Jak služba Azure VPN Gateway funguje
V každé virtuální síti Azure můžete nasadit jenom jednu bránu VPN. I když jste omezeni na jednu bránu VPN, můžete tuto bránu nakonfigurovat tak, aby se připojila k více umístěním, včetně jiných virtuálních sítí Azure nebo místních datacenter.
Poznámka:
Brána virtuální sítě se skládá ze dvou nebo více speciálních virtuálních počítačů nasazených do konkrétní podsítě označované jako podsíť brány. Virtuální počítače brány virtuální sítě hostují směrovací tabulky a spouští konkrétní služby brány. Tyto virtuální počítače, které tvoří bránu, se vytvoří při vytváření brány virtuální sítě a automaticky se spravují v Azure a nevyžadují pozornost správce.
Typy bran VPN
Při konfiguraci brány virtuální sítě vyberete nastavení, které určuje typ brány. Typ brány určuje, jak se bude brána virtuální sítě používat, a akce, které brána provede. Typ Vpn brány určuje, že typ vytvořené brány virtuální sítě je .VPN gateway Tím se liší od brány ExpressRoute, která používá jiný typ brány. Virtuální síť Azure může mít dvě brány virtuální sítě: jednu bránu VPN a jednu bránu ExpressRoute.
Existují dva typy bran Azure VPN:
- Brána VPN založená na zásadách
- Brána VPN založená na směrování
Brány VPN založené na zásadách
Brány VPN založené na zásadách vyžadují, abyste zadali pevnou sadu IP adres paketů, které by se měly šifrovat prostřednictvím každého tunelu. Tento typ zařízení vyhodnocuje všechny datové pakety s těmito pevnými sadami IP adres a pak zvolí tunel, přes který bude tento provoz odesílat.
Mezi klíčové funkce bran VPN založených na zásadách v Azure patří:
- Podpora pouze pro IKEv1
- Použití statického směrování
Zdroj a cíl tunelových sítí se deklarují v zásadách SÍTĚ VPN a není nutné je deklarovat ve směrovacích tabulkách. Sítě VPN založené na zásadách používejte jenom v konkrétních scénářích, které je vyžadují, například kvůli kompatibilitě se staršími místními zařízeními VPN.
Brány VPN založené na směrování
U bran Azure VPN založených na směrování funguje tunel IPsec jako síťové rozhraní nebo virtuální tunelové rozhraní (VTI). Směrování IP (statické trasy nebo protokoly dynamického směrování) určuje, která tunelová rozhraní budou přenášet jednotlivé pakety. Sítě VPN založené na směrování jsou upřednostňovanou metodou připojení pro místní zařízení, protože jsou odolnější vůči změnám topologie, jako je vytváření nových podsítí. Síť VPN založená na trasách je mnohem vhodnější pro Adatum, protože umožní provádět připojení k prostředkům Azure IaaS ve virtuálních sítích, pokud se přidají nové podsítě bez nutnosti překonfigurovat bránu Azure VPN.
Bránu sítě VPN založené na směrování použijte, pokud potřebujete některé z následujících typů připojení:
- Připojení mezi virtuálními sítěmi
- Připojení typu point-to-site
- Připojení typu multi-site
- Koexistence s bránou Azure ExpressRoute
Mezi klíčové funkce bran VPN založených na směrování v Azure patří:
- Podporují IKEv2.
- Používají selektory provozu typu any-to-any (se zástupnými znaky).
- Může používat protokoly dynamického směrování, kdy směrovací/předávací tabulky směrují provoz do různých tunelů IPsec.
Při konfiguraci pro použití dynamického směrování nejsou zdrojové a cílové sítě staticky definované, protože jsou v sítích VPN založených na zásadách nebo dokonce v sítích VPN založených na směrování se statickým směrováním. Místo toho jsou datové pakety šifrovány na základě směrovacích tabulek sítě, které se vytvářejí dynamicky pomocí směrovacích protokolů, jako je BGP (Border Gateway Protocol).
Brány Azure VPN Podporují pouze metodu ověřování předsdíleného klíče. Oba typy založené na směrování i na zásady také spoléhají na protokol IKE (Internet Key Exchange) ve verzi 1 nebo 2 a protokolu IPsec (Internet Protocol Security). IKE se používá k nastavení přidružení zabezpečení (dohody o šifrování) mezi dvěma koncovými body. Toto přidružení se pak předá sadě IPsec, která šifruje a dešifruje datové pakety zapouzdřené v tunelu VPN.
Velikosti služby Azure VPN Gateway
Při vytváření brány virtuální sítě je potřeba zadat skladovou položku brány. Měli byste vybrat skladovou položku, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a smluv SLA.
| Skladové položky brány – Generace 1 | Maximální počet tunelů VPN typu site-to-site | Agregovaná propustnost | Podpora protokolu BGP |
|---|---|---|---|
| Basic | 10 | 100 Mb/s | Nepodporováno |
| VpnGw1/Az | 30 | 650 Mb/s | Podporováno |
| VpnGw2/Az | 30 | 1 Gb/s | Podporováno |
| VpnGw3/Az | 30 | 1,25 Gb/s | Podporováno |
Tato tabulka zobrazuje skladové položky Generation1. Při práci se skladovými jednotkami Generace1 můžete podle potřeby migrovat mezi skladovými jednotkami VpnGw1, VpnGw2 a VpnGw3. Ze skladové položky Basic není možné migrovat bez odebrání a opětovného nasazení brány VPN. Brány VPN můžete vytvářet také pomocí skladových položek 2. generace. Nejnovější informace o SKU, propustnosti a podporovaných funkcích najdete na odkazech v části Souhrn tohoto modulu.
Požadavky na bránu VPN
Než budete moct nasadit provozní bránu VPN, musíte mít k dispozici následující prostředky Azure:
- Virtuální síť: Virtuální síť Azure s dostatečným adresními prostory pro další podsíť, kterou budete potřebovat pro bránu VPN. Adresní prostor pro tuto virtuální síť se nesmí překrývat s místní sítí, ke které se budete připojovat.
- GatewaySubnet: Podsíť s názvem GatewaySubnet pro bránu VPN. Vyžaduje alespoň masku adresy /27. Tuto podsíť nelze použít pro žádné jiné služby.
- Veřejná IP adresa: Dynamická veřejná IP adresa úrovně Basic-SKU, pokud používáte bránu bez zón. Tato adresa poskytuje jako cíl pro místní zařízení VPN veřejnou směrovatelnou IP adresu. Tato IP adresa je dynamická, ale nezmění se, pokud ji neodstraníte a nevytvoříte bránu VPN znovu.
- Brána místní sítě: Vytvořte bránu místní sítě, která definuje konfiguraci místní sítě: kde se brána VPN připojí a k čemu se připojí. Tato konfigurace zahrnuje veřejnou adresu IPv4 místního zařízení VPN a místní směrovatelné sítě. Tyto informace používá brána VPN ke směrování paketů určených pro místní sítě prostřednictvím tunelu IPsec.
Pokud jsou k dispozici tyto požadované komponenty, můžete vytvořit bránu virtuální sítě pro směrování provozu mezi virtuální sítí a místním datacentrem nebo jinými virtuálními sítěmi. Po nasazení brány virtuální sítě můžete vytvořit prostředek připojení, který vytvoří logické připojení mezi bránou VPN a bránou místní sítě:
- Připojení se vytvoří k adrese IPv4 místního zařízení VPN, kterou definuje brána místní sítě.
- Připojení se vytvoří z brány virtuální sítě a její přidružené veřejné IP adresy.
Pro každou bránu Azure VPN můžete nakonfigurovat více připojení až do limitu definovaného skladovou jednotkou.
Vysoká dostupnost
I když v Azure uvidíte jenom jeden prostředek brány VPN, brány VPN se nasadí jako dvě instance spravovaných virtuálních počítačů v konfiguraci aktivní/pohotovostní. Pokud plánovaná údržba nebo neplánované přerušení ovlivní aktivní instanci, pohotovostní instance automaticky převezme odpovědnost za připojení bez zásahu uživatele nebo správce. Během tohoto převzetí služeb při selhání se připojení přeruší, ale k jejich obnovení obvykle dojde při plánované údržbě během několika sekund a při neplánovaných výpadcích během 90 sekund.
Brány VPN Azure podporují směrovací protokol BGP, který umožňuje také nasazovat brány VPN v konfiguraci aktivní/aktivní. V této konfiguraci přiřadíte každé instanci jedinečnou veřejnou IP adresu. Pak vytvoříte samostatné tunely z místního zařízení ke každé IP adrese. Vysokou dostupnost můžete rozšířit nasazením jiného místního zařízení VPN.
Poznámka:
Řada organizací, které mají připojení ExpressRoute, má také nasazená připojení VPN typu site-to-site pro další vrstvu redundance.