On-premises netwerken verbinden met Azure met behulp van site-to-site-VPN Gateways
Een VPN (virtueel particulier netwerk) is een type onderling verbonden particulier netwerk. VPN's maken gebruik van een versleutelde tunnel binnen een ander netwerk. Ze worden meestal ingezet om twee of meer vertrouwde privénetwerken met elkaar te verbinden via een niet-vertrouwd netwerk (normaal gesproken via het openbare internet). Verkeer wordt tijdens het verzenden via het niet-vertrouwde netwerk versleuteld om afluisteren of andere aanvallen te voorkomen.
In het geval van de gezondheidszorgverlener in ons scenario kunnen gezondheidszorgprofessionals dankzij VPN's gevoelige informatie delen tussen locaties. Stel, bijvoorbeeld, dat een patiënt moet worden geopereerd in een gespecialiseerde faciliteit. Het chirurgisch team heeft toegang nodig tot de medische details en geschiedenis van de patiënt. Deze medische gegevens zijn opgeslagen op een systeem in Azure. Met behulp van een VPN die de faciliteit verbindt met Azure, heeft het chirurgisch team op een veilige manier toegang tot deze informatie.
Azure VPN Gateways
Een VPN-gateway is een type virtuele netwerkgateway. VPN-gateways worden geïmplementeerd in virtuele Azure-netwerken en maken de volgende verbindingen mogelijk:
- On-premises datacenters verbinden met virtuele Azure-netwerken via een site-to-site-verbinding.
- Individuele apparaten verbinden met virtuele Azure-netwerken via een site-to-site-verbinding.
- Virtuele Azure-netwerken met elkaar verbinden via een netwerk-naar-netwerk-verbinding.
Alle overgedragen gegevens worden versleuteld in een privé-tunnel wanneer ze via internet worden verzonden. U kunt slechts één VPN Gateway implementeren in elk virtueel netwerk, maar u kunt één gateway gebruiken om verbinding te maken met meerdere locaties, met inbegrip van andere virtuele Azure-netwerken of on-premises datacenters.
Wanneer u een VPN-gateway implementeert, geeft u het VPN-type op: op beleid gebaseerd of op route gebaseerd. Het belangrijkste verschil tussen deze twee typen VPN is hoe het versleutelde verkeer wordt opgegeven.
Op beleid gebaseerde VPN's
Bij op beleid gebaseerde VPN-gateways wordt voor elke tunnel een statisch IP-adres opgegeven voor pakketten die moeten worden versleuteld. Dit type VPN evalueert elk gegevenspakket op basis van die IP-adressen om de tunnel te kiezen waarmee het pakket wordt verzonden. Op beleid gebaseerde VPN-gateways zijn beperkt in de functies en verbindingen die kunnen worden ondersteund. De belangrijkste kenmerken van op beleid gebaseerde VPN-gateways in Azure zijn:
- Ondersteuning voor alleen IKEv1.
- Gebruik van statische routering, waarbij combinaties van adresvoorvoegsels van beide netwerken bepalen hoe verkeer wordt versleuteld en ontsleuteld via de VPN-tunnel. De bron en het doel van de netwerken die met een tunnel zijn verbonden, zijn gedefinieerd in het beleid en hoeven niet te worden gedeclareerd in routeringstabellen.
- Op beleid gebaseerde VPN-verbindingen moeten worden gebruikt in specifieke scenario's waarvoor ze zijn vereist, zoals voor compatibiliteit met oudere on-premises VPN-apparaten.
Op route gebaseerde VPN's
Als u definieert welke IP-adressen zich achter elke tunnel bevinden, is dit te lastig voor uw situatie. Of u hebt functies en verbindingen nodig die op beleid gebaseerde gateways niet ondersteunen. Op route gebaseerde gateways moeten worden gebruikt. Met op route gebaseerde gateways worden IPSec-tunnels gemodelleerd als een netwerkinterface of VTI (Virtual Tunnel Interface). IP-routering (statische routes of dynamische routeringsprotocollen) bepaalt welke tunnelinterfaces elk pakket moeten verzenden. Op route gebaseerde VPN's zijn de voorkeursmethode voor verbindingen voor on-premises apparaten, omdat ze toleranter zijn voor topologiewijzigingen, zoals het maken van nieuwe subnetten. Gebruik een op route gebaseerde VPN Gateway als u een van de volgende typen connectiviteit nodig hebt:
- Verbindingen tussen virtuele netwerken
- Punt-naar-site-verbindingen
- Multi-site-verbindingen
- Co-existentie met een Azure ExpressRoute-gateway
De belangrijkste kenmerken van op route gebaseerde VPN-gateways in Azure zijn:
- Biedt ondersteuning voor IKEv2.
- Maakt gebruik van any-to-any-verkeerkiezers (jokertekens).
- Kan gebruikmaken van dynamische routeringsprotocollen, waarbij routerings-/doorstuurtabellen het verkeer naar verschillende IPsec-tunnels sturen. In dit geval zijn de bron- en doelnetwerken niet statisch gedefinieerd, omdat ze zich bevinden in op beleid gebaseerde VPN's of zelfs in op route gebaseerde VPN's met statische routering. In plaats daarvan worden gegevenspakketten versleuteld op basis van netwerkrouteringstabellen die dynamisch worden gemaakt met behulp van routeringsprotocollen zoals BGP (Border Gateway Protocol).
Beide typen VPN-gateways (op route gebaseerd en op beleid gebaseerd) in Azure gebruiken vooraf gedeelde sleutels als enige verificatiemethode. Beide typen zijn ook afhankelijk van Internet Key Exchange (IKE), in versie 1 of 2, en Internet Protocol Security (IPSec). IKE wordt gebruikt om een beveiligingskoppeling (een overeenkomst van de codering) in te stellen tussen de twee eindpunten. Deze koppeling wordt vervolgens doorgegeven aan de IPSec-suite, die gegevenspakketten ingekapseld in de VPN-tunnel codeert en decodeert.
Groottes van VPN-gateways
De SKU of grootte die u implementeert, bepaalt de mogelijkheden van uw VPN-gateway. In deze tabel ziet u een voorbeeld van een aantal gateway-SKU's. De getallen in deze tabel kunnen op elk gewenst moment worden gewijzigd. Zie gateway-SKU's in de documentatie van Azure VPN Gateway voor de meest recente informatie. De Basic-gateway-SKU mag alleen worden gebruikt voor Dev/Test-workloads. Bovendien wordt het op een later moment niet ondersteund om te migreren van Basic naar een VpnGw#/Az-sku zonder de gateway te verwijderen en opnieuw te implementeren.
| VPN Gateway Generatie |
SKU | S2S/VNet-naar-VNet Tunnels |
P2S SSTP-Verbinding maken ions |
P2S IKEv2/OpenVPN-Verbinding maken ions |
Statistische Doorvoerbenchmark |
BGP | Zone-redundant | Ondersteund aantal vm's in het virtuele netwerk |
|---|---|---|---|---|---|---|---|---|
| Generatie1 | Basic | Max. 10 | Max. 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee | 200 |
| Generatie1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Nee | 450 |
| Generatie1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Nee | 1300 |
| Generatie1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Nee | 4000 |
| Generatie1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Ja | 1000 |
| Generatie1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Ja | 2000 |
| Generatie1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Ja | 5000 |
| Generatie2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Nee | 685 |
| Generatie2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Nee | 2240 |
| Generatie2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Nee | 5300 |
| Generatie2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Ondersteund | Nee | 6700 |
| Generatie2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Ja | 2000 |
| Generatie2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Ja | 3300 |
| Generatie2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Ja | 4400 |
| Generatie2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Ondersteund | Ja | 9000 |
VPN-gateways implementeren
Voordat u een VPN-gateway kunt implementeren, hebt u enkele Azure- en on-premises resources nodig.
Vereiste Azure-resources
U hebt deze Azure-resources nodig voordat u een operationele VPN-gateway kunt implementeren:
- Virtueel netwerk. Implementeer een virtueel Azure-netwerk met voldoende adresruimte voor het extra subnet dat u nodig hebt voor de VPN-gateway. De adresruimte voor dit virtuele netwerk mag niet overlappen met het on-premises netwerk waarmee u verbinding maakt. Houd er rekening mee dat u slechts één VPN Gateway binnen een virtueel netwerk kunt implementeren.
- GatewaySubnet. Implementeer een subnet met de naam
GatewaySubnetvoor de VPN Gateway. Gebruik minstens een /27-adresmasker om er zeker van te zijn dat u voldoende IP-adressen in het subnet hebt voor toekomstige groei. U kunt dit subnet niet gebruiken voor andere services. - Openbaar IP-adres. Maak een dynamisch openbaar IP-adres voor een Basic-SKU als u gebruikmaakt van een gateway die niet zonebewust is. Dit adres biedt een openbaar routeerbaar IP-adres dat als doel dient voor uw on-premises VPN-apparaat. Dit IP-adres is dynamisch, maar wordt niet gewijzigd, tenzij u de VPN-gateway verwijdert en opnieuw maakt.
- Lokale netwerkgateway. Maak een lokale netwerkgateway om de configuratie van het on-premises netwerk te definiëren. Met name waar de VPN-gateway verbinding maakt en waarmee deze verbinding maakt. Deze configuratie bevat het openbare IPv4-adres van het on-premises VPN-apparaat en de routeerbare on-premises netwerken. Deze informatie wordt gebruikt door de VPN Gateway om pakketten die zijn bestemd voor on-premises netwerken, te routeren via de IPSec-tunnel.
- Gateway voor een virtueel netwerk. Maak de virtuele netwerkgateway om verkeer te routeren tussen het virtuele netwerk en het on-premises datacenter of andere virtuele netwerken. De virtuele netwerkgateway kan worden geconfigureerd als een VPN-gateway of een ExpressRoute-gateway, maar deze module behandelt alleen vpn-gateways voor virtuele netwerkgateways.
- Verbinding. Maak een verbindingsresource om een logische verbinding te maken tussen de VPN Gateway en de lokale netwerkgateway. U kunt meerdere verbindingen met dezelfde gateway maken.
- De verbinding wordt gemaakt met het IPv4-adres van het on-premises VPN-apparaat zoals gedefinieerd door de lokale netwerkgateway.
- De verbinding wordt gemaakt vanaf de virtuele netwerkgateway en het bijbehorende openbare IP-adres.
Het volgende diagram toont deze combinatie van resources en hun relaties, zodat u beter begrijpt wat vereist is om een VPN Gateway te implementeren:
Vereiste on-premises resources
Als u uw datacenter wilt verbinden met een VPN-gateway, hebt u deze on-premises resources nodig:
- Een VPN-apparaat dat op beleid gebaseerde of op route gebaseerde VPN Gateways ondersteunt
- Een openbaar (via internet te routeren) IPv4-adres
Scenario's voor hoge beschikbaarheid
Er zijn verschillende manieren om te controleren of u beschikt over een fouttolerante configuratie.
Actief/stand-by
Standaard worden VPN-gateways geïmplementeerd als twee instanties, in een actief/stand-by-configuratie, zelfs als u maar één VPN-gatewayresource ziet in Azure. Wanneer gepland onderhoud of een niet-geplande onderbreking van invloed is op het actieve exemplaar, neemt het stand-by-exemplaar automatisch de verantwoordelijkheid voor verbindingen, zonder dat iemand hier iets voor hoeft te doen. Verbindingen worden tijdens deze failover onderbroken, maar deze worden in het geval van gepland onderhoud meestal binnen een paar seconden hersteld en in het geval van niet-geplande onderbrekingen binnen 90 seconden.
Actief/actief
Met de introductie van ondersteuning voor het BGP-routeringsprotocol kunt u VPN-gateways implementeren in een actief/actief-configuratie. In deze configuratie wijst u een uniek openbaar IP-adres toe aan elk exemplaar. Vervolgens maakt u afzonderlijke tunnels vanaf het on-premises apparaat naar elk IP-adres. U kunt de hoge beschikbaarheid uitbreiden door een ander VPN-apparaat on-premises te implementeren.
ExpressRoute-failover
Een andere optie voor hoge beschikbaarheid is dat u een VPN Gateway configureert als een beveiligd failoverpad voor ExpressRoute-verbindingen. ExpressRoute-circuits hebben een ingebouwde tolerantie, maar zijn niet immuun voor fysieke problemen met de kabels die connectiviteit verzorgen of storingen die van invloed zijn op de volledige ExpressRoute-locatie. In scenario's met hoge beschikbaarheid, waarbij er risico's zijn verbonden aan een storing van een ExpressRoute-circuit, kunt u ook een VPN-gateway configureren die gebruikmaakt van internet als een alternatieve verbindingsmethode, zodat er altijd een verbinding is met de virtuele Azure-netwerken.
Zone-redundante gateways
In regio's die beschikbaarheidszones ondersteunen, kunnen VPN- en ExpressRoute-gateways worden geïmplementeerd in een zone-redundante configuratie. Deze configuratie zorgt in een virtuele netwerkgateway voor tolerantie, schaalbaarheid en hoge beschikbaarheid. Gateways fysiek en logisch implementeren in Azure-beschikbaarheidszones scheidt gateways binnen een regio, terwijl uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen fouten op zoneniveau. Hiervoor zijn verschillende gateway-SKU's vereist en worden standaard openbare IP-adressen gebruikt in plaats van openbare Basic IP-adressen.