Configuration haute disponibilité pour la connectivité entre les réseaux locaux et la connectivité entre deux réseaux virtuelsHighly Available Cross-Premises and VNet-to-VNet Connectivity

Cet article fournit une vue d’ensemble des options de configuration haute disponibilité dont vous pouvez tirer parti pour la connectivité entre vos réseaux locaux et la connectivité entre deux réseaux virtuels en utilisant des passerelles VPN Azure.This article provides an overview of Highly Available configuration options for your cross-premises and VNet-to-VNet connectivity using Azure VPN gateways.

À propos de la redondance de passerelle VPN AzureAbout Azure VPN gateway redundancy

Chaque passerelle VPN Azure comprend deux instances dans une configuration de type actif / passif.Every Azure VPN gateway consists of two instances in an active-standby configuration. En cas de maintenance planifiée ou d’interruption non planifiée au niveau de l’instance active, l’instance de secours prend automatiquement le relais (par un basculement) et reprend les connexions VPN S2S ou entre deux réseaux virtuels.For any planned maintenance or unplanned disruption that happens to the active instance, the standby instance would take over (failover) automatically, and resume the S2S VPN or VNet-to-VNet connections. Le basculement entraîne une brève interruption.The switch over will cause a brief interruption. Dans le cadre d’une maintenance planifiée, la connectivité doit être restaurée dans les 10 à 15 secondes.For planned maintenance, the connectivity should be restored within 10 to 15 seconds. En cas de problèmes non planifiés, la récupération de la connexion est plus longue et peut atteindre 1 minute à 1 minute trente dans le pire des cas.For unplanned issues, the connection recovery will be longer, about 1 minute to 1 and a half minutes in the worst case. Pour les connexions client VPN P2S à la passerelle, les connexions P2S seront rompues et les utilisateurs devront se reconnecter à partir des ordinateurs clients.For P2S VPN client connections to the gateway, the P2S connections will be disconnected and the users will need to reconnect from the client machines.

Actif / passif

Connectivité haute disponibilité entre les réseaux locauxHighly Available Cross-Premises Connectivity

Pour établir des connexions hautement disponibles entre vos réseaux locaux, vous avez deux options :To provide better availability for your cross premises connections, there are a couple of options available:

  • Utilisation de plusieurs périphériques VPN en localMultiple on-premises VPN devices
  • Utilisation d’une passerelle VPN Azure en mode actif-actifActive-active Azure VPN gateway
  • Combinaison des deuxCombination of both

Utilisation de plusieurs périphériques VPN en localMultiple on-premises VPN devices

Vous pouvez utiliser plusieurs périphériques VPN de votre réseau local pour vous connecter à votre passerelle VPN Azure, comme illustré dans le schéma suivant :You can use multiple VPN devices from your on-premises network to connect to your Azure VPN gateway, as shown in the following diagram:

Plusieurs périphériques VPN en local

Cette configuration offre plusieurs tunnels actifs reliant la même passerelle VPN Azure à vos périphériques locaux dans le même emplacement.This configuration provides multiple active tunnels from the same Azure VPN gateway to your on-premises devices in the same location. Elle comporte certaines exigences et contraintes :There are some requirements and constraints:

  1. Vous devez créer plusieurs connexions VPN S2S entre vos périphériques VPN et Azure.You need to create multiple S2S VPN connections from your VPN devices to Azure. Lorsque vous connectez plusieurs périphériques VPN du même réseau local vers Azure, vous devez créer une passerelle réseau locale pour chaque périphérique VPN et une connexion entre votre passerelle VPN Azure et chaque passerelle réseau locale.When you connect multiple VPN devices from the same on-premises network to Azure, you need to create one local network gateway for each VPN device, and one connection from your Azure VPN gateway to each local network gateway.
  2. Les passerelles réseau locales correspondant à vos périphériques VPN doivent avoir des adresses IP publiques uniques dans la propriété « GatewayIpAddress ».The local network gateways corresponding to your VPN devices must have unique public IP addresses in the "GatewayIpAddress" property.
  3. Cette configuration requiert le protocole BGP.BGP is required for this configuration. Pour chaque passerelle réseau locale qui représente un périphérique VPN, une adresse IP d’homologue BGP unique doit être spécifiée dans la propriété « BgpPeerIpAddress ».Each local network gateway representing a VPN device must have a unique BGP peer IP address specified in the "BgpPeerIpAddress" property.
  4. Les champs de propriété AddressPrefix de chaque passerelle réseau locale ne doivent pas se chevaucher.The AddressPrefix property field in each local network gateway must not overlap. Vous devez spécifier le paramètre « BgpPeerIpAddress » au format CIDR /32 dans le champ AddressPrefix, par exemple, 10.200.200.254/32.You should specify the "BgpPeerIpAddress" in /32 CIDR format in the AddressPrefix field, for example, 10.200.200.254/32.
  5. Vous devez utiliser le protocole BGP pour annoncer les mêmes préfixes que les préfixes de réseau local sur votre passerelle VPN Azure. Le trafic sera alors transmis simultanément via ces tunnels.You should use BGP to advertise the same prefixes of the same on-premises network prefixes to your Azure VPN gateway, and the traffic will be forwarded through these tunnels simultaneously.
  6. Vous devez utiliser un routage ECMP (Equal-Cost Multi-Path).You must use Equal-cost multi-path routing (ECMP).
  7. Chaque connexion est comptabilisée par rapport au nombre maximal de tunnels pour votre passerelle VPN Azure, soit 10 pour les références SKU De base et Standard, et 30 pour les références SKU Hautes performances.Each connection is counted against the maximum number of tunnels for your Azure VPN gateway, 10 for Basic and Standard SKUs, and 30 for HighPerformance SKU.

Dans cette configuration, la passerelle VPN Azure est toujours en mode actif-passif, ce qui signifie que l’on aura toujours le même comportement de basculement accompagné d’une brève interruption comme décrit ci-dessus.In this configuration, the Azure VPN gateway is still in active-standby mode, so the same failover behavior and brief interruption will still happen as described above. Mais cette configuration évite les défaillances ou les interruptions sur votre réseau local et sur vos périphériques VPN.But this setup guards against failures or interruptions on your on-premises network and VPN devices.

Utilisation d’une passerelle VPN Azure en mode actif-actifActive-active Azure VPN gateway

Vous pouvez maintenant créer une passerelle VPN Azure dans une configuration actif-actif, où les deux instances de machines virtuelles passerelle vont établir des tunnels VPN S2S sur votre périphérique VPN local, comme le montre le schéma suivant :You can now create an Azure VPN gateway in an active-active configuration, where both instances of the gateway VMs will establish S2S VPN tunnels to your on-premises VPN device, as shown the following diagram:

Actif/actif

Dans cette configuration, chaque instance de passerelle Azure aura une adresse IP publique unique et chacune va établir un tunnel VPN S2S IPsec/IKE sur votre périphérique VPN local spécifié dans votre passerelle et votre connexion de réseau local.In this configuration, each Azure gateway instance will have a unique public IP address, and each will establish an IPsec/IKE S2S VPN tunnel to your on-premises VPN device specified in your local network gateway and connection. Notez que les deux tunnels VPN font en fait partie de la même connexion.Note that both VPN tunnels are actually part of the same connection. Vous devez toujours configurer votre périphérique VPN local pour accepter ou établir deux tunnels VPN S2S sur ces deux adresses IP publiques de passerelle VPN Azure.You will still need to configure your on-premises VPN device to accept or establish two S2S VPN tunnels to those two Azure VPN gateway public IP addresses.

Étant donné que les instances de passerelle Azure sont en configuration actif-actif, le trafic qui transite entre votre réseau virtuel Azure et votre réseau local sera routé simultanément via les deux tunnels, même si votre périphérique VPN local peut privilégier un tunnel plutôt qu’un autre.Because the Azure gateway instances are in active-active configuration, the traffic from your Azure virtual network to your on-premises network will be routed through both tunnels simultaneously, even if your on-premises VPN device may favor one tunnel over the other. Notez que le même flux TCP ou UDP traversera toujours le même tunnel ou le même chemin, sauf si un événement de maintenance se produit sur l’une des instances.Note though the same TCP or UDP flow will always traverse the same tunnel or path, unless a maintenance event happens on one of the instances.

Lorsqu’une instance de passerelle est affectée par une maintenance planifiée ou un événement imprévu, le tunnel IPsec entre votre périphérique VPN local et cette instance est déconnecté.When a planned maintenance or unplanned event happens to one gateway instance, the IPsec tunnel from that instance to your on-premises VPN device will be disconnected. Les itinéraires correspondants sur vos périphériques VPN doivent être supprimés ou retirés automatiquement afin de permettre le basculement du trafic sur l’autre tunnel IPsec actif.The corresponding routes on your VPN devices should be removed or withdrawn automatically so that the traffic will be switched over to the other active IPsec tunnel. Côté Azure, le basculement se produit automatiquement de l’instance affectée vers l’instance active.On the Azure side, the switch over will happen automatically from the affected instance to the active instance.

Double redondance : passerelles VPN de type actif-actif pour Azure et les réseaux locauxDual-redundancy: active-active VPN gateways for both Azure and on-premises networks

L’option la plus fiable consiste à combiner les passerelles de type actif-actif sur votre réseau et sur Azure, comme illustré dans le schéma ci-dessous.The most reliable option is to combine the active-active gateways on both your network and Azure, as shown in the diagram below.

Double redondance

Vous pouvez ici créer et configurer la passerelle VPN Azure dans une configuration actif-actif et créer deux passerelles réseau locales et deux connexions pour vos deux périphériques VPN locaux décrits ci-dessus.Here you create and setup the Azure VPN gateway in an active-active configuration, and create two local network gateways and two connections for your two on-premises VPN devices as described above. Vous obtenez une connectivité entièrement maillée pour les 4 tunnels IPsec qui relient votre réseau virtuel Azure à votre réseau local.The result is a full mesh connectivity of 4 IPsec tunnels between your Azure virtual network and your on-premises network.

L’ensemble des passerelles et des tunnels étant actifs côté Azure, le trafic est réparti entre les 4 tunnels simultanément, même si chaque flux TCP ou UDP suivra à nouveau le même tunnel ou le même chemin côté Azure.All gateways and tunnels are active from the Azure side, so the traffic will be spread among all 4 tunnels simultaneously, although each TCP or UDP flow will again follow the same tunnel or path from the Azure side. Même en répartissant le trafic, vous pouvez constater un débit légèrement supérieur sur les tunnels IPsec, cette configuration étant essentiellement axée sur la haute disponibilité.Even though by spreading the traffic, you may see slightly better throughput over the IPsec tunnels, the primary goal of this configuration is for high availability. En raison de la nature statistique de la propagation, il est difficile de déterminer de quelle manière les différentes conditions de trafic d’applications affecteront le débit global.And due to the statistical nature of the spreading, it is difficult to provide the measurement on how different application traffic conditions will affect the aggregate throughput.

Cette topologie suppose de faire appel à deux passerelles réseau locales et à deux connexions pour pouvoir prendre en charge les deux périphériques VPN locaux. Elle requiert également le protocole BGP pour autoriser les deux connexions au même réseau local.This topology will require two local network gateways and two connections to support the pair of on-premises VPN devices, and BGP is required to allow the two connections to the same on-premises network. Ces exigences sont identiques à celles décrites ci-dessus.These requirements are the same as the above.

Connectivité haute disponibilité entre deux réseaux virtuels via les passerelles VPN AzureHighly Available VNet-to-VNet Connectivity through Azure VPN Gateways

La même configuration actif-actif peut également s’appliquer aux connexions entre deux réseaux virtuels Azure.The same active-active configuration can also apply to Azure VNet-to-VNet connections. Vous pouvez créer des passerelles VPN actif-actif pour les deux réseaux virtuels et les connecter ensemble pour obtenir la même connectivité entièrement maillée pour les 4 tunnels placés entre les deux réseaux virtuels, comme illustré dans le schéma ci-dessous :You can create active-active VPN gateways for both virtual networks, and connect them together to form the same full mesh connectivity of 4 tunnels between the two VNets, as shown in the diagram below:

Connexion entre deux réseaux virtuels

Ainsi, il existe toujours une paire de tunnels entre les deux réseaux virtuels pour tout événement de maintenance planifiée, ce qui garantit une meilleure disponibilité.This ensures there are always a pair of tunnels between the two virtual networks for any planned maintenance events, providing even better availability. Bien que la même topologie requiert deux connexions pour permettre une connectivité entre les réseaux locaux, la topologie entre deux réseaux virtuels décrite ci-dessus ne nécessite qu’une seule connexion pour chaque passerelle.Even though the same topology for cross-premises connectivity requires two connections, the VNet-to-VNet topology shown above will need only one connection for each gateway. En outre, l’utilisation du protocole BGP n’est nécessaire que si le transit doit être routé via la connexion entre les deux réseaux virtuels.Additionally, BGP is optional unless transit routing over the VNet-to-VNet connection is required.

Étapes suivantesNext steps

Pour connaître les étapes de configuration des connexions en mode actif-actif entre des réseaux locaux ou entre deux réseaux virtuels, consultez la page Configuring Active-Active VPN Gateways for Cross-Premises and VNet-to-VNet Connections (Configuration des passerelles VPN actif-actif pour des connexions entre des réseaux locaux et entre deux réseaux virtuels).See Configuring Active-Active VPN Gateways for Cross-Premises and VNet-to-VNet Connections for steps to configure active-active cross-premises and VNet-to-VNet connections.