使用门户配置主动-主动 VPN 网关

本文将帮助你使用资源管理器部署模型和 Azure 门户创建高度可用的主动-主动 VPN 网关。 你也可使用 PowerShell 配置主动-主动网关。

若要实现跨界连接和 VNet 到 VNet 连接的高可用性,应该部署多个 VPN 网关,在网络与 Azure 之间建立多个并行连接。 有关连接选项和拓扑的概述,请参阅高可用性跨界连接与 VNet 到 VNet 连接

重要

主动-主动模式适用于除基本或标准 SKU 之外的所有 SKU。 有关网关 SKU、性能和支持的功能的最新信息,请参阅关于网关 SKU 一文。

本文中的步骤可帮助你在主动-主动模式下配置 VPN 网关。 主动-主动和主动-待机模式之间有些许不同。 其他属性与非主动-主动网关相同。

  • 主动-主动网关有两个网关 IP 配置和两个公共 IP 地址。
  • 主动-主动网关已启用主动-主动设置。
  • 虚拟网络网关 SKU 不能为基本或标准 SKU。

如果已有 VPN 网关,可将现有的 VPN 网关从主动-待机模式更新为主动-主动模式,或反之。

创建虚拟网络

如果还没有要使用的虚拟网络 (VNet),请使用以下值创建 VNet:

  • 资源组:TestRG1
  • 名称: VNet1
  • 区域: 中国东部 2
  • IPv4 地址空间: 10.1.0.0/16
  • 子网名称: FrontEnd
  • 子网地址空间: 10.1.0.0/24
  1. 登录 Azure 门户

  2. 在门户页顶部的“搜索资源、服务和文档(G+/)”中,输入“虚拟网络”。 从“市场”搜索结果中选择“虚拟网络”以打开“虚拟网络”页面

  3. 在“虚拟网络”页面上,选择“创建”以打开“创建虚拟网络”页面

  4. 在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置虚拟网络设置。 验证输入的值时,将看到一个绿色对勾。 你可以根据自己需要的设置调整示例中显示的值。

    该屏幕截图显示了“基本信息”选项卡。

    • 订阅:确认列出的订阅是正确的。 你可以使用下拉框来更改订阅。
    • 资源组:选择一个现有资源组,或选择“新建”以创建一个新资源组。 有关资源组的详细信息,请参阅 Azure 资源管理器概述
    • 名称:输入虚拟网络的名称。
    • 区域:选择你的虚拟网络的位置。 该位置决定了部署到此虚拟网络的资源将位于哪里。
  5. 选择“下一步”或“安全性”,转到“安全性”选项卡。对于此练习,请保留此页上所有服务的默认值。

  6. 选择“IP 地址”以转到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置

    • IPv4 地址空间:默认情况下,系统会自动创建一个地址空间。 可以选择该地址空间,将其调整为反映你自己的值。 还可以添加其他地址空间并移除自动创建的默认值。 例如,可以将起始地址指定为“10.1.0.0”,将地址空间大小指定为“/16”。 然后选择“添加”以添加该地址空间

    • + 添加子网:如果你使用默认地址空间,则系统会自动创建一个默认子网。 如果更改地址空间,请在该地址空间中添加一个新子网。 选择“+添加子网”,打开“添加子网”窗口 。 配置以下设置,然后选择页面底部的“添加”以添加这些值

      • 子网名称:例如“FrontEnd”
      • 子网地址范围:此子网的地址范围。 示例为“10.1.0.0”和“/24”
  7. 查看“IP 地址”页并移除不需要的任何地址空间或子网。

  8. 选择“审阅 + 创建”,验证虚拟网络设置。

  9. 验证设置后,选择“创建”以创建虚拟网络

创建主动-主动 VPN 网关

在此步骤中,为 VNet 创建主动-主动虚拟网络网关(VPN 网关)。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。

使用以下值创建虚拟网络网关:

  • 名称: VNet1GW
  • 区域:中国东部 2
  • 网关类型:VPN
  • VPN 类型:基于路由
  • SKU:VpnGw2
  • 代系:第 2 代
  • 虚拟网络:VNet1
  • 网关子网地址范围:10.1.255.0/27
  • 公共 IP 地址:新建
  • 公共 IP 地址名称:VNet1GWpip
  1. 在“搜索资源、服务和文档(G+/)”中,输入“virtual network gateway”。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页面

    显示“搜索”字段的屏幕截图。

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    显示“实例”字段的屏幕截图。

    • 订阅:从下拉列表中选择要使用的订阅

    • 资源组:在此页上选择虚拟网络时,会自动填充此设置

    • 名称:为网关命名。 为网关命名与为网关子网命名不同。 它是要创建的网关对象的名称。

    • 区域:选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。

    • 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。

    • SKU:从下拉列表中选择支持你想要使用的功能的网关 SKU。 请参阅网关 SKU。 在门户中,下拉列表中提供的 SKU 取决于你选择的 VPN type。 基本 SKU 只能使用 Azure CLI 或 PowerShell 进行配置。 无法在 Azure 门户中配置基本 SKU。

    • 代系:选择想要使用的代系。 建议使用第 2 代 SKU。 有关详细信息,请参阅网关 SKU

    • 虚拟网络:从下拉列表中选择要将此网关添加到的虚拟网络。 如果看不到要为其创建网关的虚拟网络,请确保在以前的设置中选择了正确的订阅和区域。

    • “网关子网地址范围”或“子网”:创建 VPN 网关时需要网关子网

      此时,此字段具有几种不同的行为,具体取决于虚拟网络地址空间,以及是否已为虚拟网络创建名为 GatewaySubnet 的子网

      如果你没有网关子网,并且此页面上也未显示用于创建网关子网的选项,请返回到你的虚拟网络并创建网关子网。 然后,返回到此页面并配置 VPN 网关。

  1. 指定“公共 IP 地址”的值。 这些设置指定与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址动态分配给此对象。 对于非区域冗余网关,公共 IP 地址只在删除或重新创建网关时会更改。 该地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

    “公共 IP 地址”字段的屏幕截图。

    • 公共 IP 地址:让“新建” 保持选中状态。
    • 公共 IP 地址名称:在文本框中,键入公共 IP 地址实例的名称。
    • 分配:会自动选择静态。
    • 启用主动-主动模式:选择“启用”。
    • 第二个公共 IP 地址:选择“新建”。
    • 公共 IP 地址名称:第二个公共 IP 地址的名称。
    • 让“配置 BGP”保留“禁用”状态,除非你的配置特别需要此设置 。 如果确实需要此设置,则默认 ASN 为 65515,但可以使用其他 ASN。
  2. 选择“查看 + 创建” ,运行验证。

  3. 验证通过后,选择“创建” 以部署 VPN 网关。

可以在网关的“概述”页上查看部署状态。 创建网关后,可以通过在门户中查看虚拟网络,来查看已分配给网关的 IP 地址。 网关显示为连接的设备。

重要

使用网关子网时,避免将网络安全组 (NSG) 与网关子网关联。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

更新现有 VPN 网关

此部分可帮助你将现有 Azure VPN 网关从主动-待机模式更改为主动-主动模式,或反之。 将主动-待机网关更改为主动-主动模式时,将另创建一个公共 IP 地址,然后会另添加一个网关 IP 配置。

从主动-待机更改为主动-主动

使用以下步骤将主动-待机模式网关转换为主动-主动模式。 如果网关是使用资源管理器部署模型创建的,则还可以升级该页面上的 SKU。

  1. 导航到虚拟网络网关页面。

  2. 在左侧菜单中,选择“配置”。

  3. 在“配置”页面上,配置下列设置:

    • 将主动-主动模式更改为“启用”。
    • 单击“添加新地址” 以添加另一个公共 IP。 如果已经有一个之前创建的 IP 地址可以专用于该资源,则可以从第二个公共 IP 地址下拉列表中选择该地址。

    屏幕截图显示了已启用主动-主动模式的“配置”页。

  4. 在“选择公共 IP 地址”页面中,指定一个符合条件的现有公共 IP 地址,或者选择“+ 新建”来创建新的公共 IP 地址,以用于第二个 VPN 网关实例 。 指定第二个公共 IP 地址后,单击“确定”

  5. 在“配置”页面顶部,单击“保存” 。 大约需要 30-45 分钟才能完成更新。

重要

如果正在运行 BGP 会话,请注意,Azure VPN 网关 BGP 配置将更改,并且将在网关子网地址范围内预配两个新分配的 BGP IP。 旧的 Azure VPN 网关 BGP IP 地址将不再存在。 这将导致停机,需要更新本地设备上的 BGP 对等方。 网关预配完成后,可以获取新的 BGP IP,并且需要相应地更新本地设备配置。 这适用于非 APIPA BGP IP。 若要了解如何在 Azure 中配置 BGP,请参阅如何在 Azure VPN 网关上配置 BGP

从主动-主动更改为主动-待机

使用以下步骤将主动-主动模式网关转换为主动-待机模式。

  1. 导航到虚拟网络网关页面。

  2. 在左侧菜单中,选择“配置”。

  3. 在“配置”页面,将主动-主动模式更改为“禁用” 。

  4. 在“配置”页面顶部,单击“保存” 。

重要

如果正在运行 BGP 会话,请注意,Azure VPN 网关 BGP 配置将从两个 BGP IP 地址更改为单个 BGP 地址。 平台通常会分配网关子网的最后一个可用 IP。 这将导致停机,需要更新本地设备上的 BGP 对等方。 这适用于非 APIPA BGP IP。 若要了解如何在 Azure 中配置 BGP,请参阅如何在 Azure VPN 网关上配置 BGP

后续步骤

若要配置连接,请参阅以下文章: