Az Azure VPN Gateway működése
Mindegyik Azure-beli virtuális hálózaton csak egy VPN-átjárót helyezhet üzembe. Annak ellenére, hogy egyetlen VPN-átjáróra van korlátozva, konfigurálhatja ezt az átjárót úgy, hogy több helyre csatlakozzon, beleértve más Azure-beli virtuális hálózatokat vagy helyszíni adatközpontokat is.
Megjegyzés:
A virtuális hálózati átjáró két vagy több speciális virtuális gépből áll, amelyek egy adott alhálózaton, az átjáró alhálózatán vannak üzembe helyezve. A virtuális hálózati átjáró virtuális gépei útválasztási táblákat üzemeltetnek, és meghatározott átjárószolgáltatásokat futtatnak. Ezek az átjárót alkotó virtuális gépek a virtuális hálózati átjáró létrehozásakor jönnek létre, és az Azure automatikusan felügyeli őket, és nem igényelnek rendszergazdai figyelmet.
VPN-átjárótípusok
Virtuális hálózati átjáró konfigurálásakor kiválaszt egy beállítást, amely meghatározza az átjáró típusát. Az átjáró típusa határozza meg a virtuális hálózati átjáró használatát és az átjáró által végrehajtandó műveleteket. Az átjáró típusa Vpn
azt határozza meg, hogy a létrehozott virtuális hálózati átjáró típusa egy VPN gateway
. Ez megkülönbözteti az ExpressRoute-átjárótól, amely más átjárótípust használ. Egy Azure-beli virtuális hálózat két virtuális hálózati átjáróval rendelkezhet: egy VPN-átjáróval és egy ExpressRoute-átjáróval.
Az Azure VPN-átjáróknak két típusa van:
- Szabályzatalapú VPN-átjáró
- Útvonalalapú VPN-átjáró
Szabályzatalapú VPN-átjárók
A szabályzatalapú VPN-átjárók megkövetelik, hogy az egyes alagutakon keresztül titkosítandó csomagok IP-címeinek rögzített készletét adja meg. Ez az eszköz minden adatcsomagot kiértékel a rögzített IP-címek alapján, majd kiválasztja azt az alagutat, amelyen keresztül elküldi a forgalmat.
Az Azure-beli szabályzatalapú VPN-átjárók legfontosabb funkciói a következők:
- Csak az IKEv1 támogatása
- Statikus útválasztás használata
Az bújtatott hálózatok forrását és célját a VPN-szabályzat deklarálja, és nem kell útválasztási táblákban deklarálni. Szabályzatalapú VPN-eket csak olyan helyzetekben használjon, amelyek megkövetelik őket, például az örökölt helyszíni VPN-eszközökkel való kompatibilitás érdekében.
Útvonalalapú VPN-átjárók
Útvonalalapú Azure VPN-átjárók esetén az IPsec-alagút hálózati adapterként vagy virtuális alagút-interfészként (VTI) működik. Az IP-útválasztás (statikus útvonalak vagy dinamikus útválasztási protokollok) határozza meg, hogy mely alagút-adapterek továbbítják az egyes csomagokat. Az útvonalalapú VPN-ek a helyszíni eszközök előnyben részesített csatlakozási módszerei, mivel ellenállóbbak a topológia változásaival, például az új alhálózatok létrehozásával szemben. Az útvonalalapú VPN sokkal alkalmasabb az Adatum számára, mivel lehetővé teszi az Azure IaaS-erőforrásokhoz való csatlakozást a virtuális hálózatokon, ha új alhálózatokat adnak hozzá az Azure VPN-átjáró újrakonfigurálása nélkül.
Használjon útvonalalapú VPN-átjárót, ha az alábbi kapcsolódási típusok valamelyikére van szükség:
- Virtuális hálózatok közötti kapcsolatok
- Pont-hely típusú kapcsolatok
- Többhelyes kapcsolatok
- Azure ExpressRoute-átjáróval való együttes használat esetén
Az Azure-beli útvonalalapú VPN-átjárók legfontosabb funkciói a következők:
- Támogatja az IKEv2 protokollt
- Bármely elemek közötti (helyettesítő) forgalomválasztókat használ
- Dinamikus útválasztási protokollokat használhat, ahol az útválasztási/továbbítási táblák különböző IPsec-alagutakba irányítják a forgalmat
Ha dinamikus útválasztás használatára van konfigurálva, a forrás- és célhálózatok nincsenek statikusan definiálva, mert szabályzatalapú VPN-ekben, vagy akár statikus útválasztással rendelkező, útvonalalapú VPN-ekben vannak. Ehelyett az adatcsomagok titkosítása az útválasztási protokollok, például a Border Gateway Protocol (BGP) használatával dinamikusan létrehozott hálózati útvonaltáblák alapján történik.
Az Azure VPN-átjárók csak az előre megosztott kulcsú hitelesítési módszert támogatják. Mind az útvonalalapú, mind a szabályzatalapú típusok az 1-es vagy a 2-es verzióban, valamint az Internet Protocol Security (IPsec) verzióban is az Internet Key Exchange (IKE) szolgáltatásra támaszkodnak. Az IKE rendeltetése egy biztonsági társítás (a titkosításra vonatkozó megállapodás) kialakítása a két végpont között. Ez a társítás ezután az IPsec-csomagnak lesz átadva, amely titkosítja és visszafejti a VPN-alagútba ágyazott adatcsomagokat.
Az Azure VPN Gateway méretei
Virtuális hálózati átjáró létrehozásakor meg kell adnia egy átjáró termékváltozatát. Olyan termékváltozatot kell választania, amely megfelel a követelményeknek a számítási feladatok típusai, az átviteli sebesség, a funkciók és az SLA-k alapján.
Átjáró termékváltozatai – 1. generáció | Helyek közötti VPN-alagutak maximális száma | Összesített átviteli sebesség | BGP-támogatás |
---|---|---|---|
Alap | 10 | 100 Mbps | Nem támogatott |
VpnGw1/Az | 30 | 650 Mbps | Támogatott |
VpnGw2/Az | 30 | 1 Gbps | Támogatott |
VpnGw3/Az | 30 | 1,25 Gbps | Támogatott |
Ez a táblázat az 1. generációs termékváltozatokat mutatja be. Az 1. generációs termékváltozatok használatakor szükség szerint migrálhat a VpnGw1, a VpnGw2 és a VpnGw3 termékváltozatok között. Az alapszintű termékváltozatból nem migrálhat a VPN-átjáró eltávolítása és ismételt üzembe helyezése nélkül. A 2. generációs termékváltozatok használatával VPN-átjárókat is létrehozhat. Az SKU-kkal, az átviteli sebességgel és a támogatott funkciókkal kapcsolatos legfrissebb információkért tekintse meg a modul Összefoglalás szakaszának hivatkozásait.
A VPN-átjáró követelményei
A működési VPN-átjáró üzembe helyezése előtt a következő Azure-erőforrásoknak kell jelen lenniük:
- Virtuális hálózat: Olyan Azure-beli virtuális hálózat, amely elegendő címtérrel rendelkezik a VPN-átjáróhoz szükséges további alhálózathoz. A virtuális hálózat címtere nem lehet átfedésben azzal a helyszíni hálózattal, amelyhez csatlakozni fog.
- GatewaySubnet: Egy GatewaySubnet nevű alhálózat a VPN-átjáróhoz. Legalább /27 címmaszkot igényel. Ez az alhálózat más szolgáltatásokhoz nem használható.
- Nyilvános IP-cím: Alapszintű termékváltozatú dinamikus nyilvános IP-cím, ha nem zónaérzékeny átjárót használ. Ez a nyilvános irányítható IP-cím szolgál majd célként a helyszíni VPN-eszköz számára. Bár ez az IP-cím dinamikus, csak a VPN-átjáró törlése vagy ismételt létrehozása esetén fog módosulni.
- Helyi hálózati átjáró: Hozzon létre egy helyi hálózati átjárót a helyszíni hálózat konfigurációjának meghatározásához: hogy hol csatlakozik a VPN-átjáró, és hogy mihez csatlakozik. Ez a konfiguráció tartalmazza a helyszíni VPN-eszköz nyilvános IPv4-címét, és a helyszíni irányítható hálózatokat. Ezeket az információkat a VPN-átjáró használja a helyszíni hálózatokra szánt csomagok IPsec-alagúton keresztüli átirányítására.
Ha ezek az előfeltétel-összetevők jelen vannak, létrehozhatja a virtuális hálózati átjárót a virtuális hálózat és a helyszíni adatközpont vagy más virtuális hálózatok közötti forgalom irányításához. A virtuális hálózati átjáró üzembe helyezése után létrehozhat egy kapcsolati erőforrást a VPN-átjáró és a helyi hálózati átjáró közötti logikai kapcsolat létrehozásához:
- A kapcsolat a helyszíni VPN-eszköznek a helyi hálózati átjáró által meghatározott IPv4-címén lesz létrehozva.
- A kapcsolat a virtuális hálózati átjáróból és az ahhoz társított nyilvános IP-címből lesz létrehozva.
Az egyes Azure VPN-átjárókhoz több kapcsolatot is konfigurálhat az SKU által meghatározott korlátig.
Magas szintű rendelkezésre állás
Annak ellenére, hogy csak egy VPN Gateway-erőforrást lát az Azure-ban, a VPN-átjárók a felügyelt virtuális gépek két példányaként vannak üzembe helyezve aktív/készenléti konfigurációban. Ha a tervezett karbantartás vagy a nem tervezett fennakadás hatással van az aktív példányra, a készenléti példány automatikusan felelősséget vállal a felhasználói vagy rendszergazdai beavatkozás nélküli kapcsolatokért. A feladat átvételekor a kapcsolatok megszakadnak, de tervezett karbantartás esetén általában néhány másodpercen belül, váratlan kimaradás esetén pedig 90 másodpercen belül helyreállnak.
Az Azure VPN-átjárók támogatják a BGP útválasztási protokollt, amely lehetővé teszi a VPN-átjárók aktív/aktív konfigurációban való üzembe helyezését is. Ebben a konfigurációban mindegyik példányhoz egyedi nyilvános IP-címet rendel. A helyszíni eszközről külön alagút van létrehozva az egyes IP-címekhez. A magas rendelkezésre állást egy másik helyszíni VPN-eszköz üzembe helyezésével bővítheti.
Megjegyzés:
Számos, ExpressRoute-kapcsolattal rendelkező szervezet is üzembe helyezett helyek közötti VPN-kapcsolatokat egy további redundanciaréteg érdekében.