

Como as instâncias de gateway do Azure estão em configuração ativo-ativo, o tráfego da rede virtual do Azure para a rede local é roteado por ambos os túneis simultaneamente, mesmo que o dispositivo VPN local possa favorecer um túnel em relação ao outro. Para um único fluxo TCP ou UDP, o Azure tenta usar o mesmo túnel ao enviar pacotes para sua rede local. No entanto, sua rede local pode usar um túnel diferente para enviar pacotes para o Azure.

Quando um evento não planejado ou manutenção planejada acontecer em uma instância do gateway, o túnel IPsec dessa instância para o dispositivo VPN local será desconectado. As rotas correspondentes em seus dispositivos VPN devem ser removidas ou retiradas automaticamente para que o tráfego seja alternado para o outro túnel IPsec ativo. No lado do Azure, a alternância acontece automaticamente da instância afetada para a instância ativa.

Dupla redundância: gateways VPN ativos para redes locais e do Azure

A opção mais confiável é combinar os gateways ativo-ativo em sua rede e no Azure, como mostrado no diagrama a seguir.

O diagrama mostra um cenário de Redundância Dupla.

Nesse tipo de configuração, você deve configurar o gateway de VPN do Azure em uma configuração ativo-ativo. Você cria dois gateways de rede local e duas conexões para seus dois dispositivos VPN locais. O resultado é uma conectividade de malha completa de quatro túneis IPsec entre sua rede virtual do Azure e a rede local.

Todos os gateways e túneis estão ativos no lado do Azure, portanto, o tráfego é distribuído entre todos os 4 túneis simultaneamente, embora cada fluxo TCP ou UDP siga o mesmo túnel ou caminho do lado do Azure. Ao distribuir o tráfego, você poderá ver uma taxa de transferência ligeiramente melhor nos túneis IPsec. No entanto, o objetivo principal dessa configuração é a alta disponibilidade. Devido à natureza estatística da distribuição de tráfego, é difícil fornecer a medição de como diferentes condições de tráfego de aplicativos podem afetar a taxa de transferência agregada.

Essa topologia requer dois gateways de rede locais e duas conexões para suportar o par de dispositivos VPN locais e o BGP é necessário para permitir a conectividade simultânea nas duas conexões com a mesma rede local. Esses requisitos são os mesmos do cenário Vários dispositivos VPN locais.

VNet a VNet Altamente Disponível

A mesma configuração ativa pode também se aplicar às conexões entre as VNets do Azure. Você pode criar gateways VPN ativo-ativo para cada rede virtual e, em seguida, conectá-los para formar a mesma conectividade de malha completa de 4 túneis entre as duas VNets. Isso é mostrado no diagrama a seguir:

O diagrama mostra duas regiões do Azure que hospedam sub-redes I P privadas e dois gateways V P N do Azure por meio dos quais os dois sites virtuais se conectam.

Esse tipo de configuração garante que sempre haja um par de túneis entre as duas redes virtuais para qualquer evento de manutenção planejada, proporcionando ainda mais disponibilidade. Embora a mesma topologia para conectividade entre locais exija duas conexões, a topologia VNet para VNet nesse exemplo só precisa de uma conexão para cada gateway. O BGP é opcional, a menos que o roteamento de trânsito pela conexão VNet para VNet seja obrigatório.

Próximas etapas

Configure um gateway de VPN ativo-ativo usando o portal do Azure ou PowerShell.