Connettività cross-premise e da rete virtuale a rete virtuale a disponibilità elevataHighly Available Cross-Premises and VNet-to-VNet Connectivity

Questo articolo offre una panoramica delle opzioni di configurazione a disponibilità elevata per la connettività cross-premise e da rete virtuale a rete virtuale con gateway VPN di Azure.This article provides an overview of Highly Available configuration options for your cross-premises and VNet-to-VNet connectivity using Azure VPN gateways.

Informazioni sulla ridondanza dei gateway VPN di AzureAbout Azure VPN gateway redundancy

Ogni gateway VPN di Azure è costituito da due istanze in una configurazione di tipo attivo-standby.Every Azure VPN gateway consists of two instances in an active-standby configuration. In caso di interruzione imprevista o di manutenzione pianificata nell'istanza attiva, l'istanza di standby assume automaticamente il controllo (failover) e riprende le connessioni VPN S2S o da rete virtuale a rete virtuale.For any planned maintenance or unplanned disruption that happens to the active instance, the standby instance would take over (failover) automatically, and resume the S2S VPN or VNet-to-VNet connections. Il passaggio causerà una breve interruzione.The switch over will cause a brief interruption. In caso di manutenzione pianificata, la connettività dovrebbe essere ripristinata entro 10-15 secondi.For planned maintenance, the connectivity should be restored within 10 to 15 seconds. Per problemi imprevisti, il ripristino della connessione richiederà più tempo, approssimativamente da 1 minuto a 1 minuto e mezzo nel peggiore dei casi.For unplanned issues, the connection recovery will be longer, about 1 minute to 1 and a half minutes in the worst case. Per le connessioni client VPN P2S al gateway, le connessioni P2S verranno interrotte e gli utenti dovranno riconnettersi dai computer client.For P2S VPN client connections to the gateway, the P2S connections will be disconnected and the users will need to reconnect from the client machines.

Attivo-standby

Connettività cross-premise a disponibilità elevataHighly Available Cross-Premises Connectivity

Per offrire una maggiore disponibilità per le connessioni cross premise, sono disponibili alcune opzioni:To provide better availability for your cross premises connections, there are a couple of options available:

  • Più dispositivi VPN localiMultiple on-premises VPN devices
  • Gateway VPN di Azure di tipo attivo-attivoActive-active Azure VPN gateway
  • Combinazione di entrambe le opzioniCombination of both

Più dispositivi VPN localiMultiple on-premises VPN devices

È possibile usare più dispositivi VPN dalla rete locale per connettersi al gateway VPN di Azure, come illustrato nel diagramma seguente:You can use multiple VPN devices from your on-premises network to connect to your Azure VPN gateway, as shown in the following diagram:

Più dispositivi VPN locali

Questa configurazione offre più tunnel attivi dallo stesso gateway VPN di Azure ai dispositivi locali nella stessa località.This configuration provides multiple active tunnels from the same Azure VPN gateway to your on-premises devices in the same location. Esistono alcuni requisiti e vincoli:There are some requirements and constraints:

  1. È necessario creare più connessioni VPN S2S dai dispositivi VPN ad Azure.You need to create multiple S2S VPN connections from your VPN devices to Azure. Quando si connettono più dispositivi VPN dalla stessa rete locale ad Azure, è necessario creare un gateway di rete locale per ogni dispositivo VPN e una connessione dal gateway VPN di Azure al gateway di rete locale.When you connect multiple VPN devices from the same on-premises network to Azure, you need to create one local network gateway for each VPN device, and one connection from your Azure VPN gateway to the local network gateway.
  2. I gateway di rete locali corrispondenti ai dispositivi VPN devono avere indirizzi IP pubblici univoci nella proprietà "GatewayIpAddress".The local network gateways corresponding to your VPN devices must have unique public IP addresses in the "GatewayIpAddress" property.
  3. Per questa configurazione è necessario BGP.BGP is required for this configuration. Per ogni gateway di rete locale che rappresenta un dispositivo VPN deve essere specificato un indirizzo IP univoco del peer BGP nella proprietà "BgpPeerIpAddress".Each local network gateway representing a VPN device must have a unique BGP peer IP address specified in the "BgpPeerIpAddress" property.
  4. Il campo della proprietà AddressPrefix di ogni gateway di rete locale non deve sovrapporsi.The AddressPrefix property field in each local network gateway must not overlap. È consigliabile specificare "BgpPeerIpAddress" nel campo AddressPrefix in formato CIDR /32, ad esempio 10.200.200.254/32.You should specify the "BgpPeerIpAddress" in /32 CIDR format in the AddressPrefix field, for example, 10.200.200.254/32.
  5. È consigliabile usare BGP per annunciare gli stessi prefissi dei prefissi di rete locale al gateway VPN di Azure. Il traffico verrà inoltrato attraverso questi tunnel simultaneamente.You should use BGP to advertise the same prefixes of the same on-premises network prefixes to your Azure VPN gateway, and the traffic will be forwarded through these tunnels simultaneously.
  6. Ogni connessione viene conteggiata rispetto al numero massimo di tunnel per il gateway VPN di Azure: 10 per SKU Basic e Standard e 30 per SKU HighPerformance.Each connection is counted against the maximum number of tunnels for your Azure VPN gateway, 10 for Basic and Standard SKUs, and 30 for HighPerformance SKU.

In questa configurazione, il gateway VPN di Azure è comunque in modalità attivo-standby, quindi si verificano lo stesso comportamento di failover e la stessa breve interruzione descritti sopra.In this configuration, the Azure VPN gateway is still in active-standby mode, so the same failover behavior and brief interruption will still happen as described above. Questa configurazione protegge tuttavia da errori o interruzioni nella rete locale e nei dispositivi VPN.But this setup guards against failures or interruptions on your on-premises network and VPN devices.

Gateway VPN di Azure di tipo attivo-attivoActive-active Azure VPN gateway

È ora possibile creare un gateway VPN di Azure in una configurazione di tipo attivo-attivo, in cui entrambe le istanze delle VM del gateway stabiliscono tunnel VPN S2S con il dispositivo VPN locale, come illustrato nel diagramma seguente:You can now create an Azure VPN gateway in an active-active configuration, where both instances of the gateway VMs will establish S2S VPN tunnels to your on-premises VPN device, as shown the following diagram:

Attivo-attivo

In questa configurazione, ogni istanza del gateway di Azure avrà un indirizzo IP pubblico univoco e stabilirà un tunnel VPN S2S IPsec/IKE con il dispositivo VPN locale specificato nella connessione e nel gateway di rete locale.In this configuration, each Azure gateway instance will have a unique public IP address, and each will establish an IPsec/IKE S2S VPN tunnel to your on-premises VPN device specified in your local network gateway and connection. Si noti che entrambi i tunnel VPN sono di fatto parte della stessa connessione.Note that both VPN tunnels are actually part of the same connection. È comunque necessario configurare il dispositivo VPN locale in modo che accetti o stabilisca due tunnel VPN S2S con i due indirizzi IP pubblici del gateway VPN di Azure.You will still need to configure your on-premises VPN device to accept or establish two S2S VPN tunnels to those two Azure VPN gateway public IP addresses.

Dato che le istanze del gateway di Azure presentano una configurazione di tipo attivo-attivo, il traffico dalla rete virtuale di Azure alla rete locale verrà instradato attraverso i tunnel simultaneamente, anche se il dispositivo VPN potrebbe preferire un tunnel rispetto all'altro.Because the Azure gateway instances are in active-active configuration, the traffic from your Azure virtual network to your on-premises network will be routed through both tunnels simultaneously, even if your on-premises VPN device may favor one tunnel over the other. Si noti, tuttavia, che lo stesso flusso TCP o UDP attraverserà sempre lo stesso tunnel o percorso, a meno che in una delle istanze non si verifichi un evento di manutenzione.Note though the same TCP or UDP flow will always traverse the same tunnel or path, unless a maintenance event happens on one of the instances.

In caso di evento imprevisto o di manutenzione pianificata in un'istanza del gateway, il tunnel IPsec da tale istanza al dispositivo VPN locale verrà disconnesso.When a planned maintenance or unplanned event happens to one gateway instance, the IPsec tunnel from that instance to your on-premises VPN device will be disconnected. Le route corrispondenti nei dispositivi VPN verranno rimosse o revocate automaticamente in modo che il traffico venga trasferito sull'altro tunnel IPsec attivo.The corresponding routes on your VPN devices should be removed or withdrawn automatically so that the traffic will be switched over to the other active IPsec tunnel. Sul lato Azure, verrà eseguito automaticamente il passaggio dall'istanza interessata all'istanza attiva.On the Azure side, the switch over will happen automatically from the affected instance to the active instance.

Doppia ridondanza: gateway VPN di tipo attivo-attivo sia per Azure che per le reti localiDual-redundancy: active-active VPN gateways for both Azure and on-premises networks

L'opzione più affidabile consiste nel combinare gateway di tipo attivo-attivo sia nella propria rete che in Azure, come illustrato nel diagramma di seguito.The most reliable option is to combine the active-active gateways on both your network and Azure, as shown in the diagram below.

Doppia ridondanza

In questo caso si crea e si configura il gateway VPN di Azure in una configurazione di tipo attivo-attivo e si creano due gateway di rete locali e due connessioni per i dispositivi VPN locali, come descritto in precedenza.Here you create and setup the Azure VPN gateway in an active-active configuration, and create two local network gateways and two connections for your two on-premises VPN devices as described above. Si ottiene così una connettività a maglia completa di 4 tunnel IPSec tra la rete virtuale di Azure e la rete locale.The result is a full mesh connectivity of 4 IPsec tunnels between your Azure virtual network and your on-premises network.

Tutti i gateway e i tunnel sono attivi dal lato Azure e il traffico verrà quindi distribuito simultaneamente tra tutti e 4 i tunnel, anche se ogni flusso TCP o UDP seguirà anche in questo caso lo stesso tunnel o percorso dal lato Azure.All gateways and tunnels are active from the Azure side, so the traffic will be spread among all 4 tunnels simultaneously, although each TCP or UDP flow will again follow the same tunnel or path from the Azure side. Anche se distribuendo il traffico si può rilevare un lieve miglioramento della velocità effettiva sui tunnel IPsec, l'obiettivo principale di questa configurazione è la disponibilità elevata.Even though by spreading the traffic, you may see slightly better throughput over the IPsec tunnels, the primary goal of this configuration is for high availability. A causa della natura statistica della distribuzione, è difficile misurare l'impatto di diverse condizioni di traffico delle applicazioni sulla velocità effettiva aggregata.And due to the statistical nature of the spreading, it is difficult to provide the measurement on how different application traffic conditions will affect the aggregate throughput.

Questa topologia richiederà due gateway di rete locali e due connessioni per supportare la coppia di dispositivi VPN locali e BGP per consentire le due connessioni alla stessa rete locale.This topology will require two local network gateways and two connections to support the pair of on-premises VPN devices, and BGP is required to allow the two connections to the same on-premises network. Questi requisiti sono gli stessi descritti sopra.These requirements are the same as the above.

Connettività da rete virtuale a rete virtuale a disponibilità elevata tramite gateway VPN di AzureHighly Available VNet-to-VNet Connectivity through Azure VPN Gateways

La stessa configurazione di tipo attivo-attivo può essere applicata anche alle connessioni da rete virtuale a rete virtuale di Azure.The same active-active configuration can also apply to Azure VNet-to-VNet connections. È possibile creare gateway VPN di tipo attivo-attivo per entrambe le reti virtuali e connetterle tra loro in modo da ottenere la stessa connettività a maglia completa di 4 tunnel tra le due reti virtuali, come illustrato nel diagramma di seguito:You can create active-active VPN gateways for both virtual networks, and connect them together to form the same full mesh connectivity of 4 tunnels between the two VNets, as shown in the diagram below:

Da rete virtuale a rete virtuale

Ciò assicura che tra le due reti virtuali sia sempre presente una coppia di tunnel per qualsiasi evento di manutenzione pianificata, garantendo una disponibilità ancora maggiore.This ensures there are always a pair of tunnels between the two virtual networks for any planned maintenance events, providing even better availability. Anche se la stessa topologia per la connettività cross-premise richiede due connessioni, per la topologia da rete virtuale a rete virtuale illustrata sopra sarà necessaria una sola connessione per ogni gateway.Even though the same topology for cross-premises connectivity requires two connections, the VNet-to-VNet topology shown above will need only one connection for each gateway. BGP è inoltre facoltativo, a meno che non sia necessario il routing di transito sulla connessione da rete virtuale a rete virtuale.Additionally, BGP is optional unless transit routing over the VNet-to-VNet connection is required.

Passaggi successiviNext steps

Per informazioni sulla procedura per configurare connessioni cross-premise e da rete virtuale a rete virtuale di tipo attivo/attivo, vedere Configurazione di gateway VPN di tipo attivo/attivo per connessioni cross-premise e da rete virtuale a rete virtuale .See Configuring Active-Active VPN Gateways for Cross-Premises and VNet-to-VNet Connections for steps to configure active-active cross-premises and VNet-to-VNet connections.