Verbinden von lokalen Netzwerken mit Azure über Site-to-Site-VPN-Gateways

Abgeschlossen

Ein virtuelles privates Netzwerk (VPN) ist eine Art privates gekoppeltes Netzwerk. Für VPNs wird ein verschlüsselter Tunnel in einem anderen Netzwerk verwendet. Sie werden in der Regel bereitgestellt, um zwei oder mehr vertrauenswürdige private Netzwerke über ein nicht vertrauenswürdiges Netzwerk (in der Regel das öffentliche Internet) miteinander zu verbinden. Der Datenverkehr wird bei der Übertragung über das nicht vertrauenswürdige Netzwerk verschlüsselt, um den Verlust von Daten oder andere Angriffe zu verhindern.

Für den Gesundheitsdienstleister in diesem Szenario können VPNs Mediziner in die Lage versetzen, vertrauliche Informationen zwischen Standorten gemeinsam zu nutzen. Beispielsweise kann für einen Patienten eine Operation in einer Spezialklinik erforderlich sein. Das OP-Team muss in der Lage sein, Details der Krankengeschichte des Patienten einzusehen. Diese medizinischen Daten sind in einem System in Azure gespeichert. Durch ein VPN, das die Klinik mit Azure verbindet, kann das OP-Team sicher auf diese Informationen zugreifen.

Azure-VPN-Gateways

Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway. VPN-Gateways werden in virtuellen Azure-Netzwerken bereitgestellt und ermöglichen folgende Verbindungen:

  • Verbinden von lokalen Rechenzentren mit virtuellen Azure-Netzwerken über eine Standort-zu-Standort-Verbindung (Site-to-Site-Verbindung)
  • Verbinden von einzelnen Geräten mit virtuellen Azure-Netzwerken über eine Point-to-Site-Verbindung
  • Verbinden von virtuellen Azure-Netzwerken mit anderen virtuellen Azure-Netzwerken über eine Netzwerk-zu-Netzwerk-Verbindung

Diagram visualization of a VPN connection to Azure.

Alle übertragenen Daten werden in einem privaten Tunnel verschlüsselt, während sie das Internet durchlaufen. Sie können nur ein VPN-Gateway in jedem virtuellen Netzwerk bereitstellen, aber Sie können ein Gateway verwenden, um Verbindungen mit mehreren Standorten herzustellen, einschließlich anderer virtueller Azure-Netzwerke oder lokaler Rechenzentren.

Wenn Sie ein VPN-Gateway bereitstellen, geben Sie den VPN-Typ an: richtlinienbasiert oder routenbasiert. Der Hauptunterschied zwischen diesen beiden Arten von VPNs besteht darin, wie der verschlüsselte Datenverkehr angegeben wird.

Richtlinienbasierte VPNs

Richtlinienbasierte VPN-Gateways geben statisch die IP-Adresse von Paketen an, die über jeden Tunnel verschlüsselt werden sollen. Dieser Gerätetyp wertet jedes Datenpaket mit den IP-Adressen aus, um den Tunnel auszuwählen, über den das Paket gesendet wird. Richtlinienbasierte VPN-Gateways sind hinsichtlich der unterstützten Funktionen und Verbindungen eingeschränkt. Zu den wichtigsten Features von richtlinienbasierten VPN-Gateways in Azure gehören die folgenden:

  • Es wird nur IKEv1 unterstützt.
  • Es wird statisches Routing verwendet, bei dem über Kombinationen aus Adresspräfixen aus beiden Netzwerken gesteuert wird, wie Datenverkehr durch den VPN-Tunnel verschlüsselt und entschlüsselt wird. Die Quelle und das Ziel der getunnelten Netzwerke sind in der Richtlinie deklariert und müssen nicht in Routingtabellen deklariert werden.
  • Richtlinienbasierte VPNs müssen in bestimmten Szenarien verwendet werden, die sie z. B. für die Kompatibilität mit älteren lokalen VPN-Geräten erfordern.

Routenbasierte VPNs

Wenn das Definieren der IP-Adressen hinter den einzelnen Tunneln in Ihrem Szenario zu umständlich ist oder wenn Sie Features und Verbindungen benötigen, die von richtlinienbasierte Gateways nicht unterstützt werden, sollten routenbasierte Gateways verwendet werden. Bei Verwendung von routenbasierten Gateways werden IPsec-Tunnel als Netzwerkschnittstelle oder VTI (virtuelle Tunnelschnittstelle) modelliert. Das IP-Routing (statische Routen oder dynamische Routingprotokolle) entscheidet, über welche Tunnelschnittstelle die einzelnen Pakete gesendet werden sollen. Routenbasierte VPNs sind die bevorzugte Verbindungsmethode für lokale Geräte, da sie gegenüber Topologieänderungen wie der Erstellung neuer Subnetze resilienter sind. Verwenden Sie ein routenbasiertes VPN-Gateway, wenn Sie eine der folgenden Verbindungsarten benötigen:

  • Verbindung zwischen virtuellen Netzwerken
  • Point-to-Site-Verbindungen
  • Verbindungen zwischen mehreren Standorten
  • Nutzung parallel zu einem Azure ExpressRoute-Gateway

Zu den wichtigsten Features von routenbasierten VPN-Gateways in Azure gehören die folgenden:

  • IKEv2 wird unterstützt.
  • Es werden n:n-Datenverkehrsselektoren (Any-to-Any; Platzhalter) verwendet.
  • Es können Protokolle für dynamisches Routing verwendet werden, bei denen Datenverkehr über Routing-/Weiterleitungstabellen an verschiedene IPsec-Tunnel geleitet wird. In diesem Fall sind die Quell-und Zielnetzwerke nicht statisch definiert, da sie sich in richtlinienbasierten VPNs oder sogar in routenbasierten VPNs mit statischem Routing befinden. Stattdessen werden Datenpakete basierend auf Netzwerkroutingtabellen verschlüsselt, die dynamisch mithilfe von Routingprotokollen wie BGP (Border Gateway Protocol) erstellt werden.

Beide Arten von VPN-Gateways in Azure (routenbasiert und richtlinienbasiert) verwenden den vorinstallierten Schlüssel als einzige Authentifizierungsmethode. In beiden Arten werden auch der Internetschlüsselaustausch (Internet Key Exchange, IKE) in Version 1 oder Version 2 und die Internetprotokollsicherheit (Internet Protocol Security, IPSec) verwendet. IKE wird verwendet, um eine Sicherheitszuordnung (eine Vereinbarung der Verschlüsselung) zwischen zwei Endpunkten einzurichten. Diese Zuordnung wird dann an die IPSec-Suite übergeben, die Datenpakete, die im VPN-Tunnel gekapselt sind, verschlüsselt und entschlüsselt.

VPN-Gatewaygrößen

Die Funktionalität Ihres VPN-Gateways wird durch die von Ihnen bereitgestellte SKU oder Größe bestimmt. Diese Tabelle zeigt ein Beispiel für einige Gateway-SKUs. Die Zahlen in dieser Tabelle können jederzeit geändert werden. Die neuesten Informationen finden Sie in der Azure-VPN Gateway-Dokumentation unter Gateway-SKUs. Die Basic-Gateway-SKU sollte nur für Dev/Test-Workloads verwendet werden. Darüber hinaus wird die Migration von Basic zu VpnGw#/Az-SKUs zu einem späteren Zeitpunkt, ohne dass das Gateway entfernt und wieder bereitgestellt werden muss, nicht unterstützt.

VPN
Gateway
Generation
SKU S2S/VNet-zu-VNet
Tunnel
P2S
SSTP-Verbindungen
P2S
IKEv2/OpenVPN-Verbindungen
Aggregat
aggregierten Durchsatz
BGP Zonenredundant Unterstützte Anzahl der virtuellen Computer im virtuellen Netzwerk
Generation 1 Grundlegend Maximal 10 Maximal 128 Nicht unterstützt 100 MBit/s Nicht unterstützt Nein 200
Generation 1 VpnGw1 Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Nein 450
Generation 1 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Nein 1300
Generation 1 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Nein 4000
Generation 1 VpnGw1AZ Maximal 30 Maximal 128 Maximal 250 650 MBit/s Unterstützt Ja 1.000
Generation 1 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1 GBit/s Unterstützt Ja 2.000
Generation 1 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 1,25 GBit/s Unterstützt Ja 5000
Generation 2 VpnGw2 Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Nein 685
Generation 2 VpnGw3 Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Nein 2240
Generation 2 VpnGw4 Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Nein 5300
Generation 2 VpnGw5 Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Nein 6700
Generation 2 VpnGw2AZ Maximal 30 Maximal 128 Maximal 500 1,25 GBit/s Unterstützt Ja 2.000
Generation 2 VpnGw3AZ Maximal 30 Maximal 128 Maximal 1000 2,5 GBit/s Unterstützt Ja 3300
Generation 2 VpnGw4AZ Maximal 100* Maximal 128 Maximal 5.000 5 GBit/s Unterstützt Ja 4400
Generation 2 VpnGw5AZ Maximal 100* Maximal 128 Maximal 10000 10 GBit/s Unterstützt Ja 9000

Bereitstellen von VPN-Gateways

Bevor Sie ein VPN-Gateway bereitstellen können, benötigen Sie einige Azure- und lokale Ressourcen.

Erforderliche Azure-Ressourcen

Die folgenden Azure-Ressourcen sind erforderlich, damit Sie ein betriebsfähiges VPN-Gateway bereitstellen können:

  • Virtuelles Netzwerk. Stellen Sie ein virtuelles Azure-Netzwerk mit genügend Adressraum für das zusätzliche Subnetz bereit, das Sie für das VPN-Gateway benötigen. Der Adressraum für dieses virtuelle Netzwerk darf nicht mit dem lokalen Netzwerk überlappen, mit dem Sie Verbindungen herstellen möchten. Denken Sie daran, dass Sie nur ein einziges VPN-Gateway in einem virtuellen Netzwerk bereitstellen können.
  • GatewaySubnet. Stellen Sie ein Subnetz namens GatewaySubnet für das VPN-Gateway bereit. Verwenden Sie mindestens eine /27-Adressmaske, um sicherzustellen, dass für zukünftiges Wachstum genügend IP-Adressen im Subnetz verfügbar sind. Dieses Subnetz kann nicht für irgendeinen anderen Dienst verwendet werden.
  • Öffentliche IP-Adresse: Erstellen Sie eine dynamische öffentliche IP-Adresse für die Basic-SKU, wenn Sie ein Gateway verwenden, das Zonen beachtet. Diese Adresse bietet eine öffentliche routingfähige IP-Adresse als Ziel für Ihr lokales VPN-Gerät. Diese IP-Adresse ist dynamisch, ändert sich aber nur dann, wenn Sie das VPN-Gateway löschen und neu erstellen.
  • Gateway des lokalen Netzwerks. Erstellen Sie ein lokales Netzwerkgateway, um die Konfiguration des lokalen Netzwerks zu definieren. Insbesondere legen Sie fest, wo und womit das VPN-Gateway eine Verbindung herstellt. Diese Konfiguration enthält die öffentliche IPv4-Adresse des lokalen VPN-Geräts und die lokalen routingfähigen Netzwerke. Diese Informationen werden im VPN-Gateway verwendet, um für lokale Netzwerke bestimmte Pakete durch den IPSec-Tunnel weiterzuleiten.
  • Gateway des virtuellen Netzwerks. Erstellen Sie das virtuelle Netzwerkgateway (Gateway des virtuellen Netzwerks), um Datenverkehr zwischen dem virtuellen Netzwerk und dem lokalen Rechenzentrum oder anderen virtuellen Netzwerken weiterzuleiten. Das virtuelle Netzwerkgateway kann entweder als VPN-Gateway oder als ExpressRoute-Gateway eingerichtet werden, aber dieses Modul befasst sich nur mit virtuellen VPN-Netzwerkgateways.
  • Verbindung. Erstellen Sie eine Verbindungsressource, um eine logische Verbindung zwischen dem VPN-Gateway und dem lokalen Netzwerkgateway herzustellen. Sie können mehrere Verbindungen zu demselben Gateway herstellen.
    • Die Verbindung wird zu der im lokalen Netzwerkgateway definierten IPv4-Adresse des lokalen VPN-Geräts hergestellt.
    • Die Verbindung wird ausgehend vom virtuellen Netzwerkgateway und dessen zugeordneter öffentlicher IP-Adresse hergestellt.

Im folgenden Diagramm ist diese Kombination von Ressourcen und deren Beziehungen dargestellt, damit Sie besser verstehen können, welche Elemente zum Bereitstellen eines VPN-Gateways erforderlich sind:

Resource requirements for a VPN gateway.

Erforderliche lokale Ressourcen

Um Ihr Rechenzentrum mit einem VPN-Gateway zu verbinden, benötigen Sie die folgenden lokalen Ressourcen:

  • Ein VPN-Gerät, das richtlinienbasierte oder routenbasierte VPN-Gateways unterstützt
  • Eine öffentlich zugängliche (im Internet routingfähige) IPv4-Adresse

Hochverfügbarkeitsszenarien

Es gibt mehrere Möglichkeiten, mit denen Sie eine fehlertolerante Konfiguration sicherstellen können.

Aktiv/Standby

Standardmäßig werden VPN-Gateways als zwei Instanzen in einer Aktiv/Standby-Konfiguration bereitgestellt, auch wenn nur eine VPN-Gatewayressource in Azure angezeigt wird. Wirkt sich eine geplante Wartung oder eine ungeplante Unterbrechung auf die aktive Instanz aus, wird die Verwaltung der Verbindungen automatisch ohne Benutzereingriff an die Standbyinstanz übergeben. Verbindungen werden während dieses Failovervorgangs unterbrochen, für eine geplante Wartung aber in der Regel innerhalb weniger Sekunden und für eine ungeplante Unterbrechung innerhalb von 90 Sekunden wiederhergestellt.

Active/standby virtual network gateway.

Aktiv/Aktiv

Durch die Einführung der Unterstützung des BGP-Routingprotokolls können Sie VPN-Gateways auch in einer Aktiv/Aktiv-Konfiguration bereitstellen. In dieser Konfiguration weisen Sie jeder Instanz eine eindeutige öffentliche IP-Adresse zu. Anschließend erstellen Sie getrennte Tunnel vom lokalen Gerät zu jeder IP-Adresse. Sie können die Hochverfügbarkeit erweitern, indem Sie ein anderes VPN-Gerät lokal bereitstellen.

Active/active virtual network Gateway.

ExpressRoute-Failover

Eine weitere Option für Hochverfügbarkeit besteht darin, ein VPN-Gateway als sicheren Failoverpfad für ExpressRoute-Verbindungen zu konfigurieren. ExpressRoute-Verbindungen haben immanente Resilienz, sind aber nicht immun gegen physische Probleme, die sich auf die Kabel auswirken, über die Verbindungen hergestellt werden, oder gegen Ausfälle, die sich auf den gesamten ExpressRoute-Standort auswirken. In Szenarien mit Hochverfügbarkeit, bei denen das Risiko eines Ausfalls einer ExpressRoute-Verbindung besteht, können Sie auch ein VPN-Gateway konfigurieren, welches das Internet als alternative Verbindungsmethode verwendet. So wird sichergestellt, dass immer eine Verbindung mit den virtuellen Azure-Netzwerken hergestellt wird.

Zonenredundante Gateways

VPN- und ExpressRoute-Gateways können in Regionen, die Verfügbarkeitszonen unterstützen, in einer zonenredundanten Konfiguration bereitgestellt werden. Diese Konfiguration bringt Resilienz, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks mit sich. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt. Dafür sind verschiedene Gateway-SKUs erforderlich und es werden standardmäßige öffentliche IP-Adressen anstatt öffentlicher IP-Adressen für Basic verwendet.