Verbinden von lokalen Netzwerken mit Azure über Site-to-Site-VPN-Gateways
Ein virtuelles privates Netzwerk (VPN) ist eine Art privates gekoppeltes Netzwerk. Für VPNs wird ein verschlüsselter Tunnel in einem anderen Netzwerk verwendet. Sie werden in der Regel bereitgestellt, um zwei oder mehr vertrauenswürdige private Netzwerke über ein nicht vertrauenswürdiges Netzwerk (in der Regel das öffentliche Internet) miteinander zu verbinden. Der Datenverkehr wird bei der Übertragung über das nicht vertrauenswürdige Netzwerk verschlüsselt, um den Verlust von Daten oder andere Angriffe zu verhindern.
Für den Gesundheitsdienstleister in diesem Szenario können VPNs Mediziner in die Lage versetzen, vertrauliche Informationen zwischen Standorten gemeinsam zu nutzen. Beispielsweise kann für einen Patienten eine Operation in einer Spezialklinik erforderlich sein. Das OP-Team muss in der Lage sein, Details der Krankengeschichte des Patienten einzusehen. Diese medizinischen Daten sind in einem System in Azure gespeichert. Durch ein VPN, das die Klinik mit Azure verbindet, kann das OP-Team sicher auf diese Informationen zugreifen.
Azure-VPN-Gateways
Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway. VPN-Gateways werden in virtuellen Azure-Netzwerken bereitgestellt und ermöglichen folgende Verbindungen:
- Verbinden von lokalen Rechenzentren mit virtuellen Azure-Netzwerken über eine Standort-zu-Standort-Verbindung (Site-to-Site-Verbindung)
- Verbinden von einzelnen Geräten mit virtuellen Azure-Netzwerken über eine Point-to-Site-Verbindung
- Verbinden von virtuellen Azure-Netzwerken mit anderen virtuellen Azure-Netzwerken über eine Netzwerk-zu-Netzwerk-Verbindung
Alle übertragenen Daten werden in einem privaten Tunnel verschlüsselt, während sie das Internet durchlaufen. Sie können nur ein VPN-Gateway in jedem virtuellen Netzwerk bereitstellen, aber Sie können ein Gateway verwenden, um Verbindungen mit mehreren Standorten herzustellen, einschließlich anderer virtueller Azure-Netzwerke oder lokaler Rechenzentren.
Wenn Sie ein VPN-Gateway bereitstellen, geben Sie den VPN-Typ an: richtlinienbasiert oder routenbasiert. Der Hauptunterschied zwischen diesen beiden Arten von VPNs besteht darin, wie der verschlüsselte Datenverkehr angegeben wird.
Richtlinienbasierte VPNs
Richtlinienbasierte VPN-Gateways geben statisch die IP-Adresse von Paketen an, die über jeden Tunnel verschlüsselt werden sollen. Dieser Gerätetyp wertet jedes Datenpaket mit den IP-Adressen aus, um den Tunnel auszuwählen, über den das Paket gesendet wird. Richtlinienbasierte VPN-Gateways sind hinsichtlich der unterstützten Funktionen und Verbindungen eingeschränkt. Zu den wichtigsten Features von richtlinienbasierten VPN-Gateways in Azure gehören die folgenden:
- Es wird nur IKEv1 unterstützt.
- Es wird statisches Routing verwendet, bei dem über Kombinationen aus Adresspräfixen aus beiden Netzwerken gesteuert wird, wie Datenverkehr durch den VPN-Tunnel verschlüsselt und entschlüsselt wird. Die Quelle und das Ziel der getunnelten Netzwerke sind in der Richtlinie deklariert und müssen nicht in Routingtabellen deklariert werden.
- Richtlinienbasierte VPNs müssen in bestimmten Szenarien verwendet werden, die sie z. B. für die Kompatibilität mit älteren lokalen VPN-Geräten erfordern.
Routenbasierte VPNs
Wenn das Definieren der IP-Adressen hinter den einzelnen Tunneln in Ihrem Szenario zu umständlich ist oder wenn Sie Features und Verbindungen benötigen, die von richtlinienbasierte Gateways nicht unterstützt werden, sollten routenbasierte Gateways verwendet werden. Bei Verwendung von routenbasierten Gateways werden IPsec-Tunnel als Netzwerkschnittstelle oder VTI (virtuelle Tunnelschnittstelle) modelliert. Das IP-Routing (statische Routen oder dynamische Routingprotokolle) entscheidet, über welche Tunnelschnittstelle die einzelnen Pakete gesendet werden sollen. Routenbasierte VPNs sind die bevorzugte Verbindungsmethode für lokale Geräte, da sie gegenüber Topologieänderungen wie der Erstellung neuer Subnetze resilienter sind. Verwenden Sie ein routenbasiertes VPN-Gateway, wenn Sie eine der folgenden Verbindungsarten benötigen:
- Verbindung zwischen virtuellen Netzwerken
- Point-to-Site-Verbindungen
- Verbindungen zwischen mehreren Standorten
- Nutzung parallel zu einem Azure ExpressRoute-Gateway
Zu den wichtigsten Features von routenbasierten VPN-Gateways in Azure gehören die folgenden:
- IKEv2 wird unterstützt.
- Es werden n:n-Datenverkehrsselektoren (Any-to-Any; Platzhalter) verwendet.
- Es können Protokolle für dynamisches Routing verwendet werden, bei denen Datenverkehr über Routing-/Weiterleitungstabellen an verschiedene IPsec-Tunnel geleitet wird. In diesem Fall sind die Quell-und Zielnetzwerke nicht statisch definiert, da sie sich in richtlinienbasierten VPNs oder sogar in routenbasierten VPNs mit statischem Routing befinden. Stattdessen werden Datenpakete basierend auf Netzwerkroutingtabellen verschlüsselt, die dynamisch mithilfe von Routingprotokollen wie BGP (Border Gateway Protocol) erstellt werden.
Beide Arten von VPN-Gateways in Azure (routenbasiert und richtlinienbasiert) verwenden den vorinstallierten Schlüssel als einzige Authentifizierungsmethode. In beiden Arten werden auch der Internetschlüsselaustausch (Internet Key Exchange, IKE) in Version 1 oder Version 2 und die Internetprotokollsicherheit (Internet Protocol Security, IPSec) verwendet. IKE wird verwendet, um eine Sicherheitszuordnung (eine Vereinbarung der Verschlüsselung) zwischen zwei Endpunkten einzurichten. Diese Zuordnung wird dann an die IPSec-Suite übergeben, die Datenpakete, die im VPN-Tunnel gekapselt sind, verschlüsselt und entschlüsselt.
VPN-Gatewaygrößen
Die Funktionalität Ihres VPN-Gateways wird durch die von Ihnen bereitgestellte SKU oder Größe bestimmt. Diese Tabelle zeigt ein Beispiel für einige Gateway-SKUs. Die Zahlen in dieser Tabelle können jederzeit geändert werden. Die neuesten Informationen finden Sie in der Azure-VPN Gateway-Dokumentation unter Gateway-SKUs. Die Basic-Gateway-SKU sollte nur für Dev/Test-Workloads verwendet werden. Darüber hinaus wird die Migration von Basic zu VpnGw#/Az-SKUs zu einem späteren Zeitpunkt, ohne dass das Gateway entfernt und wieder bereitgestellt werden muss, nicht unterstützt.
| VPN Gateway Generation |
SKU | S2S/VNet-zu-VNet Tunnel |
P2S SSTP-Verbindungen |
P2S IKEv2/OpenVPN-Verbindungen |
Aggregat aggregierten Durchsatz |
BGP | Zonenredundant | Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk |
|---|---|---|---|---|---|---|---|---|
| Generation 1 | Grundlegend | Maximal 10 | Maximal 128 | Nicht unterstützt | 100 MBit/s | Nicht unterstützt | Nein | 200 |
| Generation 1 | VpnGw1 | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Nein | 450 |
| Generation 1 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Nein | 1300 |
| Generation 1 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Nein | 4000 |
| Generation 1 | VpnGw1AZ | Maximal 30 | Maximal 128 | Maximal 250 | 650 MBit/s | Unterstützt | Ja | 1.000 |
| Generation 1 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 1 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 1,25 GBit/s | Unterstützt | Ja | 5000 |
| Generation 2 | VpnGw2 | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Nein | 685 |
| Generation 2 | VpnGw3 | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Nein | 2240 |
| Generation 2 | VpnGw4 | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Nein | 5300 |
| Generation 2 | VpnGw5 | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Nein | 6700 |
| Generation 2 | VpnGw2AZ | Maximal 30 | Maximal 128 | Maximal 500 | 1,25 GBit/s | Unterstützt | Ja | 2.000 |
| Generation 2 | VpnGw3AZ | Maximal 30 | Maximal 128 | Maximal 1000 | 2,5 GBit/s | Unterstützt | Ja | 3300 |
| Generation 2 | VpnGw4AZ | Maximal 100* | Maximal 128 | Maximal 5.000 | 5 GBit/s | Unterstützt | Ja | 4400 |
| Generation 2 | VpnGw5AZ | Maximal 100* | Maximal 128 | Maximal 10000 | 10 GBit/s | Unterstützt | Ja | 9000 |
Bereitstellen von VPN-Gateways
Bevor Sie ein VPN-Gateway bereitstellen können, benötigen Sie einige Azure- und lokale Ressourcen.
Erforderliche Azure-Ressourcen
Die folgenden Azure-Ressourcen sind erforderlich, damit Sie ein betriebsfähiges VPN-Gateway bereitstellen können:
- Virtuelles Netzwerk. Stellen Sie ein virtuelles Azure-Netzwerk mit genügend Adressraum für das zusätzliche Subnetz bereit, das Sie für das VPN-Gateway benötigen. Der Adressraum für dieses virtuelle Netzwerk darf nicht mit dem lokalen Netzwerk überlappen, mit dem Sie Verbindungen herstellen möchten. Denken Sie daran, dass Sie nur ein einziges VPN-Gateway in einem virtuellen Netzwerk bereitstellen können.
- GatewaySubnet. Stellen Sie ein Subnetz namens
GatewaySubnetfür das VPN-Gateway bereit. Verwenden Sie mindestens eine /27-Adressmaske, um sicherzustellen, dass für zukünftiges Wachstum genügend IP-Adressen im Subnetz verfügbar sind. Dieses Subnetz kann nicht für irgendeinen anderen Dienst verwendet werden. - Öffentliche IP-Adresse: Erstellen Sie eine dynamische öffentliche IP-Adresse für die Basic-SKU, wenn Sie ein Gateway verwenden, das Zonen beachtet. Diese Adresse bietet eine öffentliche routingfähige IP-Adresse als Ziel für Ihr lokales VPN-Gerät. Diese IP-Adresse ist dynamisch, ändert sich aber nur dann, wenn Sie das VPN-Gateway löschen und neu erstellen.
- Gateway des lokalen Netzwerks. Erstellen Sie ein lokales Netzwerkgateway, um die Konfiguration des lokalen Netzwerks zu definieren. Insbesondere legen Sie fest, wo und womit das VPN-Gateway eine Verbindung herstellt. Diese Konfiguration enthält die öffentliche IPv4-Adresse des lokalen VPN-Geräts und die lokalen routingfähigen Netzwerke. Diese Informationen werden im VPN-Gateway verwendet, um für lokale Netzwerke bestimmte Pakete durch den IPSec-Tunnel weiterzuleiten.
- Gateway des virtuellen Netzwerks. Erstellen Sie das virtuelle Netzwerkgateway (Gateway des virtuellen Netzwerks), um Datenverkehr zwischen dem virtuellen Netzwerk und dem lokalen Rechenzentrum oder anderen virtuellen Netzwerken weiterzuleiten. Das virtuelle Netzwerkgateway kann entweder als VPN-Gateway oder als ExpressRoute-Gateway eingerichtet werden, aber dieses Modul befasst sich nur mit virtuellen VPN-Netzwerkgateways.
- Verbindung. Erstellen Sie eine Verbindungsressource, um eine logische Verbindung zwischen dem VPN-Gateway und dem lokalen Netzwerkgateway herzustellen. Sie können mehrere Verbindungen zu demselben Gateway herstellen.
- Die Verbindung wird zu der im lokalen Netzwerkgateway definierten IPv4-Adresse des lokalen VPN-Geräts hergestellt.
- Die Verbindung wird ausgehend vom virtuellen Netzwerkgateway und dessen zugeordneter öffentlicher IP-Adresse hergestellt.
Im folgenden Diagramm ist diese Kombination von Ressourcen und deren Beziehungen dargestellt, damit Sie besser verstehen können, welche Elemente zum Bereitstellen eines VPN-Gateways erforderlich sind:
Erforderliche lokale Ressourcen
Um Ihr Rechenzentrum mit einem VPN-Gateway zu verbinden, benötigen Sie die folgenden lokalen Ressourcen:
- Ein VPN-Gerät, das richtlinienbasierte oder routenbasierte VPN-Gateways unterstützt
- Eine öffentlich zugängliche (im Internet routingfähige) IPv4-Adresse
Hochverfügbarkeitsszenarien
Es gibt mehrere Möglichkeiten, mit denen Sie eine fehlertolerante Konfiguration sicherstellen können.
Aktiv/Standby
Standardmäßig werden VPN-Gateways als zwei Instanzen in einer Aktiv/Standby-Konfiguration bereitgestellt, auch wenn nur eine VPN-Gatewayressource in Azure angezeigt wird. Wirkt sich eine geplante Wartung oder eine ungeplante Unterbrechung auf die aktive Instanz aus, wird die Verwaltung der Verbindungen automatisch ohne Benutzereingriff an die Standbyinstanz übergeben. Verbindungen werden während dieses Failovervorgangs unterbrochen, für eine geplante Wartung aber in der Regel innerhalb weniger Sekunden und für eine ungeplante Unterbrechung innerhalb von 90 Sekunden wiederhergestellt.
Aktiv/Aktiv
Durch die Einführung der Unterstützung des BGP-Routingprotokolls können Sie VPN-Gateways auch in einer Aktiv/Aktiv-Konfiguration bereitstellen. In dieser Konfiguration weisen Sie jeder Instanz eine eindeutige öffentliche IP-Adresse zu. Anschließend erstellen Sie getrennte Tunnel vom lokalen Gerät zu jeder IP-Adresse. Sie können die Hochverfügbarkeit erweitern, indem Sie ein anderes VPN-Gerät lokal bereitstellen.
ExpressRoute-Failover
Eine weitere Option für Hochverfügbarkeit besteht darin, ein VPN-Gateway als sicheren Failoverpfad für ExpressRoute-Verbindungen zu konfigurieren. ExpressRoute-Verbindungen haben immanente Resilienz, sind aber nicht immun gegen physische Probleme, die sich auf die Kabel auswirken, über die Verbindungen hergestellt werden, oder gegen Ausfälle, die sich auf den gesamten ExpressRoute-Standort auswirken. In Szenarien mit Hochverfügbarkeit, bei denen das Risiko eines Ausfalls einer ExpressRoute-Verbindung besteht, können Sie auch ein VPN-Gateway konfigurieren, welches das Internet als alternative Verbindungsmethode verwendet. So wird sichergestellt, dass immer eine Verbindung mit den virtuellen Azure-Netzwerken hergestellt wird.
Zonenredundante Gateways
VPN- und ExpressRoute-Gateways können in Regionen, die Verfügbarkeitszonen unterstützen, in einer zonenredundanten Konfiguration bereitgestellt werden. Diese Konfiguration bringt Resilienz, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks mit sich. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt. Dafür sind verschiedene Gateway-SKUs erforderlich und es werden standardmäßige öffentliche IP-Adressen anstatt öffentlicher IP-Adressen für Basic verwendet.