Konektivitas Lintas Lokal dan VNet-to-VNet dengan Ketersediaan Tinggi

  • Artikel

Artikel ini menyediakan gambaran umum opsi konfigurasi yang Sangat Tersedia untuk konektivitas lintas lokal dan VNet-to-VNet menggunakan gateway VPN Azure.

Tentang redundansi gateway VPN

Setiap gateway Azure VPN terdiri dari dua instans dalam konfigurasi aktif-siaga. Untuk pemeliharaan terencana atau gangguan tak terencana yang terjadi pada instans aktif, instans siaga akan mengambil alih (failover) secara otomatis dan melanjutkan koneksi VPN S2S atau VNet-ke-VNet. Pengambil-alihan akan menyebabkan gangguan singkat. Untuk pemeliharaan terencana, konektivitas akan pulih dalam waktu 10 hingga 15 detik. Untuk masalah yang tidak dienkripsi, pemulihan koneksi lebih lama, sekitar 1 hingga 3 menit dalam kasus terburuk. Untuk koneksi klien VPN P2S ke gateway, koneksi P2S terputus dan pengguna perlu terhubung kembali dari komputer klien.

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Konektivitas Lintas Tempat dengan Ketersediaan Tinggi

Untuk menyediakan ketersediaan yang lebih baik bagi koneksi lintas lokasi Anda, ada beberapa opsi yang tersedia:

  • Beberapa perangkat VPN lokal
  • Gateway VPN Azure aktif-aktif
  • Kombinasi keduanya

Beberapa perangkat VPN lokal

Anda dapat menggunakan beberapa perangkat VPN dari jaringan lokal untuk terhubung ke gateway Azure VPN, seperti yang diperlihatkan dalam diagram berikut:

Diagram shows multiple on-premises sites with private I P subnets and on-premises V P N connected to an active Azure V P N gateway to connect to subnets hosted in Azure, with a standby gateway available.

Konfigurasi ini menghasilkan beberapa terowongan aktif dari gateway Azure VPN yang sama ke perangkat lokal Anda di lokasi yang sama. Ada beberapa persyaratan dan batasan:

  1. Anda harus membuat beberapa koneksi VPN S2S dari perangkat VPN Anda ke Azure. Saat menghubungkan beberapa perangkat VPN dari jaringan lokal yang sama ke Azure, Anda perlu membuat satu gateway jaringan lokal untuk setiap perangkat VPN, dan satu koneksi dari gateway Azure VPN ke setiap gateway jaringan lokal.
  2. Gateway jaringan lokal yang terkait dengan perangkat VPN Anda harus memiliki alamat IP publik yang unik di properti "GatewayIpAddress".
  3. BGP diperlukan untuk konfigurasi ini. Setiap gateway jaringan lokal yang mewakili perangkat VPN harus memiliki alamat IP peer BGP unik yang ditentukan dalam properti "BgpPeerIpAddress".
  4. Anda harus menggunakan BGP untuk mengiklankan awalan yang sama dari awalan jaringan lokal yang sama ke gateway Azure VPN Anda, dan lalu lintas akan diteruskan melalui terowongan ini secara bersamaan.
  5. Anda harus menggunakan Perutean multi-jalur berbiaya sama (ECMP).
  6. Setiap koneksi dihitung terhadap jumlah maksimum terowongan untuk gateway Azure VPN Anda. Lihat halaman pengaturan VPN Gateway untuk informasi terbaru tentang terowongan, koneksi, dan throughput.

Dalam konfigurasi ini, gateway VPN Azure masih dalam mode siaga aktif, sehingga perilaku failover yang sama dan gangguan singkat masih akan terjadi seperti yang dijelaskan di atas. Tetapi pengaturan ini melindungi dari kegagalan atau gangguan pada jaringan lokal dan perangkat VPN Anda.

Gateway VPN aktif-aktif

Anda dapat membuat gateway Vpn Azure dalam konfigurasi aktif-aktif, di mana kedua instans VM gateway membuat terowongan VPN S2S ke perangkat VPN lokal Anda, seperti yang ditunjukkan diagram berikut:

Diagram shows an on-premises site with private I P subnets and on-premises V P N connected to two active Azure V P N gateway to connect to subnets hosted in Azure.

Dalam konfigurasi ini, setiap instans gateway Azure memiliki alamat IP publik yang unik, dan masing-masing akan membuat terowongan VPN IPsec/IKE S2S ke perangkat VPN lokal Anda yang ditentukan di gateway dan koneksi jaringan lokal Anda. Perhatikan bahwa kedua tunnel VPN sebenarnya adalah bagian dari koneksi yang sama. Anda masih perlu mengonfigurasi perangkat VPN lokal Anda untuk menerima atau membuat dua terowongan VPN S2S ke dua alamat IP publik gateway Azure VPN tersebut.

Karena instans gateway Azure berada dalam konfigurasi aktif-aktif, lalu lintas dari jaringan virtual Azure ke jaringan lokal Anda akan dirutekan melalui kedua terowongan secara bersamaan, meskipun perangkat VPN lokal Anda mungkin mendukung satu terowongan di atas terowongan lainnya. Untuk satu alur TCP atau UDP, Azure mencoba menggunakan terowongan yang sama saat mengirim paket ke jaringan lokal Anda. Namun, jaringan lokal Anda dapat menggunakan terowongan yang berbeda untuk mengirim paket ke Azure.

Saat pemeliharaan terencana atau peristiwa yang tak terencana terjadi di satu instans gateway, terowongan IPsec dari instans tersebut ke perangkat VPN lokal Anda akan terputus. Rute yang sesuai pada perangkat VPN Anda akan dihapus atau ditarik secara otomatis sehingga lalu lintas akan dialihkan ke terowongan IPsec aktif lainnya. Di sisi Azure, pengalihan akan terjadi secara otomatis dari instans yang terpengaruh ke instans aktif.

Redundansi ganda: gateway VPN aktif-aktif untuk jaringan Azure dan lokal

Opsi yang paling dapat diandalkan adalah menggabungkan gateway aktif-aktif di jaringan Anda dan Azure, seperti yang ditunjukkan dalam diagram berikut.

Diagram shows a Dual Redundancy scenario.

Di sini, Anda akan membuat dan menyiapkan gateway Azure VPN dalam konfigurasi aktif-aktif dan membuat dua gateway jaringan lokal dan dua koneksi untuk dua perangkat VPN lokal Anda seperti yang dijelaskan di atas. Hasilnya adalah konektivitas jala penuh dari 4 terowongan IPsec antara jaringan virtual Azure dan jaringan lokal Anda.

Semua gateway dan terowongan aktif dari sisi Azure, sehingga lalu lintas tersebar di antara 4 terowongan secara bersamaan, meskipun setiap alur TCP atau UDP akan kembali mengikuti terowongan atau jalur yang sama dari sisi Azure. Meskipun dengan menyebarkan lalu lintas, Anda mungkin melihat throughput yang sedikit lebih baik daripada terowongan IPsec, tujuan utama konfigurasi ini adalah untuk ketersediaan tinggi. Dan karena sifat statistik penyebaran, sulit untuk memberikan pengukuran tentang bagaimana kondisi lalu lintas aplikasi yang berbeda akan memengaruhi throughput agregat.

Topologi ini memerlukan dua gateway jaringan lokal dan dua koneksi untuk mendukung pasangan perangkat VPN lokal, dan BGP diperlukan untuk memungkinkan dua koneksi ke jaringan lokal yang sama. Persyaratan ini sama dengan yang di atas.

VNet-ke-VNet Sangat Tersedia

Konfigurasi aktif-aktif yang sama juga dapat diterapkan untuk koneksi Azure VNet-ke-VNet. Anda dapat membuat gateway VPN aktif-aktif untuk kedua jaringan virtual, dan menghubungkannya bersama-sama untuk membentuk konektivitas jala lengkap yang sama dari 4 terowongan antara dua VNet, seperti yang ditunjukkan dalam diagram berikut:

Diagram shows two Azure regions hosting private I P subnets and two Azure V P N gateways through which the two virtual sites connect.

Hal ini memastikan selalu ada sepasang terowongan antara dua jaringan virtual untuk setiap peristiwa pemeliharaan terencana, yang memberikan ketersediaan yang lebih baik. Meskipun topologi yang sama untuk konektivitas lintas lokal membutuhkan dua koneksi, topologi VNet-ke-VNet yang ditunjukkan di atas hanya akan membutuhkan satu koneksi untuk setiap gateway. Selain itu, BGP bersifat opsional kecuali perutean transit melalui koneksi VNet-ke-VNet diperlukan.

Langkah berikutnya

Lihat Mengonfigurasi gateway aktif-aktif menggunakan portal Azure atau PowerShell.