Az Azure-beli virtuális magánhálózatok ismertetése

  • 5 perc

A virtuális magánhálózat (VPN) egy titkosított alagutat használ egy másik hálózaton belül. A VPN-ek általában úgy vannak üzembe helyezve, hogy két vagy több megbízható magánhálózatot csatlakoztassanak egymáshoz egy nem megbízható hálózaton keresztül (általában a nyilvános interneten). A forgalom titkosítva van, miközben a nem megbízható hálózaton áthalad, így megakadályozhatóak a lehallgatásos vagy más típusú támadások. A VPN-ek lehetővé teszik a hálózatok számára a bizalmas információk biztonságos és biztonságos megosztását.

VPN-átjárók

A VPN-átjáró a virtuális hálózati átjárók egyik típusa. Az Azure VPN Gateway-példányok a virtuális hálózat egy dedikált alhálózatán vannak üzembe helyezve, és engedélyezik a következő kapcsolatot:

  • Helyszíni adatközpontok összekapcsolása virtuális hálózatokkal helyek közötti kapcsolattal.
  • Egyes eszközök összekapcsolása virtuális hálózatokkal pont-hely típusú kapcsolattal.
  • Virtuális hálózatok összekapcsolása más virtuális hálózatokkal hálózatok közötti kapcsolattal.

Minden adatátvitel titkosítva van egy magánalagúton belül, miközben áthalad az interneten. Minden virtuális hálózaton csak egy VPN-átjárót helyezhet üzembe. Egy átjáróval azonban több helyre is csatlakozhat, beleértve más virtuális hálózatokat vagy helyszíni adatközpontokat is.

VPN-átjáró beállításakor meg kell adnia a VPN típusát – szabályzatalapú vagy útvonalalapú. A két típus közötti elsődleges különbség az, hogy hogyan határozzák meg, hogy melyik forgalom igényel titkosítást. Az Azure-ban a VPN típusától függetlenül az alkalmazott hitelesítési módszer egy előre megosztott kulcs.

  • A szabályzatalapú VPN-átjárók statikusan határozzák meg az egyes alagutakon keresztül titkosítani kívánt csomagok IP-címét. Az ilyen típusú eszközök kiértékelik az összes adatcsomagot ezekkel az IP-címekkel, hogy kiválasszák azt az alagutat, amelyen keresztül a csomagot el lehet küldeni.
  • Az útvonalalapú átjárókban az IPSec-alagutak hálózati adapterként vagy virtuális alagút-adapterként vannak modellezve. Az IP-útválasztás (vagy statikus útvonalak, vagy dinamikus útválasztási protokollok) dönti el, hogy az egyes csomagokat melyik alagút-interfész használatával küldje el. Helyszíni eszközök csatlakoztatásakor általában az útvonalalapú VPN-eket részesítik előnyben. Ezek rugalmasabbak a topológia változásaival, például új alhálózatok létrehozásával szemben.

Használjon útvonalalapú VPN-átjárót, ha az alábbi kapcsolódási típusok valamelyikére van szükség:

  • Virtuális hálózatok közötti kapcsolatok
  • Pont-hely típusú kapcsolatok
  • Többhelyes kapcsolatok
  • Azure ExpressRoute-átjáróval való együttes használat esetén

Magas rendelkezésre állást kívánó használati helyzetek

Ha úgy konfigurál egy VPN-t, hogy az adatai biztonságban legyenek, azt is meg kell győződnie arról, hogy ez egy magas rendelkezésre állású és hibatűrő VPN-konfiguráció. Többféleképpen is maximalizálhatja a VPN-átjáró rugalmasságát.

Aktív/készenléti

A VPN-átjárók alapértelmezés szerint két példányként vannak üzembe helyezve, amelyek aktív/készenléti konfigurációban vannak, noha az Azure-ban csak egy VPN-átjáró erőforrás jelenik meg. Az aktív példányt érintő tervezett karbantartás vagy váratlan kimaradás esetén a készenléti példány automatikusan átveszi a kapcsolatok kezelését felhasználói beavatkozás nélkül. A feladat átvételekor a kapcsolatok megszakadnak, de tervezett karbantartás esetén általában néhány másodpercen belül, váratlan kimaradás esetén pedig 90 másodpercen belül helyreállnak.

Aktív/aktív

A BGP útválasztási protokoll támogatása révén aktív/aktív konfigurációban is üzembe helyezhetők a VPN-átjárók. Ebben a konfigurációban mindegyik példányhoz egyedi nyilvános IP-címet rendel. A helyszíni eszközről külön alagút van létrehozva az egyes IP-címekhez. A magas rendelkezésre állás tovább fokozható további helyszíni VPN-eszközök üzembe helyezésével.

ExpressRoute-feladatátvétel

A magas rendelkezésre állást szolgáló további lehetőség egy VPN-átjáró konfigurálása az ExpressRoute-kapcsolatok biztonságos feladatátvételi útvonalaként. A hibatűrés az ExpressRoute-kapcsolatcsoportok beépített tulajdonsága. Ezek azonban nem védettek a teljes ExpressRoute-helyet érintő kapcsolódást vagy kimaradásokat biztosító kábeleket érintő fizikai problémáktól. Magas rendelkezésre állási helyzetekben, ahol fennáll az ExpressRoute-kapcsolatcsoport üzemkimaradásának kockázata, létrehozhat egy olyan VPN-átjárót is, amely az internetet használja másodlagos kapcsolódási módszerként. Így biztosíthatja, hogy mindig legyen kapcsolat a virtuális hálózatokhoz.

Zónaredundáns átjárók

A rendelkezésre állási zónákat támogató régiókban a VPN-átjárók és ExpressRoute-átjárók zónaredundáns konfigurációban is üzembe helyezhetők. Ez a konfiguráció rugalmasságot, skálázhatóságot és magasabb szintű rendelkezésre állást biztosít a virtuális hálózati átjárók számára. Az átjárók Azure-beli rendelkezésre állási zónákban történő üzembe helyezésével fizikailag és logikailag is elválaszthatók a régióban található átjárók, miközben az Azure-ral létesített helyszíni hálózati kapcsolat megvédhető a zónaszintű hibáktól. Ezek az átjárók különböző átjárókészlet-megőrzési egységeket (SKU-kat) igényelnek, és standard nyilvános IP-címeket használnak az alapszintű nyilvános IP-címek helyett.