Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены практические рекомендации по повышению устойчивости удаленных сетей. Чтобы обеспечить оптимальное развертывание и производительность удаленного сетевого подключения Global Secure Access, выполните следующие рекомендации.
Настройка избыточных туннелей и отработки отказа
Настройте несколько туннелей безопасности интернет-протокола (IPsec) из локального оборудования клиента (CPE) в разные пограничные подключения глобального безопасного доступа или pops.
Избыточность зон
Параметр избыточности зоны создает два туннеля IPsec в разных зонах доступности, но в одном регионе Azure.
Географическая избыточность
Кроме того, можно добиться избыточности, создав новую удаленную сеть в другом географическом регионе. Вы можете использовать ту же конфигурацию CPE для настройки туннелей IPsec в вторичной удаленной сети.
Используйте консоль управления CPE, чтобы назначить весовые значения этим туннелям IPsec и решить, как маршрутизировать трафик через них.
| Весирование туннеля | Маршрутизация трафика |
|---|---|
| Разбиение по равенства | active-active |
| Основной или вторичный | активный режим ожидания |
Динамическое обучение маршрутов
Используйте протокол BGP для динамического обучения маршрутов. Если BGP не поддерживается на устройстве, настройте статические маршруты с соответствующими метриками.
Настройка CPE в соответствии с требуемым состоянием безопасности
Настройте CPE на основе того, определяет ли ваш бизнес приоритет безопасности или производительности.
Приоритет безопасности
Если вы определяете безопасность, запретите трафику пользователей переходить в место назначения без первого прохождения глобального безопасного доступа. Для этого статически маршрутизирует трафик по туннелю IPsec с глобальным безопасным доступом без настройки маршрута по умолчанию.
Приоритет производительности
При приоритете производительности настройте маршрут по умолчанию для трафика. Таким образом, если VPN-шлюз глобального безопасного доступа или серверная служба опускается, трафик пользователя продолжается непосредственно через маршрут по умолчанию.
Это важно
Рекомендация. Настройка маршрута по умолчанию и настройка пробы работоспособности уровня 7 IP-адресов для мониторинга конечной точки.
Чтобы настроить маршрут по умолчанию:
- Настройте пробу работоспособности уровня SLA IP-адресов 7, чтобы отслеживать конечную точку
http://m365.remote-network.edgediagnostic.globalsecureaccess.microsoft.com:6544/ping. Инструкции см. в руководстве по созданию удаленной сети с помощью глобального безопасного доступа. - Кроме того, задайте пробу для отслеживания IP-адреса
198.18.1.101. Статически отправляют эти IP-адреса через туннель IPsec глобального безопасного доступа из CPE. Мы добавляем этот IP-адрес в рекламу маршрута BGP Microsoft 365.
Замечание
Эти конечные точки доступны только через удаленное сетевое подключение глобального безопасного доступа.
Настройка мониторинга и наблюдаемости
Отслеживайте журналы трафика и события работоспособности удаленной сети, экспортируя их в рабочую область Log Analytics. Настройте правила генерации оповещений Azure Monitor для отслеживания работоспособности рабочей области. Дополнительные сведения см. в разделе "Что такое журналы работоспособности удаленной сети?".