Projekt bramy sieci VPN
Dostępne są różne konfiguracje połączeń bramy sieci VPN. Należy określić, która konfiguracja najlepiej odpowiada Twoim wymaganiom. W poniższych sekcjach można wyświetlić informacje o projekcie i diagramy topologii dotyczące następujących połączeń bramy sieci VPN. Przedstawione diagramy i opisy mogą ułatwić wybór topologii połączenia dostosowanej do potrzeb użytkownika. Diagramy pokazują główne topologie linii bazowej, ale można utworzyć bardziej złożone konfiguracje przy użyciu diagramów jako wytycznych.
Sieć VPN typu lokacja-lokacja
Połączenie bramy sieci VPN typu lokacja-lokacja to połączenie nawiązywane za pośrednictwem tunelu sieci VPN wykorzystującego protokół IPsec/IKE (IKEv1 lub IKEv2). Z połączeń typu lokacja-lokacja (S2S) można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji. Połączenie S2S wymaga urządzenia sieci VPN znajdującego się lokalnie, które ma przypisany publiczny adres IP. Aby uzyskać informacje o wybieraniu urządzenia VPN, zobacz Brama VPN Gateway — często zadawane pytania dotyczące urządzeń VPN.
Brama sieci VPN można skonfigurować w trybie aktywne-wstrzymanie przy użyciu jednego publicznego adresu IP lub w trybie aktywny-aktywny przy użyciu dwóch publicznych adresów IP. W trybie aktywnego wstrzymania jeden tunel IPsec jest aktywny, a drugi tunel jest w stanie wstrzymania. W tej konfiguracji ruch przepływa przez aktywny tunel, a jeśli wystąpi jakiś problem z tym tunelem, ruch przechodzi do tunelu rezerwowego. Skonfigurowanie bramy SIECI VPN w trybie aktywny-aktywny jest zalecane , w którym oba tunele IPsec są jednocześnie aktywne, a dane przepływające przez oba tunele jednocześnie. Dodatkową zaletą trybu aktywnego-aktywnego jest to, że klienci korzystają z wyższej przepływności.
Możesz utworzyć więcej niż jedno połączenie sieci VPN z bramy sieci wirtualnej, zwykle łącząc się z wieloma lokacjami lokalnymi. Podczas pracy z wieloma połączeniami musisz użyć sieci VPN typu RouteBased (nazywanego dynamiczną bramą w przypadku pracy z klasycznymi sieciami wirtualnymi). Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość. Ten typ połączenia jest czasami określany jako "połączenie obejmujące wiele lokacji".
Modele wdrażania i metody S2S
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell | Interfejs wiersza polecenia platformy Azure |
|---|---|---|---|
| Resource Manager | Samouczek Samouczek |
Samouczek | Samouczek |
| Klasyczny | Samouczek** | Samouczek | Nieobsługiwane |
(**) oznacza, że ta metoda zawiera kroki, które wymagają programu PowerShell.
Sieć VPN typu punkt-lokacja
Połączenie bramy VPN Gateway typu punkt-lokacja pozwala utworzyć bezpieczne połączenie z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Połączenie sieci VPN typu punkt-lokacja jest również przydatne zamiast połączenia sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną.
W przeciwieństwie do połączeń S2S połączenia P2S nie wymagają lokalnego, publicznego adresu IP ani urządzenia sieci VPN. Połączenia typu punkt-lokacja mogą być używane z połączeniami typu lokacja-lokacja z użyciem tej samej bramy sieci VPN, pod warunkiem że wszystkie wymagania dotyczące konfiguracji dla obu połączeń są zgodne. Aby uzyskać więcej informacji na temat połączeń punkt-lokacja, zobacz About Point-to-Site VPN (Informacje o sieci VPN typu punkt-lokacja).
Modele wdrażania i metody nawiązywania połączeń typu punkt-lokacja
Natywne uwierzytelnianie certyfikatów platformy Azure
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|
| Resource Manager | Samouczek | Samouczek |
| Klasyczny | Samouczek | Obsługiwane |
Uwierzytelnianie za pomocą protokołu RADIUS
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|
| Resource Manager | Obsługiwane | Samouczek |
| Klasyczny | Nieobsługiwane | Nieobsługiwane |
Połączenia między sieciami wirtualnymi (tunel VPN protokołu IPsec/IKE)
Proces nawiązywania połączenia między dwiema sieciami wirtualnymi przebiega podobnie do procesu łączenia sieci wirtualnej z lokacją lokalną. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE. Można także łączyć połączenia między sieciami wirtualnymi z konfiguracjami połączeń obejmujących wiele lokacji. Pozwala to tworzyć topologie sieci, które łączą wdrożenia obejmujące wiele lokalizacji z połączeniami między sieciami wirtualnymi.
Sieci wirtualne, między którymi tworzone jest połączenie, mogą:
- znajdować się w tym samym lub różnych regionach,
- należeć do tej samej lub różnych subskrypcji,
- korzystać z tego samego lub różnych modeli wdrażania.
Połączenia między modelami wdrażania
Platforma Azure ma obecnie dwa modele wdrażania: klasyczny model wdrażania oraz model wdrażania przy użyciu usługi Resource Manager. Jeśli korzystasz z platformy Azure od pewnego czasu, prawdopodobnie masz maszyny wirtualne i wystąpienia roli platformy Azure działające w klasycznej sieci wirtualnej. Nowsze maszyny wirtualne i wystąpienia roli mogą działać w sieci wirtualnej utworzonej w usłudze Resource Manager. Możesz utworzyć połączenie między tymi sieciami wirtualnymi, aby umożliwić zasobom w jednej sieci wirtualnej bezpośrednie komunikowanie się z zasobami w innej sieci.
Komunikacja równorzędna sieci wirtualnych
Można utworzyć połączenie przy użyciu komunikacji równorzędnej sieci wirtualnych pod warunkiem, że sieć wirtualna spełnia określone wymagania. W przypadku komunikacji równorzędnej sieci wirtualnych nie jest używana brama sieci wirtualnej. Aby uzyskać więcej informacji, zobacz temat Komunikacja równorzędna sieci wirtualnych.
Modele wdrażania i metody nawiązywania połączeń między sieciami wirtualnymi
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell | Interfejs wiersza polecenia platformy Azure |
|---|---|---|---|
| Klasyczny | Samouczek* | Obsługiwane | Nieobsługiwane |
| Resource Manager | Samouczek+ | Samouczek | Samouczek |
| Połączenia między różnymi modelami wdrażania | Samouczek* | Samouczek | Nieobsługiwane |
(+) wskazuje, że ta metoda wdrażania jest dostępna tylko dla sieci wirtualnych w tej samej subskrypcji.
( * ) wskazuje, że ta metoda wdrażania wymaga również programu PowerShell.
Współistniejące połączenia typu lokacja-lokacja i ExpressRoute
ExpressRoute to bezpośrednie, prywatne połączenie z sieci WAN (nie za pośrednictwem publicznego Internetu) do usług firmy Microsoft, w tym platformy Azure. Zaszyfrowany ruch połączenia sieci VPN typu lokacja-lokacja jest przesyłany za pośrednictwem publicznej sieci Internet. Możliwość konfiguracji połączenia sieci VPN typu lokacja-lokacja oraz połączenia ExpressRoute dla tej samej sieci wirtualnej niesie ze sobą pewne korzyści.
Sieć VPN typu lokacja-lokacja może zostać skonfigurowana jako bezpieczna ścieżka trybu failover dla połączenia ExpressRoute. Połączenia sieci VPN typu lokacja-lokacja mogą także zostać użyte w celu połączenia się z lokacjami, które nie są częścią sieci, ale które są połączone metodą ExpressRoute. Ta konfiguracja wymaga dwóch bram sieci wirtualnej dla tej samej sieci wirtualnej, z których jedna używa bramy typu „Vpn”, a druga — bramy typu „ExpressRoute”.
Modele wdrażania i metody nawiązywania połączeń typu lokacja-lokacja i połączeń usługi ExpressRoute współistnieją
| Model/metoda wdrażania | Witryna Azure Portal | Program PowerShell |
|---|---|---|
| Resource Manager | Obsługiwane | Samouczek |
| Klasyczny | Nieobsługiwane | Samouczek |
Połączenia o wysokiej dostępności
Aby zaplanować i zaprojektować połączenia o wysokiej dostępności, zobacz Połączenia o wysokiej dostępności.
Następne kroki
Więcej informacji można znaleźć w temacie Brama VPN Gateway — często zadawane pytania.
Dowiedz się więcej o ustawieniach konfiguracji usługi VPN Gateway.
Aby zapoznać się z zagadnieniami dotyczącymi protokołu BGP usługi VPN Gateway, zobacz About BGP (Informacje o protokole BGP usługi VPN Gateway).
Wyświetl limity usług i subskrypcji.
Poznaj inne kluczowe możliwości sieciowe platformy Azure.