Megosztás a következőn keresztül:

Tudnivalók az aktív-aktív módú VPN-átjárókról

  • Cikk

Az Azure VPN-átjárók konfigurálhatók aktív-készenléti vagy aktív-aktívként. Ez a cikk az aktív-aktív módú átjáró konfigurációit ismerteti, és kiemeli az aktív-aktív mód használatának előnyeit.

Miért érdemes aktív-aktív átjárót létrehozni?

A VPN-átjárók két, aktív-készenléti konfigurációban lévő példányból állnak, kivéve, ha aktív-aktív módot ad meg.

Aktív-készenléti üzemmód viselkedése

Aktív-készenléti módban az aktív példányt érintő tervezett karbantartás vagy nem tervezett fennakadások során a következő viselkedés következik be:

  • S2S és VNet–VNet: A készenléti példány automatikusan átveszi a feladatátvételt, és folytatja a helyek közötti (S2S) VPN- vagy VNet-VNet-kapcsolatokat. Ez a váltás rövid megszakítást okoz. A tervezett karbantartáshoz a kapcsolat gyorsan helyreáll. Nem tervezett problémák esetén a kapcsolat helyreállítása hosszabb.
  • P2S: Az átjáróval létesített pont–hely (P2S) VPN-ügyfélkapcsolatok esetében a P2S-kapcsolatok megszakadnak. A felhasználóknak újra kell csatlakozniuk az ügyfélszámítógépektől.

A megszakítások elkerülése érdekében hozza létre az átjárót aktív-aktív módban, vagy váltson aktív-készenléti átjáróra aktív-aktív módban.

Aktív-aktív mód kialakítása

Egy S2S-kapcsolat aktív-aktív konfigurációjában az átjáró virtuális gépek mindkét példánya S2S VPN-alagutakat hoz létre a helyszíni VPN-eszközhöz, ahogyan az alábbi ábrán látható:

Az ábrán egy privát IP-alhálózatokkal rendelkező helyszíni hely látható, valamint egy helyszíni átjáró, amely két VPN Gateway-példányhoz csatlakozik.

Ebben a konfigurációban minden Azure Gateway-példány egyedi nyilvános IP-címmel rendelkezik, és mindegyik létrehoz egy IPsec/IKE S2S VPN-alagutat a helyszíni VPN-eszközhöz. Mindkét alagút ugyanahhoz a kapcsolathoz tartozik. Konfigurálja a helyszíni VPN-eszközt úgy, hogy két S2S VPN-alagutat fogadjon el, egyet minden átjárópéldányhoz. Az aktív-aktív módban lévő átjárókkal létesített P2S-kapcsolatokhoz nincs szükség további konfigurációra.

Aktív-aktív konfiguráció esetén az Azure egyszerre irányítja át a forgalmat a virtuális hálózatról a helyszíni hálózatra mindkét alagúton keresztül, még akkor is, ha a helyszíni VPN-eszköz előnyben részesítheti az egyik alagutat a másik felett. Egyetlen TCP- vagy UDP-folyamat esetén az Azure ugyanazt az alagutat próbálja használni, amikor csomagokat küld a helyszíni hálózatnak. Előfordulhat azonban, hogy a helyszíni hálózat egy másik alagút használatával küld vissza csomagokat az Azure-ba.

Ha az egyik átjárópéldány esetében tervezett karbantartás vagy nem tervezett esemény következik be, az adott példány és a helyszíni VPN-eszköz közötti IPsec-alagút megszakad. A VPN-eszköz megfelelő útvonalait a rendszer automatikusan eltávolítja vagy visszavonja, hogy a forgalom a másik aktív IPsec-alagútra kerüljön át. Az Azure-oldalon a váltás automatikusan megtörténik az érintett példányról a másik aktív példányra.

Feljegyzés

Az aktív-aktív módú VPN-átjáróval rendelkező S2S-kapcsolatok esetében győződjön meg arról, hogy az alagutak minden átjáró virtuálisgép-példányhoz létrejönnek. Ha csak egy átjáró virtuálisgép-példány számára hoz létre alagutat, a kapcsolat megszakad a karbantartás során. Ha a VPN-eszköz nem támogatja ezt a beállítást, konfigurálja inkább az átjárót aktív készenléti üzemmódra.

Kettős redundancia aktív-aktív mód kialakítása

A legmegbízhatóbb kialakítási lehetőség az aktív-aktív átjárók kombinálása a hálózaton és az Azure-ban is, ahogy az az alábbi ábrán látható.

A diagram egy kettős redundancia-forgatókönyvet mutat be.

Ebben a konfigurációban aktív-aktív módban hozza létre és állítja be az Azure VPN Gatewayt. Két helyi hálózati átjárót és két kapcsolatot hoz létre a két helyszíni VPN-eszközhöz. Az eredmény négy IPsec-alagút teljes hálókapcsolata az Azure-beli virtuális hálózat és a helyszíni hálózat között.

Az Összes átjáró és alagút aktív az Azure-oldalról, így a forgalom egyszerre oszlik el mind a négy alagút között, bár minden TCP- vagy UDP-folyamat ugyanazt az alagutat vagy útvonalat követi az Azure-oldalról. Annak ellenére, hogy a forgalom elterjesztésével kissé jobb átviteli sebességet láthat az IPsec-alagutakon, ennek a konfigurációnak az elsődleges célja a magas rendelkezésre állás. A szórás statisztikai jellege miatt nehéz megállapítani, hogy a különböző alkalmazásforgalmi feltételek hogyan befolyásolják az összesített átviteli sebességet.

Ehhez a topológiához két helyi hálózati átjáróra és két kapcsolatra van szükség a helyszíni VPN-eszközök párjának támogatásához. További információ: A magas rendelkezésre állású kapcsolatok ismertetése.

Aktív-aktív módú átjáró konfigurálása

Az aktív-aktív átjárót az Azure Portal, a PowerShell vagy a parancssori felület használatával konfigurálhatja. Az aktív-készenléti átjárót active-active módra is módosíthatja. A lépésekért lásd : Átjáró módosítása aktív-aktívra.

Az aktív-aktív átjárók konfigurációs követelményei némileg eltérnek az aktív-készenléti átjáróktól.

  • Az alapszintű átjáró termékváltozatával nem konfigurálhat aktív-aktív átjárót.
  • A VPN-nek útvonalalapúnak kell lennie. Nem lehet szabályzatalapú.
  • Két nyilvános IP-cím szükséges. Mindkettőnek standard termékváltozatú nyilvános IP-címnek kell lennie, amelyek statikusként vannak hozzárendelve.
  • Az aktív-aktív átjárókonfigurációk költségei megegyeznek az aktív-készenléti konfigurációval. Az aktív-aktív konfigurációkhoz azonban nem egy, hanem két nyilvános IP-cím szükséges. Lásd az IP-cím díjszabását.

Aktív-aktív módú átjáró alaphelyzetbe állítása

Ha alaphelyzetbe kell állítania egy aktív-aktív átjárót, a portál használatával mindkét példányt alaphelyzetbe állíthatja. A PowerShell vagy a parancssori felület használatával külön is alaphelyzetbe állíthatja az egyes átjárópéldányokat a példány-IP-címek használatával. Lásd: Kapcsolat vagy átjáró alaphelyzetbe állítása.

Következő lépések