VPN Gateway-topológia és tervezés
A VPN Gateway-kapcsolatokhoz számos különböző konfigurációs lehetőség érhető el. A követelményeknek megfelelő kapcsolati topológia kiválasztásához használja az alábbi szakaszokban található diagramokat és leírásokat. A diagramok a fő alapkonfigurációs topológiákat mutatják be, de a diagramok útmutatásként való használatával összetettebb konfigurációkat is létrehozhat.
Helyek közötti VPN
A helyek közötti (S2S) VPN Gateway-kapcsolat IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztüli kapcsolat. A helyek közötti kapcsolatok létesítmények közötti és hibrid konfigurációk esetében is alkalmazhatók. A helyek közötti kapcsolatokhoz olyan helyszíni VPN-eszközre van szükség, amelyhez nyilvános IP-cím van hozzárendelve.
A virtuális hálózati átjáróból több VPN-kapcsolatot is létrehozhat, amelyek általában több helyszíni helyhez csatlakoznak. Több kapcsolat használata esetén RouteBased VPN-típust kell használnia. Mivel minden virtuális hálózat csak egy VPN-átjáróval rendelkezhet, az átjárón keresztüli összes kapcsolat osztozik a rendelkezésre álló sávszélességen. Ezt a kapcsolati kialakítást néha többhelyesnek is nevezik.
Ha magas rendelkezésre állású átjárókapcsolatot szeretne létrehozni, konfigurálhatja, hogy az átjáró aktív-aktív módban legyen. Ezzel a móddal két aktív alagutat (egy-egy átjáró virtuálisgép-példányból) konfigurálhat ugyanarra a VPN-eszközre, hogy magas rendelkezésre állású kapcsolatot hozzon létre. A magas rendelkezésre állású kapcsolattervezés mellett az aktív-aktív mód másik előnye, hogy az ügyfelek nagyobb átviteli sebességet tapasztalnak.
- A VPN-eszköz kiválasztásával kapcsolatos információkért lásd a VPN Gateway gyakori kérdései közül a VPN-eszközökkel foglalkozókat.
- A magas rendelkezésre állású kapcsolatokról további információt a magas rendelkezésre állású kapcsolatok tervezése című témakörben talál.
- Az aktív-aktív módról további információt az aktív-aktív módú átjárókról szóló cikkben talál.
Az S2S üzembehelyezési modelljei és módszerei
| Üzembehelyezési modell | Azure Portalra | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Oktatóanyag | Oktatóanyag | Oktatóanyag |
Pont-hely típusú VPN
A pont–hely típusú (P2S) VPN-átjárókapcsolatokkal biztonságos kapcsolatot hozhat létre a virtuális hálózat és egy ügyfélszámítógép között. A pont–hely kapcsolat az ügyfélszámítógépről való indítással jön létre. Ez a megoldás főleg távmunkások számára hasznos, akik egy távoli helyről szeretnének csatlakozni az Azure Virtual Networks hálózathoz, például otthonról vagy egy konferenciáról. A pont–hely VPN is hasznos megoldás a helyek közötti VPN helyett, ha csak néhány ügyfélnek kell csatlakoznia egy virtuális hálózathoz.
A helyek közötti kapcsolatoktól eltérően a pont–hely kapcsolatokhoz nincs szükség helyszíni nyilvános IP-címre vagy VPN-eszközre. A pont–hely kapcsolatok ugyanazon a VPN-átjárón keresztül használhatók helyek közötti kapcsolatok esetén, feltéve, hogy mindkét kapcsolat konfigurációs követelményei kompatibilisek. A pont–hely kapcsolatokról további információt a pont–hely VPN kapcsolatról szóló cikkben talál.
Üzemi modellek és módszerek a pont–hely (P2S) kapcsolatokhoz
| Hitelesítési módszer | Cikk |
|---|---|
| Tanúsítvány | Oktatóanyag Útmutató |
| Microsoft Entra ID | Útmutató |
| RADIUS | Útmutató |
P2S VPN-ügyfél konfigurálása
| Hitelesítés | Alagúttípus | Ügyfél operációs rendszere | VPN-ügyfél |
|---|---|---|---|
| Tanúsítvány | |||
| IKEv2, SSTP | Windows | Natív VPN-ügyfél | |
| IKEv2 | macOS | Natív VPN-ügyfél | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-ügyfél OpenVPN-ügyfél 2.x-es verziója OpenVPN-ügyfél 3.x-es verziója |
|
| OpenVPN | macOS | OpenVPN-ügyfél | |
| OpenVPN | iOS | OpenVPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél OpenVPN-ügyfél |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-ügyfél | |
| OpenVPN | macOS | Azure VPN-ügyfél | |
| OpenVPN | Linux | Azure VPN-ügyfél |
Virtuális hálózatok közötti kapcsolatok (IPsec/IKE VPN-alagút)
A virtuális hálózat csatlakoztatása egy másik virtuális hálózathoz (VNet–VNet) hasonló, mint a virtuális hálózat helyszíni helyhez való csatlakoztatása. Mindkét kapcsolattípus egy VPN-átjárót használ a biztonságos alagút IPsec/IKE használatával való kialakításához. A virtuális hálózatok közötti kommunikációt kombinálhatja többhelyes kapcsolati konfigurációkkal is. Így létrehozhat olyan hálózati topológiákat, amelyek a létesítmények közötti kapcsolatokat a virtuális hálózatok közötti kapcsolatokkal kombinálják.
A csatlakoztatni kívánt virtuális hálózatok a következőek lehetnek:
- azonos vagy eltérő régiókban
- azonos vagy eltérő előfizetésekben
- azonos vagy eltérő üzemi modellekben
Üzembe helyezési modellek és módszerek virtuális hálózatok közötti kapcsolatokhoz
| Üzembehelyezési modell | Azure Portalra | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Oktatóanyag+ | Oktatóanyag | Oktatóanyag |
(+) Azt jelzi, hogy ez az üzembe helyezési módszer csak az ugyanabban az előfizetésben lévő virtuális hálózatokhoz érhető el.
Egyes esetekben érdemes lehet virtuális hálózatok közötti társviszony-létesítést használni a virtuális hálózatok közötti kapcsolat helyett a virtuális hálózatok összekapcsolásához. A virtuális hálózatok közötti társviszony-létesítés nem használ virtuális hálózati átjárót. További információ: Virtuális hálózatok közötti társviszony-létesítés.
Egyidejű helyek közötti és ExpressRoute-kapcsolatok
Az ExpressRoute egy közvetlen, privát kapcsolat a WAN-tól (nem a nyilvános interneten keresztül) a Microsoft Serviceshez, beleértve az Azure-t is. A helyek közötti VPN-forgalom titkosítottan halad a nyilvános interneten keresztül. A helyek közötti VPN- és ExpressRoute-kapcsolatok ugyanahhoz a virtuális hálózathoz való konfigurálása számos előnnyel jár.
A helyek közötti VPN-eket biztonságos feladatátvételi útvonalként konfigurálhatja az ExpressRoute-hoz, vagy helyek közötti VPN-ek használatával csatlakozhat olyan helyekhez, amelyek nem részei a hálózatnak, de amelyek az ExpressRoute-on keresztül csatlakoznak. Figyelje meg, hogy ehhez a konfigurációhoz két virtuális hálózati átjáró szükséges ugyanahhoz a virtuális hálózathoz, az egyik vpn átjárótípust használ, a másik az ExpressRoute átjárótípust használja.
S2S- és ExpressRoute-kapcsolatok üzembehelyezési modelljei és módszerei
| Üzembehelyezési modell | Azure Portalra | PowerShell |
|---|---|---|
| Resource Manager | Oktatóanyag | Oktatóanyag |
Magas rendelkezésre állású kapcsolatok
A magas rendelkezésre állású kapcsolatok tervezéséhez és tervezéséhez, beleértve az aktív-aktív módú konfigurációkat, tekintse meg a magas rendelkezésre állású átjárókapcsolatok tervezését a helyek közötti és a virtuális hálózatok közötti kapcsolatokhoz.
Következő lépések
További információkért tekintse meg A VPN Gatewayjel kapcsolatos gyakori kérdések című szakaszt.
További információ a VPN Gateway konfigurációs beállításairól.
A VPN Gateway BGP-vel kapcsolatos szempontokat lásd a BGP-vel kapcsolatban.
Tekintse meg az Előfizetés- és szolgáltatáskorlátok című szakaszt.
Ebben a dokumentumban az Azure egyéb lényeges hálózat képességeivel ismerkedhet meg.