Konfigurieren von VPN-Gatewayeinstellungen für Azure Stack Hub
Ein VPN-Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr zwischen Ihrem virtuellen Netzwerk in Azure Stack Hub und einem Remote-VPN-Gateway gesendet wird. Das Remote-VPN-Gateway kann sich in Azure befinden, es kann sich dabei aber auch um ein Gerät in Ihrem Datencenter oder um ein Gerät an einem anderen Standort handeln. Falls die beiden Endpunkte über Netzwerkkonnektivität verfügen, können Sie zwischen den beiden Netzwerken eine sichere S2S-VPN-Verbindung (Site-to-Site) herstellen.
Ein VPN-Gateway basiert auf der Konfiguration mehrerer Ressourcen, die jeweils konfigurierbare Einstellungen enthalten. In diesem Artikel werden die Ressourcen und Einstellungen beschrieben, die sich auf ein im Resource Manager-Bereitstellungsmodell erstelltes VPN-Gateway für ein virtuelles Netzwerk beziehen. Beschreibungen und Topologiediagramme für die einzelnen Verbindungslösungen finden Sie im Artikel mit Erstellen von VPN-Gateways für Azure Stack Hub.
Einstellungen von VPN-Gateways
Gatewaytypen
Jedes virtuelle Azure Stack Hub-Netzwerk unterstützt ein einzelnes Gateway für virtuelle Netzwerke, das vom Typ VPN sein muss. Diese Unterstützung unterscheidet sich von Azure, das zusätzliche Typen unterstützt.
Achten Sie beim Erstellen eines Gateways für virtuelle Netzwerke darauf, dass der Gatewaytyp für Ihre Konfiguration richtig ist. Ein VPN-Gateway erfordert das -GatewayType Vpn-Flag. Beispiel:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Gateway-SKUs ohne VPN Fast Path Enabled
Wenn Sie ein virtuelles Netzwerkgateway erstellen, müssen Sie die SKU angeben, die Sie verwenden möchten. Wählen Sie die SKUs aus, die Ihre Anforderungen basierend auf den Arten von Workloads, Durchsatz, Features und SLAs erfüllen.
Sie können über 10 Hochleistungsgateways oder 20 standard und standard verfügen, bevor Sie die maximale Kapazität erreichen.
Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:
| SKU | Max. VPN-Verbindungsdurchsatz | Max. Anzahl von Verbindungen pro aktiver GW-VM | Max. Anzahl von VPN-Verbindungen pro Stempel |
|---|---|---|---|
| Grundlegend | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Hochleistung | 200 Mbps Tx/Rx | 5 | 10 |
Gateway-SKUs mit aktivierter VPN-Schnellpfad
Mit der Veröffentlichung der öffentlichen VPN Fast Path-Vorschau unterstützt Azure Stack Hub drei neue SKUs mit höherem Durchsatz.
Neue Grenzwerte und Durchsatz werden aktiviert, sobald VPN Fast Path auf Ihrem Azure Stack-Stempel aktiviert ist.
Die folgende Tabelle zeigt die VPN-Gateway-SKUs, die für Azure Stack Hub angeboten werden:
| SKU | Max. VPN-Verbindungsdurchsatz | Max. Anzahl von Verbindungen pro aktiver GW-VM | Max. Anzahl von VPN-Verbindungen pro Stempel |
|---|---|---|---|
| Grundlegend | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Hochleistung | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 MBit/s Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 MBit/s Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Ändern der Größe von SKUs für virtuelle Netzwerkgateways
Azure Stack Hub unterstützt keine Größenänderung von einer unterstützten Legacy-SKU (Basic, Standard und HighPerformance) auf eine neuere SKU, die von Azure (VpnGw1, VpnGw2 und VpnGw3) unterstützt wird.
Neue Gateways und Verbindungen für virtuelle Netzwerke müssen erstellt werden, um die neuen SKUs zu verwenden, die von VPN Fast Path aktiviert sind.
Konfigurieren der SKU des virtuellen Netzwerkgateways
Azure Stack Hub-Portal
Wenn Sie das Azure Stack Hub-Portal verwenden, um ein virtuelles Netzwerkgateway zu erstellen, kann die SKU mithilfe der Dropdownliste ausgewählt werden. Die neuen VPN Fast Path SKUs (VpnGw1, VpnGw2, VpnGw3) werden nur angezeigt, nachdem der Abfrageparameter "?azurestacknewvpnskus=true" zur URL hinzugefügt und aktualisiert wurde.
Im folgenden URL-Beispiel werden die neuen SKUs des virtuellen Netzwerkgateways im Azure Stack Hub-Benutzerportal angezeigt:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Bevor Sie diese Ressourcen erstellen, muss der Operator VPN Fast Path auf dem Azure Stack Hub-Stempel aktiviert haben. Weitere Informationen finden Sie unter VPN Fast Path für Operatoren.
PowerShell
Im folgenden PowerShell-Beispiel wird der Parameter -GatewaySku als Standard angegeben:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Verbindungstypen
Im Resource Manager-Bereitstellungsmodell ist für jede Konfiguration ein bestimmter Typ der Verbindung mit dem Gateway eines virtuellen Netzwerks erforderlich. Der verfügbare Resource Manager-PowerShell-Wert für -ConnectionType ist IPsec.
Im folgenden PowerShell-Beispiel wird eine Site-to-Site-Verbindung (S2S) erstellt, die den Verbindungstyp „IPsec“ erfordert:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-Typen
Wenn Sie das Gateway des virtuellen Netzwerks für eine VPN-Gatewaykonfiguration erstellen, müssen Sie einen VPN-Typ angeben. Der ausgewählte VPN-Typ hängt von der Verbindungstopologie ab, die Sie erstellen möchten. Der VPN-Typ kann zudem von der verwendeten Hardware abhängen. S2S-Konfigurationen erfordern ein VPN-Gerät. Einige VPN-Geräte unterstützen nur einen bestimmten VPN-Typ.
Wichtig
Aktuell unterstützt Azure Stack Hub nur den routenbasierten VPN-Typ. Wenn Ihr Gerät nur richtlinienbasierte VPNs unterstützt, werden Verbindungen mit diesen Geräten über Azure Stack Hub nicht unterstützt.
Darüber hinaus unterstützt Azure Stack Hub derzeit nicht die Verwendung richtlinienbasierter Datenverkehrsselektoren für routenbasierte Gateways, da Azure Stack Hub richtlinienbasierte Datenverkehrsselektoren nicht unterstützt, obwohl sie in Azure unterstützt werden.
PolicyBased: Richtlinienbasierte VPNs verschlüsseln und direkte Pakete über IPsec-Tunnel basierend auf den IPsec-Richtlinien, die mit den Kombinationen von Adresspräfixen zwischen Ihrem lokalen Netzwerk und dem Azure Stack Hub VNet konfiguriert sind. Die Richtlinie (auch Datenverkehrsselektor genannt) ist in der Regel eine Zugriffsliste in der VPN-Gerätekonfiguration.
Hinweis
PolicyBased wird in Azure, aber nicht in Azure Stack Hub unterstützt.
RouteBased: Routenbasierte VPNs verwenden Routen, die in der IP-Weiterleitungs- oder Routingtabelle konfiguriert sind, um Pakete an ihre entsprechenden Tunnelschnittstellen zu leiten. An den Tunnelschnittstellen werden die Pakete dann ver- bzw. entschlüsselt. Die Richtlinie (bzw. der Datenverkehrsselektor) für routenbasierte VPNs wird im Any-to-Any-Format (bzw. unter Verwendung von Platzhaltern) konfiguriert. Sie können standardmäßig nicht geändert werden. Der Wert für einen RouteBased-VPN-Typ lautet RouteBased.
Das folgende PowerShell-Beispiel gibt -VpnType als RouteBasedan. Achten Sie beim Erstellen eines Gateways darauf, dass -VpnType für Ihre Konfiguration richtig ist.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Virtuelle Netzwerkgateways unterstützte Konfigurationen, wenn VPN Fast Path nicht aktiviert ist
| SKU | VPN-Typ | Verbindungstyp | Unterstützung für aktives Routing (BGP) | NAT-T-Remoteendpunkt aktiviert |
|---|---|---|---|---|
| Einfache VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Nicht unterstützt | Nicht erforderlich |
| Standard-VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Nicht erforderlich |
| Hochleistungs-VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Nicht erforderlich |
Virtuelle Netzwerkgateways unterstützte Konfigurationen, wenn VPN Fast Path aktiviert ist
| SKU | VPN-Typ | Verbindungstyp | Aktive Routingunterstützung (BGP) | NAT-T-Remoteendpunkt aktiviert |
|---|---|---|---|---|
| Einfache VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Nicht unterstützt | Erforderlich |
| Standard-VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Erforderlich |
| Hochleistungs-VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Erforderlich |
| VPNGw1 VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Erforderlich |
| VPNGw2 VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Erforderlich |
| VPNGw2 VNG-SKU | Routingbasiertes VPN | Vor gemeinsam genutzter IPSec-Schlüssel | Unterstützt, bis zu 150 Routen | Erforderlich |
Gatewaysubnetz
Bevor Sie ein VPN-Gateway erstellen, müssen Sie ein Gatewaysubnetz erstellen. Das Gatewaysubnetz verfügt über die IP-Adressen, die von den virtuellen Computern und Diensten des Gateways für virtuelle Netzwerke verwendet werden. Wenn Sie Ihr virtuelles Netzwerkgateway und die Verbindung erstellen, wird die Gateway-VM, die die Verbindung besitzt, mit dem Gateway-Subnetz verknüpft und mit den erforderlichen VPN-Gatewayeinstellungen konfiguriert. Stellen Sie für das Gatewaysubnetz nichts anderes bereit (beispielsweise zusätzliche virtuelle Computer).
Wichtig
Das Gatewaysubnetz muss den Namen GatewaySubnet aufweisen, damit es einwandfrei funktioniert. Anhand dieses Namens ermittelt Azure Stack Hub das Subnetz, für das die VMs und Dienste des Gateways für virtuelle Netzwerke bereitgestellt werden sollen.
Bei der Gatewayerstellung geben Sie die Anzahl der im Subnetz enthaltenen IP-Adressen an. Die IP-Adressen im Gatewaysubnetz werden den Gatewaydiensten und -VMs zugeordnet. Einige Konfigurationen erfordern mehr IP-Adressen als andere. Sehen Sie sich die Anweisungen für die Konfiguration an, die Sie erstellen möchten, und vergewissern Sie sich, dass das Gatewaysubnetz, das sie erstellen möchten, diese Anforderungen erfüllt.
Stellen Sie außerdem sicher, dass Ihr Gatewaysubnetz über genügend IP-Adressen für zukünftige Konfigurationen verfügt. Obwohl Sie ein Gatewaysubnetz so klein wie /29 erstellen können, empfehlen wir Ihnen, ein Gatewaysubnetz von /28 oder größer (/28, /27, /26 usw.) zu erstellen. Auf diese Weise müssen Sie, wenn Sie zukünftig Funktionen hinzufügen, Ihr Gateway nicht herunterreißen, dann das Gateway-Subnetz löschen und neu erstellen, um weitere IP-Adressen zu ermöglichen.
Im folgenden Resource Manager-PowerShell-Beispiel wird ein Gatewaysubnetz mit dem Namen GatewaySubnet gezeigt. Sie erkennen, das mit der CIDR-Notation die Größe /27 angegeben wird. Dies ist für eine ausreichende Zahl von IP-Adressen für die meisten Konfigurationen, die derzeit üblich sind, groß genug.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Wichtig
Vermeiden Sie bei der Verwendung von Gatewaysubnetzen die Zuordnung einer Netzwerksicherheitsgruppe (NSG) zum Gatewaysubnetz. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz kann dazu führen, dass das VPN-Gateway nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.
Lokale Netzwerkgateways
Wenn Sie eine VPN-Gatewaykonfiguration in Azure erstellen, stellt das Gateway des lokalen Netzwerks meist Ihren lokalen Standort dar. In Azure Stack stellt es ein beliebiges Remote-VPN-Gerät dar, das sich außerhalb von Azure Stack Hub befindet. Bei diesem Gerät kann es sich um ein VPN-Gerät in Ihrem Datencenter (oder in einem Remotedatencenter) oder um ein VPN Gateway in Azure handeln.
Sie geben dem lokalen Netzwerkgateway einen Namen, die öffentliche IP-Adresse des Remote-VPN-Geräts und geben die Adresspräfixe an, die sich am lokalen Standort befinden. Azure Stack Hub untersucht die Zieladressenpräfixe für den Netzwerkdatenverkehr, konsultiert die Konfiguration, die Sie für Ihr lokales Netzwerkgateway angegeben haben, und leitet Pakete entsprechend weiter.
In diesem PowerShell-Beispiel wird ein neues Gateway des lokalen Netzwerks erstellt:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Manchmal müssen Sie die Einstellungen des lokalen Netzwerkgateways ändern, z.B. wenn Sie den Adressbereich hinzufügen oder ändern oder wenn sich die IP-Adresse des VPN-Geräts ändert. Weitere Informationen hierzu finden Sie im Artikel Ändern der Einstellungen des lokalen Netzwerkgateways mit PowerShell.
IPsec-/IKE-Parameter
Wenn Sie eine VPN-Verbindung in Azure Stack Hub einrichten, müssen Sie die Verbindung an beiden Endpunkten konfigurieren. Wenn Sie eine VPN-Verbindung zwischen Azure Stack Hub und einem Hardwaregerät (z. B. einem als VPN-Gateway fungierenden Switch oder Router) konfigurieren, sind für dieses Gerät unter Umständen weitere Einstellungen erforderlich.
Im Gegensatz zu Azure, das mehrere Angebote als Initiator und Antwortdienst unterstützt, bietet Azure Stack Hub standardmäßig nur Unterstützung für ein Angebot. Wenn Sie verschiedene IPSec/IKE-Einstellungen mit Ihrem VPN-Gerät verwenden müssen, stehen Ihnen weitere Einstellungen zur Verfügung, um Ihre Verbindung manuell zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren einer IPsec/IKE-Richtlinie für Site-to-Site-VPN-Verbindungen.
Wichtig
Bei Verwendung des S2S-Tunnels werden Pakete mit zusätzlichen Headern weiter verschlüsselt, wodurch sich das Paket insgesamt vergrößert. In diesen Szenarien müssen Sie TCP MSS mit 1350 verknüpfen. Wenn Ihre VPN-Geräte MSS-Clamping nicht unterstützen, können Sie stattdessen auch den MTU-Wert der Tunnelschnittstelle auf 1400 Bytes festlegen. Weitere Informationen finden Sie unter Optimieren der TCP-/IP-Leistung von virtuellen Netzwerken.
Parameter der IKE-Phase 1 (Hauptmodus)
| Eigenschaft | Wert |
|---|---|
| IKE-Version | IKEv2 |
| Diffie-Hellman-Gruppe* | ECP384 |
| Authentifizierungsmethode | Vorab ausgetauschter Schlüssel |
| Verschlüsselung und Hashalgorithmen* | AES256, SHA384 |
| SA-Gültigkeitsdauer (Zeit) | 28.800 Sekunden |
Parameter der IKE-Phase 2 (Schnellmodus)
| Eigenschaft | Wert |
|---|---|
| IKE-Version | IKEv2 |
| Verschlüsselung und Hashalgorithmen (Verschlüsselung) | GCMAES256 |
| Verschlüsselung und Hashalgorithmen (Authentifizierung) | GCMAES256 |
| SA-Gültigkeitsdauer (Zeit) | 27.000 Sekunden |
| SA-Gültigkeitsdauer (KB) | 33.553.408 |
| Perfect Forward Secrecy (PFS)* | ECP384 |
| Dead Peer Detection | Unterstützt |
* Neuer oder geänderter Parameter