Pengaturan Konfigurasi gateway VPN untuk Azure Stack Hub
Gateway VPN adalah jenis gateway jaringan virtual yang mengirimkan lalu lintas terenkripsi antara jaringan virtual Anda di Azure Stack Hub dan gateway VPN jarak jauh. Gateway VPN jarak jauh dapat berada di Azure, perangkat di pusat data Anda, atau perangkat di situs lain. Jika ada konektivitas jaringan antara dua titik akhir, Anda dapat membuat koneksi VPN Situs-ke-Situs (S2S) yang aman antara kedua jaringan.
Gateway VPN bergantung pada konfigurasi beberapa sumber daya, yang masing-masing berisi pengaturan yang dapat dikonfigurasi. Artikel ini menjelaskan sumber daya dan pengaturan yang berhubungan dengan gateway VPN untuk jaringan virtual yang Anda buat dalam model penyebaran Resource Manager. Anda dapat menemukan deskripsi dan diagram topologi untuk setiap solusi koneksi di Membuat gateway VPN untuk Azure Stack Hub.
Pengaturan gateway VPN
Jenis gateway
Setiap jaringan virtual Azure Stack Hub mendukung gateway jaringan virtual tunggal, yang harus berasal dari jenis Vpn. Dukungan ini berbeda dari Azure, yang mendukung jenis tambahan.
Saat membuat gateway jaringan virtual, pastikan jenis gateway sudah benar untuk konfigurasi Anda. Gateway VPN memerlukan bendera -GatewayType Vpn; misalnya:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU Gateway tanpa Jalur Cepat VPN Diaktifkan
Saat membuat gateway jaringan virtual, Anda harus menentukan SKU yang ingin Anda gunakan. Pilih SKU yang memenuhi kebutuhan Anda berdasarkan jenis beban kerja, throughput, fitur, dan SLA.
Anda dapat memiliki 10 gateway berkinerja tinggi atau 20 dasar dan standar sebelum mencapai kapasitas maksimum.
Azure Stack Hub menawarkan SKU gateway VPN yang ditampilkan dalam tabel berikut:
| SKU | Throughput Koneksi VPN Maks | Maks # koneksi per VM GW aktif | Maks # Koneksi VPN per stempel |
|---|---|---|---|
| Dasar | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Performa Tinggi | 200 Mbps Tx/Rx | 5 | 10 |
SKU Gateway dengan JALUR Cepat VPN Diaktifkan
Dengan rilis pratinjau publik VPN Fast Path, Azure Stack Hub mendukung tiga SKU baru dengan throughput yang lebih tinggi.
Batas dan throughput baru akan diaktifkan setelah JALUR Cepat VPN diaktifkan pada stempel Azure Stack Anda.
Azure Stack Hub menawarkan SKU gateway VPN yang ditampilkan dalam tabel berikut:
| SKU | Throughput Koneksi VPN Maks | Maks # koneksi per VM GW aktif | Maks # Koneksi VPN per stempel |
|---|---|---|---|
| Dasar | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Performa Tinggi | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Mengubah ukuran SKU gateway jaringan virtual
Azure Stack Hub tidak mendukung perubahan ukuran dari SKU warisan yang didukung (Basic, Standard, dan HighPerformance) ke SKU yang lebih baru yang didukung oleh Azure (VpnGw1, VpnGw2, dan VpnGw3).
Gateway dan koneksi jaringan virtual baru harus dibuat untuk menggunakan SKU baru yang diaktifkan oleh VPN Fast Path.
Mengonfigurasi SKU gateway jaringan virtual
Portal Azure Stack Hub
Jika Anda menggunakan portal Azure Stack Hub untuk membuat gateway jaringan virtual, SKU dapat dipilih menggunakan daftar dropdown. SKU JALUR Cepat VPN baru (VpnGw1, VpnGw2, VpnGw3) hanya akan terlihat setelah menambahkan parameter kueri "?azurestacknewvpnskus=true" ke URL dan refresh.
Contoh URL berikut membuat SKU gateway jaringan virtual baru terlihat di portal pengguna Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Sebelum membuat sumber daya ini, operator harus mengaktifkan JALUR Cepat VPN pada stempel Azure Stack Hub. Untuk informasi selengkapnya, lihat Jalur Cepat VPN untuk operator.
PowerShell
Contoh PowerShell berikut menetapkan parameter -GatewaySku sebagai Standar:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Jenis koneksi
Dalam model penyebaran Resource Manager, setiap konfigurasi memerlukan jenis koneksi gateway jaringan virtual tertentu. Nilai PowerShell Resource Manager yang tersedia untuk -ConnectionType adalah IPsec.
Dalam contoh PowerShell berikut, koneksi S2S dibuat yang memerlukan jenis koneksi IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Jenis VPN
Saat Anda membuat gateway jaringan virtual untuk konfigurasi VPN gateway, jenis VPN harus ditentukan. Jenis VPN yang Anda pilih bergantung pada topologi koneksi yang ingin Anda buat. Jenis VPN juga dapat bergantung pada perangkat keras yang digunakan. Konfigurasi S2S memerlukan perangkat VPN. Beberapa perangkat VPN hanya mendukung jenis VPN tertentu.
Penting
Saat ini, Azure Stack Hub hanya mendukung jenis VPN berbasis rute. Jika perangkat Anda hanya mendukung VPN berbasis kebijakan, koneksi ke perangkat tersebut dari Azure Stack Hub tidak didukung.
Selain itu, Azure Stack Hub tidak mendukung penggunaan pemilih lalu lintas berbasis kebijakan untuk gateway berbasis rute saat ini, karena Azure Stack Hub tidak mendukung pemilih lalu lintas berbasis kebijakan, meskipun didukung di Azure.
Berbasis Kebijakan: VPN berbasis kebijakan mengenkripsi dan mengarahkan paket melalui terowongan IPsec berdasarkan kebijakan IPsec yang dikonfigurasi dengan kombinasi awalan alamat antara jaringan lokal Anda dan VNet Azure Stack Hub. Kebijakan, atau pemilih lalu lintas, biasanya merupakan daftar akses dalam konfigurasi perangkat VPN.
Catatan
Berbasis Kebijakan didukung di Azure, tetapi tidak di Azure Stack Hub.
Berbasis Rute: VPN berbasis rute menggunakan rute yang dikonfigurasi dalam penerusan IP atau tabel perutean untuk mengarahkan paket ke antarmuka terowongan yang sesuai. Antarmuka terowongan kemudian mengenkripsi atau mendekripsi paket ke dalam dan ke luar terowongan. Kebijakan, atau pemilih lalu lintas, untuk VPN RouteBased dikonfigurasikan sebagai any-to-any (atau gunakan kartubebas). Secara default, ini tidak dapat diubah. Nilai untuk jenis RouteBased VPN adalah RouteBased.
Contoh PowerShell berikut menentukan -VpnType sebagai RouteBased. Saat membuat gateway, Anda harus pastikan -VpnType sudah benar untuk konfigurasi Anda.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Konfigurasi yang didukung gateway jaringan virtual saat VPN Fast Path tidak diaktifkan
| SKU | Jenis VPN | Tipe sambungan | Dukungan Perutean Aktif (BGP) | Titik akhir jarak jauh NAT-T Diaktifkan |
|---|---|---|---|---|
| SKU VNG Dasar | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Tidak Didukung | Tidak diperlukan |
| SKU VNG Standar | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Tidak diperlukan |
| SKU VNG Berkinerja Tinggi | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Tidak diperlukan |
Gateway jaringan virtual mendukung konfigurasi saat VPN Fast Path diaktifkan
| SKU | Jenis VPN | Tipe sambungan | Dukungan perutean aktif (BGP) | Titik akhir jarak jauh NAT-T Diaktifkan |
|---|---|---|---|---|
| SKU VNG Dasar | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Tidak Didukung | Wajib |
| SKU VNG Standar | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Wajib |
| SKU VNG Berkinerja Tinggi | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Wajib |
| VPNGw1 VNG SKU | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Wajib |
| VPNGw2 VNG SKU | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Wajib |
| VPNGw2 VNG SKU | VPN berbasis rute | Kunci yang dibagikan sebelumnya IPSec | Didukung, hingga 150 rute | Wajib |
Subnet gateway
Sebelum membuat VPN gateway, Anda harus membuat subnet gateway. Subnet gateway memiliki alamat IP yang digunakan oleh mesin virtual dan layanan gateway jaringan virtual. Saat Anda membuat gateway jaringan virtual dan koneksi, Gateway VM yang memiliki koneksi akan ditautkan ke subnet gateway dan akan dikonfigurasi dengan pengaturan gateway VPN yang diperlukan. Jangan menyebarkan hal lain (misalnya, mesin virtual tambahan) ke subnet gateway.
Penting
Subnet gateway harus diberi nama GatewaySubnet agar berfungsi dengan baik. Azure Stack Hub menggunakan nama ini untuk mengidentifikasi subnet yang menjadi tujuan penyebaran mesin virtual dan layanan gateway jaringan virtual.
Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Alamat IP di subnet gateway dialokasikan ke gateway VM dan layanan gateway. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain. Baca instruksi untuk konfigurasi yang ingin Anda buat dan verifikasi bahwa subnet gateway yang ingin Anda buat memenuhi persyaratan tersebut.
Selain itu, Anda harus memastikan subnet gateway Anda memiliki alamat IP yang cukup untuk menangani konfigurasi tambahan di masa mendatang. Meski Anda dapat membuat subnet gateway sekecil /29, kami sarankan Anda membuat subnet gateway sebesar /28 atau lebih besar (/28, /27, /26, dan seterusnya). Dengan begitu, jika Anda menambahkan fungsionalitas di masa depan, Anda tidak perlu meruntuhkan gateway, lalu menghapus dan membuat ulang subnet gateway untuk memungkinkan lebih banyak alamat IP.
Contoh Resource Manager PowerShell berikut ini memperlihatkan subnet gateway bernama GatewaySubnet. Seperti yang Anda lihat, notasi CIDR menetapkan /27, sehingga alamat IP cukup untuk sebagian besar konfigurasi yang saat ini sudah ada.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Penting
Saat bekerja dengan subnet gateway, hindari mengaitkan grup keamanan jaringan (NSG) ke subnet gateway. Mengaitkan kelompok keamanan jaringan ke subnet ini dapat menyebabkan gateway VPN Anda tidak berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang grup keamanan jaringan, lihat Apa itu grup keamanan jaringan?.
Gateway jaringan lokal
Saat membuat konfigurasi gateway VPN di Azure, gateway jaringan lokal sering kali mewakili lokasi lokal Anda. Di Azure Stack Hub, ini mewakili perangkat VPN jarak jauh yang berada di luar Azure Stack Hub. Perangkat ini bisa berupa perangkat VPN di pusat data Anda (atau pusat data jarak jauh), atau gateway VPN di Azure.
Anda memberi nama gateway jaringan lokal, alamat IP publik perangkat VPN jarak jauh, dan menentukan awalan alamat yang ada di lokasi lokal. Azure Stack Hub melihat awalan alamat tujuan untuk lalu lintas jaringan, berkonsultasi dengan konfigurasi yang telah Anda tentukan untuk gateway jaringan lokal Anda, dan merutekan paket yang sesuai.
Contoh PowerShell ini membuat gateway jaringan lokal baru:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Terkadang Anda perlu mengubah pengaturan gateway jaringan lokal; misalnya, saat Anda menambahkan atau mengubah rentang alamat, atau jika alamat IP perangkat VPN berubah. Untuk informasi selengkapnya, lihat Mengubah pengaturan gateway jaringan lokal menggunakan PowerShell.
Parameter IPsec/IKE
Saat menyiapkan koneksi VPN di Azure Stack Hub, Anda harus mengonfigurasi koneksi di kedua ujungnya. Jika Anda mengonfigurasi koneksi VPN antara Azure Stack Hub dan perangkat keras seperti pengalih atau perute yang bertindak sebagai gateway VPN, perangkat itu mungkin meminta Anda untuk memberikan pengaturan tambahan.
Tidak seperti Azure, yang mendukung beberapa penawaran sebagai inisiator dan responden, Azure Stack Hub hanya mendukung satu penawaran secara default. Jika Anda perlu menggunakan pengaturan IPSec/IKE yang berbeda untuk bekerja dengan perangkat VPN Anda, ada pengaturan lainnya yang tersedia bagi Anda untuk mengonfigurasikan koneksi Anda secara manual. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan IPsec/IKE pada koneksi VPN situs ke situs.
Penting
Saat menggunakan terowongan S2S, paket dienkapsulasi lebih lanjut dengan header tambahan yang meningkatkan ukuran keseluruhan paket. Dalam skenario ini, Anda harus menjepit TCP MSS pada 1350. Atau, jika perangkat VPN Anda tidak mendukung penjepitan MSS, Anda dapat mengatur MTU pada antarmuka terowongan ke 1400 byte sebagai gantinya. Untuk informasi selengkapnya, lihat Penyesuaian performa Virtual Network TCPIP.
Parameter IKE Fase 1 (Mode Utama)
| Properti | Nilai |
|---|---|
| Versi IKE | IKEv2 |
| Grup Diffie-Hellman* | ECP384 |
| Metode Autentikasi | Kunci Pra-Bagi |
| Algoritma Enkripsi & Hashing* | AES256, SHA384 |
| Umur Hidup SA (Waktu) | 28.800 detik |
Parameter IKE Fase 2 (Mode Cepat)
| Properti | Nilai |
|---|---|
| Versi IKE | IKEv2 |
| Algoritma Enkripsi & Hashing (Enkripsi) | GCMAES256 |
| Algoritma Enkripsi & Hashing (Autentikasi) | GCMAES256 |
| Umur Hidup SA (Waktu) | 27.000 detik |
| Masa Pakai SA (Kilobyte) | 33,553,408 |
| Kerahasiaan Penerusan Sempurna (PFS)* | ECP384 |
| Deteksi Serekan Mati | Didukung |
* Parameter baru atau diubah.