共用方式為


針對跨單位和 VNet 對 VNet 連線設計高可用性閘道連線

此文將幫助您了解如何針對跨單位和 VNet 對 VNet 連線設計高可用性閘道連線。

關於 VPN 閘道備援

根據預設,每個 Azure VPN 閘道都包含使用中-待命組態中的兩個實例。 對於任何發生作用中實例的計劃性維護或非計劃性中斷,待命實例會自動接管 (故障轉移),並繼續 S2S VPN 或 VNet 對 VNet 連線。 切換會導致短暫的中斷。 對於計劃性維護,應在 10 到 15 秒內還原連線。 對於非計劃問題,連線復原需要更長時間,大約 1 到 3 分鐘 (最糟的情況)。 對於閘道的 P2S VPN 用戶端連線,P2S 連接將會中斷連線,而使用者必須從用戶端電腦重新連線。

圖表顯示內部部署網站,內含私人 IP 子網路,以及連線至作用中 Azure VPN 閘道的內部部署 VPN,以連線到裝載於 Azure 中的子網路,並提供待命閘道。

高可用性跨單位

若要為跨單位連線提供更好的可用性,有幾個選項可用︰

  • 多個內部部署 VPN 裝置
  • 主動-主動 Azure VPN 閘道
  • 兩者的結合

多個內部部署 VPN 裝置

您可以使用內部部署網路中的多個 VPN 裝置連接到 Azure VPN 閘道,如下圖所示:

圖表顯示多個內部部署網站,內含私人 IP 子網路,以及連線至作用中 Azure VPN 閘道的內部部署 VPN,以連線到裝載於 Azure 中的子網路,並提供待命閘道。

此組態會提供多個作用中通道 (從同一個 Azure VPN 閘道到相同位置的內部部署裝置)。 在此設定中,Azure VPN 閘道仍處於主動待命模式,因此仍會發生相同的故障轉移行為和短暫中斷。 但此設定可防範內部部署網路和 VPN 裝置上的失敗或中斷。

有一些需求和限制:

  1. 您需要建立從 VPN 裝置至 Azure 的多個 S2S VPN 連線。 當您將多個 VPN 裝置從相同的內部部署網路連線至 Azure 時,請為每個 VPN 裝置建立一個區域網路網關,以及從 Azure VPN 閘道到每個區域網路閘道的一個連線。
  2. 對應到 VPN 裝置的區域網路閘道在 "GatewayIpAddress" 屬性中必須有唯一的公用 IP 位址。
  3. 此組態需要 BGP。 代表 VPN 裝置的每個區域網路閘道都必須有在 "BgpPeerIpAddress" 屬性中指定的唯一 BGP 對等 IP 位址。
  4. 使用 BGP 向 Azure VPN 閘道公告相同內部部署網路前綴的相同前置詞。 流量會同時透過這些通道轉送。
  5. 您必須使用等價多路徑路由 (ECMP)。
  6. 每個連線都會根據 Azure VPN 閘道數目上限來計算。 如需通道、連線和輸送量的最新資訊,請參閱 VPN 閘道關設定頁面。

主動-主動 VPN 閘道

您可以在主動-主動模式設定中建立 Azure VPN 閘道。 在主動-主動模式中,網關 VM 的兩個實例都會建立 S2S VPN 通道至內部部署 VPN 裝置,如下圖所示:

圖表顯示內部部署網站,其中包含私人 IP 子網路,以及連線至兩個作用中 Azure VPN 閘道的內部部署 VPN 閘道,以連線到裝載於 Azure 中的子網路。

在此組態中,每個 Azure 閘道都有唯一的公用IP位址,而且每個實例都會建立 IPsec/IKE S2S VPN 通道,以連線至局域網路網關和連線中指定的內部部署 VPN 裝置。 這兩個 VPN 通道都屬於相同的連線。 您仍必須設定內部部署 VPN 裝置,才能接受或建立對這兩個 Azure VPN 閘道公用 IP 位址的兩個 S2S VPN 通道。

由於 Azure 閘道處於主動-主動設定中,因此從 Azure 虛擬網路到內部部署網路的流量會同時透過這兩個信道路由傳送,即使您的內部部署 VPN 裝置可能偏向另一個通道也一樣。 針對單一 TCP 或 UDP 流量,Azure 會在將封包傳送至您的內部部署網路時,嘗試使用相同的通道。 不過,您的內部部署網路可能會使用不同的通道,將封包傳送至 Azure。

當一個閘道器執行個體發生計劃性維護或非計劃性事件時,從該執行個體至您的內部部署 VPN 裝置的 IPsec 通道將會中斷。 VPN 裝置上的對應路由應會自動移除或撤銷,以便將流量切換到其他作用中 IPsec 通道。 在 Azure 端,從受影響的實例自動切換至作用中實例。

雙重備援︰Azure 和內部部署網路的主動-主動 VPN 閘道

最可靠的選項是結合網路和 Azure 上的主動-主動閘道,如下圖所示。

圖表顯示雙重備援案例。

在此類型的設定中,您會在主動-主動設定中設定 Azure VPN 閘道。 您會為兩個內部部署 VPN 裝置建立兩個區域網路閘道和兩個連線。 結果是 Azure 虛擬網路與內部部署網路之間有包含 4 個 IPsec 通道的完整網狀連線。

所有閘道都來自 Azure 端作用中,因此流量會同時分散到所有 4 個通道中,儘管每個 TCP 或 UDP 流程都遵循來自 Azure 端的相同通道或路徑。 藉由分散流量,您可能會在 IPsec 通道中看到稍微更好的輸送量。 不過,此設定的主要目標是高可用性。 由於流量分佈的統計本質,因此很難提供不同應用程式流量狀況如何影響匯總輸送量的測量。

此拓撲需要兩個局域網路網關和兩個連線,才能支援兩組內部部署 VPN 裝置,而且需要 BGP 才能在兩個連線到相同內部部署網路時同時連線。 這些需求與 多個內部部署 VPN 裝置 案例相同。

高可用性 VNet 對 VNet

相同的主動-主動組態也適用於 Azure VNet 對 VNet 連線。 您可以為每個虛擬網路建立主動-主動 VPN 閘道,然後將它們連線在一起,以形成兩個 VNet 之間 4 個通道的相同完整網狀連線。 如下圖所示:

圖表顯示兩個裝載私人 IP 子網路的 Azure 區域,以及兩個 Azure VPN 閘道,兩個虛擬網站會透過此閘道連線。

這種類型的設定可確保兩個虛擬網路之間一律會有一對通道,用於任何計劃性維護事件,以提供更佳的可用性。 即使跨單位連線的相同拓撲需要兩個連線,但此範例中的 VNet 對 VNet 拓撲對於每個閘道只需要一個連線。 除非需要透過 VNet 對 VNet 連線的傳輸路由,否則 BGP 是選擇性的。

下一步

使用 Azure 入口網站PowerShell 設定主動-主動 VPN 閘道。