Aracılığıyla paylaş

Şirket içi ve sanal ağdan sanal ağa bağlantılar için yüksek oranda kullanılabilir ağ geçidi bağlantısı tasarlama

  • Makale

Bu makale, şirket içi ve sanal ağdan sanal ağa bağlantılar için yüksek oranda kullanılabilir ağ geçidi bağlantısı tasarlamayı anlamanıza yardımcı olur.

VPN ağ geçidi yedekliliği hakkında

Her Azure VPN ağ geçidi, varsayılan olarak etkin bekleme yapılandırmasında iki örnekten oluşur. Etkin örnekte gerçekleşen planlı bakım veya planlanmamış kesintiler için, bekleme örneği otomatik olarak devralır (yük devretme) ve S2S VPN veya sanal ağdan sanal ağa bağlantıları sürdürür. Geçiş geçişi kısa bir kesintiye neden olur. Planlı bakım için bağlantı 10 ila 15 saniye içinde geri yüklenmelidir. Planlanmamış sorunlar için bağlantı kurtarma daha uzundur ve en kötü durumda yaklaşık 1 ile 3 dakika arasındadır. Ağ geçidine yönelik P2S VPN istemci bağlantıları için P2S bağlantılarının bağlantısı kesilir ve kullanıcıların istemci makinelerinden yeniden bağlanması gerekir.

Diyagramda, azure'da barındırılan alt ağlara bağlanmak için etkin bir Azure V P N ağ geçidine bağlı özel I P alt ağlarına ve şirket içi V P N'ye sahip bir şirket içi site ve hazır bekleyen bir ağ geçidi gösterilir.

Yüksek Oranda Kullanılabilir şirket içi

Şirket içi bağlantılarınız için daha iyi kullanılabilirlik sağlamak için kullanabileceğiniz birkaç seçenek vardır:

  • Birden fazla şirket içi VPN cihazı
  • Etkin-etkin Azure VPN gateway
  • Her ikisinin birleşimi

Birden çok şirket içi VPN cihazı

Şirket içi ağınızdan Azure VPN gateway’e bağlanmak için aşağıdaki diyagramda gösterildiği gibi birden fazla VPN cihazı kullanabilirsiniz:

Diyagramda, azure'da barındırılan alt ağlara bağlanmak için etkin bir Azure VPN ağ geçidine bağlı özel IP alt ağlarına ve şirket içi VPN'ye sahip birden çok şirket içi site gösterilir.

Bu yapılandırma aynı Azure VPN ağ geçidinden aynı konumdaki şirket içi cihazlarınıza birden fazla etkin tünel sağlar. Bu yapılandırmada Azure VPN ağ geçidi hala etkin bekleme modunda olduğundan, aynı yük devretme davranışı ve kısa kesinti yine de gerçekleşir. Ancak bu yapılandırma, şirket içi ağınızdaki ve VPN cihazlarınızdaki hatalara veya kesintilere karşı koruma sağlar.

Bazı gereksinimler ve kısıtlamalar vardır:

  1. VPN cihazlarınız ile Azure arasında birden fazla S2S VPN bağlantısı oluşturmanız gerekir. Aynı şirket içi ağdan Azure'a birden çok VPN cihazı bağladığınızda, her VPN cihazı için bir yerel ağ geçidi ve Azure VPN ağ geçidinizden her yerel ağ geçidine bir bağlantı oluşturun.
  2. VPN cihazlarınıza karşılık gelen yerel ağ geçitleri "GatewayIpAddress" özelliğinde benzersiz genel IP adreslerine sahip olmalıdır.
  3. Bu yapılandırma için BGP gereklidir. Bir VPN cihazını temsil eden her yerel ağ geçidinin "BgpPeerIpAddress" özelliğinde belirtilen benzersiz bir BGP eşleme IP adresi olmalıdır.
  4. Aynı şirket içi ağ ön eklerinin aynı ön eklerini Azure VPN ağ geçidinize tanıtmak için BGP kullanın. Trafik bu tüneller üzerinden aynı anda iletilir.
  5. Eşit maliyetli çok yönlendirme (ECMP) kullanmanız gerekir.
  6. Her bağlantı, Azure VPN ağ geçidiniz için en fazla tünel sayısına göre sayılır. Tüneller, bağlantılar ve aktarım hızı hakkında en son bilgiler için VPN Gateway ayarları sayfasına bakın.

Etkin-etkin VPN ağ geçitleri

Etkin-etkin mod yapılandırmasında Azure VPN ağ geçidi oluşturabilirsiniz. Etkin-etkin modda, ağ geçidi VM'lerinin her iki örneği de aşağıdaki diyagramda gösterildiği gibi şirket içi VPN cihazınıza S2S VPN tünelleri oluşturur:

Diyagramda, Azure'da barındırılan alt ağlara bağlanmak için iki etkin Azure V P N ağ geçidine bağlı özel I P alt ağlarına ve şirket içi V P N'ye sahip bir şirket içi site gösterilmektedir.

Bu yapılandırmada, her Azure ağ geçidi örneğinin benzersiz bir genel IP adresi vardır ve her biri yerel ağ geçidinizde ve bağlantınızda belirtilen şirket içi VPN cihazınız için bir IPsec/IKE S2S VPN tüneli oluşturur. Her iki VPN tüneli de aslında aynı bağlantının bir parçasıdır. Şirket içi VPN cihazınızı bu iki Azure VPN ağ geçidi genel IP adresini kabul edecek veya iki S2S VPN tüneli oluşturacak şekilde yapılandırmanız gerekir.

Azure ağ geçidi örnekleri etkin-etkin yapılandırmada olduğundan, şirket içi VPN cihazınız bir tüneli diğerine tercih etse bile Azure sanal ağınızdan şirket içi ağınıza giden trafik aynı anda her iki tünelden de yönlendirilir. Tek bir TCP veya UDP akışı için Azure, şirket içi ağınıza paket gönderirken aynı tüneli kullanmayı dener. Ancak, şirket içi ağınız Azure'a paket göndermek için farklı bir tünel kullanabilir.

Bir ağ geçidi örneğine planlı bakım veya planlanmamış bir olay gerçekleştiğinde, bu örnekten şirket içi VPN cihazınıza IPsec tünelinin bağlantısı kesilir. Vpn cihazlarınızdaki ilgili yollar, trafiğin diğer etkin IPsec tüneline geçirilmesi için otomatik olarak kaldırılmalıdır veya geri çekilmelidir. Azure tarafında geçiş, etkilenen örnekten etkin örneğe otomatik olarak gerçekleşir.

Çift yedeklilik: hem Azure hem de şirket içi ağlara için etkin-etkin VPN ağ geçitleri

En güvenilir seçenek, aşağıdaki diyagramda gösterildiği gibi hem ağınızda hem de Azure'da etkin-etkin ağ geçitlerini birleştirmektir.

Diyagramda çift yedeklilik senaryosu gösterilmektedir.

Bu tür bir yapılandırmada Azure VPN ağ geçidini etkin-etkin bir yapılandırmada ayarlarsınız. İki şirket içi VPN cihazınız için iki yerel ağ geçidi ve iki bağlantı oluşturursunuz. Sonuçta Azure sanal ağınız ile şirket içi ağınız arasında 4 IPsec tünelinden oluşan tam bir ağ bağlantısı elde edilir.

Tüm ağ geçitleri ve tüneller Azure tarafından etkindir, bu nedenle her TCP veya UDP akışı Azure tarafından aynı tüneli veya yolu izlese de trafik 4 tünelin tümüne aynı anda yayılır. Trafiği yayarak IPsec tünelleri üzerinde biraz daha iyi aktarım hızı görebilirsiniz. Ancak, bu yapılandırmanın birincil hedefi yüksek kullanılabilirliktir. Trafiğin yayılımının istatistiksel yapısı nedeniyle, farklı uygulama trafiği koşullarının toplam aktarım hızını nasıl etkileyebileceğine ilişkin ölçümü sağlamak zordur.

Bu topoloji, şirket içi VPN cihazları çiftini desteklemek için iki yerel ağ geçidi ve iki bağlantı gerektirir ve aynı şirket içi ağa yapılan iki bağlantıda eşzamanlı bağlantıya izin vermek için BGP gereklidir. Bu gereksinimler Birden çok şirket içi VPN cihazı senaryosuyla aynıdır.

Yüksek Oranda Kullanılabilir Sanal Ağdan Sanal Ağa

Aynı etkin-etkin yapılandırma Azure Sanal Ağdan Sanal Ağa bağlantıları için de geçerli olabilir. Her sanal ağ için etkin-etkin VPN ağ geçitleri oluşturabilir, ardından bunları birbirine bağlayarak iki sanal ağ arasındaki 4 tünelin tam bağlantısını oluşturabilirsiniz. Bu, aşağıdaki diyagramda gösterilmiştir:

Diyagramda, özel I P alt ağlarını barındıran iki Azure bölgesi ve iki sanal sitenin bağlandığı iki Azure V P N ağ geçidi gösterilmektedir.

Bu tür bir yapılandırma, planlı bakım olayları için iki sanal ağ arasında her zaman bir çift tünel olmasını sağlar ve daha da iyi kullanılabilirlik sağlar. Şirket içi bağlantılar için aynı topoloji iki bağlantı gerektirse de, bu örnekteki sanal ağdan sanal ağa topolojinin her ağ geçidi için yalnızca bir bağlantı olması gerekir. BGP, sanal ağdan sanal ağa bağlantı üzerinden aktarım yönlendirmesi gerekli olmadığı sürece isteğe bağlıdır.

Sonraki adımlar

Azure portalını veya PowerShell'i kullanarak etkin-etkin bir VPN ağ geçidi yapılandırın.