針對跨單位和 VNet 對 VNet 連線設計高可用性閘道連線
此文將幫助您了解如何針對跨單位和 VNet 對 VNet 連線設計高可用性閘道連線。
關於 VPN 閘道備援
根據預設,每個 Azure VPN 閘道都包含使用中-待命組態中的兩個實例。 對於任何發生作用中實例的計劃性維護或非計劃性中斷,待命實例會自動接管 (故障轉移),並繼續 S2S VPN 或 VNet 對 VNet 連線。 切換會導致短暫的中斷。 對於計劃性維護,應在 10 到 15 秒內還原連線。 對於非計劃問題,連線復原需要更長時間,大約 1 到 3 分鐘 (最糟的情況)。 對於閘道的 P2S VPN 用戶端連線,P2S 連接將會中斷連線,而使用者必須從用戶端電腦重新連線。
高可用性跨單位
若要為跨單位連線提供更好的可用性,有幾個選項可用︰
- 多個內部部署 VPN 裝置
- 主動-主動 Azure VPN 閘道
- 兩者的結合
多個內部部署 VPN 裝置
您可以使用內部部署網路中的多個 VPN 裝置連接到 Azure VPN 閘道,如下圖所示:
此組態會提供多個作用中通道 (從同一個 Azure VPN 閘道到相同位置的內部部署裝置)。 在此設定中,Azure VPN 閘道仍處於主動待命模式,因此仍會發生相同的故障轉移行為和短暫中斷。 但此設定可防範內部部署網路和 VPN 裝置上的失敗或中斷。
有一些需求和限制:
- 您需要建立從 VPN 裝置至 Azure 的多個 S2S VPN 連線。 當您將多個 VPN 裝置從相同的內部部署網路連線至 Azure 時,請為每個 VPN 裝置建立一個區域網路網關,以及從 Azure VPN 閘道到每個區域網路閘道的一個連線。
- 對應到 VPN 裝置的區域網路閘道在 "GatewayIpAddress" 屬性中必須有唯一的公用 IP 位址。
- 此組態需要 BGP。 代表 VPN 裝置的每個區域網路閘道都必須有在 "BgpPeerIpAddress" 屬性中指定的唯一 BGP 對等 IP 位址。
- 使用 BGP 向 Azure VPN 閘道公告相同內部部署網路前綴的相同前置詞。 流量會同時透過這些通道轉送。
- 您必須使用等價多路徑路由 (ECMP)。
- 每個連線都會根據 Azure VPN 閘道數目上限來計算。 如需通道、連線和輸送量的最新資訊,請參閱 VPN 閘道關設定頁面。
主動-主動 VPN 閘道
您可以在主動-主動模式設定中建立 Azure VPN 閘道。 在主動-主動模式中,網關 VM 的兩個實例都會建立 S2S VPN 通道至內部部署 VPN 裝置,如下圖所示:
在此組態中,每個 Azure 閘道都有唯一的公用IP位址,而且每個實例都會建立 IPsec/IKE S2S VPN 通道,以連線至局域網路網關和連線中指定的內部部署 VPN 裝置。 這兩個 VPN 通道都屬於相同的連線。 您仍必須設定內部部署 VPN 裝置,才能接受或建立對這兩個 Azure VPN 閘道公用 IP 位址的兩個 S2S VPN 通道。
由於 Azure 閘道處於主動-主動設定中,因此從 Azure 虛擬網路到內部部署網路的流量會同時透過這兩個信道路由傳送,即使您的內部部署 VPN 裝置可能偏向另一個通道也一樣。 針對單一 TCP 或 UDP 流量,Azure 會在將封包傳送至您的內部部署網路時,嘗試使用相同的通道。 不過,您的內部部署網路可能會使用不同的通道,將封包傳送至 Azure。
當一個閘道器執行個體發生計劃性維護或非計劃性事件時,從該執行個體至您的內部部署 VPN 裝置的 IPsec 通道將會中斷。 VPN 裝置上的對應路由應會自動移除或撤銷,以便將流量切換到其他作用中 IPsec 通道。 在 Azure 端,從受影響的實例自動切換至作用中實例。
雙重備援︰Azure 和內部部署網路的主動-主動 VPN 閘道
最可靠的選項是結合網路和 Azure 上的主動-主動閘道,如下圖所示。
在此類型的設定中,您會在主動-主動設定中設定 Azure VPN 閘道。 您會為兩個內部部署 VPN 裝置建立兩個區域網路閘道和兩個連線。 結果是 Azure 虛擬網路與內部部署網路之間有包含 4 個 IPsec 通道的完整網狀連線。
所有閘道都來自 Azure 端作用中,因此流量會同時分散到所有 4 個通道中,儘管每個 TCP 或 UDP 流程都遵循來自 Azure 端的相同通道或路徑。 藉由分散流量,您可能會在 IPsec 通道中看到稍微更好的輸送量。 不過,此設定的主要目標是高可用性。 由於流量分佈的統計本質,因此很難提供不同應用程式流量狀況如何影響匯總輸送量的測量。
此拓撲需要兩個局域網路網關和兩個連線,才能支援兩組內部部署 VPN 裝置,而且需要 BGP 才能在兩個連線到相同內部部署網路時同時連線。 這些需求與 多個內部部署 VPN 裝置 案例相同。
高可用性 VNet 對 VNet
相同的主動-主動組態也適用於 Azure VNet 對 VNet 連線。 您可以為每個虛擬網路建立主動-主動 VPN 閘道,然後將它們連線在一起,以形成兩個 VNet 之間 4 個通道的相同完整網狀連線。 如下圖所示:
這種類型的設定可確保兩個虛擬網路之間一律會有一對通道,用於任何計劃性維護事件,以提供更佳的可用性。 即使跨單位連線的相同拓撲需要兩個連線,但此範例中的 VNet 對 VNet 拓撲對於每個閘道只需要一個連線。 除非需要透過 VNet 對 VNet 連線的傳輸路由,否則 BGP 是選擇性的。
下一步
使用 Azure 入口網站 或 PowerShell 設定主動-主動 VPN 閘道。