使用入口網站設定主動-主動 VPN 閘道
本文可協助您使用 Resource Manager 部署模型和 Azure 入口網站來建立高可用性的主動-主動 VPN 閘道。 您也可以使用 PowerShell 來設定主動-主動閘道。
若要達到跨單位和 VNet 對 VNet 連線能力的高可用性,您應該部署多個 VPN 閘道,並在您的網路和 Azure 之間建立多個平行連線。 如需連線能力選項和拓撲的概觀,請參閱高可用性跨單位和 VNet 對 VNet 連線能力。
重要
主動-主動模式適用於基本或標準類型以外的所有 SKU。 如需閘道 SKU、效能和支援功能的最新詳細資訊,請參閱關於閘道 SKU 一文。 針對此設定,需要標準 SKU 公用 IP 位址。 您無法使用基本 SKU 公用 IP 位址。
本文中的步驟可協助您以主動-主動模式設定 VPN 閘道。 主動-主動和作用中-待命模式之間有一些差異。 其他屬性都與非主動-主動閘道相同。
- 主動-主動閘道有兩個閘道 IP 設定和兩個公用 IP 位址。
- 主動-主動閘道已啟用主動-主動設定。
- 虛擬網路閘道 SKU 不能是基本或標準類型。
如果您已經有 VPN 閘道,可以將現有的 VPN 閘道從作用中-待命更新為主動-主動模式,或從主動-主動模式更新為作用中-待命模式。
建立虛擬網路
如果您還沒有想要使用的虛擬網路 (VNet),請使用下列值建立 VNet:
- 資源群組︰TestRG1
- 名稱:VNet1
- 區域:(美國) 美國東部
- IPv4 位址空間:10.1.0.0/16
- 子網路名稱:FrontEnd
- 子網路位址空間:10.1.0.0/24
登入 Azure 入口網站。
在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中,輸入虛擬網路。 從 Marketplace 搜尋結果中選取 虛擬網路,以開啟 虛擬網路 頁面。
在虛擬網路頁面上,選取建立以開啟建立虛擬網路頁面。
在基本索引標籤上,設定專案詳細資料和執行個體詳細資料的虛擬網路設定。 輸入的值經過驗證後,即會顯示綠色的核取記號。 您可以依必要設定來調整範例中顯示的值。
- 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
- 資源群組:選取現有的資源群組,或選取新建以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀。
- 名稱:輸入虛擬網路的名稱。
- 區域:選取虛擬網路的位置。 這會決定您部署到此虛擬網路的資源存留位置。
選取下一步或安全性以移至安全性索引標籤。在此練習中,請保留此頁面上所有服務的預設值。
選取 IP 位址以移至 IP 位址索引標籤。在 IP 位址索引標籤上完成設定。
IPv4 位址空間:根據預設,會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 您也可以新增不同的位址空間,並移除自動建立的預設值。 例如,您可以將開始位址指定為 10.1.0.0,並將位址空間大小指定為 /16。 然後選取新增,以新增該位址空間。
+ 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,請在該位址空間內新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定,然後在頁面底部選取新增以新增值。
- 子網名稱:您可以使用預設值,或指定名稱。 範例: FrontEnd。
- 子網路位址範圍︰此子網路的位址範圍。 例如 10.1.0.0 和 /24。
檢閱 IP位址 頁面,並移除您不需要的任何位址空間或子網路。
選取 [檢閱 + 建立] 來驗證虛擬網路設定。
驗證設定之後,請選取建立以建立虛擬網路。
建立主動-主動 VPN 閘道
在此步驟中,您將會為 VNet 建立主動-主動虛擬網路閘道 (VPN 閘道)。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。
使用下列值建立虛擬網路閘道:
- 名稱:VNet1GW
- 區域:美國東部
- 閘道類型:VPN
- VPN 類型:路由式
- SKU:VpnGw2
- 產生:Generation2
- 虛擬網路:VNet1
- 網路閘道子網路位址範圍:10.1.255.0/27
- 公用 IP 位址:新建
- 公用 IP 位址名稱:VNet1GWpip
在搜尋資源、服務和文件 (G+/) 中,輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取,以開啟建立虛擬網路閘道頁面。
在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。
訂用帳戶:從下拉式清單選取您想要使用的訂用帳戶。
資源群組:在此頁面上選取虛擬網路時,系統會自動填入此設定。
名稱:為您的閘道命名。 閘道與閘道子網路的命名方式不同。 這是您要建立之閘道物件的名稱。
區域:選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。
閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
世代:選取您要使用的世代。 我們建議使用第 2 代 SKU。 如需詳細資訊,請參閱閘道 SKU。
虛擬網路:在下拉式清單中,選取您要新增此閘道的虛擬網路。 如果未顯示您想要建立閘道的虛擬網路,請確定您在先前設定中選取了正確的訂用帳戶和區域。
閘道子網路位址範圍或子網路:建立 VPN 閘道所需的閘道子網路。
此時,此欄位可能顯示各種不同的設定選項,這取決於虛擬網路位址空間,以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。
如果您沒有閘道子網路,並且看不到此頁面上建立閘道子網路的選項,請返回虛擬網路並建立閘道子網路。 然後,返回此頁面並設定 VPN 閘道。
指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 當您建立公用 IP 位址物件時,會將 IP 位址指派給物件。 然後,公用 IP 位址物件會與閘道相關聯。 對於不是區域備援的閘道,公用 IP 位址僅有的變更時機是在刪除並重建閘道時。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。 您必須將使用 Standard SKU 的公用 IP 位址物件建立關聯。 基本 SKU 公用 IP 位址物件僅支援基本 SKU VPN 閘道。
- 公用 IP 位址:將 [新建] 保持選取。
- 共用 IP 位址名稱:在文字方塊中,輸入公用 IP 位址執行個體的名稱。
- 指派:會自動選取靜態。
- 啟用主動-主動模式:選取 [已啟用]。
- 第二個公用 IP 位址:選取 [新建]。
- 公用 IP 位址名稱:命名第二個公用 IP 位址。
- 將 [設定 BGP] 保持為 [已停用] (除非您的組態特別需要此設定)。 如果您需要此設定,預設的 ASN 為 65515,但可以使用其他 ASN。
選取 [檢閱 + 建立] 以執行驗證。
驗證通過後,選取 [建立] 以部署 VPN 閘道。
您可以在閘道的 [概觀] 頁面上看到部署狀態。 建立閘道之後,您可以查看入口網站中的虛擬網路,來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。
重要
不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?
更新現有的 VPN 閘道
本節會協助您將現有的 Azure VPN 閘道從作用中-待命變更為主動-主動模式,以及從主動-主動變更為作用中-待命模式。 當您將作用中-待命閘道變更為主動-主動時,會建立另一個公用 IP 位址,然後新增第二個閘道 IP 設定。
將作用中-待命變更為主動-主動
使用下列步驟,將作用中-待命模式閘道轉換為主動-主動模式。 如果您的閘道是使用 Resource Manager 部署模型建立,您也可以在此頁面上升級 SKU。
瀏覽至虛擬網路閘道頁面。
在左側功能表上,選取 [設定]。
在 [設定] 頁面上,指定下列設定:
- 將主動-主動模式變更為 [已啟用]。
- 按一下 [新增] 以新增另一個公用 IP 位址。 如果您先前建立的 IP 位址可用來將其專用於此資源,您可以改為從 [第二個公用 IP 位址] 下拉式清單中加以選取。
在 [選擇公用 IP 位址] 頁面上,指定符合準則的現有公用 IP 位址,或選取 [+新建] 以建立第二個 VPN 閘道執行個體要使用的新公用 IP 位址。 指定第二個公用 IP 位址之後,請按一下 [確定]。
在 [設定] 頁面頂端,按一下 [儲存]。 這項更新約需 30-45 分鐘才能完成。
重要
如果您有 BGP 工作階段正在執行,請注意 Azure VPN 閘道 BGP 組態將會變更,並將在閘道子網位址範圍內佈建兩個新指派的 BGP IP。 舊的 Azure VPN 閘道 BGP IP 位址將不再存在。 這會產生停機,而且需要更新內部部署裝置上的 BGP 同儕節點。 閘道佈建完成之後,即可取得新的 BGP IP,且內部部署裝置組態必須據以更新。 這適用於非 APIPA BGP IP。 若要了解如何在 Azure 中設定 BGP,請參閱 如何在 Azure VPN 閘道上設定 BGP。
將主動-主動變更為作用中-待命
使用下列步驟,將主動-主動模式閘道轉換為作用中-待命模式。
瀏覽至虛擬網路閘道頁面。
在左側功能表上,選取 [設定]。
在 [設定] 頁面上,將主動-主動模式變更為 [已停用]。
在 [設定] 頁面頂端,按一下 [儲存]。
重要
如果您有 BGP 工作階段正在執行,注意 Azure VPN 閘道 BGP 組態會從兩個 BGP IP 位址變更為單一 BGP 位址。 平台通常會指派閘道子網路的最後一個可用 IP。 這會產生停機,而且需要更新內部部署裝置上的 BGP 同儕節點。 這適用於非 APIPA BGP IP。 若要了解如何在 Azure 中設定 BGP,請參閱 如何在 Azure VPN 閘道上設定 BGP。
下一步
若要設定連線,請參閱下列文章: