问:具有故障转移功能的 Azure S2S VNet VPN
Q: Azure S2S VNet VPN with failover
我正在尝试设置从 Azure 中的 VLAN 到本地的 VPN 连接。我们有两个不同的内部 ISP,我想设置 Azure 并使用连接到两者的 VPN,这样如果主要 ISP 出现故障,Azure 将尝试使用辅助 ISP 进行连接。
问题是我无法将两个网关添加到一个 VLAN,并且一个网关不允许我添加两个具有相同 IP 地址范围的 VPN 连接。我可以理解,如果我希望两个都处于活动状态,但我希望一个备用并且仅在第一个断开连接时才使用。
这可能吗?任何指针都会很棒?
我一直在看 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-highlyavailable#a-name--activeactiveonpremamultiple-on-premises-vpn-devices 但那只涵盖主动-主动设置,这不是我想要的。
我希望 VNET 资源和本地资源通过相同的 IP 地址相互访问,无论连接的是主 VPN 还是辅助 VPN。
我知道 Azure 已通过备用网关在其一侧进行故障转移,但我希望在本地而非 Azure 出现故障时进行故障转移。
更新
I know that Azure has fail over on it's side via a standby gateway,
but I want fail over when on-premise is down, not Azure.
很遗憾,本地故障转移没有自动解决方案,您可以手动执行,这与如果本地网关 IP 更改需要更新相同的条目相同。您需要更新 Azure 端的本地网络网关(包括 On-premises 网关 IP 和私有范围)以及 On-premise 端连接 VPN 的 ISP 设置。请期待一些停机时间,因为 ISAKMP、PH1 和 PH2 的 IPSEC 会话将再次发生。
此外,如果您有多个 ISP,并且需要 冗余连接 到 Azure。 Azure 现在支持 redundant Site to Site VPNs。
支持 VNet 和本地站点之间的多个隧道,并基于 BGP
进行自动故障转移
You can establish multiple connections between your Azure VNet and
your on-premises VPN devices in the same location. This capability
provides multiple tunnels (paths) between the two networks in an
active-active configuration. If one of the tunnels is disconnected,
the corresponding routes will be withdrawn via BGP and the traffic
automatically shifts to the remaining tunnels.
下图显示了此高可用性设置的一个简单示例:
注意
- Azure VpnGw1、VpnGw2、VpnGw3、标准和高性能 VPN 网关支持 BGP。不支持基本 SKU。
- BGP 仅在基于路由的 VPN 网关上受支持。
我正在尝试设置从 Azure 中的 VLAN 到本地的 VPN 连接。我们有两个不同的内部 ISP,我想设置 Azure 并使用连接到两者的 VPN,这样如果主要 ISP 出现故障,Azure 将尝试使用辅助 ISP 进行连接。
问题是我无法将两个网关添加到一个 VLAN,并且一个网关不允许我添加两个具有相同 IP 地址范围的 VPN 连接。我可以理解,如果我希望两个都处于活动状态,但我希望一个备用并且仅在第一个断开连接时才使用。
这可能吗?任何指针都会很棒?
我一直在看 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-highlyavailable#a-name--activeactiveonpremamultiple-on-premises-vpn-devices 但那只涵盖主动-主动设置,这不是我想要的。
我希望 VNET 资源和本地资源通过相同的 IP 地址相互访问,无论连接的是主 VPN 还是辅助 VPN。
我知道 Azure 已通过备用网关在其一侧进行故障转移,但我希望在本地而非 Azure 出现故障时进行故障转移。
更新
I know that Azure has fail over on it's side via a standby gateway, but I want fail over when on-premise is down, not Azure.
很遗憾,本地故障转移没有自动解决方案,您可以手动执行,这与如果本地网关 IP 更改需要更新相同的条目相同。您需要更新 Azure 端的本地网络网关(包括 On-premises 网关 IP 和私有范围)以及 On-premise 端连接 VPN 的 ISP 设置。请期待一些停机时间,因为 ISAKMP、PH1 和 PH2 的 IPSEC 会话将再次发生。
此外,如果您有多个 ISP,并且需要 冗余连接 到 Azure。 Azure 现在支持 redundant Site to Site VPNs。
支持 VNet 和本地站点之间的多个隧道,并基于 BGP
进行自动故障转移You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.
下图显示了此高可用性设置的一个简单示例:
注意
- Azure VpnGw1、VpnGw2、VpnGw3、标准和高性能 VPN 网关支持 BGP。不支持基本 SKU。
- BGP 仅在基于路由的 VPN 网关上受支持。