Descrivere le reti private virtuali di Azure
Una rete privata virtuale (VPN) usa un tunnel crittografato all'interno di un'altra rete. Le reti VPN vengono in genere distribuite per connettere due o più reti private attendibili attraverso una rete non attendibile, in genere la rete Internet pubblica. Il traffico sulla rete non attendibile viene crittografato per evitare intercettazioni o altri attacchi. Le VPN possono consentire alle reti di condividere in modo sicuro e protetto le informazioni sensibili.
Gateway VPN
Un gateway VPN è un tipo di gateway di rete virtuale, Le istanze di Gateway VPN di Azure vengono distribuite in una subnet dedicata della rete virtuale e consentono la connettività seguente:
- Connettere i data center locali a Rete virtuale di Azure attraverso una connessione da sito a sito.
- Connettere i singoli dispositivi alle reti virtuali attraverso una connessione da punto a sito.
- Connettere le reti virtuali ad altre reti virtuali attraverso una connessione da rete a rete.
Tutti i dati trasferiti vengono crittografati in un tunnel privato mentre attraversano Internet. È possibile distribuire un solo gateway VPN in ogni rete virtuale. È tuttavia possibile usare un gateway per connettersi a più posizioni, tra cui altre reti virtuali o i data center locali.
Quando si configura un gateway VPN, è necessario specificare il tipo di VPN, basata su criteri o su route. La distinzione principale tra questi due tipi è il modo in cui determinano il traffico che richiede la crittografia. In Azure, indipendentemente dal tipo di VPN, il metodo di autenticazione usato è una chiave precondivisa.
- I gateway VPN basati su criteri specificano staticamente l'indirizzo IP dei pacchetti che devono essere crittografati in ogni tunnel. Questo tipo di dispositivo valuta ogni pacchetto dati in base ai set di indirizzi IP per scegliere il tunnel in cui inviare il pacchetto.
- Con i gateway basati su route, i tunnel IPSec sono modellati come interfaccia di rete o interfaccia di tunnel virtuale. Il routing IP (route statiche o protocolli di routing dinamico) stabilisce quale interfaccia di tunnel usare per l'invio di ogni pacchetto. Le VPN basate su route sono il metodo di connessione preferito per i dispositivi locali. Sono più resilienti alle modifiche della topologia, ad esempio la creazione di nuove subnet.
Usare un gateway VPN basato su route se è necessario uno dei tipi seguenti di connettività:
- Connessioni tra reti virtuali
- Connessioni da punto a sito
- Connessioni multisito
- Coesistenza con un gateway di Azure ExpressRoute
Scenari di disponibilità elevata
Se si sta configurando una rete VPN per proteggere le informazioni, è anche necessario assicurarsi che si tratti di una configurazione VPN a disponibilità elevata e a tolleranza di errore. Ci sono alcuni modi per ottimizzare la resilienza del gateway VPN.
Attivo/Standby
Per impostazione predefinita, i gateway VPN vengono distribuiti come due istanze in una configurazione attiva/in standby, anche se in Azure è visibile una sola risorsa gateway VPN. Se la manutenzione pianificata o un'interruzione imprevista influisce sull'istanza attiva, l'istanza in standby assume automaticamente la responsabilità delle connessioni senza alcun intervento da parte dell'utente. Le connessioni vengono interrotte durante questo failover, ma in genere vengono ripristinate entro pochi secondi per la manutenzione pianificata ed entro 90 secondi per le interruzioni impreviste.
Attivo/Attivo
Con l'introduzione del supporto per il protocollo di routing BGP è ora possibile distribuire i gateway VPN in una configurazione di tipo Attivo/attivo. In questa configurazione si assegna un indirizzo IP pubblico univoco a ogni istanza. Si creano tunnel separati dal dispositivo locale a ogni indirizzo IP. È possibile estendere la disponibilità elevata distribuendo un dispositivo VPN aggiuntivo in locale.
Failover di ExpressRoute
Un'altra opzione di disponibilità elevata consiste nel configurare un gateway VPN come percorso di failover protetto per le connessioni ExpressRoute. I circuiti ExpressRoute hanno la resilienza incorporata. Non sono però immuni da potenziali problemi fisici dei cavi di connettività o da interruzioni dell'intero sito ExpressRoute. Negli scenari a disponibilità elevata con rischio associato a un'interruzione di un circuito ExpressRoute, è anche possibile eseguire il provisioning di un gateway VPN che usa Internet come metodo di connettività alternativo. In questo modo è possibile garantire sempre la disponibilità di una connessione alle reti virtuali.
Gateway con ridondanza della zona
Nelle aree che supportano le zone di disponibilità, i gateway VPN e i gateway ExpressRoute possono essere distribuiti in una configurazione con ridondanza della zona. Con questa configurazione i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e nel contempo permette di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Questi gateway richiedono Stock Keeping Unit (SKU) del gateway diversi e usano indirizzi IP pubblici Standard anziché indirizzi IP pubblici Basic.