Funktionsweise von Azure VPN Gateway
Sie können in jedem virtuellen Azure-Netzwerk nur ein einzelnes VPN-Gateway bereitstellen. Auch wenn Sie auf ein einzelnes VPN-Gateway beschränkt sind, können Sie dieses Gateway so konfigurieren, dass es eine Verbindung mit mehreren Standorten wie anderen virtuellen Azure-Netzwerken oder lokalen Rechenzentren herstellen kann.
Hinweis
Ein Gateway für virtuelle Netzwerke besteht aus zwei oder mehr speziellen VMs, die in einem bestimmten Subnetz bereitgestellt werden, das als Gatewaysubnetz bezeichnet wird. VMs des Gateways für virtuelle Netzwerke hosten Routingtabellen und führen bestimmte Gatewaydienste aus. Diese VMs, die das Gateway bilden, werden beim Erstellen des Gateways für virtuelle Netzwerke erstellt und automatisch von Azure verwaltet und erfordern keine Eingriffe des Administrators.
VPN-Gatewaytypen
Wenn Sie ein Gateway für virtuelle Netzwerke konfigurieren, wählen Sie eine Einstellung aus, die den Gatewaytyp angibt. Der Gatewaytyp bestimmt, wie das Gateway für virtuelle Netzwerke verwendet wird und welche Aktionen es ausführt. Der Gatewaytyp Vpn gibt an, dass der Typ des erstellten Gateways für virtuelle Netzwerke ein VPN gateway ist. Dadurch unterscheidet es sich von einem ExpressRoute-Gateway, das einen anderen Gatewaytyp verwendet. Ein virtuelles Azure-Netzwerk kann über zwei Gateways für virtuelle Netzwerke verfügen: ein VPN-Gateway und ein ExpressRoute-Gateway.
Es gibt zwei Typen von Azure VPN Gateways:
- Richtlinienbasiertes VPN Gateway
- Routenbasiertes VPN-Gateway
Richtlinienbasierte VPN Gateways
Richtlinienbasierte VPN-Gateways erfordern, dass Sie feste IP-Adressen von Paketen angeben, die über jeden Tunnel verschlüsselt werden sollen. Dieser Gerätetyp wertet jedes Datenpaket anhand dieser festen IP-Adressen aus und wählt dann den Tunnel aus, über den der Datenverkehr gesendet wird.
Zu den wichtigsten Features von richtlinienbasierten VPN-Gateways in Azure gehören die folgenden:
- Nur IKEv1 wird unterstützt.
- Verwendung des statischen Routings
Die Quelle und das Ziel der getunnelten Netzwerke sind in der VPN-Richtlinie deklariert und müssen nicht in Routingtabellen deklariert werden. Verwenden Sie richtlinienbasierte VPNs nur in bestimmten Szenarien, in denen sie z. B. für die Kompatibilität mit älteren lokalen VPN-Geräten erforderlich sind.
Routenbasierte VPN Gateways
Bei routenbasierten Azure VPN Gateways fungiert ein IPsec-Tunnel als Netzwerkschnittstelle oder virtuelle Tunnelschnittstelle (Virtual Tunnel Interface, VTI). Das IP-Routing (statische Routen oder dynamische Routingprotokolle) bestimmt, welche Tunnelschnittstellen die einzelnen Pakete übertragen. Routenbasierte VPNs sind die bevorzugte Verbindungsmethode für lokale Geräte, da sie gegenüber Topologieänderungen, wie der Erstellung neuer Subnetze, stabiler sind. Ein routenbasiertes VPN ist für Adatum viel besser geeignet, da es Verbindungen mit Azure IaaS-Ressourcen in virtuellen Netzwerken ermöglicht, wenn neue Subnetze hinzugefügt werden, ohne das Azure VPN Gateway neu konfigurieren zu müssen.
Verwenden Sie ein routenbasiertes VPN-Gateway, wenn Sie eine der folgenden Verbindungsarten benötigen:
- Verbindung zwischen virtuellen Netzwerken
- Point-to-Site-Verbindungen
- Verbindungen zwischen mehreren Standorten
- Nutzung parallel zu einem Azure ExpressRoute-Gateway
Zu den wichtigsten Features von routenbasierten VPN-Gateways in Azure gehören die folgenden:
- IKEv2 wird unterstützt.
- Es werden n:n-Datenverkehrsselektoren (Any-to-Any; Platzhalter) verwendet.
- Es können Protokolle für dynamisches Routing verwendet werden, bei denen Datenverkehr über Routing-/Weiterleitungstabellen an verschiedene IPsec-Tunnel geleitet wird.
Bei einer Konfiguration für dynamisches Routing sind die Quell- und Zielnetzwerke nicht statisch definiert, da sie sich in richtlinienbasierten VPNs oder sogar in routenbasierten VPNs mit statischem Routing befinden. Stattdessen werden Datenpakete basierend auf Netzwerkroutingtabellen verschlüsselt, die dynamisch mithilfe von Routingprotokollen wie BGP (Border Gateway Protocol) erstellt werden.
Azure VPN Gateways unterstützen nur die Verwendung der Authentifizierungsmethode mit vorinstallierten Schlüsseln. Bei den routenbasierten und richtlinienbasierten Typen werden außerdem der Internetschlüsselaustausch (Internet Key Exchange, IKE) in Version 1 oder Version 2 und die Internetprotokollsicherheit (Internet Protocol Security, IPsec) verwendet. IKE wird verwendet, um eine Sicherheitszuordnung (eine Vereinbarung der Verschlüsselung) zwischen zwei Endpunkten einzurichten. Diese Zuordnung wird dann an die IPsec-Suite übergeben, die Datenpakete, die im VPN-Tunnel gekapselt sind, verschlüsselt und entschlüsselt.
Größen von Azure VPN Gateways
Wenn Sie ein Gateway für virtuelle Netzwerke erstellen, müssen Sie eine Gateway-SKU angeben. Sie sollten eine SKU auswählen, die Ihre Anforderungen basierend auf den Arten von Workloads, Durchsatz, Features und SLAs erfüllt.
| Gateway-SKUs – Generation1 | Maximale Anzahl von Site-to-Site-VPN-Tunneln | Aggregierter Durchsatz | BGP-Unterstützung |
|---|---|---|---|
| Basic | 10 | 100 MBit/s | Nicht unterstützt |
| VpnGw1/Az | 30 | 650 MBit/s | Unterstützt |
| VpnGw2/Az | 30 | 1 GBit/s | Unterstützt |
| VpnGw3/Az | 30 | 1,25 GBit/s | Unterstützt |
In dieser Tabelle sind die Generation1-SKUs aufgeführt. Bei der Verwendung von Generation1-SKUs können Sie nach Bedarf zwischen den SKUs VpnGw1, VpnGw2 und VpnGw3 migrieren. Sie können nicht von der Basic-SKU migrieren, ohne das VPN Gateway zu entfernen und erneut bereitstellen zu müssen. Sie können VPN Gateways auch mit SKUs der Generation 2 erstellen. Aktuelle Informationen zu SKUs, Durchsatz und unterstützten Features finden Sie unter den Links im Abschnitt Zusammenfassung dieses Moduls.
VPN Gateway-Anforderungen
Die folgenden Azure-Ressourcen müssen vorhanden sein, bevor Sie ein betriebsfähiges VPN-Gateway bereitstellen können:
- Virtuelles Netzwerk: Stellen Sie ein virtuelles Azure-Netzwerk bereit, das genügend Adressraum für das zusätzliche Subnetz bietet, das Sie für das VPN-Gateway benötigen. Der Adressraum für dieses virtuelle Netzwerk darf nicht mit dem lokalen Netzwerk überlappen, für das Sie Verbindungen herstellen möchten.
- GatewaySubnet: Dies ist ein Subnetz namens GatewaySubnet für das VPN Gateway. Erfordert mindestens eine /27-Adressmaske. Dieses Subnetz kann nicht für andere Dienste verwendet werden.
- Öffentliche IP-Adresse: Erstellen Sie eine dynamische öffentliche IP-Adresse für die Basic-SKU, wenn Sie ein Gateway verwenden, das Zonen beachtet. Diese Adresse bietet eine öffentliche routingfähige IP-Adresse als Ziel für Ihr lokales VPN-Gerät. Diese IP-Adresse ist dynamisch, ändert sich aber nicht, es sei denn, Sie löschen das VPN-Gateway und erstellen es neu.
- Lokales Netzwerkgateway: Erstellen Sie ein lokales Netzwerkgateway, um die Konfiguration für das lokale Netzwerk zu definieren und zwar wo und womit das VPN-Gateway Verbindungen herstellt. Diese Konfiguration enthält die öffentliche IPv4-Adresse des lokalen VPN-Geräts und die lokalen routingfähigen Netzwerke. Diese Informationen werden im VPN-Gateway verwendet, um für lokale Netzwerke bestimmte Pakete durch den IPsec-Tunnel weiterzuleiten.
Wenn diese erforderlichen Komponenten vorhanden sind, können Sie das Gateway des virtuellen Netzwerks erstellen, um Datenverkehr zwischen dem virtuellen Netzwerk und dem lokalen Rechenzentrum oder anderen virtuellen Netzwerken weiterzuleiten. Nachdem das Gateway für virtuelle Netzwerke bereitgestellt wurde, können Sie eine Verbindungsressource erstellen, um eine logische Verbindung zwischen dem VPN Gateway und dem Gateway des lokalen Netzwerks zu erstellen:
- Die Verbindung wird zu der im lokalen Netzwerkgateway definierten IPv4-Adresse des lokalen VPN-Geräts hergestellt.
- Die Verbindung wird ausgehend vom virtuellen Netzwerkgateway und dessen zugeordneter öffentlicher IP-Adresse hergestellt.
Sie können für jedes Azure VPN Gateway mehrere Verbindungen konfigurieren, bis der von der SKU definierte Grenzwert erreicht ist.
Hochverfügbarkeit
Obwohl in Azure nur eine VPN Gateway-Ressource zu sehen ist, werden VPN Gateways als zwei Instanzen verwalteter virtueller Computer in einer Aktiv/Standby-Konfiguration bereitgestellt. Wirkt sich eine geplante Wartung oder eine ungeplante Unterbrechung auf die aktive Instanz aus, wird die Verwaltung der Verbindungen automatisch ohne Benutzer- oder Administratoreingriff an die Standbyinstanz übergeben. Verbindungen werden während dieses Failovervorgangs unterbrochen, für eine geplante Wartung aber in der Regel innerhalb weniger Sekunden und für eine ungeplante Unterbrechung innerhalb von 90 Sekunden wiederhergestellt.
Azure VPN Gateways unterstützen das BGP-Routingprotokoll, mit dem Sie auch VPN Gateways in einer Aktiv/Aktiv-Konfiguration bereitstellen können. In dieser Konfiguration weisen Sie jeder Instanz eine eindeutige öffentliche IP-Adresse zu. Anschließend erstellen Sie getrennte Tunnel vom lokalen Gerät zu jeder IP-Adresse. Sie können die Hochverfügbarkeit erweitern, indem Sie ein anderes VPN-Gerät lokal bereitstellen.
Hinweis
Viele Organisationen, die über ExpressRoute-Verbindungen verfügen, haben auch Site-to-Site-VPN-Verbindungen als zusätzliche Redundanzebene bereitgestellt.