Ismerje meg az Azure VPN Gateway lehetőségeit
A helyszíni környezet Azure-beli integrációjához egy titkosított kapcsolat létrehozása szükséges. Csatlakozhat az interneten keresztül vagy egy dedikált hivatkozáson keresztül. Itt áttekintjük az Azure VPN Gatewayt, amely a helyszíni környezetekből érkező bejövő kapcsolatok végpontjaként szolgál.
Miután beállított egy Azure-beli virtuális hálózatot, győződjön meg arról, hogy az Azure és a webhelye közötti, illetve az Azure-beli virtuális hálózatok közötti adatforgalom titkosítva zajlik. Emellett tudnia kell, hogyan csatlakoztathatja a különböző régiókban és előfizetésekben található virtuális hálózatokat.
Mi az a VPN-átjáró?
Az Azure virtuális hálózati átjárók végpontot biztosítanak a bejövő kapcsolatok számára, amelyek a helyszíni helyekről az interneten keresztül érkeznek az Azure-ba. A VPN-átjáró a virtuális hálózati átjárók speciális típusa, amely a titkosított kapcsolatok végpontjaként szolgálhat. Emellett titkosított forgalmat küldhet az Azure-beli virtuális hálózatok között a Microsoft dedikált hálózatán, amely összeköti a világ különböző régióiban található Azure-adatközpontokat. Ez a konfiguráció lehetővé teszi, hogy biztonságosan összekapcsolja a különböző régiókban található virtuális gépeket és szolgáltatásokat.
Minden egyes virtuális hálózat kizárólag egy VPN-átjáróval rendelkezhet. A VPN-átjárón áthaladó összes kapcsolat osztozik a rendelkezésre álló hálózati sávszélességen.
Az egyes virtuális hálózati átjárókon belül két vagy több virtuális gép (virtuális gép) található. Ezek a virtuális gépek a felhasználó által megadott speciális alhálózaton üzemelnek, amelynek a neve átjáró-alhálózat. A gépek a további hálózatokhoz való csatlakozásra szolgáló útvonaltáblákat, valamint specifikus átjárószolgáltatásokat tartalmaznak. Ezek a virtuális gépek és az átjáró-alhálózat egy fizikai hálózati eszközhöz hasonlóan működnek. Ezeket a virtuális gépeket nem kell közvetlenül konfigurálnia, és nem szabad több erőforrást üzembe helyeznie az átjáró alhálózatán.
Egy virtuális hálózati átjáró létrehozása hosszabb ideig is eltarthat, ezért fontos a megfelelő tervezés. Egy virtuális hálózati átjáró létrehozásakor a kiépítési folyamat létrehozza az átjáró virtuális gépeit, és telepíti őket az átjáróalhálózatra. A virtuális gépek az átjárón manuálisan konfigurált beállításokkal rendelkeznek.
Fontos beállítás az átjáró típusa. Az átjáró működését az átjáró típusa határozza meg. VPN-átjáró esetén az átjáró típusa „vpn”. A VPN-átjárók beállításai közé tartoznak a következők:
Hálózatok közötti kapcsolatok IPsec/IKE VPN-alagútkezeléssel, amely a VPN-átjárókat más VPN-átjárókkal köti össze.
Létesítmények közötti IPsec/IKE VPN-alagútkezelés a helyszíni hálózatok Azure-hoz való csatlakoztatásához dedikált VPN-eszközökön keresztül, helyek közötti kapcsolatok létrehozása céljából.
Pont–hely kapcsolatok IKEv2-n vagy SSTP-n keresztül, az ügyfélszámítógépek Azure-beli erőforrásokkal való összekapcsolásához.
Most tekintsük át, milyen tényezőket érdemes megfontolnia egy VPN-átjáró megtervezésekor.
VPN-átjáró tervezése
Egy VPN-átjáró tervezésekor három architektúra jöhet számításba:
- Pont–hely kapcsolat az interneten keresztül
- Helyek közötti kapcsolat az interneten keresztül
- Helyek közötti kapcsolat egy dedikált hálózaton, például az Azure ExpressRoute-on keresztül
Tervezési szempontok
A tervezés során az alábbi szempontokat kell figyelembe vennie:
- Átviteli sebesség – Mbps vagy Gbps
- Gerinc – Internet vagy privát?
- Egy nyilvános (statikus) IP-cím rendelkezésre állása
- VPN-eszközök kompatibilitása
- Több ügyfélkapcsolat vagy egy helyek közötti hivatkozás?
- VPN-átjáró típusa
- Az Azure VPN Gateway termékváltozata
Az alábbi táblázat összegzi a tervezési szempontok egy részét. A fennmaradó problémákat később ismertetjük.
Pont–hely | Helyek közötti | ExpressRoute | |
---|---|---|---|
Azure-támogatás szolgáltatások | Felhőszolgáltatások és virtuális gépek | Felhőszolgáltatások és virtuális gépek | Minden támogatott szolgáltatás |
Jellemző sávszélesség | A VPN-átjáró termékváltozatától függ | A VPN-átjáró termékváltozatától függ | Lásd az ExpressRoute sávszélesség-beállításait |
Támogatott protokollok | SSTP és IPsec | IPsec | Közvetlen kapcsolat, VLAN-hálózatok |
Routing | Útvonalalapú (dinamikus) | Szabályzatalapú (statikus) és útvonalalapú | BGP |
Kapcsolat rugalmassága | Aktív-passzív | Aktív-passzív vagy aktív-aktív | Aktív-aktív |
Use case | Tesztelés és prototípus-készítés | Fejlesztés, tesztelés és kis léptékű éles használat | Az üzletmenet szempontjából kritikus fontosságú |
Gateway SKUs
Fontos a megfelelő termékváltozat kiválasztása. Ha helytelennel állította be a VPN-átjárót, le kell vennie, és újra kell építenie az átjárót, ami időigényes lehet. Az átjáró termékváltozatairól szóló, például adatforgalomra vonatkozó legfrissebb információkat a Mi a VPN-átjáró? – Átjáró-termékváltozatok című cikkben találja meg.
Munkafolyamat
Azure-beli virtuális magánhálózatokat használó felhőkapcsolódási stratégia kidolgozásakor kövesse az alábbi munkafolyamatot:
A kapcsolati topológia megtervezése, az összes kapcsolódó hálózat címtereinek felsorolása.
Egy Azure-beli virtuális hálózat létrehozása.
Egy VPN-átjáró létrehozása a virtuális hálózathoz.
A helyszíni hálózatok vagy egyéb virtuális hálózatok felé irányuló kapcsolatok szükség szerinti létrehozása és konfigurálása.
Szükség esetén hozzon létre és konfiguráljon egy pont–hely kapcsolatot az Azure VPN Gatewayhez.
Kialakítási szempontok
A virtuális hálózatokhoz csatlakozó VPN-átjárók kialakításakor a következő szempontokat kell figyelembe vennie:
Az alhálózatok nem fedhetik egymást
Létfontosságú, hogy az egyik helyen lévő alhálózat ne tartalmazza ugyanazt a címteret, mint egy másik helyen.
Az IP-címeknek egyedinek kell lenniük
Nem lehet két gazdagép azonos IP-címmel különböző helyeken, mivel lehetetlen lesz átirányítani a forgalmat a két gazdagép között, és a hálózati kapcsolat sikertelen lesz.
A VPN-átjáróknak szükségük van egy GatewaySubnet nevű átjáró-alhálózatra
Ennek a névvel kell rendelkeznie ahhoz, hogy az átjáró működjön, és nem tartalmazhat más erőforrásokat.
Azure-beli virtuális hálózat létrehozása
Mielőtt létrehozna egy VPN-átjárót, létre kell hoznia egy Azure-beli virtuális hálózatot.
VPN-átjáró létrehozása
A létrehozott VPN-átjáró típusa az architektúrától függ. A lehetőségek a következők:
Útvonalalapú
Az útvonalalapú VPN-eszközök bármely–bármely (altartományokra is kibővített) forgalomválasztókat használnak, és lehetővé teszik, hogy az útválasztási/továbbító táblák különböző IPsec-alagutakra irányítsák a forgalmat. Az útvonalalapú kapcsolatok általában útválasztóplatformokra épülnek, ahol minden IPsec-alagút hálózati adapterként vagy virtuális alagút-interfészként (VTI) van modellezve.
Házirendalapú
A szabályzatalapú VPN-eszközök a két hálózat előtagjainak kombinációjával határozzák meg, hogy a rendszer hogyan titkosítja és fejti vissza a forgalmat az IPsec-alagutakon keresztül. A szabályzatalapú kapcsolatokat általában csomagszűrést végző tűzfaleszközön használják. Az IPsec-alagút titkosítási és visszafejtési műveletei hozzáadódnak a csomagok szűrését és feldolgozását végző motorhoz.
VPN-átjáró beállítása
A szükséges lépések a telepíteni kívánt VPN-átjáró típusától függenek. Ha például pont–hely VPN-átjárót szeretne létrehozni az Azure Portal használatával, hajtsa végre a következő lépéseket:
Hozzon létre egy virtuális hálózatot.
Adjon hozzá egy átjáróalhálózatot.
Adjon meg egy DNS-kiszolgálót (nem kötelező).
Hozzon létre egy virtuális hálózati átjárót.
Tanúsítványok létrehozása.
Adja hozzá az ügyfélcímkészletet.
Konfigurálja az alagút típusát.
Konfigurálja a hitelesítési típust.
Töltse fel a főtanúsítvány nyilvános tanúsítványadatait.
Exportált ügyféltanúsítvány telepítése.
Hozza létre és telepítse a VPN-ügyfél konfigurációs csomagját.
Csatlakozás az Azure-ba.
Mivel az Azure VPN-átjárókkal számos konfigurációs útvonal létezik, amelyek mindegyike több lehetőséget is kínál, ebben a kurzusban nem lehet minden beállítást lefedni. További információért lásd a További forrásanyagok szakaszt.
Az átjáró konfigurálása
Az átjáró létrehozása után konfigurálnia kell. Számos konfigurációs beállítást kell megadnia, például a nevet, a helyet, a DNS-kiszolgálót stb. Ezeket a beállításokat részletesebben is megismerjük a gyakorlatban.
Az Azure VPN-átjárók az Azure virtuális hálózatok olyan összetevői, amelyek lehetővé teszik a pont–hely típusú, a helyek közötti, vagy a virtuális hálózatok közötti kapcsolatok létrehozását. Az Azure VPN-átjárók lehetővé teszik, hogy az egyes ügyfélszámítógépek csatlakozhassanak az Azure-beli erőforrásokhoz, kibővítik a helyszíni hálózatokat az Azure-ba, vagy kapcsolatot teremtenek különböző régiókban és előfizetésekben található virtuális hálózatok között.