Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Bramy sieci VPN platformy Azure można skonfigurować jako aktywny-pasywny lub aktywny-aktywny. W tym artykule opisano konfiguracje bramy trybu aktywne-aktywne i wyróżniono zalety korzystania z trybu aktywne-aktywne.
Dlaczego warto utworzyć bramę active-active?
Bramy sieci VPN składają się z dwóch wystąpień w konfiguracji aktywno-rezerwowej, chyba że określono tryb aktywny-aktywny.
Zachowanie trybu gotowości aktywnej
W trybie aktywno-zapasowym, podczas planowej konserwacji lub nieplanowanych zakłóceń wpływających na aktywną instancję, występuje następujące zachowanie:
- Połączenia S2S i VNet-to-VNet: Wystąpienie rezerwowe automatycznie przejmuje kontrolę (tryb failover) i wznawia połączenia VPN typu S2S lub połączenia typu VNet-to-VNet. To przełączenie powoduje krótką przerwę. W przypadku planowanej konserwacji łączność jest szybko przywracana. W przypadku nieplanowanych problemów odzyskiwanie połączenia jest dłuższe.
- P2S: W przypadku połączeń klienta VPN typu punkt-lokacja (P2S) z bramą, połączenia te są rozłączone. Użytkownicy muszą ponownie nawiązać połączenie z komputerów klienckich.
Aby uniknąć przerw, utwórz bramę w trybie aktywny-aktywny lub przełącz bramę trybu aktywne-rezerwowego na aktywny-aktywny.
Projekt trybu aktywny-aktywny
W konfiguracji aktywno-aktywnej dla połączenia S2S, jak pokazano na poniższym diagramie, oba wystąpienia maszyn wirtualnych bramy ustanawiają tunele VPN typu S2S do lokalnego urządzenia sieci VPN.
W tej konfiguracji każde wystąpienie bramy usługi Azure ma unikalny publiczny adres IP, a każde z nich nawiąże tunel VPN IPsec/IKE S2S z urządzeniem VPN znajdującym się na miejscu. Oba tunele są częścią tego samego połączenia. Skonfiguruj lokalne urządzenie sieci VPN tak, aby akceptowało dwa tunele VPN typu lokacja-lokacja, po jednym dla każdej instancji bramy. Połączenia P2S z bramami w trybie aktywny-aktywny nie wymagają dodatkowej konfiguracji.
W konfiguracji aktywne-aktywne platforma Azure kieruje ruch z sieci wirtualnej do sieci lokalnej przez oba tunele jednocześnie, nawet jeśli lokalne urządzenie sieci VPN może faworyzować jeden tunel przez drugi. W przypadku pojedynczego przepływu TCP lub UDP platforma Azure próbuje użyć tego samego tunelu podczas wysyłania pakietów do sieci lokalnej. Jednak sieć lokalna może używać innego tunelu do wysyłania pakietów z powrotem na platformę Azure.
W przypadku planowanej konserwacji lub nieplanowanego zdarzenia dotyczącego jednego wystąpienia bramy sieciowej, tunel IPsec z tego wystąpienia do urządzenia VPN w lokalnej sieci zostanie rozłączony. Odpowiednie trasy na urządzeniach sieci VPN powinny zostać automatycznie usunięte lub wycofane, aby umożliwić przełączenie ruchu do innego aktywnego tunelu IPsec. Po stronie platformy Azure przełączenie nastąpi automatycznie z wystąpienia, którego dotyczy problem, do innego aktywnego wystąpienia.
Uwaga
W przypadku połączeń S2S z bramą sieci VPN w trybie aktywny-aktywny upewnij się, że ustal tunele do każdego wystąpienia maszyny wirtualnej bramy. Jeśli ustanowisz tunel tylko do jednego wystąpienia maszyny wirtualnej bramy, połączenie zostanie przerwane podczas konserwacji. Jeśli urządzenie sieci VPN nie obsługuje tej konfiguracji, skonfiguruj bramę dla trybu aktywnego-oczekiwania.
Projekt trybu aktywno-aktywnego z podwójną nadmiarowością
Najbardziej niezawodną opcją projektowania jest połączenie bram aktywnych-aktywnych zarówno w sieci, jak i na platformie Azure, jak pokazano na poniższym diagramie.
W tej konfiguracji utworzysz i skonfigurujesz bramę sieci VPN platformy Azure w trybie aktywny-aktywny. Utworzysz dwie bramy sieci lokalnej i dwa połączenia dla dwóch lokalnych urządzeń sieci VPN. Wynikiem jest pełna łączność siatki czterech tuneli IPsec między siecią wirtualną platformy Azure i siecią lokalną.
Wszystkie bramy i tunele są aktywne po stronie platformy Azure, więc ruch jest rozłożony między wszystkie cztery tunele jednocześnie, chociaż każdy przepływ TCP lub UDP będzie podążał za tym samym tunelem lub ścieżką po stronie platformy Azure. Mimo że rozłożenie ruchu może nieco poprawić przepustowość w tunelach IPsec, głównym celem tej konfiguracji jest zapewnienie wysokiej dostępności. Ze względu na statystyczny charakter rozkładu trudno jest podać pomiar sposobu, w jaki różne warunki ruchu aplikacji wpływają na zagregowaną przepływność.
Ta topologia wymaga dwóch bram sieci lokalnej i dwóch połączeń do obsługi pary lokalnych urządzeń sieci VPN. Aby uzyskać więcej informacji, zobacz Informacje o łączności o wysokiej dostępności.
Skonfiguruj bramę w trybie aktywny-aktywny
Bramę active-active można skonfigurować przy użyciu portalu Azure, programu PowerShell lub interfejsu wiersza polecenia. Możesz również zmienić bramę trybu aktywny-zapasowy na tryb aktywny-aktywny. Aby uzyskać instrukcje, zobacz Zmienianie bramy na aktywne-aktywne.
Brama aktywna-aktywna ma nieco inne wymagania dotyczące konfiguracji niż brama aktywna-wstrzymana.
- Nie można skonfigurować bramy aktywne-aktywne przy użyciu jednostki SKU bramy Podstawowej.
- Sieć VPN musi być oparta na trasach. Nie może być oparta na zasadach.
- Wymagane są dwa publiczne adresy IP. Oba muszą być standardowymi publicznymi adresami IP SKU, które są przypisane jako statyczne.
- Konfiguracja bramy aktywne-aktywne kosztuje tak samo jak konfiguracja trybu wstrzymania aktywnego. Jednak konfiguracje aktywne-aktywne wymagają dwóch adresów IP publicznych zamiast jednego. Zobacz Cennik adresów IP.
Resetowanie bramy sieciowej trybu aktywnego-aktywnego
Jeśli chcesz zresetować bramę active-active, możesz zresetować oba wystąpienia przy użyciu portalu. Możesz również użyć PowerShella lub wiersza polecenia, aby zresetować każde wystąpienie bramy oddzielnie, używając adresów IP wystąpień VIP. Zobacz Resetowanie połączenia lub bramy.