Partilhar via

Projete conectividade de gateway altamente disponível para conexões entre locais e VNet-to-VNet

  • Artigo

Este artigo ajuda você a entender como projetar conectividade de gateway altamente disponível para conexões entre locais e VNet-to-VNet.

Sobre a redundância de gateway VPN

Cada gateway de VPN do Azure consiste em duas instâncias em uma configuração de espera ativa por padrão. Para qualquer manutenção planejada ou interrupção não planejada que aconteça com a instância ativa, a instância em espera assume automaticamente (failover) e retoma as conexões S2S VPN ou VNet-to-VNet. A mudança provoca uma breve interrupção. Nas manutenções planeadas, a conectividade deve ser restabelecida ao fim de 10 a 15 segundos. Para problemas não planejados, a recuperação da conexão é mais longa, cerca de 1 a 3 minutos na pior das hipóteses. Para conexões de cliente VPN P2S para o gateway, as conexões P2S são desconectadas e os usuários precisam se reconectar das máquinas cliente.

O diagrama mostra um site local com sub-redes I P privadas e V P N local conectado a um gateway ativo do Azure V P N para se conectar a sub-redes hospedadas no Azure, com um gateway em espera disponível.

Altamente disponível entre instalações

Para fornecer melhor disponibilidade para suas conexões entre locais, há algumas opções disponíveis:

  • Vários dispositivos VPN no local
  • Gateway de VPN do Azure ativo-ativo
  • Uma combinação de ambos

Vários dispositivos VPN locais

Pode utilizar vários dispositivos VPN da sua rede no local para ligar ao Gateway de VPN do Azure, conforme mostrado no diagrama seguinte:

O diagrama mostra vários sites locais com sub-redes IP privadas e VPN local conectada a um gateway de VPN do Azure ativo para se conectar a sub-redes hospedadas no Azure, com um gateway em espera disponível.

Esta configuração fornece vários túneis ativos do mesmo gateway de VPN do Azure para os dispositivos no local na mesma localização. Nessa configuração, o gateway de VPN do Azure ainda está no modo de espera ativa, portanto, o mesmo comportamento de failover e breve interrupção ainda acontecerão. Mas essa configuração protege contra falhas ou interrupções em sua rede local e dispositivos VPN.

Existem alguns requisitos e limitações:

  1. Tem de criar várias ligações VPN S2S dos dispositivos VPN para o Azure. Quando você conecta vários dispositivos VPN da mesma rede local ao Azure, crie um gateway de rede local para cada dispositivo VPN e uma conexão do gateway de VPN do Azure para cada gateway de rede local.
  2. Os gateways de rede local correspondentes aos dispositivos VPN têm de ter endereços IP públicos exclusivos na propriedade "GatewayIpAddress".
  3. O BGP é necessário para esta configuração. Cada gateway de rede local que representa um dispositivo VPN tem de ter um endereço IP de elemento de rede BGP especificado na propriedade “BgpPeerIpAddress”.
  4. Use o BGP para anunciar os mesmos prefixos dos mesmos prefixos de rede local para seu gateway de VPN do Azure. O tráfego é encaminhado através destes túneis simultaneamente.
  5. Você deve usar o ECMP (Roteamento de vários caminhos de custo igual).
  6. Cada conexão é contada em relação ao número máximo de túneis para seu gateway de VPN do Azure. Consulte a página Configurações do Gateway VPN para obter as informações mais recentes sobre túneis, conexões e taxa de transferência.

Gateways VPN ativos-ativos

Você pode criar um gateway de VPN do Azure em uma configuração de modo ativo-ativo. No modo ativo-ativo, ambas as instâncias das VMs de gateway estabelecem túneis VPN S2S para seu dispositivo VPN local, conforme mostrado no diagrama a seguir:

O diagrama mostra um site local com sub-redes I P privadas e V P N local conectadas a dois gateway ativos do Azure V P N para se conectar a sub-redes hospedadas no Azure.

Nessa configuração, cada instância de gateway do Azure tem um endereço IP público exclusivo e cada uma estabelece um túnel VPN IPsec/IKE S2S para seu dispositivo VPN local especificado em seu gateway de rede local e conexão. Ambos os túneis VPN são, na verdade, parte da mesma conexão. Você ainda precisará configurar seu dispositivo VPN local para aceitar ou estabelecer dois túneis VPN S2S para esses dois endereços IP públicos do gateway de VPN do Azure.

Como as instâncias de gateway do Azure estão em configuração ativa-ativa, o tráfego da rede virtual do Azure para a rede local é roteado pelos dois túneis simultaneamente, mesmo que seu dispositivo VPN local possa favorecer um túnel em detrimento do outro. Para um único fluxo TCP ou UDP, o Azure tenta usar o mesmo túnel ao enviar pacotes para sua rede local. No entanto, sua rede local pode usar um túnel diferente para enviar pacotes para o Azure.

Quando uma manutenção planejada ou um evento não planejado acontece com uma instância de gateway, o túnel IPsec dessa instância para seu dispositivo VPN local é desconectado. As rotas correspondentes em seus dispositivos VPN devem ser removidas ou retiradas automaticamente para que o tráfego seja alternado para o outro túnel IPsec ativo. No lado do Azure, a alternância acontece automaticamente da instância afetada para a instância ativa.

Redundância dupla: gateways de VPN ativos-ativos para redes do Azure e redes no local

A opção mais confiável é combinar os gateways ativos-ativos em sua rede e no Azure, conforme mostrado no diagrama a seguir.

O diagrama mostra um cenário de redundância dupla.

Nesse tipo de configuração, você configura o gateway de VPN do Azure em uma configuração ativa-ativa. Você cria dois gateways de rede local e duas conexões para seus dois dispositivos VPN locais. O resultado é uma conectividade de malha completa de quatro túneis IPsec entre a rede virtual do Azure e a sua rede no local.

Todos os gateways e túneis estão ativos do lado do Azure, portanto, o tráfego é distribuído entre todos os 4 túneis simultaneamente, embora cada fluxo TCP ou UDP siga o mesmo túnel ou caminho do lado do Azure. Ao espalhar o tráfego, você pode ver uma taxa de transferência ligeiramente melhor nos túneis IPsec. No entanto, o objetivo principal dessa configuração é a alta disponibilidade. Devido à natureza estatística da propagação do tráfego, é difícil fornecer a medição de como diferentes condições de tráfego de aplicativos podem afetar a taxa de transferência agregada.

Essa topologia requer dois gateways de rede local e duas conexões para suportar o par de dispositivos VPN locais, e o BGP é necessário para permitir a conectividade simultânea nas duas conexões com a mesma rede local. Esses requisitos são os mesmos do cenário Vários dispositivos VPN locais.

VNet-to-VNet altamente disponível

Também pode aplicar a mesma configuração ativa-ativa a ligações VNet a VNet do Azure. Você pode criar gateways VPN ativos-ativos para cada rede virtual e, em seguida, conectá-los para formar a mesma conectividade de malha completa de 4 túneis entre as duas redes virtuais. Isso é mostrado no diagrama a seguir:

O diagrama mostra duas regiões do Azure que hospedam sub-redes I P privadas e dois gateways do Azure V P N através dos quais os dois sites virtuais se conectam.

Esse tipo de configuração garante que haja sempre um par de túneis entre as duas redes virtuais para quaisquer eventos de manutenção planejados, proporcionando uma disponibilidade ainda melhor. Embora a mesma topologia para conectividade entre locais exija duas conexões, a topologia VNet-to-VNet neste exemplo só precisa de uma conexão para cada gateway. O BGP é opcional, a menos que o roteamento de trânsito pela conexão VNet-to-VNet seja necessário.

Próximos passos

Configure um gateway VPN ativo-ativo usando o portal do Azure ou o PowerShell.