Cara kerja Azure VPN Gateway

5 menit

Anda hanya dapat menyebarkan satu gateway VPN dalam setiap jaringan virtual Azure. Meskipun Anda terbatas pada satu gateway VPN, Anda dapat mengonfigurasi gateway ini untuk menyambungkan ke beberapa lokasi, termasuk jaringan virtual Azure lainnya atau pusat data lokal.

Catatan

Gateway jaringan virtual terdiri dari dua atau beberapa VM khusus yang disebarkan ke subnet tertentu yang disebut subnet gateway. VM gateway jaringan virtual meng-host tabel perutean dan menjalankan layanan gateway tertentu. VM yang merupakan gateway ini dibuat saat Anda membuat gateway jaringan virtual dan dikelola secara otomatis oleh Azure dan tidak memerlukan perhatian administratif.

Jenis gateway VPN

Saat Anda mengonfigurasi gateway jaringan virtual, Anda memilih pengaturan yang menentukan jenis gateway. Jenis gateway menentukan bagaimana gateway jaringan virtual akan digunakan dan tindakan yang akan dilakukan gateway. Tipe gateway Vpn menentukan bahwa jenis gateway jaringan virtual yang dibuat adalah VPN gateway. Ini membedakannya dari gateway ExpressRoute, yang menggunakan jenis gateway yang berbeda. Jaringan virtual Azure dapat memiliki dua gateway jaringan virtual: satu gateway VPN dan satu gateway ExpressRoute.

Ada dua jenis gateway VPN Azure:

Gateway VPN berbasis kebijakan
Gateway VPN berbasis rute

Gateway VPN berbasis kebijakan

Gateway VPN berbasis kebijakan mengharuskan Anda menentukan sekumpulan alamat IP tetap paket yang harus dienkripsi melalui setiap terowongan. Jenis perangkat ini mengevaluasi setiap paket data terhadap set alamat IP tetap tersebut, lalu memilih terowongan tempat perangkat akan mengirim lalu lintas tersebut.

Fitur utama gateway VPN berbasis kebijakan di Azure meliputi:

Dukungan hanya untuk IKEv1
Penggunaan perutean statis

Sumber dan tujuan jaringan terowongan dinyatakan dalam kebijakan VPN dan tidak perlu disebutkan dalam tabel perutean. Gunakan VPN berbasis hanya dalam skenario tertentu yang memerlukannya, seperti untuk kompatibilitas dengan perangkat VPN lokal lama.

Gateway VPN berbasis rute

Dengan gateway VPN Azure berbasis rute, terowongan IPsec berfungsi sebagai antarmuka jaringan atau antarmuka terowongan virtual (VTI). Perutean IP (rute statik atau protokol perutean dinamis) menentukan antarmuka terowongan yang akan mengirimkan setiap paket. VPN berbasis rute adalah metode koneksi pilihan untuk perangkat lokal karena lebih tahan terhadap perubahan topologi seperti pembuatan subnet baru. VPN berbasis rute jauh lebih cocok untuk Adatum, karena akan memungkinkan koneksi untuk dibuat ke sumber daya Azure IaaS di jaringan virtual jika subnet baru ditambahkan tanpa harus mengonfigurasi ulang gateway VPN Azure.

Gunakan gateway VPN berbasis rute jika Anda memerlukan salah satu jenis konektivitas berikut ini:

Koneksi antar jaringan virtual
Koneksi titik ke situs
Koneksi multisitus
Hidup berdampingan dengan gateway Azure ExpressRoute

Fitur utama gateway VPN berbasis kebijakan di Azure meliputi:

Mendukung IKEv2
Menggunakan pemilih lalu lintas sembarang-ke-sembarang (wildcard)
Dapat menggunakan protokol perutean dinamis, di mana tabel perutean/penerusan mengarahkan lalu lintas ke terowongan IPsec yang berbeda

Jika dikonfigurasi untuk menggunakan perutean dinamis, jaringan sumber dan tujuan tidak ditentukan secara statik karena berada di VPN berbasis kebijakan atau bahkan di VPN berbasis rute dengan perutean statik. Sebaliknya, paket data dienkripsi berdasarkan tabel perutean jaringan yang dibuat secara dinamis menggunakan protokol perutean seperti Border Gateway Protocol (BGP).

Gateway VPN Azure hanya mendukung penggunaan metode autentikasi kunci yang dibagikan sebelumnya. Jenis berbasis rute dan kebijakan ini juga bergantung pada Pertukaran Kunci Internet (IKE) baik dalam versi 1 atau versi 2 dan Keamanan Protokol Internet (IPsec). IKE digunakan untuk menyiapkan asosiasi keamanan (perjanjian enkripsi) antara dua titik akhir. Keterkaitan ini kemudian diteruskan ke suite IPsec, yang mengenkripsi dan mendekripsi paket data yang dienkapsulasi di terowongan VPN.

Ukuran gateway VPN Azure

Saat membuat gateway jaringan virtual, Anda harus menentukan SKU gateway. Anda harus memilih SKU yang memenuhi persyaratan Anda berdasarkan jenis beban kerja, throughput, fitur, dan SLA.

SKU Gateway - Generasi1	Terowongan VPN situs-ke-situs maksimum	Throughput agregat	Dukungan BGP
Dasar	10	100 Mbps	Tidak didukung
VpnGw1/Az	30	650 Mbps	Didukung
VpnGw2/Az	30	1 Gbps	Didukung
VpnGw3/Az	30	1,25 Gbps	Didukung

Tabel ini menunjukkan SKU Generasi1. Saat bekerja dengan SKU Generasi1, Anda dapat bermigrasi antara SKU VpnGw1, VpnGw2, dan VpnGw3 sesuai kebutuhan. Anda tidak dapat bermigrasi dari SKU Dasar tanpa menghapus dan menyebarkan ulang gateway VPN. Anda juga dapat membuat gateway VPN menggunakan SKU Generasi 2. Untuk informasi terbaru tentang SKU, throughput, dan fitur yang didukung, referensikan tautan di bagian Ringkasan modul ini.

Persyaratan gateway VPN

Sumber daya Azure berikut perlu ada sebelum dapat menyebarkan gateway VPN operasional:

Jaringan virtual: Jaringan virtual Azure dengan ruang alamat yang cukup untuk subnet tambahan yang Anda perlukan untuk gateway VPN. Ruang alamat untuk jaringan virtual ini tidak boleh tumpang tindih dengan jaringan lokal yang akan Anda sambungkan.
GatewaySubnet: Subnet yang disebut GatewaySubnet untuk gateway VPN. Memerlukan setidaknya masker alamat /27. Subnet ini tidak dapat digunakan untuk layanan lain.
Alamat IP publik: Alamat IP publik dinamis Basic-SKU jika menggunakan gateway yang tidak sadar zona. Alamat ini menyediakan alamat IP publik yang dapat dirutekan sebagai target untuk perangkat VPN lokal Anda. Alamat IP ini bersifat dinamis, tetapi tidak akan berubah kecuali Anda menghapus dan membuat ulang gateway VPN.
Gateway jaringan lokal: Buat gateway jaringan lokal untuk menentukan konfigurasi jaringan lokal: tempat gateway VPN akan tersambung dan ke apa yang akan disambungkannya. Konfigurasi ini mencakup alamat IPv4 publik perangkat VPN lokal dan jaringan lokal yang dapat dirutekan. Informasi ini digunakan oleh gateway VPN untuk merutekan paket yang ditujukan untuk jaringan lokal melalui terowongan IPsec.

Jika komponen prasyarat ini tersedia, Anda dapat membuat gateway jaringan virtual untuk merutekan lalu lintas antara jaringan virtual dan pusat data lokal atau jaringan virtual lainnya. Setelah gateway jaringan virtual disebarkan, Anda kemudian dapat membuat sumber daya koneksi untuk membuat koneksi logis antara gateway VPN dan gateway jaringan lokal:

Koneksi dibuat ke alamat IPv4 perangkat VPN lokal seperti yang ditentukan oleh gateway jaringan lokal.
Koneksi dibuat dari gateway jaringan virtual dan alamat IP publik terkait.

Anda dapat mengonfigurasi beberapa koneksi, hingga batas yang ditentukan oleh SKU, untuk setiap gateway VPN Azure.

Ketersediaan tinggi

Meskipun Anda hanya melihat satu sumber daya gateway VPN di Azure, gateway VPN disebarkan sebagai dua instans mesin virtual terkelola dalam konfigurasi aktif/siaga. Jika pemeliharaan terencana atau gangguan tak terencana memengaruhi instans aktif, instans siaga secara otomatis bertanggung jawab atas koneksi tanpa intervensi pengguna atau administrator. Koneksi terganggu selama failover ini, tetapi biasanya dipulihkan dalam beberapa detik untuk pemeliharaan yang direncanakan dan dalam 90 detik untuk gangguan yang tidak direncanakan.

Gateway VPN Azure mendukung protokol perutean BGP, yang juga memungkinkan Anda menyebarkan gateway VPN dalam konfigurasi aktif/aktif. Dalam konfigurasi ini, Anda menetapkan alamat IP publik yang unik untuk setiap instans. Anda kemudian membuat terowongan terpisah dari perangkat lokal ke tiap alamat IP. Anda dapat memperluas ketersediaan tinggi dengan menyebarkan perangkat VPN lain secara lokal.