Bagikan melalui

Tentang gateway VPN mode aktif-aktif

  • Artikel

Gateway VPN Azure dapat dikonfigurasi sebagai aktif-siaga atau aktif-aktif. Artikel ini menjelaskan konfigurasi gateway mode aktif-aktif dan menyoroti manfaat menggunakan mode aktif-aktif.

Mengapa membuat gateway aktif-aktif?

Gateway VPN terdiri dari dua instans dalam konfigurasi aktif-siaga kecuali Anda menentukan mode aktif-aktif.

Perilaku mode siaga aktif

Dalam mode siaga aktif, selama pemeliharaan terencana atau gangguan yang tidak direncanakan yang memengaruhi instans aktif, perilaku berikut terjadi:

  • S2S dan VNet-ke-VNet: Instans siaga mengambil alih secara otomatis (failover), dan melanjutkan koneksi VPN situs-ke-situs (S2S) atau VNet-ke-VNet. Pengalihan ini menyebabkan gangguan singkat. Untuk pemeliharaan terencana, konektivitas dipulihkan dengan cepat. Untuk masalah yang tidak dienkripsi, pemulihan koneksi lebih lama.
  • P2S: Untuk koneksi klien VPN titik-ke-situs (P2S) ke gateway, koneksi P2S terputus. Pengguna perlu terhubung kembali dari komputer klien.

Untuk menghindari gangguan, buat gateway Anda dalam mode aktif-aktif , atau alihkan gateway aktif-siaga ke aktif-aktif.

Desain mode aktif-aktif

Dalam konfigurasi aktif-aktif untuk koneksi S2S, kedua instans VM gateway membuat terowongan VPN S2S ke perangkat VPN lokal Anda, seperti yang ditunjukkan diagram berikut:

Diagram memperlihatkan situs lokal dengan subnet IP privat dan gateway lokal yang tersambung ke dua instans gateway VPN.

Dalam konfigurasi ini, setiap instans gateway Azure memiliki alamat IP publik yang unik, dan masing-masing akan membuat terowongan VPN IPsec/IKE S2S ke perangkat VPN lokal. Kedua terowongan adalah bagian dari koneksi yang sama. Konfigurasikan perangkat VPN lokal Anda untuk menerima dua terowongan VPN S2S, satu untuk setiap instans gateway. Koneksi P2S ke gateway dalam mode aktif-aktif tidak memerlukan konfigurasi tambahan.

Dalam konfigurasi aktif-aktif, Azure merutekan lalu lintas dari jaringan virtual Anda ke jaringan lokal Anda melalui kedua terowongan secara bersamaan, bahkan jika perangkat VPN lokal Anda mungkin mendukung satu terowongan di atas yang lain. Untuk satu alur TCP atau UDP, Azure mencoba menggunakan terowongan yang sama saat mengirim paket ke jaringan lokal Anda. Namun, jaringan lokal Anda mungkin menggunakan terowongan yang berbeda untuk mengirim paket kembali ke Azure.

Saat pemeliharaan terencana atau peristiwa yang tak terencana terjadi di satu instans gateway, terowongan IPsec dari instans tersebut ke perangkat VPN lokal Anda akan terputus. Rute yang sesuai pada perangkat VPN Anda akan dihapus atau ditarik secara otomatis sehingga lalu lintas akan dialihkan ke terowongan IPsec aktif lainnya. Di sisi Azure, pengalihan akan terjadi secara otomatis dari instans yang terpengaruh ke instans aktif lainnya.

Catatan

Untuk koneksi S2S dengan gateway VPN mode aktif-aktif, pastikan terowongan dibuat untuk setiap instans VM gateway. Jika Anda membuat terowongan hanya untuk satu instans VM gateway, koneksi akan turun selama pemeliharaan. Jika perangkat VPN Anda tidak mendukung penyiapan ini, konfigurasikan gateway Anda untuk mode siaga aktif sebagai gantinya.

Desain mode aktif-aktif redundansi ganda

Opsi desain yang paling andal adalah menggabungkan gateway aktif-aktif di jaringan Anda dan Azure, seperti yang ditunjukkan dalam diagram berikut.

Diagram yang menampilkan skenario Redundansi Ganda.

Dalam konfigurasi ini, Anda membuat dan menyiapkan gateway Azure VPN dalam mode aktif-aktif. Anda membuat dua gateway jaringan lokal dan dua koneksi untuk dua perangkat VPN lokal Anda. Hasilnya adalah konektivitas jala penuh dari empat terowongan IPsec antara jaringan virtual Azure dan jaringan lokal Anda.

Semua gateway dan terowongan aktif dari sisi Azure, sehingga lalu lintas tersebar di antara keempat terowongan secara bersamaan, meskipun setiap alur TCP atau UDP akan mengikuti terowongan atau jalur yang sama dari sisi Azure. Meskipun dengan menyebarkan lalu lintas, Anda mungkin melihat throughput yang sedikit lebih baik melalui terowongan IPsec, tujuan utama konfigurasi ini adalah untuk ketersediaan tinggi. Dan karena sifat statistik penyebaran, sulit untuk memberikan pengukuran tentang bagaimana kondisi lalu lintas aplikasi yang berbeda memengaruhi throughput agregat.

Topologi ini memerlukan dua gateway jaringan lokal dan dua koneksi untuk mendukung pasangan perangkat VPN lokal. Untuk informasi selengkapnya, lihat Tentang konektivitas yang sangat tersedia.

Mengonfigurasi gateway mode aktif-aktif

Anda dapat mengonfigurasi gateway aktif-aktif menggunakan portal Azure, PowerShell, atau CLI. Anda juga dapat mengubah gateway siaga aktif ke mode aktif-aktif. Untuk langkah-langkahnya, lihat Mengubah gateway menjadi aktif-aktif.

Gateway aktif-aktif memiliki persyaratan konfigurasi yang sedikit berbeda dari gateway aktif-siaga.

  • Anda tidak dapat mengonfigurasi gateway aktif-aktif menggunakan SKU gateway Dasar.
  • VPN harus berbasis rute. Ini tidak dapat berbasis kebijakan.
  • Diperlukan dua alamat IP publik. Keduanya harus alamat IP publik SKU Standar yang ditetapkan sebagai Statis.
  • Konfigurasi gateway aktif-aktif dikenakan biaya yang sama dengan konfigurasi aktif-siaga. Namun, konfigurasi aktif-aktif memerlukan dua alamat IP publik alih-alih satu. Lihat Harga Alamat IP.

Mereset gateway mode aktif-aktif

Jika Anda perlu mengatur ulang gateway aktif-aktif, Anda dapat mengatur ulang kedua instans menggunakan portal. Anda juga dapat menggunakan PowerShell atau CLI untuk mengatur ulang setiap instans gateway secara terpisah menggunakan VIP instans. Lihat Mereset koneksi atau gateway.

Langkah berikutnya