Topologia i projekt usługi VPN Gateway
Istnieje wiele różnych opcji konfiguracji dostępnych dla połączeń usługi VPN Gateway. Skorzystaj z diagramów i opisów w poniższych sekcjach, aby ułatwić wybranie topologii połączenia spełniającej wymagania. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość utworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako wytycznych.
Sieć VPN typu lokacja-lokacja
Połączenie bramy sieci VPN typu lokacja-lokacja (S2S) to połączenie za pośrednictwem tunelu sieci VPN protokołu IPsec/IKE (IKEv1 lub IKEv2). Z połączeń typu lokacja-lokacja można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji. Połączenie typu lokacja-lokacja wymaga urządzenia sieci VPN znajdującego się lokalnie, które ma przypisany publiczny adres IP. Aby uzyskać informacje o wybieraniu urządzenia VPN, zobacz Brama VPN Gateway — często zadawane pytania dotyczące urządzeń VPN.
Bramę vpn Gateway można skonfigurować w trybie aktywny-rezerwowy przy użyciu jednego publicznego adresu IP lub w trybie aktywny-aktywny przy użyciu dwóch publicznych adresów IP. W trybie aktywny-rezerwowy jeden tunel IPsec jest aktywny, a drugi tunel jest w stanie wstrzymania. W tej konfiguracji ruch przepływa przez aktywny tunel, a jeśli wystąpi jakiś problem z tym tunelem, ruch przechodzi do tunelu rezerwowego. Zaleca się skonfigurowanie bramy VPN Gateway w trybie aktywny-aktywny, w którym oba tunele IPsec są jednocześnie aktywne, a dane przepływają przez oba tunele jednocześnie. Kolejną zaletą trybu aktywne-aktywne jest to, że klienci doświadczają większej przepływności.
Z bramy sieci wirtualnej można utworzyć więcej niż jedno połączenie sieci VPN, zazwyczaj łączące się z wieloma lokacjami lokalnymi. Podczas pracy z wieloma połączeniami musisz użyć sieci VPN typu RouteBased (nazywanego dynamiczną bramą w przypadku pracy z klasycznymi sieciami wirtualnymi). Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość. Ten typ połączenia jest czasami określany jako "połączenie obejmujące wiele lokacji".
Modele wdrażania i metody S2S
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell | Interfejs wiersza polecenia platformy Azure |
|---|---|---|---|
| Resource Manager | Samouczek | Samouczek | Samouczek |
| Klasyczny (starszy model wdrażania) | Samouczek** | Samouczek | Nieobsługiwany |
( ** ) oznacza, że ta metoda zawiera kroki, które wymagają programu PowerShell.
Sieć VPN typu punkt-lokacja
Połączenie bramy sieci VPN typu punkt-lokacja (P2S) umożliwia utworzenie bezpiecznego połączenia z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie go z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Sieć VPN typu punkt-lokacja jest również przydatnym rozwiązaniem do użycia zamiast sieci VPN typu lokacja-lokacja, gdy masz tylko kilku klientów, którzy muszą nawiązać połączenie z siecią wirtualną.
W przeciwieństwie do połączeń typu lokacja-lokacja połączenia typu punkt-lokacja nie wymagają lokalnego publicznego adresu IP ani urządzenia sieci VPN. Połączenia typu punkt-lokacja mogą być używane z połączeniami typu lokacja-lokacja za pośrednictwem tej samej bramy sieci VPN, o ile wszystkie wymagania dotyczące konfiguracji obu połączeń są zgodne. Aby uzyskać więcej informacji na temat połączeń punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).
Modele wdrażania i metody nawiązywania połączeń typu punkt-lokacja
| Natywne uwierzytelnianie certyfikatów platformy Azure | Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|---|
| Resource Manager | Samouczek | Samouczek | |
| Klasyczny (starszy model wdrażania) | Samouczek | Obsługiwane |
| Uwierzytelnianie Microsoft Entra | Model/metoda wdrażania | Artykuł |
|---|---|---|
| Resource Manager | Tworzenie dzierżawy | |
| Resource Manager | Konfigurowanie dostępu — użytkownicy i grupy |
| Uwierzytelnianie za pomocą protokołu RADIUS | Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|---|
| Resource Manager | Obsługiwane | Samouczek | |
| Klasyczny (starszy model wdrażania) | Nieobsługiwany | Nieobsługiwany |
Konfiguracja klienta sieci VPN P2S
| Uwierzytelnianie | Typ tunelu | Generowanie plików konfiguracji | Konfigurowanie klienta sieci VPN |
|---|---|---|---|
| Certyfikat platformy Azure | IKEv2, SSTP | Windows | Natywny klient sieci VPN |
| Certyfikat platformy Azure | OpenVPN | Windows | - Klient OpenVPN - Klient sieci VPN platformy Azure |
| Certyfikat platformy Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certyfikat platformy Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS — certyfikat | - | Artykuł | Artykuł |
| RADIUS — hasło | - | Artykuł | Artykuł |
| RADIUS — inne metody | - | Artykuł | Artykuł |
Połączenia między sieciami wirtualnymi (tunel VPN protokołu IPsec/IKE)
Połączenie połączenie sieci wirtualnej z inną siecią wirtualną (sieć wirtualna-sieć wirtualna) jest podobne do łączenia sieci wirtualnej z lokalizacją lokacji lokalnej. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE. Można także łączyć połączenia między sieciami wirtualnymi z konfiguracjami połączeń obejmujących wiele lokacji. Pozwala to tworzyć topologie sieci, które łączą wdrożenia obejmujące wiele lokalizacji z połączeniami między sieciami wirtualnymi.
Sieci wirtualne, z którymi się łączysz, mogą być następujące:
- znajdować się w tym samym lub różnych regionach,
- należeć do tej samej lub różnych subskrypcji,
- korzystać z tego samego lub różnych modeli wdrażania.
Modele wdrażania i metody nawiązywania połączeń między sieciami wirtualnymi
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell | Interfejs wiersza polecenia platformy Azure |
|---|---|---|---|
| Resource Manager | Samouczek+ | Samouczek | Samouczek |
| Klasyczny (starszy model wdrażania) | Samouczek* | Obsługiwane | Nieobsługiwany |
| Połączenie między modelami wdrażania przy użyciu usługi Resource Manager i klasycznym (starszym) | Samouczek* | Samouczek | Nieobsługiwany |
(+) wskazuje, że ta metoda wdrażania jest dostępna tylko dla sieci wirtualnych w tej samej subskrypcji.
( * ) wskazuje, że ta metoda wdrażania wymaga również programu PowerShell.
W niektórych przypadkach możesz chcieć użyć komunikacji równorzędnej sieci wirtualnych zamiast sieci wirtualnej do połączenia sieci wirtualnych. Komunikacja równorzędna sieci wirtualnych nie używa bramy sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Komunikacja równorzędna sieci wirtualnych.
Współistniejące połączenia typu lokacja-lokacja i ExpressRoute
Usługa ExpressRoute to bezpośrednie, prywatne połączenie z sieci WAN (nie przez publiczny Internet) do usług firmy Microsoft, w tym z platformy Azure. Ruch sieci VPN typu lokacja-lokacja jest szyfrowany za pośrednictwem publicznego Internetu. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i połączeń usługi ExpressRoute dla tej samej sieci wirtualnej ma kilka zalet.
Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja, aby połączyć się z lokacjami, które nie są częścią sieci, ale są połączone za pośrednictwem usługi ExpressRoute. Zwróć uwagę, że ta konfiguracja wymaga dwóch bram sieci wirtualnej dla tej samej sieci wirtualnej, jednej przy użyciu sieci VPN typu bramy, a drugiej przy użyciu typu bramy ExpressRoute.
Modele wdrażania i metody współistniejących połączeń S2S i ExpressRoute
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|
| Resource Manager | Obsługiwane | Samouczek |
| Klasyczny (starszy model wdrażania) | Nieobsługiwane | Samouczek |
Połączenia o wysokiej dostępności
Aby uzyskać informacje na temat planowania i projektowania połączeń o wysokiej dostępności, zobacz Połączenia o wysokiej dostępności.
Następne kroki
Więcej informacji można znaleźć w temacie Brama VPN Gateway — często zadawane pytania.
Dowiedz się więcej o ustawieniach konfiguracji usługi VPN Gateway.
Aby zapoznać się z zagadnieniami dotyczącymi protokołu BGP usługi VPN Gateway, zobacz About BGP (Informacje o protokole BGP).
Wyświetl limity usług i subskrypcji.
Poznaj inne kluczowe możliwości sieciowe platformy Azure.