Opis wirtualnych sieci prywatnych platformy Azure

  • 5 min

Wirtualna sieć prywatna (VPN) używa zaszyfrowanego tunelu w innej sieci. Sieci VPN są zwykle wdrażane w celu połączenia dwóch lub większej liczby zaufanych sieci prywatnych ze sobą za pośrednictwem niezaufanej sieci (zazwyczaj publicznego Internetu). Ruch jest szyfrowany podczas poruszania się po niezaufanej sieci, aby zapobiec podsłuchiwaniu lub innym atakom. Sieci VPN mogą umożliwiać sieciom bezpieczne i bezpieczne udostępnianie poufnych informacji.

Bramy sieci VPN

Brama sieci VPN to typ bramy sieci wirtualnej. Wystąpienia usługi Azure VPN Gateway są wdrażane w dedykowanej podsieci sieci wirtualnej i umożliwiają następującą łączność:

  • Łączenie lokalnych centrów danych z sieciami wirtualnymi za pośrednictwem połączenia typu lokacja-lokacja.
  • Łączenie poszczególnych urządzeń z sieciami wirtualnymi za pośrednictwem połączenia punkt-lokacja.
  • Łączenie sieci wirtualnych z innymi sieciami wirtualnymi za pośrednictwem połączenia sieć-sieć.

Cały transfer danych jest szyfrowany wewnątrz prywatnego tunelu, ponieważ przechodzi przez Internet. W każdej sieci wirtualnej można wdrożyć tylko jedną bramę sieci VPN. Można jednak użyć jednej bramy do nawiązania połączenia z wieloma lokalizacjami, w tym z innymi sieciami wirtualnymi lub lokalnymi centrami danych.

Podczas konfigurowania bramy sieci VPN należy określić typ sieci VPN — oparty na zasadach lub oparty na trasach. Podstawowe rozróżnienie między tymi dwoma typami polega na tym, jak określają, który ruch wymaga szyfrowania. Na platformie Azure, niezależnie od typu sieci VPN, metoda uwierzytelniania jest kluczem wstępnym.

  • Bramy sieci VPN oparte na zasadach określają statyczny adres IP pakietów, które powinny być szyfrowane za pośrednictwem każdego tunelu. Ten typ urządzenia ocenia każdy pakiet danych względem tych zestawów adresów IP w celu wybrania tunelu, przez który ma zostać wysłany pakiet.
  • W bramach opartych na trasach tunele IPSec są modelowane jako interfejs sieciowy lub interfejs tunelu wirtualnego. Routing IP (trasy statyczne lub protokoły routingu dynamicznego) decyduje, który z tych interfejsów tuneli ma być używany do wysłania każdego pakietu. Sieci VPN oparte na trasach to preferowana metoda nawiązywania połączeń dla urządzeń lokalnych. Są one bardziej odporne na zmiany topologii, takie jak tworzenie nowych podsieci.

Użyj bramy sieci VPN opartej na trasach, jeśli potrzebujesz któregoś z następujących typów łączności:

  • Połączenia między sieciami wirtualnymi
  • Połączenia typu punkt-lokacja
  • Połączenia z obsługą wielu lokacji
  • Współistnienie z bramą usługi Azure ExpressRoute

Scenariusze wysokiej dostępności

Jeśli konfigurujesz sieć VPN w celu zapewnienia bezpieczeństwa informacji, upewnij się również, że jest to konfiguracja sieci VPN o wysokiej dostępności i odporności na błędy. Istnieje kilka sposobów zmaksymalizowania odporności bramy sieci VPN.

Aktywne/w gotowości

Domyślnie bramy VPN są wdrażane jako dwa wystąpienia działające w konfiguracji aktywne/w gotowości, nawet jeśli na platformie Azure widzisz tylko jeden zasób bramy sieci VPN. W przypadku gdy planowana konserwacja lub nieplanowane zakłócenia wpłyną na aktywne wystąpienie, rezerwowe wystąpienie automatycznie przejmuje odpowiedzialność za połączenia bez interwencji użytkownika. Podczas pracy w trybie failover połączenia są przerywane, ale zazwyczaj są przywracane w ciągu kilku sekund w ramach zaplanowanej konserwacji i w ciągu 90 sekund w ramach nieplanowanych zakłóceń.

Aktywne/aktywne

Wraz z wprowadzeniem obsługi protokołu routingu BGP można także wdrożyć bramy sieci VPN w konfiguracji Aktywne/aktywne. W tej konfiguracji przypisujesz unikatowy publiczny adres IP do każdego wystąpienia. Następnie tworzysz oddzielne tunele z poziomu urządzenia lokalnego do poszczególnych adresów IP. Możesz rozszerzyć wysoką dostępność, wdrażając dodatkowe urządzenia sieci VPN lokalnie.

Tryb failover usługi ExpressRoute

Inną opcją wysokiej dostępności jest konfiguracja bramy sieci VPN jako bezpiecznej ścieżki pracy w trybie failover na potrzeby połączeń usługi ExpressRoute. Obwody usługi ExpressRoute mają wbudowaną odporność. Nie są one jednak odporne na fizyczne problemy wpływające na kable zapewniające łączność lub awarie wpływające na pełną lokalizację usługi ExpressRoute. W scenariuszach wysokiej dostępności, w których występuje ryzyko awarii obwodu usługi ExpressRoute, można również aprowizować bramę sieci VPN, która korzysta z Internetu jako alternatywnej metody łączności. W ten sposób można upewnić się, że zawsze istnieje połączenie z sieciami wirtualnymi.

Bramy strefowo nadmiarowe

W regionach obsługujących strefy dostępności bramy sieci VPN i bramy usługi ExpressRoute można wdrożyć w konfiguracji strefowo nadmiarowej. Ta konfiguracja zapewni elastyczność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie dzieli bramy w danym regionie, chroniąc jednocześnie lokalną łączność sieci z platformą Azure przed błędami na poziomie strefy. Te bramy wymagają różnych jednostek magazynowych bramy i używają publicznych adresów IP w warstwie Standardowa zamiast publicznych adresów IP w warstwie Podstawowa.