Udostępnij za pośrednictwem


Topologia i projekt usługi VPN Gateway

Istnieje wiele różnych opcji dostępnych dla połączeń sieci wirtualnej. Aby ułatwić wybór topologii połączenia bramy sieci VPN, która spełnia Twoje wymagania, skorzystaj z diagramów i opisów w poniższych sekcjach. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość utworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako wytycznych.

Sieć VPN międzylokacyjna

Połączenie bramy VPN typu lokacja-lokacja (S2S) to połączenie za pomocą tunelu VPN protokołu IPsec/IKE (IKEv1 lub IKEv2). Z połączeń typu lokacja-lokacja można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji. Połączenie typu lokacja-lokacja wymaga urządzenia sieci VPN znajdującego się lokalnie, które ma przypisany publiczny adres IP.

Diagram połączeń międzylokacyjnych za pomocą usługi VPN Gateway.

Z bramy sieci wirtualnej można utworzyć więcej niż jedno połączenie sieci VPN, zazwyczaj łączące się z wieloma lokacjami lokalnymi. Podczas pracy z wieloma połączeniami należy użyć typu sieci VPN RouteBased. Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość. Ten typ projektu łączności jest czasami określany jako wielolokalizacyjny.

Diagram międzysieciowych połączeń bramy VPN obejmujących wiele lokalizacji.

Jeśli chcesz utworzyć projekt dla łączności bramy o wysokiej dostępności, możesz skonfigurować bramę tak, aby była w trybie aktywno-aktywnym. Ten tryb umożliwia skonfigurowanie dwóch aktywnych tuneli (po jednym z każdego wystąpienia maszyny wirtualnej bramy) do tego samego urządzenia sieci VPN, aby zapewnić wysoką dostępność połączenia. Oprócz projektowania łączności o wysokiej dostępności kolejną zaletą trybu aktywne-aktywne jest to, że klienci doświadczają większej przepływności.

Metody wdrażania dla S2S

Metoda uwierzytelniania Artykuł
Klucz udostępniony z wyprzedzeniem Portal
PowerShell
Interfejs wiersza polecenia
Certyfikat Portal

Sieć VPN typu punkt-lokacja

Połączenie bramy sieci VPN typu punkt-lokacja (P2S) umożliwia utworzenie bezpiecznego połączenia z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie go z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Sieć VPN typu punkt-lokacja jest również przydatnym rozwiązaniem do użycia zamiast sieci VPN typu lokacja-lokacja, gdy masz tylko kilku klientów, którzy muszą nawiązać połączenie z siecią wirtualną.

W przeciwieństwie do połączeń typu lokacja-lokacja połączenia typu punkt-lokacja nie wymagają lokalnego publicznego adresu IP ani urządzenia sieci VPN. Połączenia typu punkt-lokacja mogą być używane z połączeniami typu lokacja-lokacja za pośrednictwem tej samej bramy sieci VPN, o ile wszystkie wymagania dotyczące konfiguracji obu połączeń są zgodne. Aby uzyskać więcej informacji na temat połączeń punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

Diagram połączeń punkt-lokacja.

Metody wdrażania dla P2S

Metoda uwierzytelniania Artykuł
Certyfikat Portal
PowerShell
Microsoft Entra ID Identyfikator aplikacji klienckiej zarejestrowanej przez firmę Microsoft
Identyfikator ręcznie zarejestrowanej aplikacji klienckiej
RADIUS Portal
PowerShell

Konfiguracja klienta sieci VPN P2S

Metoda uwierzytelniania Typ tunelu System operacyjny klienta Klient sieci VPN
Certyfikat
IKEv2, SSTP Windows Natywny klient sieci VPN
IKEv2 macOS Natywny klient sieci VPN
IKEv2 Linux strongSwan
OpenVPN Windows Klient sieci VPN platformy Azure
Klient OpenVPN w wersji 2.x
Klient OpenVPN w wersji 3.x
OpenVPN macOS Klient OpenVPN
OpenVPN iOS Klient OpenVPN
OpenVPN Linux Azure VPN Client
Klient OpenVPN
Microsoft Entra ID
OpenVPN Windows Klient sieci VPN platformy Azure
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Połączenia VNet-to-VNet (tunel VPN protokołu IPsec/IKE)

Łączenie sieci wirtualnej z inną siecią wirtualną (VNet-to-VNet) jest podobne do łączenia sieci wirtualnej z lokalną lokalizacją. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE. Można nawet łączyć komunikację między sieciami wirtualnymi (VNet) z konfiguracjami połączeń wielo-lokalizacyjnych. To umożliwia tworzenie topologii sieci, które łączą połączenia między różnymi lokalizacjami z łącznością między sieciami wirtualnymi.

Sieci wirtualne, z którymi się łączysz, mogą być następujące:

  • znajdować się w tym samym lub różnych regionach,
  • w ramach tej samej lub różnych subskrypcji.

Diagram połączeń VNet-do-VNet.

Metody wdrażania połączeń między sieciami wirtualnymi

Połączenie Artykuł
Połączenie VNet-VNet Portal +
PowerShell
CLI (Interfejs wiersza polecenia)

(+) Oznacza, że ta metoda wdrażania jest dostępna tylko dla sieci wirtualnych w tej samej subskrypcji.

W niektórych przypadkach możesz chcieć użyć peeringu sieci wirtualnych zamiast połączeń VNet-do-VNet do połączenia sieci wirtualnych. Peering sieci wirtualnych nie korzysta z bramy sieci wirtualnej. Aby uzyskać więcej informacji, zobacz także Peering sieci wirtualnych.

Współistniejące połączenia typu lokacja-lokacja i ExpressRoute

Usługa ExpressRoute to bezpośrednie, prywatne połączenie z sieci WAN (nie przez publiczny Internet) do usług firmy Microsoft, w tym z platformy Azure. Ruch sieci VPN typu lokacja-lokacja jest szyfrowany za pośrednictwem publicznego Internetu. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i połączeń usługi ExpressRoute dla tej samej sieci wirtualnej ma kilka zalet.

Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę awaryjną dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja do połączenia z lokacjami, które nie są częścią sieci, ale są połączone za pośrednictwem usługi ExpressRoute. Zwróć uwagę, że ta konfiguracja wymaga dwóch bram sieci wirtualnej dla tej samej sieci wirtualnej: jednej typu VPN, a drugiej typu ExpressRoute.

Diagram współistniejących połączeń usługi ExpressRoute i usługi VPN Gateway.

Metody wdrażania dla współistniejących połączeń S2S i ExpressRoute

Połączenie Artykuł
Połączenia współistniejące Portal
PowerShell

Połączenia o wysokiej dostępności

Aby zaplanować i zaprojektować połączenia o wysokiej dostępności, w tym konfiguracje trybu aktywny-aktywny, zobacz Projektowanie łączności bramy o wysokiej dostępności dla połączeń lokalizacjami lokalnymi i VNet-to-VNet.

Następne kroki