Tweet
Trong triển khai mặc định, Azure Virtual Network Gateway hoạt động ở chế độ Active-Standby. Điều này có nghĩa là khi xảy ra failover, khách hàng có thể vẫn cảm nhận một khoảng gián đoạn kết nối. Với những tổ chức có yêu cầu kết nối IPsec luôn sẵn sàng (always-on), giải pháp là sử dụng Active-Active Virtual Network Gateway.
Ở chế độ Active-Active:
Để có thể chia tải (load sharing) giữa nhiều tunnel từ cùng một site, bạn cần:
Một điểm quan trọng cần lưu ý:
Góc nhìn thực tế cho anh em hệ thống & cloud
Ở chế độ Active-Active:
- Mỗi kết nối sẽ có 2 tunnel IPsec, và mỗi tunnel này kết thúc tại một VM khác nhau của Virtual Network Gateway với địa chỉ Public IP riêng biệt.
- Nếu doanh nghiệp có hai thiết bị edge on-premises, bạn có thể thiết lập 4 tunnel (2 cho mỗi thiết bị) để bảo vệ cả trường hợp site-local failure (một thiết bị hoặc một đường truyền bị sự cố).
Để có thể chia tải (load sharing) giữa nhiều tunnel từ cùng một site, bạn cần:
- Bật dynamic routing.
- Thiết lập BGP peering giữa thiết bị on-premises và Virtual Network Gateway trong Azure.
Một điểm quan trọng cần lưu ý:
- Trong mỗi VNet, chỉ có thể tạo duy nhất 1 Virtual Network Gateway phục vụ kết nối site-to-site VPN.
- Nếu bạn có nhiều site cần kết nối, tất cả sẽ dùng chung VNG này và chia sẻ băng thông.
- Azure không tự động scale Virtual Network Gateway khi số lượng kết nối hoặc lưu lượng tăng. Do đó, bạn phải chọn đúng SKU/size khi tạo gateway, và chủ động resize khi nhu cầu thay đổi.
Góc nhìn thực tế cho anh em hệ thống & cloud
- Nếu hạ tầng của bạn chỉ cần kết nối cơ bản, Active-Standby có thể đủ.
- Nhưng nếu bạn đang chạy workload quan trọng (VD: ERP, Database replication, DR site) thì Active-Active VPN gần như là bắt buộc để giảm downtime.
- BGP không chỉ giúp tự động định tuyến khi một tunnel down, mà còn cho phép chia tải đồng thời qua nhiều tunnel – tận dụng tối đa băng thông.
- Trước khi triển khai, hãy tính toán kỹ nhu cầu băng thông và chọn đúng SKU (ví dụ: VpnGw1, VpnGw2, VpnGw3…), tránh trường hợp phải resize quá sớm.
Attached Files