Megosztás a következőn keresztül:

Magas rendelkezésre állású átjárókapcsolat tervezése helyszíni és virtuális hálózatok közötti kapcsolatokhoz

  • Cikk

Ez a cikk segít megérteni, hogyan tervezhet magas rendelkezésre állású átjárókapcsolatokat a helyek közötti és a virtuális hálózatok közötti kapcsolatokhoz.

Tudnivalók a VPN-átjáró redundanciáról

Minden Azure VPN-átjáró alapértelmezés szerint két példányból áll egy aktív-készenléti konfigurációban. Az aktív példányban bekövetkező tervezett karbantartások vagy nem tervezett fennakadások esetén a készenléti példány automatikusan átveszi azokat (feladatátvétel), és folytatja az S2S VPN- vagy VNet-VNet-kapcsolatokat. A váltás rövid megszakítást okoz. Tervezett karbantartás esetén a kapcsolatnak 10-15 másodpercen belül vissza kell állnia. Nem tervezett problémák esetén a kapcsolat helyreállítása hosszabb, a legrosszabb esetben körülbelül 1–3 perc. Az átjáróval létesített P2S VPN-ügyfélkapcsolatok esetében a P2S-kapcsolatok megszakadnak, és a felhasználóknak újra kell csatlakozniuk az ügyfélszámítógépekről.

Az ábrán egy helyszíni hely látható, amelyen privát I P alhálózatok és egy aktív Azure V P N-átjáróhoz csatlakoztatott helyszíni V P N-átjáró csatlakozik az Azure-ban üzemeltetett alhálózatokhoz, és rendelkezésre áll egy készenléti átjáró.

Magas rendelkezésre állású helyek közötti

A helyek közötti kapcsolatok jobb rendelkezésre állása érdekében néhány lehetőség áll rendelkezésre:

  • Több helyszíni VPN-eszköz
  • Aktív-aktív Azure-alapú VPN-átjáró
  • A kettő kombinációja

Több helyszíni VPN-eszköz

Az alábbi ábrán látható módon több VPN-eszközt is használhat a helyszíni hálózatából az Azure-alapú VPN-átjáróhoz való csatlakozásra:

Az ábrán több helyszíni hely látható, privát IP-alhálózatokkal és egy aktív Azure VPN-átjáróhoz csatlakoztatott helyszíni VPN-sel, hogy csatlakozzanak az Azure-ban üzemeltetett alhálózatokhoz, és rendelkezésre áll egy készenléti átjáró.

Ez a konfiguráció több aktív alagutat biztosít ugyanabból az Azure-alapú VPN-átjáróból az azonos helyen lévő helyszíni eszközeihez. Ebben a konfigurációban az Azure VPN Gateway továbbra is aktív készenléti üzemmódban van, így a feladatátvételi viselkedés és a rövid megszakítás továbbra is megtörténik. Ez a konfiguráció azonban védi a helyszíni hálózati és VPN-eszközök hibáit és megszakításait.

Van néhány követelmény és megkötés:

  1. Több S2S VPN-kapcsolatot kell létesítenie a VPN-eszközök és az Azure között. Ha több VPN-eszközt csatlakoztat ugyanabból a helyszíni hálózatból az Azure-hoz, hozzon létre egy helyi hálózati átjárót minden VPN-eszközhöz, és egy kapcsolatot az Azure VPN-átjáróról minden helyi hálózati átjáróhoz.
  2. A VPN-eszközöknek megfelelő helyi hálózati átjáróknak egyedi nyilvános IP-címmel kell rendelkezniük a GatewayIpAddress tulajdonságban.
  3. Ehhez a konfigurációhoz BGP szükséges. A VPN-eszközöknek megfelelő összes helyi hálózati átjáróhoz meg kell adnia egy egyedi BGP társ IP-címet a BgpPeerIpAddress tulajdonságban.
  4. A BGP használatával meghirdetheti ugyanazon helyszíni hálózati előtagok előtagjait az Azure VPN-átjárón. A forgalom egyszerre továbbítja ezeket az alagutakat.
  5. Egyenlő költségű többútvonalos útválasztást (ECMP) kell használnia.
  6. A rendszer minden kapcsolatot az Azure VPN-átjáró alagútjainak maximális számával számol. Az alagutakról, kapcsolatokról és átviteli sebességről a VPN Gateway beállításainak oldalán tájékozódhat.

Aktív-aktív VPN-átjárók

Azure VPN-átjárót aktív-aktív módban is létrehozhat. Aktív-aktív módban az átjáró virtuális gépek mindkét példánya S2S VPN-alagutakat hoz létre a helyszíni VPN-eszközre, ahogy az alábbi ábra is mutatja:

Az ábrán egy helyszíni hely látható, amelyen privát I P alhálózatok és két aktív Azure V P N-átjáróhoz csatlakoztatott helyszíni V P N-átjáró csatlakozik az Azure-ban üzemeltetett alhálózatokhoz.

Ebben a konfigurációban minden Azure Gateway-példány egyedi nyilvános IP-címmel rendelkezik, és mindegyik létrehoz egy IPsec/IKE S2S VPN-alagutat a helyi hálózati átjáróban és kapcsolatban megadott helyszíni VPN-eszközhöz. Mindkét VPN-alagút ugyanannak a kapcsolatnak a része. Továbbra is konfigurálnia kell a helyszíni VPN-eszközt, hogy két S2S VPN-alagutat fogadjon el vagy hozzon létre a két nyilvános Azure VPN Gateway IP-címhez.

Mivel az Azure Gateway-példányok aktív-aktív konfigurációban vannak, az Azure-beli virtuális hálózat és a helyszíni hálózat közötti forgalom egyszerre mindkét alagúton keresztül lesz irányítva, még akkor is, ha a helyszíni VPN-eszköz előnyben részesítheti az egyik alagutat a másik felett. Egyetlen TCP- vagy UDP-folyamat esetén az Azure ugyanazt az alagutat próbálja használni, amikor csomagokat küld a helyszíni hálózatnak. A helyszíni hálózat azonban egy másik alagút használatával küldhet csomagokat az Azure-ba.

Ha egy tervezett karbantartás vagy nem tervezett esemény történik egy átjárópéldányban, a példány és a helyszíni VPN-eszköz közötti IPsec-alagút megszakad. A VPN-eszközökön lévő megfelelő útvonalakat automatikusan el kell távolítani vagy vissza kell vonni, hogy a forgalom áttérjen a másik aktív IPsec-alagútra. Az Azure-oldalon az átállás automatikusan megtörténik az érintett példányról az aktív példányra.

Kettős redundancia: aktív-aktív VPN-átjárók az Azure és a helyszíni hálózatok számára egyaránt

A legmegbízhatóbb megoldás az aktív-aktív átjárók kombinálása a hálózaton és az Azure-ban is, ahogy az az alábbi ábrán is látható.

A diagram egy kettős redundancia-forgatókönyvet mutat be.

Ebben a konfigurációtípusban az Azure VPN Gatewayt egy aktív-aktív konfigurációban kell beállítania. Két helyi hálózati átjárót és két kapcsolatot hoz létre a két helyszíni VPN-eszközhöz. Az eredmény 4 IPsec-alagút szoros hálókapcsolata az Azure virtuális hálózat és a helyszíni hálózat között.

Az összes átjáró és alagút aktív az Azure-oldalról, így a forgalom egyszerre oszlik el mind a 4 alagút között, bár minden TCP- vagy UDP-folyamat ugyanazt az alagutat vagy útvonalat követi az Azure-oldalról. A forgalom elterjesztésével kissé jobb átviteli sebességet tapasztalhat az IPsec-alagutakon. A konfiguráció elsődleges célja azonban a magas rendelkezésre állás. A forgalomterjedés statisztikai jellege miatt nehéz megállapítani, hogy a különböző alkalmazásforgalmi feltételek milyen hatással lehetnek az összesített átviteli sebességre.

Ehhez a topológiához két helyi hálózati átjáróra és két kapcsolatra van szükség a helyszíni VPN-eszközök párjának támogatásához, és a BGP-nek egyidejű kapcsolatot kell engedélyeznie a két, ugyanazon helyszíni hálózathoz csatlakozó kapcsolaton. Ezek a követelmények megegyeznek a több helyszíni VPN-eszköz forgatókönyvével.

Magas rendelkezésre állású virtuális hálózatok közötti hálózat

Ugyanez az aktív-aktív konfiguráció az Azure virtuális hálózatok közötti kapcsolatokra is alkalmazható. Minden virtuális hálózathoz létrehozhat aktív-aktív VPN-átjárókat, majd összekapcsolhatja őket úgy, hogy a két virtuális hálózat között 4 alagút teljes hálókapcsolata legyen. Ez az alábbi ábrán látható:

Az ábrán két azure-régió látható, amelyek privát I P-alhálózatokat és két Azure V P N-átjárót üzemeltetnek, amelyeken keresztül a két virtuális hely csatlakozik.

Ez a konfigurációtípus biztosítja, hogy a két virtuális hálózat között mindig legyenek alagútpárok a tervezett karbantartási eseményekhez, ami még jobb rendelkezésre állást biztosít. Annak ellenére, hogy a helyek közötti kapcsolatokhoz ugyanaz a topológia két kapcsolatot igényel, a jelen példában szereplő VNet–VNet topológiának csak egy kapcsolatra van szüksége az egyes átjárókhoz. A BGP nem kötelező, kivéve, ha a virtuális hálózatok közötti kapcsolaton keresztüli átvitel útválasztására van szükség.

Következő lépések

Konfiguráljon egy aktív-aktív VPN-átjárót az Azure Portal vagy a PowerShell használatával.