Prozkoumání služby Azure VPN Gateway

  • 10 min

Pokud chcete integrovat své místní prostředí do Azure, musíte mít možnost vytvořit šifrované připojení. Můžete se připojit přes internet nebo přes vyhrazený odkaz. My se podíváme na službu Azure VPN Gateway, která poskytuje koncový bod pro příchozí připojení z místních prostředí.

Nastavili jste virtuální síť Azure a potřebujete zajistit šifrování všech přenosů dat z Azure k vám nebo mezi virtuálními sítěmi Azure. Také potřebujete vědět, jak propojit virtuální sítě mezi oblastmi a předplatnými.

Co je VPN Gateway?

Brána virtuální sítě Azure poskytuje koncový bod pro příchozí připojení z místních umístění do Azure po internetu. Brána VPN Gateway je konkrétní typ brány virtuální sítě, který může být koncovým bodem pro šifrovaná připojení. K posílání zašifrovaných dat mezi virtuálními sítěmi Azure také může používat vyhrazenou síť Microsoftu, která propojuje datacentra Azure v různých oblastech. Tato konfigurace umožňuje bezpečně propojit virtuální počítače a služby v různých oblastech.

Každá virtuální síť může mít pouze jednu bránu VPN. Všechna připojení k této bráně VPN sdílí dostupnou šířku pásma sítě.

V každé bráně virtuální sítě existují dva nebo více virtuálních počítačů. Tyto virtuální počítače byly nasazeny do zvláštní podsítě, kterou zadáte a která se označuje jako podsíť brány. Obsahují směrovací tabulky pro připojení k jiným sítím a také určité služby brány. Tyto virtuální počítače a podsíť brány se podobají posílenému síťovému zařízení. Tyto virtuální počítače nemusíte konfigurovat přímo a neměli byste do podsítě brány nasazovat žádné další prostředky.

Vytvoření brány virtuální sítě může nějakou dobu trvat, takže je důležité ho správně naplánovat. Když vytvoříte bránu virtuální sítě, proces zřizování vygeneruje virtuální počítače brány a nasadí je do podsítě brány. Tyto virtuální počítače budou mít nastavení, která nakonfigurujete v bráně.

Nastavení klíče představuje typ brány. Typ brány určuje způsob fungování brány. V případě brány VPN jde o typ VPN. K možnostem bran VPN patří:

  • Připojení typu Network-to-Network přes tunelování VPN IPsec/IKE propojující brány VPN s dalšími bránami VPN.

  • Tunelování VPN IPsec/IKE mezi různými místy pro připojení místních sítí k Azure prostřednictvím vyhrazených zařízení VPN a vytvoření připojení typu Site-to-Site.

  • Připojení typu Point-to-Site přes protokol IKEv2 nebo SSTP pro připojení klientských počítačů k prostředkům v Azure.

Teď se podíváme na faktory, které musíte vzít v úvahu při plánování brány VPN.

Plánování brány VPN

Při plánování brány VPN můžete uvažovat o třech architekturách:

  • Připojení typu Point-to-Site přes internet
  • Připojení typu Site-to-Site přes internet
  • Připojení typu Site-to-Site přes vyhrazenou síť, jako je Azure ExpressRoute

S čím je potřeba počítat při plánování

Při plánování je potřeba vzít v úvahu následující skutečnosti:

  • Propustnost – MB/s nebo GB/s
  • Páteřní síť – Internet nebo privátní?
  • Dostupnost veřejné (statické) IP adresy
  • Kompatibilita zařízení VPN
  • Více klientských připojení nebo propojení typu Site-to-Site?
  • Typ brány sítě VPN
  • Skladová položka služby Azure VPN Gateway

Následující tabulka shrnuje některé z těchto problémů s plánováním. Zbývající problémy jsou popsány později.

Point-to-Site Site-to-Site ExpressRoute
podpora Azure služby Cloudové služby a virtuální počítače Cloudové služby a virtuální počítače Všechny podporované služby
Typická šířka pásma Závisí na skladové položce VPN Gateway. Závisí na skladové položce VPN Gateway. Viz možnosti šířky pásma ExpressRoute.
Podporované protokoly SSTP a IPSec IPsec Přímé připojení, sítě VLAN
Směrování RouteBased (dynamické) PolicyBased (statické) a RouteBased BGP
Odolnost připojení Aktivní-pasivní Aktivní-pasivní nebo aktivní-aktivní Aktivní-aktivní
Případ použití Testování a vytváření prototypů Vývoj, testování a výroba v malém měřítku Nepostradatelné pro organizaci/cíle

Skladové položky brány

Je důležité vybrat správnou skladovou položku. Pokud jste bránu VPN nastavili s chybou, budete ji muset snížit a znovu sestavit, což může být časově náročné. Nejnovější informace o jednotkách SKU představujících brány, včetně propustnosti, najdete v části Co je VPN Gateway? – Skladové položky brány.

Workflow

Při návrhu strategie připojení ke cloudu s využitím virtuálních privátních sítí v Azure byste měli použít následující pracovní postup:

  1. Navrhněte topologii připojení, která uvádí adresní prostor pro všechny připojující se sítě.

  2. Vytvořte virtuální síť Azure.

  3. Vytvořte pro virtuální síť bránu sítě VPN.

  4. Podle potřeby vytvořte a nakonfigurujte připojení k místním sítím nebo jiným virtuálním sítím.

  5. V případě potřeby vytvořte a nakonfigurujte připojení typu point-to-site pro bránu Azure VPN.

Aspekty návrhu

Při návrhu bran VPN pro propojení virtuálních sítí je potřeba zvážit následující faktory:

  • Podsítě se nemůžou překrývat

    Je důležité, aby podsíť v jednom umístění neobsahuje stejný adresní prostor jako v jiném umístění.

  • IP adresy musí být jedinečné.

    Nemůžete mít dva hostitele se stejnou IP adresou v různých umístěních, protože nebude možné směrovat provoz mezi těmito dvěma hostiteli a síťové připojení selže.

  • Brány VPN potřebují svou podsíť s názvem GatewaySubnet.

    Aby brána fungovala, musí mít tento název a neměl by obsahovat žádné další prostředky.

Vytvoření virtuální sítě Azure

Před vytvořením brány VPN je potřeba vytvořit virtuální síť Azure.

Vytvoření brány VPN

Typ brány sítě VPN, kterou vytvoříte, bude záviset na vaší architektuře. Dostupné možnosti:

  • RouteBased

    Zařízení VPN založená na směrování využívají selektory provozu typu Any-to-Any (zástupný znak) a umožňují směrovacím a předávacím tabulkám směrovat provoz do různých tunelů IPsec. Připojení založená na směrování jsou obvykle založena na platformách směrovačů, kde se každý tunel IPsec modeluje jako síťové rozhraní nebo virtuální tunelové rozhraní (VTI).

  • PolicyBased

    Zařízení VPN založená na zásadách používají k definování způsobu šifrování a dešifrování provozu procházejícího tunely IPsec kombinace předpon z obou sítí. Připojení založené na zásadách obvykle využívá zařízení brány firewall, která provádějí filtrování paketů. Šifrování a dešifrování tunelů IPsec se přidává do modulu filtrování a zpracování paketů.

Nastavení brány VPN

Kroky, které je potřeba provést, budou záviset na typu brány VPN, kterou instalujete. Pokud například chcete vytvořit bránu VPN typu point-to-site pomocí webu Azure Portal, proveďte následující kroky:

  1. Vytvořte virtuální síť.

  2. Přidejte podsíť brány.

  3. Zadejte server DNS (volitelné).

  4. Vytvořte bránu virtuální sítě.

  5. Vygenerujte certifikáty.

  6. Přidejte fond adres klienta.

  7. Nakonfigurujte typ tunelu.

  8. Nakonfigurujte typ ověřování.

  9. Nahrajte data veřejného certifikátu kořenového certifikátu.

  10. Nainstalujte exportovaný klientský certifikát.

  11. Vygenerujte a nainstalujte konfigurační balíček klienta VPN.

  12. Připojení do Azure.

Vzhledem k tomu, že u bran Azure VPN gateway existuje několik cest konfigurace, z nichž každá má více možností, není možné v tomto kurzu pokrýt všechna nastavení. Další informace najdete v části Další zdroje.

Konfigurace brány

Po vytvoření brány ji budete muset nakonfigurovat. Budete muset zadat několik nastavení konfigurace, jako je název, umístění, server DNS atd. Tato nastavení prozkoumáme podrobněji ve cvičení.

Brány VPN Azure jsou součástí virtuálních sítí Azure a umožňují zajistit připojení typu Point-to-Site, Site-to-Site nebo Network-to-Network. Brány VPN Azure umožňují připojit jednotlivé klientské počítače k prostředkům v Azure, rozšířit místní sítě do Azure nebo propojit virtuální sítě v různých oblastech a předplatných.