Beschreiben von virtuellen privaten Netzwerken in Azure

  • 5 Minuten

Ein virtuelles privates Netzwerk (VPN) verwendet einen verschlüsselten Tunnel in einem anderen Netzwerk. VPNs werden in der Regel bereitgestellt, um zwei oder mehr vertrauenswürdige private Netzwerke über ein nicht vertrauenswürdiges Netzwerk (in der Regel das öffentliche Internet) miteinander zu verbinden. Der Datenverkehr wird bei der Übertragung über das nicht vertrauenswürdige Netzwerk verschlüsselt, um den Verlust von Daten oder andere Angriffe zu verhindern. VPNs können Netzwerken ermöglichen, vertrauliche Informationen sicher und geschützt zu teilen.

VPN-Gateways

Ein VPN-Gateway ist eine Art virtuelles Netzwerkgateway. Instanzen von Azure VPN Gateway werden in einem dedizierten Subnetz des virtuellen Netzwerks bereitgestellt und ermöglichen folgende Verbindungen:

  • Verbinden von lokalen Rechenzentren mit virtuellen Netzwerken über eine Verbindung von Standort zu Standort (Site-to-Site-Verbindung).
  • Verbinden von einzelnen Geräten mit virtuellen Netzwerken über eine Point-to-Site-Verbindung.
  • Verbinden von virtuellen Netzwerken mit anderen virtuellen Netzwerken über eine Netzwerk-zu-Netzwerk-Verbindung.

Alle über das Internet übertragenen Daten werden in einem privaten Tunnel verschlüsselt. Sie können in jedem virtuellen Netzwerk nur ein VPN-Gateway bereitstellen. Sie können aber ein Gateway verwenden, um Verbindungen mit mehreren Standorten herzustellen, einschließlich anderer virtueller Netzwerke oder lokaler Rechenzentren.

Beim Einrichten eines VPN-Gateways müssen Sie den VPN-Typ angeben (richtlinienbasiert oder routenbasiert). Der primäre Unterschied zwischen diesen beiden Typen besteht darin, wie sie bestimmen, welcher Datenverkehr verschlüsselt werden muss. In Azure ist die verwendete Authentifizierungsmethode unabhängig vom VPN-Typ ein vorinstallierter Schlüssel.

  • Richtlinienbasierte VPN-Gateways geben statisch die IP-Adresse von Paketen an, die über jeden Tunnel verschlüsselt werden sollen. Dieser Gerätetyp wertet jedes Datenpaket mit den IP-Adressen aus, um den Tunnel auszuwählen, über den das Paket gesendet wird.
  • Bei Verwendung von routenbasierten Gateways werden IPsec-Tunnel als Netzwerkschnittstelle oder virtuelle Tunnelschnittstelle (Virtual Tunnel Interface) modelliert. IP-Routing (statische Routen oder Protokolle für dynamisches Routing) entscheidet, über welche dieser Tunnelschnittstellen die einzelnen Pakete gesendet werden sollen. Routenbasierte VPNs sind die bevorzugte Verbindungsmethode für lokale Geräte. Sie sind stabiler gegenüber Topologieänderungen, wie etwa der Erstellung neuer Subnetze.

Verwenden Sie ein routenbasiertes VPN-Gateway, wenn Sie eine der folgenden Verbindungsarten benötigen:

  • Verbindung zwischen virtuellen Netzwerken
  • Point-to-Site-Verbindungen
  • Verbindungen zwischen mehreren Standorten
  • Nutzung parallel zu einem Azure ExpressRoute-Gateway

Hochverfügbarkeitsszenarien

Wenn Sie ein VPN konfigurieren, um Ihre Informationen zu schützen, möchten Sie auch sicherstellen, dass die VPN-Konfiguration hoch verfügbar und fehlertolerant ist. Es gibt einige Möglichkeiten, die Resilienz Ihres VPN-Gateways zu maximieren.

Aktiv/Standby

Standardmäßig werden VPN-Gateways als zwei Instanzen in einer Aktiv/Standby-Konfiguration bereitgestellt, auch wenn nur eine VPN-Gatewayressource in Azure angezeigt wird. Wirkt sich eine geplante Wartung oder eine ungeplante Unterbrechung auf die aktive Instanz aus, wird die Verwaltung der Verbindungen automatisch ohne Benutzereingriff an die Standbyinstanz übergeben. Verbindungen werden während dieses Failovervorgangs unterbrochen, für eine geplante Wartung aber in der Regel innerhalb weniger Sekunden und für eine ungeplante Unterbrechung innerhalb von 90 Sekunden wiederhergestellt.

Aktiv/Aktiv

Durch die Einführung der Unterstützung des BGP-Routingprotokolls können Sie VPN-Gateways auch in einer Aktiv/Aktiv-Konfiguration bereitstellen. In dieser Konfiguration weisen Sie jeder Instanz eine eindeutige öffentliche IP-Adresse zu. Anschließend erstellen Sie getrennte Tunnel vom lokalen Gerät zu jeder IP-Adresse. Sie können die hohe Verfügbarkeit erweitern, indem Sie ein zusätzliches VPN-Gerät lokal bereitstellen.

ExpressRoute-Failover

Eine weitere Option für Hochverfügbarkeit besteht darin, ein VPN-Gateway als sicheren Failoverpfad für ExpressRoute-Verbindungen zu konfigurieren. ExpressRoute-Verbindungen sind von Haus aus resilient. Sie sind aber nicht immun gegen physische Probleme bei den Kabeln, über die Verbindungen hergestellt werden, oder gegen Ausfälle, die den gesamten ExpressRoute-Standort betreffen. In Szenarios mit Hochverfügbarkeit, bei denen das Risiko eines Ausfalls einer ExpressRoute-Verbindung besteht, können Sie auch ein VPN-Gateway bereitstellen, das das Internet als alternative Verbindungsmethode verwendet. So wird sichergestellt, dass immer eine Verbindung mit den virtuellen Netzwerken besteht.

Zonenredundante Gateways

VPN- und ExpressRoute-Gateways können in Regionen, die Verfügbarkeitszonen unterstützen, in einer zonenredundanten Konfiguration bereitgestellt werden. Diese Konfiguration bringt Resilienz, Skalierbarkeit und eine höhere Verfügbarkeit für die Gateways des virtuellen Netzwerks mit sich. Durch die Bereitstellung von Gateways in Azure-Verfügbarkeitszonen werden die Gateways innerhalb einer Region physisch und logisch getrennt. Gleichzeitig wird die Konnektivität Ihres lokalen Netzwerks mit Azure vor Ausfällen auf Zonenebene geschützt. Für diese Gateways sind verschiedene Gateway-SKUs (Stock Keeping Units) erforderlich, und es werden öffentliche Standard-IP-Adressen anstelle von öffentlichen Basic-IP-Adressen verwendet.