Topologie a návrh služby VPN Gateway
Pro připojení ke službě VPN Gateway je k dispozici mnoho různých možností konfigurace. Abyste mohli vybrat topologii připojení, která splňuje vaše požadavky, použijte diagramy a popisy v následujících částech. Diagramy znázorňují hlavní základní topologie, ale pomocí diagramů je možné vytvářet složitější konfigurace podle pokynů.
Site-to-site VPN
Připojení brány VPN typu site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Připojení typu Site-to-Site lze použít pro konfigurace mezi různými místy a pro hybridní konfigurace. Připojení typu site-to-site vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu.
Z brány virtuální sítě můžete vytvořit více než jedno připojení VPN, obvykle se připojujete k několika místním lokalitám. Při práci s více připojeními musíte použít typ sítě VPN Typu RouteBased. Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma. Tento typ návrhu připojení se někdy označuje jako více lokalit.
Pokud chcete vytvořit návrh pro připojení brány s vysokou dostupností, můžete bránu nakonfigurovat tak, aby byla v režimu aktivní-aktivní. Tento režim umožňuje nakonfigurovat dva aktivní tunely (jeden z každé instance virtuálního počítače brány) do stejného zařízení VPN a vytvořit připojení s vysokou dostupností. Kromě návrhu připojení s vysokou dostupností je další výhodou režimu aktivní-aktivní, že zákazníci mají vyšší propustnost.
- Informace o výběru zařízení VPN najdete v tématu Nejčastější dotazy k branám VPN – Zařízení VPN.
- Informace o připojeních s vysokou dostupností najdete v tématu Návrh připojení s vysokou dostupností.
- Informace o režimu aktivní-aktivní naleznete v tématu O branách v režimu aktivní-aktivní.
Modely nasazení a metody pro S2S
| Model nasazení | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Správce zdrojů | Kurz | Kurz | Kurz |
Point-to-site VPN
Připojení brány VPN typu point-to-site (P2S) umožňuje vytvořit zabezpečené připojení z jednotlivých klientských počítačů k virtuální síti. Připojení typu point-to-site se naváže spuštěním z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Připojení VPN typu point-to-site je také užitečné řešení, které je vhodné použít místo sítě VPN typu site-to-site, pokud máte jenom několik klientů, kteří se potřebují připojit k virtuální síti.
Na rozdíl od připojení typu site-to-site připojení typu point-to-site nevyžadují místní veřejnou IP adresu ani zařízení VPN. Připojení typu point-to-site je možné použít s připojeními typu site-to-site prostřednictvím stejné brány VPN, pokud jsou kompatibilní všechny požadavky na konfiguraci obou připojení. Další informace o připojeních typu point-to-site naleznete v tématu Informace o síti VPN typu point-to-site.
Modely a metody nasazení pro P2S
| Metoda ověřování | Článek |
|---|---|
| Certifikát | Kurz Příručkový |
| Microsoft Entra ID | Příručkový |
| Protokol RADIUS | Příručkový |
Konfigurace klienta VPN typu P2S
| Ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Připojení typu VNet-to-VNet (tunel VPN IPsec/IKE)
Připojení virtuální sítě k jiné virtuální síti (VNet-to-VNet) se podobá připojení virtuální sítě k místnímu umístění lokality. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec/IKE. Dokonce je možné kombinovat komunikaci typu VNet-to-VNet s konfiguracemi připojení více lokalit. Díky tomu je možné vytvářet topologie sítí, ve kterých se používá propojování více míst i propojování virtuálních sítí.
Virtuální sítě, které připojíte, můžou být:
- v jedné nebo několika oblastech,
- v jednom nebo několika předplatných,
- v jednom nebo několika modelech nasazení.
Modely nasazení a metody pro VNet-to-VNet
| Model nasazení | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Správce zdrojů | Kurz+ | Kurz | Kurz |
(+) Označuje, že tato metoda nasazení je k dispozici pouze pro virtuální sítě ve stejném předplatném.
V některých případech můžete k propojení virtuálních sítí použít partnerský vztah virtuálních sítí místo virtuální sítě typu VNet-to-VNet. Peering virtuálních sítí nepoužívá bránu virtuální sítě. Další informace najdete v tématu Partnerské vztahy virtuálních sítí.
Současně existující připojení typu Site-to-Site a ExpressRoute
ExpressRoute je přímé privátní připojení z vaší sítě WAN (ne přes veřejný internet) ke službám Microsoftu, včetně Azure. Provoz VPN typu Site-to-Site se přes veřejný internet šifruje. Schopnost konfigurovat připojení VPN typu site-to-site a ExpressRoute pro stejnou virtuální síť má několik výhod.
Vpn typu site-to-site můžete nakonfigurovat jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute nebo použít sítě VPN typu site-to-site pro připojení k lokalitám, které nejsou součástí vaší sítě, ale jsou připojené přes ExpressRoute. Všimněte si, že tato konfigurace vyžaduje dvě brány virtuální sítě pro stejnou virtuální síť, jednu s typem brány Vpn a druhou s typem brány ExpressRoute.
Modely nasazení a metody pro spoluexistující připojení S2S a ExpressRoute
| Model nasazení | Azure Portal | PowerShell |
|---|---|---|
| Správce zdrojů | Kurz | Kurz |
Vysoce dostupná připojení
Informace o plánování a navrhování vysoce dostupných připojení, včetně konfigurací režimu aktivní-aktivní, najdete v tématu Návrh připojení brány s vysokou dostupností pro připojení mezi místními sítěmi a připojeními typu VNet-to-VNet.
Další kroky
Další informace najdete v tématu věnovaném nejčastějším dotazům k VPN Gateway.
Přečtěte si další informace o nastavení konfigurace služby VPN Gateway.
Důležité informace o protokolu BGP služby VPN Gateway najdete v tématu Informace o protokolu BGP.
Přečtěte si téma Předplatné a omezení služeb.
Informace o některých dalších klíčových možnostech sítě v Azure.