Tweet
Giải Thích Về Virtual Network Gateway và Availability Zones trong Azure
Trong Microsoft Azure, khi triển khai Site-to-Site VPN, một trong những yếu tố quan trọng là tính sẵn sàng cao (high availability) và khả năng chịu lỗi (resiliency). Đối với các khu vực (region) hỗ trợ Availability Zones (AZs), chúng ta có thêm các lựa chọn để triển khai Virtual Network Gateway (VNG) theo các kịch bản khác nhau:
1. Zone-Redundant Gateway
2. Zonal Gateway
Local Network Gateway (LNG)
Giống như AWS có Customer Gateway, trong Azure bạn cần tạo Local Network Gateway (LNG).
LNG đóng vai trò đại diện cho site on-premises, chứa thông tin như:
Kiến Trúc Site-to-Site VPN trong Azure
Để có một kiến trúc VPN hoàn chỉnh, bạn cần tạo và liên kết các resource sau:
Tóm Gọn Cho Anh Em MCSA–Azure–AWS
Trong Microsoft Azure, khi triển khai Site-to-Site VPN, một trong những yếu tố quan trọng là tính sẵn sàng cao (high availability) và khả năng chịu lỗi (resiliency). Đối với các khu vực (region) hỗ trợ Availability Zones (AZs), chúng ta có thêm các lựa chọn để triển khai Virtual Network Gateway (VNG) theo các kịch bản khác nhau:
1. Zone-Redundant Gateway
- Khi chọn tùy chọn này, Azure sẽ tự động triển khai các instance của VNG vào các Availability Zone khác nhau.
- Ưu điểm: tăng tính sẵn sàng vì nếu một zone gặp sự cố, các zone còn lại vẫn duy trì được VPN.
- Phù hợp: khi yêu cầu kết nối VPN luôn bật (always-on) cho các workload quan trọng trên cloud.
2. Zonal Gateway
- Bạn có thể chỉ định rõ VNG sẽ được triển khai trong một Availability Zone cụ thể.
- Ưu điểm: kiểm soát chính xác vị trí triển khai, phù hợp khi cần tối ưu độ trễ (latency) hoặc khi có kiến trúc HA đã định sẵn.
- Phù hợp: khi bạn muốn đồng vị trí (colocation) VNG với các workload quan trọng trong cùng một zone.
Local Network Gateway (LNG)
Giống như AWS có Customer Gateway, trong Azure bạn cần tạo Local Network Gateway (LNG).
LNG đóng vai trò đại diện cho site on-premises, chứa thông tin như:
- Public IP hoặc FQDN của thiết bị edge tại on-premises.
- Thông số BGP Peering nếu có.
- Các prefix mạng nội bộ (on-premises network prefixes).
Kiến Trúc Site-to-Site VPN trong Azure
Để có một kiến trúc VPN hoàn chỉnh, bạn cần tạo và liên kết các resource sau:
- VNet: nơi đặt các tài nguyên cloud.
- GatewaySubnet: subnet đặc biệt dành riêng cho Virtual Network Gateway.
- Virtual Network Gateway (VNG): endpoint phía Azure cho kết nối VPN.
- Local Network Gateway (LNG): đại diện cho site on-premises.
- Connection: tài nguyên kết nối, định nghĩa thông số tunnel (IPsec/IKE).
Lưu ý: Nếu VNet không có GatewaySubnet, bạn sẽ không thể triển khai VNG hay tạo tunnel VPN.
Tóm Gọn Cho Anh Em MCSA–Azure–AWS
- Nếu cần HA tự động: chọn Zone-Redundant Gateway.
- Nếu cần kiểm soát zone: chọn Zonal Gateway.
- Phải luôn có GatewaySubnet trong VNet.
- Phải cấu hình Local Network Gateway để ánh xạ với thiết bị on-premises.
Attached Files