Ismerje meg az Azure VPN Gateway lehetőségeit

  • 10 perc

A helyszíni környezet Azure-beli integrációjához egy titkosított kapcsolat létrehozása szükséges. Csatlakozhat az interneten keresztül vagy egy dedikált hivatkozáson keresztül. Itt áttekintjük az Azure VPN Gatewayt, amely a helyszíni környezetekből érkező bejövő kapcsolatok végpontjaként szolgál.

Miután beállított egy Azure-beli virtuális hálózatot, győződjön meg arról, hogy az Azure és a webhelye közötti, illetve az Azure-beli virtuális hálózatok közötti adatforgalom titkosítva zajlik. Emellett tudnia kell, hogyan csatlakoztathatja a különböző régiókban és előfizetésekben található virtuális hálózatokat.

Mi az a VPN-átjáró?

Az Azure virtuális hálózati átjárók végpontot biztosítanak a bejövő kapcsolatok számára, amelyek a helyszíni helyekről az interneten keresztül érkeznek az Azure-ba. A VPN-átjáró a virtuális hálózati átjárók speciális típusa, amely a titkosított kapcsolatok végpontjaként szolgálhat. Emellett titkosított forgalmat küldhet az Azure-beli virtuális hálózatok között a Microsoft dedikált hálózatán, amely összeköti a világ különböző régióiban található Azure-adatközpontokat. Ez a konfiguráció lehetővé teszi, hogy biztonságosan összekapcsolja a különböző régiókban található virtuális gépeket és szolgáltatásokat.

Minden egyes virtuális hálózat kizárólag egy VPN-átjáróval rendelkezhet. A VPN-átjárón áthaladó összes kapcsolat osztozik a rendelkezésre álló hálózati sávszélességen.

Az egyes virtuális hálózati átjárókon belül két vagy több virtuális gép (virtuális gép) található. Ezek a virtuális gépek a felhasználó által megadott speciális alhálózaton üzemelnek, amelynek a neve átjáró-alhálózat. A gépek a további hálózatokhoz való csatlakozásra szolgáló útvonaltáblákat, valamint specifikus átjárószolgáltatásokat tartalmaznak. Ezek a virtuális gépek és az átjáró-alhálózat egy fizikai hálózati eszközhöz hasonlóan működnek. Ezeket a virtuális gépeket nem kell közvetlenül konfigurálnia, és nem szabad több erőforrást üzembe helyeznie az átjáró alhálózatán.

Egy virtuális hálózati átjáró létrehozása hosszabb ideig is eltarthat, ezért fontos a megfelelő tervezés. Egy virtuális hálózati átjáró létrehozásakor a kiépítési folyamat létrehozza az átjáró virtuális gépeit, és telepíti őket az átjáróalhálózatra. A virtuális gépek az átjárón manuálisan konfigurált beállításokkal rendelkeznek.

Fontos beállítás az átjáró típusa. Az átjáró működését az átjáró típusa határozza meg. VPN-átjáró esetén az átjáró típusa „vpn”. A VPN-átjárók beállításai közé tartoznak a következők:

  • Hálózatok közötti kapcsolatok IPsec/IKE VPN-alagútkezeléssel, amely a VPN-átjárókat más VPN-átjárókkal köti össze.

  • Létesítmények közötti IPsec/IKE VPN-alagútkezelés a helyszíni hálózatok Azure-hoz való csatlakoztatásához dedikált VPN-eszközökön keresztül, helyek közötti kapcsolatok létrehozása céljából.

  • Pont–hely kapcsolatok IKEv2-n vagy SSTP-n keresztül, az ügyfélszámítógépek Azure-beli erőforrásokkal való összekapcsolásához.

Most tekintsük át, milyen tényezőket érdemes megfontolnia egy VPN-átjáró megtervezésekor.

VPN-átjáró tervezése

Egy VPN-átjáró tervezésekor három architektúra jöhet számításba:

  • Pont–hely kapcsolat az interneten keresztül
  • Helyek közötti kapcsolat az interneten keresztül
  • Helyek közötti kapcsolat egy dedikált hálózaton, például az Azure ExpressRoute-on keresztül

Tervezési szempontok

A tervezés során az alábbi szempontokat kell figyelembe vennie:

  • Átviteli sebesség – Mbps vagy Gbps
  • Gerinc – Internet vagy privát?
  • Egy nyilvános (statikus) IP-cím rendelkezésre állása
  • VPN-eszközök kompatibilitása
  • Több ügyfélkapcsolat vagy egy helyek közötti hivatkozás?
  • VPN-átjáró típusa
  • Az Azure VPN Gateway termékváltozata

Az alábbi táblázat összegzi a tervezési szempontok egy részét. A fennmaradó problémákat később ismertetjük.

Pont–hely Helyek közötti ExpressRoute
Azure-támogatás szolgáltatások Felhőszolgáltatások és virtuális gépek Felhőszolgáltatások és virtuális gépek Minden támogatott szolgáltatás
Jellemző sávszélesség A VPN-átjáró termékváltozatától függ A VPN-átjáró termékváltozatától függ Lásd az ExpressRoute sávszélesség-beállításait
Támogatott protokollok SSTP és IPsec IPsec Közvetlen kapcsolat, VLAN-hálózatok
Routing Útvonalalapú (dinamikus) Szabályzatalapú (statikus) és útvonalalapú BGP
Kapcsolat rugalmassága Aktív-passzív Aktív-passzív vagy aktív-aktív Aktív-aktív
Use case Tesztelés és prototípus-készítés Fejlesztés, tesztelés és kis léptékű éles használat Az üzletmenet szempontjából kritikus fontosságú

Gateway SKUs

Fontos a megfelelő termékváltozat kiválasztása. Ha helytelennel állította be a VPN-átjárót, le kell vennie, és újra kell építenie az átjárót, ami időigényes lehet. Az átjáró termékváltozatairól szóló, például adatforgalomra vonatkozó legfrissebb információkat a Mi a VPN-átjáró? – Átjáró-termékváltozatok című cikkben találja meg.

Munkafolyamat

Azure-beli virtuális magánhálózatokat használó felhőkapcsolódási stratégia kidolgozásakor kövesse az alábbi munkafolyamatot:

  1. A kapcsolati topológia megtervezése, az összes kapcsolódó hálózat címtereinek felsorolása.

  2. Egy Azure-beli virtuális hálózat létrehozása.

  3. Egy VPN-átjáró létrehozása a virtuális hálózathoz.

  4. A helyszíni hálózatok vagy egyéb virtuális hálózatok felé irányuló kapcsolatok szükség szerinti létrehozása és konfigurálása.

  5. Szükség esetén hozzon létre és konfiguráljon egy pont–hely kapcsolatot az Azure VPN Gatewayhez.

Kialakítási szempontok

A virtuális hálózatokhoz csatlakozó VPN-átjárók kialakításakor a következő szempontokat kell figyelembe vennie:

  • Az alhálózatok nem fedhetik egymást

    Létfontosságú, hogy az egyik helyen lévő alhálózat ne tartalmazza ugyanazt a címteret, mint egy másik helyen.

  • Az IP-címeknek egyedinek kell lenniük

    Nem lehet két gazdagép azonos IP-címmel különböző helyeken, mivel lehetetlen lesz átirányítani a forgalmat a két gazdagép között, és a hálózati kapcsolat sikertelen lesz.

  • A VPN-átjáróknak szükségük van egy GatewaySubnet nevű átjáró-alhálózatra

    Ennek a névvel kell rendelkeznie ahhoz, hogy az átjáró működjön, és nem tartalmazhat más erőforrásokat.

Azure-beli virtuális hálózat létrehozása

Mielőtt létrehozna egy VPN-átjárót, létre kell hoznia egy Azure-beli virtuális hálózatot.

VPN-átjáró létrehozása

A létrehozott VPN-átjáró típusa az architektúrától függ. A lehetőségek a következők:

  • Útvonalalapú

    Az útvonalalapú VPN-eszközök bármely–bármely (altartományokra is kibővített) forgalomválasztókat használnak, és lehetővé teszik, hogy az útválasztási/továbbító táblák különböző IPsec-alagutakra irányítsák a forgalmat. Az útvonalalapú kapcsolatok általában útválasztóplatformokra épülnek, ahol minden IPsec-alagút hálózati adapterként vagy virtuális alagút-interfészként (VTI) van modellezve.

  • Házirendalapú

    A szabályzatalapú VPN-eszközök a két hálózat előtagjainak kombinációjával határozzák meg, hogy a rendszer hogyan titkosítja és fejti vissza a forgalmat az IPsec-alagutakon keresztül. A szabályzatalapú kapcsolatokat általában csomagszűrést végző tűzfaleszközön használják. Az IPsec-alagút titkosítási és visszafejtési műveletei hozzáadódnak a csomagok szűrését és feldolgozását végző motorhoz.

VPN-átjáró beállítása

A szükséges lépések a telepíteni kívánt VPN-átjáró típusától függenek. Ha például pont–hely VPN-átjárót szeretne létrehozni az Azure Portal használatával, hajtsa végre a következő lépéseket:

  1. Hozzon létre egy virtuális hálózatot.

  2. Adjon hozzá egy átjáróalhálózatot.

  3. Adjon meg egy DNS-kiszolgálót (nem kötelező).

  4. Hozzon létre egy virtuális hálózati átjárót.

  5. Tanúsítványok létrehozása.

  6. Adja hozzá az ügyfélcímkészletet.

  7. Konfigurálja az alagút típusát.

  8. Konfigurálja a hitelesítési típust.

  9. Töltse fel a főtanúsítvány nyilvános tanúsítványadatait.

  10. Exportált ügyféltanúsítvány telepítése.

  11. Hozza létre és telepítse a VPN-ügyfél konfigurációs csomagját.

  12. Csatlakozás az Azure-ba.

Mivel az Azure VPN-átjárókkal számos konfigurációs útvonal létezik, amelyek mindegyike több lehetőséget is kínál, ebben a kurzusban nem lehet minden beállítást lefedni. További információért lásd a További forrásanyagok szakaszt.

Az átjáró konfigurálása

Az átjáró létrehozása után konfigurálnia kell. Számos konfigurációs beállítást kell megadnia, például a nevet, a helyet, a DNS-kiszolgálót stb. Ezeket a beállításokat részletesebben is megismerjük a gyakorlatban.

Az Azure VPN-átjárók az Azure virtuális hálózatok olyan összetevői, amelyek lehetővé teszik a pont–hely típusú, a helyek közötti, vagy a virtuális hálózatok közötti kapcsolatok létrehozását. Az Azure VPN-átjárók lehetővé teszik, hogy az egyes ügyfélszámítógépek csatlakozhassanak az Azure-beli erőforrásokhoz, kibővítik a helyszíni hálózatokat az Azure-ba, vagy kapcsolatot teremtenek különböző régiókban és előfizetésekben található virtuális hálózatok között.