Helyszíni hálózatok Azure-hoz csatlakoztatása helyek közötti VPN-átjárók használatával
A virtuális magánhálózat (VPN) az összekapcsolt magánhálózatok egyik típusa. A virtuális magánhálózatok egy másik hálózaton belüli titkosított alagutat használnak. Ezeket általában úgy helyezik üzembe, hogy egy nem megbízható hálózaton (általában a nyilvános interneten) keresztül két vagy több megbízható magánhálózatot csatlakoztatnak egymáshoz. A forgalom titkosítva van, miközben a nem megbízható hálózaton áthalad, így megakadályozhatóak a lehallgatásos vagy más típusú támadások.
A példabeli egészségügyi szolgáltató esetében a VPN-ekkel megoldható, hogy az egészségügyi szakemberek bizalmas információkat osszanak meg különböző helyek között. Tegyük fel például, hogy egy páciensnek egy szakorvosi intézményben végezhető műtétre van szüksége. A sebészeti csapatnak mindenképp látnia kell a beteg részletes orvosi előzményeit. Ezeket az egészségügyi adatokat egy Azure-beli rendszerben tárolják. Az intézmény és az Azure közötti VPN kapcsolat lehetővé teszi, hogy a sebészeti csapat biztonságosan hozzáférjen ezekhez az információkhoz.
Azure VPN-átjárók
A VPN-átjáró a Virtual Network Gateway egyik típusa. Az Azure-beli virtuális hálózatokban üzembe helyezett VPN-átjárók az alábbi kapcsolódási lehetőségeket biztosítják:
- Helyszíni adatközpontok összekapcsolása Azure-beli virtuális hálózatokkal helyek közötti kapcsolattal.
- Egyes eszközök összekapcsolása Azure-beli virtuális hálózatokkal pont-hely típusú kapcsolattal.
- Azure-beli virtuális hálózatok összekapcsolása más Azure-beli virtuális hálózatokkal virtuális hálózatok közötti kapcsolattal.
Minden továbbított adat egy privát alagúton, titkosítva halad át az interneten. Egy virtuális hálózatban csak egy VPN-átjárót helyezhet üzembe, de egy átjáróval több célhoz, köztük más Azure-beli virtuális hálózatokhoz vagy helyszíni adatközpontokhoz is csatlakozhat.
VPN-átjáró üzembe helyezésekor meg kell adnia a VPN típusát, ami lehet szabályzatalapú vagy útvonalalapú. A két VPN-típus között a fő különbség a titkosított forgalom megadása.
Szabályzatalapú VPN-ek
A szabályzatalapú VPN-átjárók statikusan határozzák meg az egyes alagutakon keresztül titkosítani kívánt csomagok IP-címét. Az ilyen típusú eszközök kiértékelik az összes adatcsomagot ezekkel az IP-címekkel, hogy kiválasszák azt az alagutat, amelyen keresztül a csomagot el lehet küldeni. A házirendalapú VPN-átjárók korlátozottak a támogatott funkciókban és kapcsolatokban. Az Azure-beli szabályzatalapú VPN-átjárók legfontosabb funkciói a következők:
- Csak az IKEv1 protokolt támogatják.
- Statikus útválasztást alkalmaznak, ahol a két hálózatból származó címelőtagok vezérlik a forgalom titkosítását és visszafejtését az VPN-alagútban. Az alagúttal összekötött forrás- és célhálózat deklarálva van a szabályzatban, így ezeket nem kell deklarálni az útválasztási táblázatokban.
- Szabályzatalapú VPN-t kell használni az olyan speciális helyzetekben, amelyeknél az feltétlenül szükséges, például az öröklött helyszíni VPN-eszközökkel való kompatibilitás érdekében.
Útvonalalapú VPN-ek
Ha az egyes alagutak mögött található IP-címek meghatározása túl nehézkes a helyzethez. Vagy olyan funkciókra és kapcsolatokra van szüksége, amelyeket a szabályzatalapú átjárók nem támogatnak. Útvonalalapú átjárókat kell használni. Az útvonalalapú átjárók esetében az IPSec-alagutak hálózati adapterként vagy VTI-ként (virtuális alagút-interfészként) vannak modellezve. Az IP-útválasztás (statikus útvonalak vagy dinamikus útválasztási protokollok) határozzák meg, hogy az egyes csomagok melyik alagút-interfészen keresztül küldhetők át. Az útvonalalapú VPN-ek a helyszíni eszközök előnyben részesített csatlakozási módszerei, mivel ellenállóbbak a topológia változásaival, például új alhálózatok létrehozásával szemben. Használjon útvonalalapú VPN-átjárót, ha az alábbi kapcsolódási típusok valamelyikére van szükség:
- Virtuális hálózatok közötti kapcsolatok
- Pont-hely típusú kapcsolatok
- Többhelyes kapcsolatok
- Azure ExpressRoute-átjáróval való együttes használat esetén
Az Azure-beli útvonalalapú VPN-átjárók legfontosabb funkciói a következők:
- Támogatja az IKEv2 protokollt.
- Bármely elemek közötti (helyettesítő) forgalomválasztókat használ.
- Dinamikus útválasztási protokollokat használhat, ahol az útválasztási/továbbítási táblák különböző IPsec-alagutakra irányítják a forgalmat. Ebben az esetben a forrásként és a célként megadott hálózatok nincsenek statikus módon meghatározva, mivel azok szabályzatalapú VPN-ben vagy akár útvonalalapú VPN-ben vannak statikus útválasztással. Ehelyett az adatcsomagok titkosítva vannak, olyan hálózati útválasztási táblák alapján, amelyek dinamikusan jönnek létre olyan útválasztási protokollok használatával, mint a BGP (Border Gateway Protocol).
Az Azure-beli VPN-átjárók mindkét típusa (útvonalalapú és szabályzatalapú) az előmegosztott kulcsot használja az egyetlen hitelesítési módszerként. Emellett mindkét típus az Internet Key Exchange (IKE) protokoll v1 vagy v2 verzióját, valamint az IP-biztonsági (Internet Protocol Security, IPSec) protokollt használja. Az IKE rendeltetése egy biztonsági társítás (a titkosításra vonatkozó megállapodás) kialakítása a két végpont között. Ezt a társítást adja tovább az IPSecnek, amely az adatok titkosítását és visszafejtését végzi a zárt VPN-alagútban.
VPN-átjárók mérete
Az üzembe helyezhető termékváltozat vagy méret határozza meg a VPN-átjáró képességeit. Ez a táblázat az átjáró termékváltozatainak egy-egy példáját mutatja be. A táblázatban szereplő számok bármikor változhatnak. A legfrissebb információkért tekintse meg az Azure VPN Gateway dokumentációjában található átjáró-termékváltozatokat . Az alapszintű átjáró termékváltozata csak dev/test számítási feladatokhoz használható. Emellett nem támogatott az alapszintű verzióról bármely VpnGw#/Az termékváltozatra való migrálás későbbi időpontban anélkül, hogy el kellene távolítania az átjárót, és újra üzembe kellene helyeznie.
| VPN Gateway Generációs |
Termékváltozat | S2S/VNet–VNet Alagutak |
P2S SSTP-Csatlakozás ions |
P2S IKEv2/OpenVPN Csatlakozás ions |
Összesített Átviteli sebesség benchmarkja |
BGP | Zónaredundáns | Támogatott virtuális gépek száma a virtuális hálózaton |
|---|---|---|---|---|---|---|---|---|
| 1. generáció | Basic | Max. 10 | Max. 128 | Not Supported | 100 Mbps | Not Supported | Nem | 200 |
| 1. generáció | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supported | Nem | 450 |
| 1. generáció | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supported | Nem | 1300 |
| 1. generáció | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supported | Nem | 4000 |
| 1. generáció | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Supported | Igen | 1000 |
| 1. generáció | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Supported | Igen | 2000. |
| 1. generáció | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Supported | Igen | 5000 |
| 2. generáció | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supported | Nem | 685 |
| 2. generáció | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Supported | Nem | 2240 |
| 2. generáció | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supported | Nem | 5300 |
| 2. generáció | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supported | Nem | 6700 |
| 2. generáció | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Supported | Igen | 2000. |
| 2. generáció | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Supported | Igen | 3300 |
| 2. generáció | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Supported | Igen | 4400 |
| 2. generáció | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Supported | Igen | 9000 |
VPN-átjárók üzembe helyezése
A VPN-átjáró üzembe helyezése előtt szüksége lesz néhány Azure- és helyszíni erőforrásra.
Szükséges Azure-erőforrások
Az operatív VPN-átjáró üzembe helyezése előtt szüksége lesz ezekre az Azure-erőforrásokra:
- Virtuális hálózat. Helyezzen üzembe egy Azure-beli virtuális hálózatot, amely elegendő címteret biztosít a VPN-átjáróhoz szükséges további alhálózat számára. A virtuális hálózat címtere nem lehet átfedésben azzal a helyszíni hálózattal, amelyhez csatlakozik. Ne feledje, hogy egy virtuális hálózatban csak egy VPN-átjárót helyezhet üzembe.
- Átjáró-alhálózat. Helyezzen üzembe egy
GatewaySubnetnevű alhálózatot a VPN-átjáró számára. Használjon legalább /27 címmaszkot, hogy az alhálózatban elég IP-cím legyen későbbi méretnövelés esetén is. Ezt az alhálózatot más szolgáltatásokhoz nem használhatja. - Nyilvános IP-cím. Hozzon létre egy dinamikus nyilvános IP-címet az alapszintű termékváltozathoz, nem zónaérzékeny átjárót használata esetén. Ez a nyilvános irányítható IP-cím szolgál majd célként a helyszíni VPN-eszköz számára. Ez az IP-cím dinamikus, de csak akkor változik, ha törli és újra létrehozza a VPN-átjárót.
- Helyi hálózati átjáró. Hozzon létre egy helyi hálózati átjárót a helyszíni hálózat konfigurációjának meghatározásához. Pontosabban, hogy hol csatlakozik a VPN-átjáró, és mihez csatlakozik. Ez a konfiguráció tartalmazza a helyszíni VPN-eszköz nyilvános IPv4-címét, és a helyszíni irányítható hálózatokat. A VPN-átjáró ezt az információt felhasználva irányítja a csomagokat a helyszíni hálózatokhoz vezető IPSec-alagútba.
- Virtuális hálózati átjáró. Hozza létre a virtuális hálózati átjárót, amely a virtuális hálózat és a helyszíni adatközpont vagy egy másik virtuális hálózat közötti forgalmat irányítja. A virtuális hálózati átjáró konfigurálható VPN-átjáróként vagy ExpressRoute-átjáróként, de ez a modul csak a VPN virtuális hálózati átjárókkal foglalkozik.
- Kapcsolat. Hozzon létre egy Kapcsolat erőforrást a VPN-átjáró és a helyi hálózati átjáró közötti logikai kapcsolat kialakításához. Több kapcsolatot is létrehozhat ugyanahhoz az átjáróhoz.
- A kapcsolat a helyszíni VPN-eszköznek a helyi hálózati átjáró által meghatározott IPv4-címén lesz létrehozva.
- A kapcsolat a virtuális hálózati átjáróból és az ahhoz társított nyilvános IP-címből lesz létrehozva.
Az alábbi ábra ezen erőforrásokat és azok kapcsolatait szemléltetve segít jobban átlátni, hogy mi szükséges egy VPN-átjáró üzembe helyezéséhez:
Szükséges helyszíni erőforrások
Az adatközpont VPN-átjáróhoz való csatlakoztatásához a következő helyszíni erőforrásokra van szüksége:
- Egy szabályzatalapú vagy útvonalalapú VPN-átjárókat támogató VPN-eszköz
- Egy nyilvános (internetes útválasztással elérhető) IPv4-cím
Magas rendelkezésre állást kívánó használati helyzetek
Többféleképpen is gondoskodhat róla, hogy hibatűrő konfigurációt alakítson ki.
Aktív/készenléti
A VPN-átjárók alapértelmezés szerint két példányként vannak üzembe helyezve, amelyek aktív/készenléti konfigurációban vannak, noha az Azure-ban csak egy VPN-átjáró erőforrás jelenik meg. Az aktív példányt érintő tervezett karbantartás vagy váratlan kimaradás esetén a készenléti példány automatikusan átveszi a kapcsolatok kezelését felhasználói beavatkozás nélkül. A feladat átvételekor a kapcsolatok megszakadnak, de tervezett karbantartás esetén általában néhány másodpercen belül, váratlan kimaradás esetén pedig 90 másodpercen belül helyreállnak.
Aktív/aktív
A BGP útválasztási protokoll támogatása révén aktív/aktív konfigurációban is üzembe helyezhetők a VPN-átjárók. Ebben a konfigurációban mindegyik példányhoz egyedi nyilvános IP-címet rendel. A helyszíni eszközről külön alagút van létrehozva az egyes IP-címekhez. A magas rendelkezésre állást egy másik helyszíni VPN-eszköz üzembe helyezésével bővítheti.
ExpressRoute-feladatátvétel
A magas rendelkezésre állást szolgáló további lehetőség egy VPN-átjáró konfigurálása az ExpressRoute-kapcsolatok biztonságos feladatátvételi útvonalaként. Az ExpressRoute-kapcsolatcsoportok hibatűrőek, de nem védettek a kapcsolatot megvalósító kábelek fizikai meghibásodásával vagy a teljes ExpressRoute-helyet érintő üzemkimaradásokkal szemben. Magas rendelkezésre állású helyzetekben, ahol fennáll az ExpressRoute-kapcsolatcsoport leállásával kapcsolatos kockázat, konfigurálhat egy VPN-átjárót is, amely az internetet használja a kapcsolat alternatív módjaként, így biztosítva, hogy mindig legyen kapcsolat az Azure-beli virtuális hálózatokkal.
Zónaredundáns átjárók
A rendelkezésre állási zónákat támogató régiókban a VPN- és ExpressRoute-átjárók zónaredundáns konfigurációban is üzembe helyezhetők. Ez a konfiguráció rugalmasságot, skálázhatóságot és magasabb szintű rendelkezésre állást biztosít a virtuális hálózati átjárók számára. Az átjárók Azure-beli rendelkezésre állási zónákban történő üzembe helyezésével fizikailag és logikailag is elválaszthatók a régióban található átjárók, miközben az Azure-ral létesített helyszíni hálózati kapcsolat megvédhető a zónaszintű hibáktól. Ezekhez eltérő átjáró-termékváltozatokra van szükség, és alapszintű nyilvános IP-címek helyett standard nyilvános IP-címeket kell használniuk.