Topologi dan desain VPN Gateway
Ada banyak opsi konfigurasi berbeda yang tersedia untuk koneksi VPN Gateway. Gunakan diagram dan deskripsi di bagian berikut untuk membantu Anda memilih topologi koneksi yang memenuhi kebutuhan Anda. Diagram menunjukkan garis besar topologi, tetapi membangun konfigurasi yang lebih kompleks juga dapat dilakukan menggunakan diagram sebagai pedoman.
VPN situs-ke-situs
Koneksi gateway VPN situs-ke-situs (S2S) adalah koneksi melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Koneksi situs ke situs dapat digunakan untuk konfigurasi lintas tempat dan hibrid. Koneksi situs-ke-situs memerlukan perangkat VPN yang terletak di tempat yang memiliki alamat IP publik yang ditetapkan untuknya. Untuk informasi tentang memilih perangkat VPN, lihat Tanya Jawab Umum VPN Gateway - Perangkat VPN.
VPN Gateway dapat dikonfigurasi dalam mode siaga-aktif menggunakan satu IP publik atau dalam mode aktif-aktif menggunakan dua IP publik. Dalam mode siaga aktif, satu terowongan IPsec dalam kondisi aktif dan terowongan lainnya dalam kondisi siaga. Dalam pengaturan ini, lalu lintas mengalir melalui terowongan aktif dan jika beberapa masalah terjadi dengan terowongan ini, maka lalu lintas beralih ke terowongan siaga. Menyiapkan VPN Gateway dalam mode aktif-aktif disarankan jika kedua terowongan IPsec secara bersamaan aktif, dengan data yang mengalir melalui kedua terowongan pada saat yang sama. Keuntungan lain dari mode aktif-aktif adalah pelanggan mengalami throughput yang lebih tinggi.
Anda dapat membuat lebih dari satu koneksi VPN dari gateway jaringan virtual Anda, biasanya tersambung ke beberapa situs lokal. Saat bekerja dengan beberapa koneksi, Anda harus menggunakan jenis VPN RouteBased (dikenal sebagai gateway dinamis saat bekerja dengan VNets klasik). Karena setiap jaringan virtual hanya boleh memiliki satu gateway VPN, semua koneksi melalui gateway berbagi bandwidth yang tersedia. Jenis koneksi ini terkadang disebut sebagai koneksi "multi-situs".
Model dan metode penyebaran untuk S2S
| Model/metode penyebaran | Portal Azure | PowerShell | Azure CLI |
|---|---|---|---|
| Manajer Sumber Daya | Tutorial | Tutorial | Tutorial |
| Klasik (model penyebaran warisan) | Tutorial** | Tutorial | Tidak Didukung |
(**) menunjukkan bahwa metode ini berisi langkah-langkah yang memerlukan PowerShell.
VPN Titik ke situs
Koneksi gateway VPN titik-ke-situs (P2S) memungkinkan Anda membuat koneksi aman ke jaringan virtual Anda dari komputer klien individual. Koneksi titik-ke-situs dibuat dengan memulainya dari komputer klien. Solusi ini berguna untuk telekomuter yang ingin terhubung ke jaringan virtual Azure dari lokasi jarak jauh, seperti dari rumah atau konferensi. VPN titik-ke-situs juga merupakan solusi yang berguna untuk digunakan alih-alih VPN situs-ke-situs ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke jaringan virtual.
Tidak seperti koneksi situs-ke-situs, koneksi titik-ke-situs tidak memerlukan alamat IP publik lokal atau perangkat VPN. Koneksi titik-ke-situs dapat digunakan dengan koneksi situs-ke-situs melalui gateway VPN yang sama, selama semua persyaratan konfigurasi untuk kedua koneksi kompatibel. Untuk informasi selengkapnya tentang koneksi titik-ke-situs, lihat Tentang VPN titik-ke-situs.
Model dan metode penyebaran untuk P2S
| Autentikasi sertifikat asli Azure | Model/metode penyebaran | Portal Azure | PowerShell |
|---|---|---|---|
| Manajer Sumber Daya | Tutorial | Tutorial | |
| Klasik (model penyebaran warisan) | Tutorial | Didukung |
| Autentikasi Microsoft Entra | Model/metode penyebaran | Artikel |
|---|---|---|
| Manajer Sumber Daya | Membuat penyewa | |
| Manajer Sumber Daya | Mengonfigurasi akses- pengguna dan grup |
| Autentikasi RADIUS | Model/metode penyebaran | Portal Azure | PowerShell |
|---|---|---|---|
| Manajer Sumber Daya | Didukung | Tutorial | |
| Klasik (model penyebaran warisan) | Tidak Didukung | Tidak Didukung |
Konfigurasi klien VPN P2S
| Autentikasi | Jenis terowongan | Hasilkan file konfigurasi | Mengonfigurasi klien VPN |
|---|---|---|---|
| Sertifikat Azure | IKEv2, SSTP | Windows | Klien VPN asli |
| Sertifikat Azure | OpenVPN | Windows | - Klien OpenVPN - Klien Azure VPN |
| Sertifikat Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Sertifikat Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| Sertifikat RADIUS | - | Artikel | Artikel |
| RADIUS - kata sandi | - | Artikel | Artikel |
| RADIUS - metode lain | - | Artikel | Artikel |
Koneksi VNet-ke-VNet (terowongan VPN IPsec/IKE)
Koneksi jaringan virtual ke jaringan virtual lain (VNet-ke-VNet) mirip dengan menyambungkan jaringan virtual ke lokasi situs lokal. Kedua jenis konektivitas menggunakan gateway VPN untuk menyediakan terowongan aman menggunakan IPsec/IKE. Anda dapat menggabungkan komunikasi VNet to VNet dengan konfigurasi multisitus. Ini membuat Anda dapat membangun topologi jaringan yang menggabungkan konektivitas lintas lokasi dengan konektivitas antara jaringan virtual.
Jaringan virtual yang Anda sambungkan dapat berupa:
- di wilayah yang sama atau berbeda
- di langganan yang sama atau berbeda
- dalam model penyebaran yang sama atau berbeda
Model dan metode penyebaran Vnet-ke-VNet
| Model/metode penyebaran | Portal Azure | PowerShell | Azure CLI |
|---|---|---|---|
| Manajer Sumber Daya | Tutorial+ | Tutorial | Tutorial |
| Klasik (model penyebaran warisan) | Tutorial* | Didukung | Tidak Didukung |
| Koneksi antara model penyebaran Resource Manager dan Classic (warisan) | Tutorial* | Tutorial | Tidak Didukung |
(+) menunjukkan metode penyebaran ini hanya tersedia untuk VNet dalam langganan yang sama.
(*) menunjukkan bahwa metode penyebaran ini juga memerlukan PowerShell.
Dalam beberapa kasus, Anda mungkin ingin menggunakan peering jaringan virtual alih-alih VNet-ke-VNet untuk menyambungkan jaringan virtual Anda. Peering jaringan virtual tidak menggunakan gateway jaringan virtual. Untuk informasi selengkapnya, lihat Peering jaringan virtual.
Koneksi situs-ke-situs dan ExpressRoute yang berdampingan
ExpressRoute adalah koneksi privat langsung dari WAN Anda (bukan melalui Internet publik) ke Layanan Microsoft, termasuk Azure. Lalu lintas VPN situs-ke-situs dienkripsi melalui Internet publik. Mampu mengonfigurasi koneksi VPN situs-ke-situs dan ExpressRoute untuk jaringan virtual yang sama memiliki beberapa keuntungan.
Anda dapat mengonfigurasi VPN situs-ke-situs sebagai jalur failover aman untuk ExpressRoute, atau menggunakan VPN situs-ke-situs untuk menyambungkan ke situs yang bukan bagian dari jaringan Anda, tetapi yang terhubung melalui ExpressRoute. Perhatikan bahwa konfigurasi ini memerlukan dua gateway jaringan virtual untuk jaringan virtual yang sama, satu menggunakan vpn jenis gateway, dan yang lainnya menggunakan jenis gateway ExpressRoute.
Model dan metode penyebaran untuk koneksi S2S dan ExpressRoute yang berdampingan
| Model/metode penyebaran | Portal Azure | PowerShell |
|---|---|---|
| Manajer Sumber Daya | Didukung | Tutorial |
| Klasik (model penyebaran warisan) | Tidak Didukung | Tutorial |
Koneksi yang sangat tersedia
Untuk perencanaan dan desain koneksi yang sangat tersedia, lihat Koneksi yang sangat tersedia.
Langkah berikutnya
Lihat Tanya Jawab Umum VPN Gateway untuk informasi tambahan.
Pelajari selengkapnya tentang setelan konfigurasi VPN Gateway.
Untuk pertimbangan BGP VPN Gateway, lihat Tentang BGP.
Lihat batas Langganan dan layanan.
Pelajari tentang beberapa kemampuan jaringan utama Azure lainnya.