Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieje wiele różnych opcji dostępnych dla połączeń sieci wirtualnej. Aby ułatwić wybór topologii połączenia bramy sieci VPN, która spełnia Twoje wymagania, skorzystaj z diagramów i opisów w poniższych sekcjach. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość utworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako wytycznych.
Sieć VPN międzylokacyjna
Połączenie bramy VPN typu lokacja-lokacja (S2S) to połączenie za pomocą tunelu VPN protokołu IPsec/IKE (IKEv1 lub IKEv2). Z połączeń typu lokacja-lokacja można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji. Połączenie typu lokacja-lokacja wymaga urządzenia sieci VPN znajdującego się lokalnie, które ma przypisany publiczny adres IP.
Z bramy sieci wirtualnej można utworzyć więcej niż jedno połączenie sieci VPN, zazwyczaj łączące się z wieloma lokacjami lokalnymi. Podczas pracy z wieloma połączeniami należy użyć typu sieci VPN RouteBased. Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość. Ten typ projektu łączności jest czasami określany jako wielolokalizacyjny.
Jeśli chcesz utworzyć projekt dla łączności bramy o wysokiej dostępności, możesz skonfigurować bramę tak, aby była w trybie aktywno-aktywnym. Ten tryb umożliwia skonfigurowanie dwóch aktywnych tuneli (po jednym z każdego wystąpienia maszyny wirtualnej bramy) do tego samego urządzenia sieci VPN, aby zapewnić wysoką dostępność połączenia. Oprócz projektowania łączności o wysokiej dostępności kolejną zaletą trybu aktywne-aktywne jest to, że klienci doświadczają większej przepływności.
- Aby uzyskać informacje o wybieraniu urządzenia VPN, zobacz Brama VPN Gateway — często zadawane pytania dotyczące urządzeń VPN.
- Aby uzyskać informacje o połączeniach o wysokiej dostępności, zobacz Projektowanie połączeń o wysokiej dostępności.
- Aby uzyskać informacje o trybie aktywny-aktywny, zobacz Informacje o bramach trybu aktywny-aktywny.
Metody wdrażania dla S2S
| Metoda uwierzytelniania | Artykuł |
|---|---|
| Klucz udostępniony z wyprzedzeniem |
Portal PowerShell Interfejs wiersza polecenia |
| Certyfikat | Portal |
Sieć VPN typu punkt-lokacja
Połączenie bramy sieci VPN typu punkt-lokacja (P2S) umożliwia utworzenie bezpiecznego połączenia z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie go z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Sieć VPN typu punkt-lokacja jest również przydatnym rozwiązaniem do użycia zamiast sieci VPN typu lokacja-lokacja, gdy masz tylko kilku klientów, którzy muszą nawiązać połączenie z siecią wirtualną.
W przeciwieństwie do połączeń typu lokacja-lokacja połączenia typu punkt-lokacja nie wymagają lokalnego publicznego adresu IP ani urządzenia sieci VPN. Połączenia typu punkt-lokacja mogą być używane z połączeniami typu lokacja-lokacja za pośrednictwem tej samej bramy sieci VPN, o ile wszystkie wymagania dotyczące konfiguracji obu połączeń są zgodne. Aby uzyskać więcej informacji na temat połączeń punkt-lokacja, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).
Metody wdrażania dla P2S
| Metoda uwierzytelniania | Artykuł |
|---|---|
| Certyfikat |
Portal PowerShell |
| Microsoft Entra ID |
Identyfikator aplikacji klienckiej zarejestrowanej przez firmę Microsoft Identyfikator ręcznie zarejestrowanej aplikacji klienckiej |
| RADIUS |
Portal PowerShell |
Konfiguracja klienta sieci VPN P2S
| Metoda uwierzytelniania | Typ tunelu | System operacyjny klienta | Klient sieci VPN |
|---|---|---|---|
| Certyfikat | |||
| IKEv2, SSTP | Windows | Natywny klient sieci VPN | |
| IKEv2 | macOS | Natywny klient sieci VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Klient sieci VPN platformy Azure Klient OpenVPN w wersji 2.x Klient OpenVPN w wersji 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux |
Azure VPN Client Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient sieci VPN platformy Azure | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
Połączenia VNet-to-VNet (tunel VPN protokołu IPsec/IKE)
Łączenie sieci wirtualnej z inną siecią wirtualną (VNet-to-VNet) jest podobne do łączenia sieci wirtualnej z lokalną lokalizacją. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE. Można nawet łączyć komunikację między sieciami wirtualnymi (VNet) z konfiguracjami połączeń wielo-lokalizacyjnych. To umożliwia tworzenie topologii sieci, które łączą połączenia między różnymi lokalizacjami z łącznością między sieciami wirtualnymi.
Sieci wirtualne, z którymi się łączysz, mogą być następujące:
- znajdować się w tym samym lub różnych regionach,
- w ramach tej samej lub różnych subskrypcji.
Metody wdrażania połączeń między sieciami wirtualnymi
| Połączenie | Artykuł |
|---|---|
| Połączenie VNet-VNet |
Portal + PowerShell CLI (Interfejs wiersza polecenia) |
(+) Oznacza, że ta metoda wdrażania jest dostępna tylko dla sieci wirtualnych w tej samej subskrypcji.
W niektórych przypadkach możesz chcieć użyć peeringu sieci wirtualnych zamiast połączeń VNet-do-VNet do połączenia sieci wirtualnych. Peering sieci wirtualnych nie korzysta z bramy sieci wirtualnej. Aby uzyskać więcej informacji, zobacz także Peering sieci wirtualnych.
Współistniejące połączenia typu lokacja-lokacja i ExpressRoute
Usługa ExpressRoute to bezpośrednie, prywatne połączenie z sieci WAN (nie przez publiczny Internet) do usług firmy Microsoft, w tym z platformy Azure. Ruch sieci VPN typu lokacja-lokacja jest szyfrowany za pośrednictwem publicznego Internetu. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i połączeń usługi ExpressRoute dla tej samej sieci wirtualnej ma kilka zalet.
Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę awaryjną dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja do połączenia z lokacjami, które nie są częścią sieci, ale są połączone za pośrednictwem usługi ExpressRoute. Zwróć uwagę, że ta konfiguracja wymaga dwóch bram sieci wirtualnej dla tej samej sieci wirtualnej: jednej typu VPN, a drugiej typu ExpressRoute.
Metody wdrażania dla współistniejących połączeń S2S i ExpressRoute
| Połączenie | Artykuł |
|---|---|
| Połączenia współistniejące |
Portal PowerShell |
Połączenia o wysokiej dostępności
Aby zaplanować i zaprojektować połączenia o wysokiej dostępności, w tym konfiguracje trybu aktywny-aktywny, zobacz Projektowanie łączności bramy o wysokiej dostępności dla połączeń lokalizacjami lokalnymi i VNet-to-VNet.
Następne kroki
Zapoznaj się z FAQ bramy VPN w celu uzyskania dodatkowych informacji.
Dowiedz się więcej o ustawieniach konfiguracji usługi VPN Gateway.
Aby zapoznać się z zagadnieniami dotyczącymi protokołu BGP usługi VPN Gateway, zobacz About BGP (Informacje o protokole BGP).
Aby uzyskać informacje na temat komunikacji równorzędnej sieci wirtualnych, zobacz Komunikacja równorzędna sieci wirtualnych.
Wyświetl limity usług i subskrypcji.
Poznaj inne kluczowe możliwości sieciowe platformy Azure.