Az Azure Stack Hub VPN-átjáróbeállításainak konfigurálása
A VPN-átjárók olyan virtuális hálózati átjárók, amelyek titkosított forgalmat küldenek az Azure Stack Hub virtuális hálózata és egy távoli VPN-átjáró között. A távoli VPN-átjáró lehet az Azure-ban, az adatközpontban lévő eszköz vagy egy másik webhelyen található eszköz. Ha a két végpont között hálózati kapcsolat van, biztonságos helyek közötti (S2S) VPN-kapcsolatot hozhat létre a két hálózat között.
A VPN-átjárók több erőforrás konfigurációjára támaszkodnak, amelyek mindegyike konfigurálható beállításokat tartalmaz. Ez a cikk a Resource Manager-alapú üzemi modellben létrehozott virtuális hálózatok VPN-átjáróihoz kapcsolódó erőforrásokat és beállításokat ismerteti. Az Azure Stack Hubhoz készült VPN-átjárók létrehozása minden kapcsolati megoldáshoz leírásokat és topológiadiagramokat talál.
VPN-átjáró beállításai
Átjárótípusok
Minden Azure Stack Hub virtuális hálózat egyetlen virtuális hálózati átjárót támogat, amelynek Vpn típusúnak kell lennie. Ez a támogatás eltér az Azure-tól, amely további típusokat támogat.
Virtuális hálózati átjáró létrehozásakor meg kell győződnie arról, hogy az átjáró típusa helyes a konfigurációhoz. A VPN-átjáróhoz szükség van a -GatewayType Vpn jelzőre, például:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Átjáró termékváltozatai VPN gyorselérési út engedélyezése nélkül
Virtuális hálózati átjáró létrehozásakor meg kell adnia a használni kívánt termékváltozatot. Válassza ki azokat az SKU-kat, amelyek megfelelnek a követelményeknek a számítási feladatok, az átviteli sebesség, a szolgáltatások és az SLA-k típusai alapján.
A maximális kapacitás elérése előtt 10 nagy teljesítményű átjáróval vagy 20 alapszintű és standard átjáróval rendelkezhet.
Az Azure Stack Hub az alábbi táblázatban látható VPN Gateway SKU-kat kínálja:
| Termékváltozat | A VPN-kapcsolat átviteli sebességének maximális beállítása | Kapcsolatok maximális száma aktív GW virtuális gépenként | A VPN-kapcsolatok maximális száma bélyegenként |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Nagy teljesítmény | 200 Mbps Tx/Rx | 5 | 10 |
Átjáró termékváltozatai a VPN gyors elérési útjának engedélyezésével
A NYILVÁNOS VPN Fast Path előzetes verziójának kiadásával az Azure Stack Hub három új termékváltozatot támogat magasabb átviteli sebességgel.
Az új korlátok és az átviteli sebesség akkor lesz engedélyezve, ha a VPN Fast Path engedélyezve van az Azure Stack-bélyegen.
Az Azure Stack Hub az alábbi táblázatban látható VPN Gateway SKU-kat kínálja:
| Termékváltozat | A VPN-kapcsolat átviteli sebességének maximális beállítása | Kapcsolatok maximális száma aktív GW virtuális gépenként | A VPN-kapcsolatok maximális száma bélyegenként |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Nagy teljesítmény | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Virtuális hálózati átjárók termékváltozatainak átméretezése
Az Azure Stack Hub nem támogatja a támogatott örökölt termékváltozatról (Alapszintű, Standard és HighPerformance) történő átméretezést az Azure által támogatott újabb termékváltozatra (VpnGw1, VpnGw2 és VpnGw3).
Új virtuális hálózati átjárókat és kapcsolatokat kell létrehozni a VPN Fast Path által engedélyezett új termékváltozatok használatához.
A virtuális hálózati átjáró termékváltozatának konfigurálása
Azure Stack Hub portál
Ha az Azure Stack Hub portál használatával hoz létre virtuális hálózati átjárót, az SKU kiválasztható a legördülő listából. Az új VPN Fast Path termékváltozatok (VpnGw1, VpnGw2, VpnGw3) csak az "azurestacknewvpnskus=true" lekérdezési paraméter URL-címhez való hozzáadása és frissítése után lesznek láthatók.
Az alábbi URL-példa láthatóvá teszi az új virtuális hálózati átjáró termékváltozatát az Azure Stack Hub felhasználói portálján:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Az erőforrások létrehozása előtt az operátornak engedélyeznie kell a VPN Fast Path szolgáltatást az Azure Stack Hub-bélyegen. További információ: VPN Fast Path for operátorok.
PowerShell
A következő PowerShell-példa a paramétert -GatewaySku Standardként adja meg:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Kapcsolattípusok
A Resource Manager-alapú üzemi modellben minden konfigurációhoz szükség van egy adott virtuális hálózati átjáró kapcsolattípusára. A Resource Manager PowerShell-értékei az -ConnectionType IPsec.
A következő PowerShell-példában létrejön egy S2S-kapcsolat, amelyhez IPsec-kapcsolattípus szükséges:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-típusok
A VPN-átjáró konfigurációjának virtuális hálózati átjárójának létrehozásakor meg kell adnia egy VPN-típust. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ. A VPN-típus a használt hardvertől is függhet. Az S2S-konfigurációkhoz VPN-eszköz szükséges. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.
Fontos
Az Azure Stack Hub jelenleg csak az útvonalalapú VPN-típust támogatja. Ha az eszköz csak a szabályzatalapú VPN-eket támogatja, akkor az Azure Stack Hubról származó eszközökkel való kapcsolatok nem támogatottak.
Emellett az Azure Stack Hub jelenleg nem támogatja a szabályzatalapú forgalomválasztók használatát az útvonalalapú átjárókhoz, mivel az Azure Stack Hub nem támogatja a szabályzatalapú forgalomválasztókat, bár az Azure-ban támogatottak.
PolicyBased: A házirendalapú VPN-ek az IPsec-alagutakon keresztül titkosítják és irányítják a csomagokat a helyszíni hálózat és az Azure Stack Hub virtuális hálózat közötti címelőtagok kombinációival konfigurált IPsec-szabályzatok alapján. A szabályzat vagy a forgalomválasztó általában egy hozzáférési lista a VPN-eszköz konfigurációjában.
Feljegyzés
A PolicyBased az Azure-ban támogatott, az Azure Stack Hubban azonban nem.
RouteBased: Az útvonalalapú VPN-ek az IP-továbbítási vagy útválasztási táblában konfigurált útvonalakat használják a csomagok megfelelő alagút-adapterekre való irányításához. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat. A RouteBased VPN-ek házirendje vagy forgalomválasztója bármelyikhez (vagy használjon helyettesítő kártyákat) konfigurálva van. Alapértelmezés szerint nem módosíthatók. A RouteBased VPN-típus értéke RouteBased.
Az alábbi PowerShell-példa a -VpnType RouteBased-et adja meg. Átjáró létrehozásakor meg kell győződnie arról, hogy az megfelel a -VpnType konfigurációnak.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
A virtuális hálózati átjárók támogatott konfigurációk, ha a VPN Fast Path nincs engedélyezve
| Termékváltozat | VPN-típus | Kapcsolat típusa | Aktív útválasztás támogatása (BGP) | Távoli végpont – NAT-T engedélyezve |
|---|---|---|---|---|
| Alapszintű VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Nem támogatott | Nem kötelező |
| Standard VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Nem kötelező |
| Nagy teljesítményű VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Nem kötelező |
A virtuális hálózati átjárók támogatott konfigurációk, ha a VPN Fast Path engedélyezve van
| Termékváltozat | VPN-típus | Kapcsolat típusa | Aktív útválasztás-támogatás (BGP) | Távoli végpont – NAT-T engedélyezve |
|---|---|---|---|---|
| Alapszintű VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Nem támogatott | Kötelező |
| Standard VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| Nagy teljesítményű VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw1 VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw2 VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw2 VNG termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
Átjáró alhálózata
VPN-átjáró létrehozása előtt létre kell hoznia egy átjáróalhálózatot. Az átjáró alhálózata rendelkezik a virtuális hálózati átjáró virtuális gépei és szolgáltatásai által használt IP-címekkel. A virtuális hálózati átjáró és a kapcsolat létrehozásakor a kapcsolatot birtoklő átjáró virtuális gép az átjáró alhálózatához lesz csatolva, és a szükséges VPN-átjáró-beállításokkal lesz konfigurálva. Ne helyezzen üzembe semmi mást (például további virtuális gépeket) az átjáró alhálózatán.
Fontos
A megfelelő működéshez az átjáró-alhálózat neve GatewaySubnet kell legyen. Az Azure Stack Hub ezzel a névvel azonosítja azt az alhálózatot, amelyre a virtuális hálózati átjáró virtuális gépeit és szolgáltatásait üzembe helyezi.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáró alhálózatának IP-címei az átjáró virtuális gépeihez és átjárószolgáltatásaihoz vannak lefoglalva. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük. Tekintse meg a létrehozni kívánt konfiguráció utasításait, és ellenőrizze, hogy a létrehozni kívánt átjáróalhálózat megfelel-e ezeknek a követelményeknek.
Emellett gondoskodnia kell arról, hogy az átjáró alhálózata elegendő IP-címmel rendelkezzen a további jövőbeli konfigurációk kezeléséhez. Bár akár /29-ben is létrehozhat átjáróalhálózatot, javasoljuk, hogy hozzon létre egy /28 vagy nagyobb átjáróalhálózatot (/28, /27, /26 stb.). Így, ha a jövőben funkciókat ad hozzá, nem kell lebontani az átjárót, majd törölnie és újra létre kell hoznia az átjáró alhálózatát, hogy több IP-címet engedélyezhessen.
Az alábbi Resource Manager PowerShell-példa egy GatewaySubnet nevű átjáróalhálózatot mutat be. Láthatja, hogy a CIDR-jelölés egy /27-et ad meg, amely elegendő IP-címet biztosít a legtöbb jelenleg létező konfigurációhoz.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Fontos
Átjáróalhálózatokkal való munka esetén ne társítsa a hálózati biztonsági csoportot (NSG) az átjáróalhálózathoz. Ha egy hálózati biztonsági csoportot társít ehhez az alhálózathoz, a VPN-átjáró a várt módon leállhat. A hálózati biztonsági csoportokkal kapcsolatos további információkért lásd: Mi az a hálózati biztonsági csoport?
Helyi hálózati átjárók
Amikor VPN-átjárókonfigurációt hoz létre az Azure-ban, a helyi hálózati átjáró gyakran a helyszíni helyet jelöli. Az Azure Stack Hubban minden olyan távoli VPN-eszközt jelöl, amely az Azure Stack Hubon kívül található. Ez az eszköz lehet egy VPN-eszköz az adatközpontban (vagy egy távoli adatközpontban), vagy egy VPN-átjáró az Azure-ban.
Adjon nevet a helyi hálózati átjárónak, a távoli VPN-eszköz nyilvános IP-címét, és adja meg a helyszíni helyen található címelőtagokat. Az Azure Stack Hub megvizsgálja a hálózati forgalom célcímelőtagjait, áttekinti a helyi hálózati átjáróhoz megadott konfigurációt, és ennek megfelelően irányítja a csomagokat.
Ez a PowerShell-példa egy új helyi hálózati átjárót hoz létre:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Néha módosítania kell a helyi hálózati átjáró beállításait; például a címtartomány hozzáadásakor vagy módosításakor, vagy ha a VPN-eszköz IP-címe megváltozik. További információ: Helyi hálózati átjáró beállításainak módosítása a PowerShell használatával.
IPsec/IKE-paraméterek
Ha VPN-kapcsolatot állít be az Azure Stack Hubban, mindkét végén konfigurálnia kell a kapcsolatot. Ha VPN-kapcsolatot konfigurál az Azure Stack Hub és egy hardvereszköz, például egy VPN-átjáróként működő kapcsoló vagy útválasztó között, az eszköz további beállításokat kérhet.
Az Azure-tal ellentétben, amely kezdeményezőként és válaszadóként is több ajánlatot támogat, az Azure Stack Hub alapértelmezés szerint csak egy ajánlatot támogat. Ha különböző IPSec-/IKE-beállításokat kell használnia a VPN-eszköz használatához, több beállítás érhető el a kapcsolat manuális konfigurálásához. További információ: IPsec/IKE-szabályzat konfigurálása helyek közötti VPN-kapcsolatokhoz.
Fontos
Az S2S-alagút használatakor a csomagok további fejlécekkel vannak beágyazva, ami növeli a csomag teljes méretét. Ezekben az esetekben a TCP MSS-t 1350-nél kell rögzítenie. Vagy ha a VPN-eszközök nem támogatják az MSS-befogást, az alagút interfészén az MTU-t is beállíthatja 1400 bájtra. További információ: Virutal Network TCPIP teljesítményhangolás.
Az IKE 1. fázis (Elsődleges mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Diffie-Hellman csoport* | ECP384 |
| Hitelesítési módszer | Előre megosztott kulcs |
| Titkosítási és kivonatolási algoritmusok* | AES256, SHA384 |
| SA élettartama (Idő) | 28 800 másodperc |
Az IKE 2. fázis (Gyors mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Titkosítási és kivonatolási algoritmusok (titkosítás) | GCMAES256 |
| Titkosítási és kivonatolási algoritmusok (hitelesítés) | GCMAES256 |
| SA élettartama (Idő) | 27 000 másodperc |
| SA-élettartam (kilobájt) | 33,553,408 |
| Tökéletes továbbítási titoktartás (PFS)* | ECP384 |
| Kapcsolat megszakadásának észlelése | Támogatott |
* Új vagy módosított paraméter.