Koneksi IPsec-VPN mendukung mode dual-tunnel - VPN Gateway

Arsitektur sebelumnya hanya memiliki satu terowongan terenkripsi untuk koneksi IPsec-VPN, sehingga koneksi terputus jika terowongan gagal. Untuk meningkatkan ketersediaan, kini koneksi IPsec-VPN mendukung mode dual-tunnel melalui VPN Gateway. Dalam mode ini, koneksi memiliki terowongan aktif dan cadangan di zona berbeda. Jika terowongan aktif gagal, terowongan cadangan mengambil alih, menerapkan pemulihan bencana lintas zona.

Batasan

Wilayah dan zona berikut mendukung koneksi IPsec-VPN dual-tunnel:

Tampilkan wilayah dan zona yang didukung

Wilayah	Zona
Cina (Hangzhou)	K, J, I, H, G
Cina (Shanghai)	L, M, N, A, B, E, F, G
Cina (Nanjing - Wilayah Lokal)	A
Cina (Shenzhen)	A (Tidak lagi tersedia untuk pembelian), C, E, D, F
Cina (Heyuan)	A, B
Cina (Guangzhou)	A, B
Cina (Qingdao)	B, C
Cina (Beijing)	F, E, H, G, A, C, J, I, L, K
Cina (Zhangjiakou)	A, B, C
Cina (Hohhot)	A, B
Cina (Ulanqab)	A, B, C
Cina (Chengdu)	A, B
Cina (Hong Kong)	B, C, D
Singapura	A, B, C
Thailand (Bangkok)	A
Jepang (Tokyo)	A, B, C
Korea Selatan (Seoul)	A
Filipina (Manila)	A
Indonesia (Jakarta)	A, B, C
Malaysia (Kuala Lumpur)	A, B
Inggris (London)	A, B
Jerman (Frankfurt)	A, B, C
AS (Silicon Valley)	A, B
AS (Virginia)	A, B
Meksiko	A
SAU (Riyadh - Wilayah Mitra)	A, B
UEA (Dubai)	A

Catatan

Anda dapat memanggil operasi DescribeVpnGatewayAvailableZones untuk menanyakan zona yang mendukung koneksi IPsec-VPN dual-tunnel di wilayah tertentu. Jika zona yang tercantum dalam tabel berbeda dari informasi yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones, zona yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones yang berlaku.

Secara default, setelah membeli gateway VPN, Anda hanya dapat membuat koneksi IPsec-VPN dual-tunnel.
Namun, koneksi IPsec-VPN pada gateway VPN yang ada di wilayah yang didukung hanya mendukung mode single-tunnel. Kami merekomendasikan agar Anda meningkatkan gateway VPN ke mode dual-tunnel sesegera mungkin. Setelah ditingkatkan, Anda tidak dapat lagi membuat koneksi IPsec-VPN single-tunnel pada gateway VPN. Untuk informasi lebih lanjut, lihat Tingkatkan Gateway VPN untuk Mengaktifkan Mode Dual-Tunnel.

Jaringan dalam mode dual-tunnel

Koneksi IPsec-VPN single-tunnel dapat terganggu jika terowongan gagal. Dalam mode dual-tunnel, koneksi memiliki terowongan aktif dan cadangan di zona berbeda. Jika terowongan aktif gagal, terowongan cadangan mengambil alih.

Saat membuat gateway VPN dual-tunnel, tentukan dua vSwitch di zona berbeda dari virtual private cloud (VPC) tempat gateway VPN berada. vSwitches digunakan untuk membuat koneksi IPsec-VPN dual-tunnel, menerapkan pemulihan bencana lintas zona.
Catatan
Jika hanya satu zona di wilayah yang mendukung mode dual-tunnel, pemulihan bencana lintas zona tidak tersedia. Namun, Anda dapat menentukan dua vSwitch di zona tersebut untuk mencapai ketersediaan tinggi. Anda dapat menggunakan vSwitch yang sama.
Setelah membuat gateway VPN, sistem mengalokasikan dua alamat IP untuk membuat dua terowongan.
Jika Anda mengaktifkan SSL-VPN untuk gateway VPN publik, sistem mengalokasikan alamat IP tambahan untuk menetapkan koneksi SSL-VPN antara klien dan gateway VPN. Koneksi SSL-VPN dan IPsec-VPN menggunakan alamat IP yang berbeda.
Saat membuat koneksi IPsec-VPN dual-tunnel di Konsol VPN Gateway, konfigurasikan dua terowongan secara terpisah dan kaitkan masing-masing dengan gateway pelanggan. Anda dapat mengaitkan kedua terowongan dengan gateway pelanggan yang sama.
Setelah mengonfigurasi terowongan, tambahkan konfigurasi VPN ke perangkat gateway lokal untuk menetapkan koneksi IPsec-VPN dual-tunnel.
Penting
Saat membuat koneksi IPsec-VPN dual-tunnel, pastikan kedua terowongan dikonfigurasi dan tersedia. Jika hanya satu terowongan yang dikonfigurasi atau digunakan, redundansi berdasarkan terowongan aktif/cadangan dan pemulihan bencana lintas zona tidak didukung.

Transfer data dalam mode dual-tunnel

Dari Gateway VPN ke Pusat Data (ditampilkan dalam warna hijau pada gambar):
- Jika hanya satu terowongan yang dikonfigurasi saat membuat koneksi IPsec-VPN, data ditransfer melalui terowongan tersebut. Jika terowongan gagal, transfer data terputus.
- Jika dua terowongan dikonfigurasi, data ditransfer melalui terowongan aktif secara default. Jika terowongan aktif gagal, terowongan cadangan mengambil alih. Jika terowongan aktif pulih, terowongan aktif kembali mengambil alih.
Dari Pusat Data ke Gateway VPN (ditampilkan dalam warna hitam pada gambar):
Jalur lalu lintas dari pusat data ke gateway VPN bergantung pada konfigurasi rute perangkat gateway lokal.
Sebagai contoh, dalam skenario di mana pusat data terhubung ke VPC melalui koneksi IPsec-VPN, Anda dapat menambahkan konfigurasi rute ke perangkat gateway lokal sehingga data dapat ditransfer antara pusat data dan VPC melalui terowongan aktif. Anda juga dapat menentukan terowongan aktif untuk mentransfer data dari VPC ke pusat data dan terowongan cadangan untuk mentransfer data dari pusat data ke VPC.

Panduan tentang konfigurasi rute untuk mode dual-tunnel

Berikut adalah rekomendasi untuk mengonfigurasi rute koneksi IPsec-VPN dual-tunnel:

Gunakan protokol perutean yang sama (statis atau dinamis BGP) untuk kedua terowongan koneksi IPsec-VPN.
Jika koneksi IPsec-VPN menggunakan Border Gateway Protocol (BGP) perutean dinamis, Local ASN dari kedua terowongan harus sama. Peer ASNs dari kedua terowongan bisa berbeda, tetapi kami merekomendasikan penggunaan peer ASN yang sama.
Dalam skenario di mana beberapa koneksi IPsec-VPN dibuat pada gateway VPN:
- Jika Anda mengonfigurasi rute statis untuk koneksi IPsec-VPN, blok CIDR tujuan dari rute berbasis kebijakan atau berbasis tujuan untuk koneksi berbeda tidak boleh tumpang tindih. Jika tidak, rute mungkin tidak berlaku.
- Jika Anda mengonfigurasi perutean dinamis BGP untuk koneksi IPsec-VPN, blok CIDR tujuan dari rute yang diiklankan ke gateway VPN melalui koneksi IPsec-VPN tidak boleh tumpang tindih. Jika tidak, rute mungkin tidak berlaku.

Perbandingan antara mode single-tunnel dan mode dual-tunnel

Catatan

Setelah koneksi IPsec-VPN single-tunnel ditingkatkan ke mode dual-tunnel, metode penagihan tidak berubah dan tidak ada biaya tambahan yang dikenakan.

Item	Mode single-tunnel	Mode dual-tunnel
Jumlah terowongan setiap koneksi IPsec-VPN	1	2
Jumlah vSwitches yang diperlukan	Anda hanya perlu menentukan satu vSwitch saat membuat gateway VPN.	Anda perlu menentukan dua vSwitch di zona berbeda saat membuat gateway VPN.
Ketersediaan tinggi	Anda perlu membuat beberapa koneksi IPsec-VPN pada gateway VPN atau membuat beberapa gateway VPN untuk mengimplementasikan ketersediaan tinggi.	Dua terowongan dari satu koneksi IPsec-VPN dapat mengimplementasikan ketersediaan tinggi.
Bobot rute	Didukung	Tidak didukung
Pemeriksaan kesehatan	Didukung	Tidak didukung
Jumlah alamat IP yang ditetapkan ke gateway VPN	Setelah gateway VPN dibuat, hanya satu alamat IP yang ditetapkan. Alamat IP digunakan untuk membuat koneksi IPsec-VPN atau SSL-VPN.	Jika gateway VPN yang mendukung IPsec-VPN dan SSL-VPN dibuat, gateway VPN ditetapkan tiga alamat IP berbeda. Koneksi IPsec-VPN menggunakan dua alamat IP untuk membuat dua terowongan. Koneksi SSL-VPN menggunakan satu alamat IP untuk terhubung ke klien. Ketiga alamat IP tersebut unik.

Referensi

Aktifkan Komunikasi Antara Dua VPC Menggunakan Koneksi IPsec-VPN dalam Mode Dual-Tunnel