关于主动-主动模式 VPN 网关

可将 Azure VPN 网关配置为主动-备用或主动-主动。 本文介绍主动-主动模式网关配置,并重点介绍使用主动-主动模式所能获得的优势。

为何创建主动-主动网关?

VPN 网关由主动-备用配置中的两个实例组成,除非指定主动-主动模式。

主动-待机模式行为

在主动-待机模式下,在发生任何会影响主动实例的计划内维护或计划外中断期间,将出现以下行为:

  • S2S 和 VNet 到 VNet:备用实例会自动接管(故障转移),并恢复站点到站点 (S2S) VPN 或 VNet 到 VNet 连接。 此切换会导致短暂中断。 对于计划内维护,可以快速还原连接。 对于计划外的问题,连接恢复时间较长。
  • P2S:对于到网关的点到站点 (P2S) VPN 客户端连接,P2S 连接会断开。 用户需要从客户端计算机重新连接。

为避免中断,请创建主动-主动模式的网关,或将主动-待机网关切换为主动-主动模式

主动-主动模式设计

在 S2S 连接的主动-主动配置中,两个网关 VM 的实例与本地 VPN 设备建立 S2S VPN 隧道,如下图所示:

关系图显示了一个本地站点,其中包含专用 IP 子网和连接到两个 VPN 网关实例的本地网关。

在此配置中,每个 Azure 网关实例都有一个唯一的公共 IP 地址,并且每个实例都将与本地 VPN 设备建立 IPsec/IKE S2S VPN 隧道。 这两条隧道都是同一连接的一部分。 配置本地 VPN 设备以接受两个 S2S VPN 隧道(每个网关实例各有一个隧道)。 与主动-主动模式的网关建立 P2S 连接不需要进行额外的配置。

在主动-主动配置中,Azure 会同时通过两条隧道将流量从虚拟网络路由到本地网络,即使本地 VPN 设备优先使用了其中一条隧道。 对于单个 TCP 或 UDP 流,Azure 在将数据包发送到本地网络时会尝试使用同一隧道。 但是,本地网络可能会使用另一条隧道将数据包发送回 Azure。

当一个网关实例发生计划内维护或计划外事件时,从该实例到本地 VPN 设备的 IPsec 隧道会断开。 VPN 设备上的对应路由应会自动删除或撤消,以便将流量切换到其他活动 IPsec 隧道。 在 Azure 端,会自动从受影响的实例切换到其他活动实例。

注意

对于具有主动-主动模式 VPN 网关的 S2S 连接,请确保为每个网关 VM 实例建立隧道。 如果仅与一个网关 VM 实例建立隧道,则连接将在维护期间关闭。 如果 VPN 设备不支持此设置,请改为配置适用于主动-备用模式的网关。

双冗余主动-主动模式设计

最可靠的设计选项是结合网络和 Azure 上的主动-主动网关,如下图所示。

此图显示了双重冗余方案。

在此配置中,你将创建并设置主动-主动模式的 Azure VPN 网关。 为两个本地 VPN 设备创建两个本地网络网关和两个连接。 结果是在 Azure 虚拟网络与本地网络之间建立了包含四个 IPsec 隧道的全面网格连接。

所有网关和隧道从 Azure 端激活,因此流量同时分散在四个隧道之间,每个 TCP 或 UDP 流量将沿着源自 Azure 端的相同隧道或路径传送。 即使通过分发流量,你仍可能通过 IPsec 隧道看到略微更高的吞吐量,此配置的主要目标是实现高可用性。 由于分散的统计特征,难以通过某种测量方式来确定不同的应用程序流量状况对聚合吞吐量造成的影响。

此拓扑需要两个本地网络网关和两个连接来支持本地 VPN 设备对。 有关详细信息,请参阅关于高度可用的连接

配置主动-主动模式网关

可以使用 Azure 门户、PowerShell 或 CLI 配置主动-主动网关。 还可以将主动-备用网关更改为主动-主动模式。 如需步骤,请参阅将网关更改为主动-主动

主动-主动网关的配置要求与主动-备用网关略有不同。

  • 无法使用基本网关 SKU 配置主动-主动网关。
  • VPN 必须基于路由。 它不能基于策略。
  • 需要两个公共 IP 地址。 这两个地址必须是标准 SKU 公共 IP 地址,且都分配为静态
  • 主动-主动网关配置的成本与主动-备用配置相同。 但是,主动-主动配置需要两个公共 IP 地址,而不是一个。 请参阅 IP 地址定价

重置主动-主动模式网关

如果需要重置主动-主动网关,可以使用门户重置这两个实例。 还可以使用 PowerShell 或 CLI 通过实例 VIP 单独重置每个网关实例。 请参阅重置连接或网关

后续步骤