Conectividade em Vários Locais de Elevada Disponibilidade e VNet a VNetHighly Available Cross-Premises and VNet-to-VNet Connectivity

Este artigo disponibiliza uma descrição geral das opções de configurações de elevada disponibilidade para a conectividade em vários locais e VNet a VNet através dos Gateways de VPN do Azure.This article provides an overview of Highly Available configuration options for your cross-premises and VNet-to-VNet connectivity using Azure VPN gateways.

Acerca da redundância do Gateway de VPN do AzureAbout Azure VPN gateway redundancy

Todos os Gateways de VPN do Azure consistem em duas instâncias numa configuração ativa-em espera.Every Azure VPN gateway consists of two instances in an active-standby configuration. Caso ocorra uma manutenção planeada ou uma interrupção não planeada na instância ativa, a instância em espera assume o controlo (ativação pós-falha) automaticamente e retoma as ligações VPN S2S ou VNet a VNet.For any planned maintenance or unplanned disruption that happens to the active instance, the standby instance would take over (failover) automatically, and resume the S2S VPN or VNet-to-VNet connections. A mudança causará uma breve interrupção.The switch over will cause a brief interruption. Nas manutenções planeadas, a conectividade deve ser restabelecida ao fim de 10 a 15 segundos.For planned maintenance, the connectivity should be restored within 10 to 15 seconds. Para problemas não planeados, a recuperação da ligação será mais longa, cerca de 1 a 3 minutos no pior dos casos.For unplanned issues, the connection recovery will be longer, about 1 to 3 minutes in the worst case. Para as ligações de cliente VPN S2S ao gateway, as ligações P2S serão desligadas e os utilizadores terão de restabelecê-las a partir dos computadores cliente.For P2S VPN client connections to the gateway, the P2S connections will be disconnected and the users will need to reconnect from the client machines.

O diagrama mostra um site no local com sub-redes I P privadas e no local V P N ligado a uma porta de entrada ativa Azure V P N para ligar às sub-redes hospedadas em Azure, com um gateway de espera disponível.

Conectividade em Vários Locais de Elevada DisponibilidadeHighly Available Cross-Premises Connectivity

Para proporcionar melhor disponibilidade para as ligações em vários locais, há algumas opções disponíveis:To provide better availability for your cross premises connections, there are a couple of options available:

  • Vários dispositivos VPN no localMultiple on-premises VPN devices
  • Gateway de VPN do Azure ativo-ativoActive-active Azure VPN gateway
  • Uma combinação de ambosCombination of both

Vários dispositivos VPN no localMultiple on-premises VPN devices

Pode utilizar vários dispositivos VPN da sua rede no local para ligar ao Gateway de VPN do Azure, conforme mostrado no diagrama seguinte:You can use multiple VPN devices from your on-premises network to connect to your Azure VPN gateway, as shown in the following diagram:

Várias VPNs no Local

Esta configuração fornece vários túneis ativos do mesmo gateway de VPN do Azure para os dispositivos no local na mesma localização.This configuration provides multiple active tunnels from the same Azure VPN gateway to your on-premises devices in the same location. Existem alguns requisitos e limitações:There are some requirements and constraints:

  1. Tem de criar várias ligações VPN S2S dos dispositivos VPN para o Azure.You need to create multiple S2S VPN connections from your VPN devices to Azure. Quando liga vários dispositivos VPN da mesma rede no local ao Azure, precisa de criar um gateway de rede local para cada dispositivo VPN e uma ligação do seu gateway Azure VPN para cada porta de entrada de rede local.When you connect multiple VPN devices from the same on-premises network to Azure, you need to create one local network gateway for each VPN device, and one connection from your Azure VPN gateway to each local network gateway.
  2. Os gateways de rede local correspondentes aos dispositivos VPN têm de ter endereços IP públicos exclusivos na propriedade "GatewayIpAddress".The local network gateways corresponding to your VPN devices must have unique public IP addresses in the "GatewayIpAddress" property.
  3. O BGP é necessário para esta configuração.BGP is required for this configuration. Cada gateway de rede local que representa um dispositivo VPN tem de ter um endereço IP de elemento de rede BGP especificado na propriedade “BgpPeerIpAddress”.Each local network gateway representing a VPN device must have a unique BGP peer IP address specified in the "BgpPeerIpAddress" property.
  4. O campo da propriedade AddressPrefix de cada gateway de rede local não se pode sobrepor.The AddressPrefix property field in each local network gateway must not overlap. Deve especificar "BgpPeerIpAddress" no formato /32 CIDR no campo AddressPrefix, por exemplo, 10.200.200.254/32.You should specify the "BgpPeerIpAddress" in /32 CIDR format in the AddressPrefix field, for example, 10.200.200.254/32.
  5. Deve utilizar o BGP para anunciar os mesmos prefixos dos mesmos prefixos da rede no local ao gateway de VPN do Azure e o tráfego será encaminhado através destes túneis simultaneamente.You should use BGP to advertise the same prefixes of the same on-premises network prefixes to your Azure VPN gateway, and the traffic will be forwarded through these tunnels simultaneously.
  6. Deve utilizar o roteamento multi-caminhos de custo igual (ECMP).You must use Equal-cost multi-path routing (ECMP).
  7. Cada ligação é contabilizada face ao número máximo de túneis do seu gateway de VPN do Azure, 10 para os SKUs Básico e Standard e 30 para o SKU HighPerformance.Each connection is counted against the maximum number of tunnels for your Azure VPN gateway, 10 for Basic and Standard SKUs, and 30 for HighPerformance SKU.

Nesta configuração, o gateway de VPN do Azure continua no modo ativo-em espera, pelo que o mesmo comportamento de ativação pós-falha e a breve interrupção ainda vão ocorrer, conforme descrito anteriormente.In this configuration, the Azure VPN gateway is still in active-standby mode, so the same failover behavior and brief interruption will still happen as described above. Contudo, esta configuração protege de falhas ou interrupções na sua rede no local e nos seus dispositivos VPN.But this setup guards against failures or interruptions on your on-premises network and VPN devices.

Gateway de VPN do Azure ativo-ativoActive-active Azure VPN gateway

Agora, pode criar um gateway de VPN do Azure numa configuração ativa-ativa, em que ambas as instâncias das VMs do gateway estabelecem túneis VPN S2S para o dispositivo VPN no local, conforme mostrado no diagrama seguinte:You can now create an Azure VPN gateway in an active-active configuration, where both instances of the gateway VMs will establish S2S VPN tunnels to your on-premises VPN device, as shown the following diagram:

O diagrama mostra um site no local com sub-redes I P privadas e no local V P N ligado a duas portas ativas do Azure V P N para ligar às sub-redes hospedadas em Azure.

Nesta configuração, cada instância do gateway do Azure terá um endereço IP público exclusivo e estabelecerá um túnel VPN S2S IPsec/IKE para o dispositivo VPN no local especificado no gateway e na ligação de rede no local.In this configuration, each Azure gateway instance will have a unique public IP address, and each will establish an IPsec/IKE S2S VPN tunnel to your on-premises VPN device specified in your local network gateway and connection. Tenha em conta que ambos os túneis VPN fazem, efetivamente, parte da mesma ligação.Note that both VPN tunnels are actually part of the same connection. Continua a ter de configurar o dispositivo VPN no local para aceitar ou estabelecer dois túneis VPN S2S para aqueles dois endereços IP públicos do gateway de VPN do Azure.You will still need to configure your on-premises VPN device to accept or establish two S2S VPN tunnels to those two Azure VPN gateway public IP addresses.

Uma vez que as instâncias do gateway do Azure estão numa configuração ativa-ativa, o tráfego da rede virtual do Azure para a rede no local continua a ser encaminhado através de ambos os túneis em simultâneo, mesmo que o dispositivo VPN no local possa preferir um em detrimento do outro.Because the Azure gateway instances are in active-active configuration, the traffic from your Azure virtual network to your on-premises network will be routed through both tunnels simultaneously, even if your on-premises VPN device may favor one tunnel over the other. Tenha em atenção que o mesmo fluxo de TCP ou UDP atravessará sempre o mesmo túnel ou caminho, a não ser que ocorra um evento de manutenção numa das instâncias.Note though the same TCP or UDP flow will always traverse the same tunnel or path, unless a maintenance event happens on one of the instances.

Quando se verifica um evento de manutenção planeada ou não planeada numa instância do gateway, o túnel IPsec dessa instância para o dispositivo VPN no local será desligado.When a planned maintenance or unplanned event happens to one gateway instance, the IPsec tunnel from that instance to your on-premises VPN device will be disconnected. As rotas correspondentes nos seus dispositivos VPN devem ser removidas ou retiradas automaticamente, para que o tráfego mude para o outro túnel IPsec ativo.The corresponding routes on your VPN devices should be removed or withdrawn automatically so that the traffic will be switched over to the other active IPsec tunnel. Do lado do Azure, a mudança dá-se automaticamente da instância afetada para a ativa.On the Azure side, the switch over will happen automatically from the affected instance to the active instance.

Redundância dupla: gateways de VPN ativos-ativos para redes do Azure e redes no localDual-redundancy: active-active VPN gateways for both Azure and on-premises networks

A opção mais fiável é combinar os gateways ativos-ativos na sua rede e no Azure, conforme mostrado no diagrama abaixo.The most reliable option is to combine the active-active gateways on both your network and Azure, as shown in the diagram below.

Redundância dupla

Aqui, pode criar e configurar o gateway de VPN do Azure numa configuração ativa-ativa e criar dois gateways de rede no local e duas ligações para os seus dois dispositivos VPN no local, conforme descrito acima.Here you create and setup the Azure VPN gateway in an active-active configuration, and create two local network gateways and two connections for your two on-premises VPN devices as described above. O resultado é uma conectividade de malha completa de quatro túneis IPsec entre a rede virtual do Azure e a sua rede no local.The result is a full mesh connectivity of 4 IPsec tunnels between your Azure virtual network and your on-premises network.

Todos os gateways e túneis estão ativos no lado do Azure, pelo que o tráfego se vai propagar pelos quatro túneis em simultâneo, embora cada fluxo de TCP ou UDP volte a seguir, novamente, o mesmo túnel ou caminho do lado do Azure.All gateways and tunnels are active from the Azure side, so the traffic will be spread among all 4 tunnels simultaneously, although each TCP or UDP flow will again follow the same tunnel or path from the Azure side. Não obstante propagar o tráfego, poderá ver um débito ligeiramente superior nos túneis IPsec. O principal objetivo desta configuração é a elevada disponibilidade.Even though by spreading the traffic, you may see slightly better throughput over the IPsec tunnels, the primary goal of this configuration is for high availability. E devido à natureza estatística da propagação, é difícil disponibilizar as medidas em como as diferentes condições de tráfego da aplicação vão afetar o débito agregado.And due to the statistical nature of the spreading, it is difficult to provide the measurement on how different application traffic conditions will affect the aggregate throughput.

Esta topologia vai exigir dois gateways de rede local e duas ligações para suportar o par de dispositivos VPN no local e o BGP é necessário para permitir ambas as ligações à mesma rede no local.This topology will require two local network gateways and two connections to support the pair of on-premises VPN devices, and BGP is required to allow the two connections to the same on-premises network. Estes requisitos são os mesmos que os indicados acima.These requirements are the same as the above.

Conectividade de VNet a VNet de elevada através de Gateways de VPN do AzureHighly Available VNet-to-VNet Connectivity through Azure VPN Gateways

Também pode aplicar a mesma configuração ativa-ativa a ligações VNet a VNet do Azure.The same active-active configuration can also apply to Azure VNet-to-VNet connections. Pode criar gateways de VPN ativos-ativos para ambas as redes virtuais e ligá-los para formar a conectividade de malha completa de quatro túneis entre as duas VNets, conforme mostrado no diagrama abaixo:You can create active-active VPN gateways for both virtual networks, and connect them together to form the same full mesh connectivity of 4 tunnels between the two VNets, as shown in the diagram below:

O diagrama mostra duas regiões de Azure que acolhem sub-redes I P privadas e duas portas Azure V P N através das quais os dois sites virtuais se conectam.

Desta forma, é garantido que há sempre um par de túneis entre as duas redes virtuais para eventuais eventos de manutenção planeada, proporcionando uma disponibilidade ainda melhor.This ensures there are always a pair of tunnels between the two virtual networks for any planned maintenance events, providing even better availability. Apesar de a mesma topologia para conectividade em vários locais precisar de duas ligações, a topologia de VNet a VNet mostrada anteriormente requer apenas uma ligação para cada gateway.Even though the same topology for cross-premises connectivity requires two connections, the VNet-to-VNet topology shown above will need only one connection for each gateway. Além disso, o BGP é opcional, a não ser que o encaminhamento do trânsito através da ligação VNet a VNet seja um requisito.Additionally, BGP is optional unless transit routing over the VNet-to-VNet connection is required.

Passos seguintesNext steps

Veja Configuring Active-Active VPN Gateways for Cross-Premises and VNet-to-VNet Connections (Configurar Gateways de VPN Ativos-Ativos para Ligações em Vários Locais e VNet a VNet) para obter os passos para configurar ligações ativas-ativas em vários locais e VNet a VNet.See Configuring Active-Active VPN Gateways for Cross-Premises and VNet-to-VNet Connections for steps to configure active-active cross-premises and VNet-to-VNet connections.