Az Azure-beli virtuális magánhálózatok ismertetése
A virtuális magánhálózat (VPN) egy titkosított alagutat használ egy másik hálózaton belül. A VPN-ek általában úgy vannak üzembe helyezve, hogy két vagy több megbízható magánhálózatot csatlakoztassanak egymáshoz egy nem megbízható hálózaton keresztül (általában a nyilvános interneten). A forgalom titkosítva van, miközben a nem megbízható hálózaton áthalad, így megakadályozhatóak a lehallgatásos vagy más típusú támadások. A VPN-ek lehetővé teszik a hálózatok számára a bizalmas információk biztonságos és biztonságos megosztását.
VPN-átjárók
A VPN-átjáró a virtuális hálózati átjárók egyik típusa. Az Azure VPN Gateway-példányok a virtuális hálózat egy dedikált alhálózatán vannak üzembe helyezve, és engedélyezik a következő kapcsolatot:
- Helyszíni adatközpontok összekapcsolása virtuális hálózatokkal helyek közötti kapcsolattal.
- Egyes eszközök összekapcsolása virtuális hálózatokkal pont-hely típusú kapcsolattal.
- Virtuális hálózatok összekapcsolása más virtuális hálózatokkal hálózatok közötti kapcsolattal.
Minden adatátvitel titkosítva van egy magánalagúton belül, miközben áthalad az interneten. Minden virtuális hálózaton csak egy VPN-átjárót helyezhet üzembe. Egy átjáróval azonban több helyre is csatlakozhat, beleértve más virtuális hálózatokat vagy helyszíni adatközpontokat is.
VPN-átjáró beállításakor meg kell adnia a VPN típusát – szabályzatalapú vagy útvonalalapú. A két típus közötti elsődleges különbség az, hogy hogyan határozzák meg, hogy melyik forgalom igényel titkosítást. Az Azure-ban a VPN típusától függetlenül az alkalmazott hitelesítési módszer egy előre megosztott kulcs.
- A szabályzatalapú VPN-átjárók statikusan határozzák meg az egyes alagutakon keresztül titkosítani kívánt csomagok IP-címét. Az ilyen típusú eszközök kiértékelik az összes adatcsomagot ezekkel az IP-címekkel, hogy kiválasszák azt az alagutat, amelyen keresztül a csomagot el lehet küldeni.
- Az útvonalalapú átjárókban az IPSec-alagutak hálózati adapterként vagy virtuális alagút-adapterként vannak modellezve. Az IP-útválasztás (vagy statikus útvonalak, vagy dinamikus útválasztási protokollok) dönti el, hogy az egyes csomagokat melyik alagút-interfész használatával küldje el. Helyszíni eszközök csatlakoztatásakor általában az útvonalalapú VPN-eket részesítik előnyben. Ezek rugalmasabbak a topológia változásaival, például új alhálózatok létrehozásával szemben.
Használjon útvonalalapú VPN-átjárót, ha az alábbi kapcsolódási típusok valamelyikére van szükség:
- Virtuális hálózatok közötti kapcsolatok
- Pont-hely típusú kapcsolatok
- Többhelyes kapcsolatok
- Azure ExpressRoute-átjáróval való együttes használat esetén
Magas rendelkezésre állást kívánó használati helyzetek
Ha úgy konfigurál egy VPN-t, hogy az adatai biztonságban legyenek, azt is meg kell győződnie arról, hogy ez egy magas rendelkezésre állású és hibatűrő VPN-konfiguráció. Többféleképpen is maximalizálhatja a VPN-átjáró rugalmasságát.
Aktív/készenléti
A VPN-átjárók alapértelmezés szerint két példányként vannak üzembe helyezve, amelyek aktív/készenléti konfigurációban vannak, noha az Azure-ban csak egy VPN-átjáró erőforrás jelenik meg. Az aktív példányt érintő tervezett karbantartás vagy váratlan kimaradás esetén a készenléti példány automatikusan átveszi a kapcsolatok kezelését felhasználói beavatkozás nélkül. A feladat átvételekor a kapcsolatok megszakadnak, de tervezett karbantartás esetén általában néhány másodpercen belül, váratlan kimaradás esetén pedig 90 másodpercen belül helyreállnak.
Aktív/aktív
A BGP útválasztási protokoll támogatása révén aktív/aktív konfigurációban is üzembe helyezhetők a VPN-átjárók. Ebben a konfigurációban mindegyik példányhoz egyedi nyilvános IP-címet rendel. A helyszíni eszközről külön alagút van létrehozva az egyes IP-címekhez. A magas rendelkezésre állás tovább fokozható további helyszíni VPN-eszközök üzembe helyezésével.
ExpressRoute-feladatátvétel
A magas rendelkezésre állást szolgáló további lehetőség egy VPN-átjáró konfigurálása az ExpressRoute-kapcsolatok biztonságos feladatátvételi útvonalaként. A hibatűrés az ExpressRoute-kapcsolatcsoportok beépített tulajdonsága. Ezek azonban nem védettek a teljes ExpressRoute-helyet érintő kapcsolódást vagy kimaradásokat biztosító kábeleket érintő fizikai problémáktól. Magas rendelkezésre állási helyzetekben, ahol fennáll az ExpressRoute-kapcsolatcsoport üzemkimaradásának kockázata, létrehozhat egy olyan VPN-átjárót is, amely az internetet használja másodlagos kapcsolódási módszerként. Így biztosíthatja, hogy mindig legyen kapcsolat a virtuális hálózatokhoz.
Zónaredundáns átjárók
A rendelkezésre állási zónákat támogató régiókban a VPN-átjárók és ExpressRoute-átjárók zónaredundáns konfigurációban is üzembe helyezhetők. Ez a konfiguráció rugalmasságot, skálázhatóságot és magasabb szintű rendelkezésre állást biztosít a virtuális hálózati átjárók számára. Az átjárók Azure-beli rendelkezésre állási zónákban történő üzembe helyezésével fizikailag és logikailag is elválaszthatók a régióban található átjárók, miközben az Azure-ral létesített helyszíni hálózati kapcsolat megvédhető a zónaszintű hibáktól. Ezek az átjárók különböző átjárókészlet-megőrzési egységeket (SKU-kat) igényelnek, és standard nyilvános IP-címeket használnak az alapszintű nyilvános IP-címek helyett.