本文提供可作的建议,以增强远程网络的复原能力。 若要确保全局安全访问远程网络连接的最佳部署和性能,请遵循以下最佳做法:
配置冗余隧道和故障转移
配置多个 Internet 协议安全性(IPsec)隧道,从客户本地设备(CPE)到不同的全局安全访问边缘或 POP。
区域冗余
区域冗余选项在不同的可用性区域中创建两个 IPsec 隧道,但在同一 Azure 区域中。
地理冗余
还可以在不同的地理区域中创建新的远程网络来实现冗余。 可以使用同一 CPE 配置在辅助远程网络中设置 IPsec 隧道。
使用 CPE 的管理控制台为这些 IPsec 隧道分配权重,并决定如何通过它们路由流量。
| 隧道权重 | 流量路由 |
|---|---|
| 相等拆分 | active-active |
| 主要/辅助 | 主动-备用 |
动态路由学习
使用边界网关协议(BGP)进行动态路由学习。 如果设备上不支持 BGP,请使用适当的指标设置静态路由。
根据所需的安全状况设置 CPE
根据业务是确定安全性还是工作效率的优先级来配置 CPE。
确定安全性的优先级
如果确定安全性的优先级,请防止用户流量进入目标,而无需首先通过全局安全访问。 为此,请通过具有全局安全访问的 IPsec 隧道静态路由流量,而无需设置默认路由。
确定工作效率的优先级
如果确定工作效率的优先级,请为流量设置默认路由。 这样,如果全局安全访问 VPN 网关或后端服务出现故障,用户流量会直接通过默认路由继续。
重要
建议:设置默认路由并配置 IP SLA 第 7 层运行状况探测以监视终结点。
设置默认路由:
- 配置 IP SLA 第 7 层运行状况探测以监视终结点
http://m365.remote-network.edgediagnostic.globalsecureaccess.microsoft.com:6544/ping。 有关指南,请参阅 如何创建具有全局安全访问的远程网络。 - 或者,设置探测以监视 IP 地址
198.18.1.101。 从 CPE 通过全局安全访问 IPsec 隧道静态发送这些 IP 地址。 我们将此 IP 地址添加到 Microsoft 365 BGP 路由播发。
注释
这些终结点只能通过全局安全访问远程访问远程访问进行访问。
配置监视和可观测性
通过将流量日志和远程网络运行状况事件导出到 Log Analytics 工作区来监视这些日志和远程网络运行状况事件。 设置 Azure Monitor 警报规则以跟踪工作区的运行状况。 有关详细信息,请参阅什么是远程网络运行状况日志?