Jak działa usługa Azure VPN Gateway
W każdej sieci wirtualnej platformy Azure można wdrożyć tylko jedną bramę sieci VPN. Mimo że jest ograniczona do jednej bramy sieci VPN, możesz skonfigurować tę bramę tak, aby łączyła się z wieloma lokalizacjami, w tym z innymi sieciami wirtualnymi platformy Azure lub lokalnymi centrami danych.
Uwaga
Brama sieci wirtualnej składa się z co najmniej dwóch specjalnych maszyn wirtualnych wdrożonych w określonej podsieci nazywanej podsiecią bramy. Maszyny wirtualne bramy sieci wirtualnej hostuje tabele routingu i uruchamiają określone usługi bramy. Te maszyny wirtualne, które stanowią bramę, są tworzone podczas tworzenia bramy sieci wirtualnej i są zarządzane automatycznie przez platformę Azure i nie wymagają uwagi administracyjnej.
Typy bram sieci VPN
Podczas konfigurowania bramy sieci wirtualnej należy wybrać ustawienie określające typ bramy. Typ bramy określa, w jaki sposób będzie używana brama sieci wirtualnej, oraz akcje, które zostaną wykonane przez bramę. Typ Vpn bramy określa, że typ utworzonej bramy sieci wirtualnej to VPN gateway. To odróżnia ją od bramy usługi ExpressRoute, która używa innego typu bramy. Sieć wirtualna platformy Azure może mieć dwie bramy sieci wirtualnej: jedną bramę sieci VPN i jedną bramę usługi ExpressRoute.
Istnieją dwa typy bram sieci VPN platformy Azure:
- Brama sieci VPN oparta na zasadach
- Brama sieci VPN oparta na trasach
Bramy sieci VPN oparte na zasadach
Bramy sieci VPN oparte na zasadach wymagają określenia stałego zestawu adresów IP pakietów, które powinny być szyfrowane za pośrednictwem każdego tunelu. Ten typ urządzenia ocenia każdy pakiet danych względem tych stałych zestawów adresów IP, a następnie wybiera tunel, przez który będzie wysyłać ten ruch.
Kluczowe funkcje bram sieci VPN opartych na zasadach na platformie Azure to:
- Obsługa tylko protokołu IKEv1
- Korzystanie z routingu statycznego
Źródło i miejsce docelowe tunelowanych sieci są deklarowane w zasadach sieci VPN i nie muszą być deklarowane w tabelach routingu. Używaj sieci VPN opartych na zasadach tylko w określonych scenariuszach, które ich wymagają, na przykład w celu zapewnienia zgodności ze starszymi lokalnymi urządzeniami sieci VPN.
Bramy sieci VPN oparte na trasach
W przypadku bram sieci VPN platformy Azure opartych na trasach tunel IPsec działa jako interfejs sieciowy lub wirtualny interfejs tunelu (VTI). Routing IP (trasy statyczne lub protokoły routingu dynamicznego) określa, które interfejsy tunelu będą przesyłać poszczególne pakiety. Sieci VPN oparte na trasach to preferowana metoda połączenia dla urządzeń lokalnych, ponieważ są one bardziej odporne na zmiany topologii, takie jak tworzenie nowych podsieci. Sieć VPN oparta na trasach jest znacznie bardziej odpowiednia dla rozwiązania Adatum, ponieważ umożliwi nawiązywanie połączeń z zasobami IaaS platformy Azure w sieciach wirtualnych, jeśli nowe podsieci zostaną dodane bez konieczności ponownego konfigurowania bramy sieci VPN platformy Azure.
Użyj bramy sieci VPN opartej na trasach, jeśli potrzebujesz któregoś z następujących typów łączności:
- Połączenia między sieciami wirtualnymi
- Połączenia typu punkt-lokacja
- Połączenia z obsługą wielu lokacji
- Współistnienie z bramą usługi Azure ExpressRoute
Kluczowe funkcje bram sieci VPN opartych na trasach na platformie Azure to:
- Obsługa protokołu IKEv2
- Korzystanie z selektorów ruchu typu dowolne-dowolne (symbol wieloznaczny)
- Może używać protokołów routingu dynamicznego, w których tabele routingu/przesyłania kierują ruch do różnych tuneli IPsec
W przypadku skonfigurowania korzystania z routingu dynamicznego sieci źródłowe i docelowe nie są definiowane statycznie, ponieważ znajdują się w sieciach VPN opartych na zasadach, a nawet w sieciACH VPN opartych na trasach z routingiem statycznym. W zamian pakiety danych są szyfrowane na podstawie tabel routingu sieci, które są tworzone dynamicznie przy użyciu protokołów routingu, takich jak BGP (Border Gateway Protocol).
Bramy sieci VPN platformy Azure obsługują tylko metodę uwierzytelniania przy użyciu klucza wstępnego. Zarówno oparte na trasach, jak i oparte na zasadach, bazują również na protokole IKE (Internet Key Exchange) w wersji 1 lub 2 oraz zabezpieczenia protokołu internetowego (IPsec). Protokół IKE służy do konfigurowania skojarzenia zabezpieczeń (umowa dotycząca szyfrowania) między dwoma punktami końcowymi. To skojarzenie jest następnie przekazywane do pakietu IPsec, który szyfruje i odszyfrowuje pakiety danych hermetyzowane w tunelu sieci VPN.
Rozmiary bramy sieci VPN platformy Azure
Podczas tworzenia bramy sieci wirtualnej należy określić jednostkę SKU bramy. Należy wybrać jednostkę SKU spełniającą wymagania na podstawie typów obciążeń, przepływności, funkcji i umów SLA.
| Jednostki SKU bramy — generacja1 | Maksymalna liczba tuneli vpn typu lokacja-lokacja | Zagregowana przepływność | Obsługa protokołu BGP |
|---|---|---|---|
| Podstawowy | 10 | 100 Mb/s | Nieobsługiwane |
| VpnGw1/Az | 30 | 650 Mb/s | Obsługiwane |
| VpnGw2/Az | 30 | 1 Gb/s | Obsługiwane |
| VpnGw3/Az | 30 | 1,25 Gb/s | Obsługiwane |
W tej tabeli przedstawiono jednostki SKU generacji1. Podczas pracy z jednostkami SKU generacji1 można przeprowadzić migrację między jednostkami SKU VpnGw1, VpnGw2 i VpnGw3 w razie potrzeby. Nie można przeprowadzić migracji z jednostki SKU w warstwie Podstawowa bez usuwania i ponownego wdrażania bramy sieci VPN. Bramy sieci VPN można również tworzyć przy użyciu jednostek SKU generacji 2. Aby uzyskać najnowsze informacje o jednostkach SKU, przepływności i obsługiwanych funkcjach, zapoznaj się z linkami w sekcji Podsumowanie tego modułu.
Wymagania dotyczące bramy sieci VPN
Przed wdrożeniem operacyjnej bramy sieci VPN należy przedstawić następujące zasoby platformy Azure:
- Sieć wirtualna: sieć wirtualna platformy Azure z wystarczającą przestrzenią adresową dla dodatkowej podsieci potrzebnej dla bramy sieci VPN. Przestrzeń adresowa dla tej sieci wirtualnej nie może nakładać się na sieć lokalną, z którą będziesz się łączyć.
- GatewaySubnet: podsieć o nazwie GatewaySubnet dla bramy sieci VPN. Wymaga co najmniej maski adresowej /27. Tej podsieci nie można używać w przypadku innych usług.
- Publiczny adres IP: dynamiczny publiczny adres IP jednostki SKU w warstwie Podstawowa w przypadku korzystania z bramy obsługującej strefy. Ten adres udostępnia routowalny publiczny adres IP jako docelowy dla lokalnego urządzenia sieci VPN. Ten adres IP jest dynamiczny, jednak nie zmieni się, chyba że usuniesz i utworzysz ponownie bramę sieci VPN.
- Brama sieci lokalnej: utwórz bramę sieci lokalnej, aby zdefiniować konfigurację sieci lokalnej: gdzie brama sieci VPN połączy się i z tym, co będzie się łączyć. Ta konfiguracja zawiera publiczny adres IPv4 urządzenia lokalnej sieci VPN oraz routowalne sieci lokalne. Te informacje są używane przez bramę sieci VPN do kierowania pakietów przeznaczonych dla sieci lokalnych za pośrednictwem tunelu IPsec.
W przypadku wystąpienia tych składników wymagań wstępnych można utworzyć bramę sieci wirtualnej w celu kierowania ruchu między siecią wirtualną a lokalnym centrum danych lub innymi sieciami wirtualnymi. Po wdrożeniu bramy sieci wirtualnej można utworzyć zasób połączenia, aby utworzyć połączenie logiczne między bramą sieci VPN a bramą sieci lokalnej:
- Połączenie jest nawiązywane z adresem IPv4 urządzenia lokalnej sieci VPN, zgodnie z definicją bramy sieci lokalnej.
- Połączenie jest nawiązywane z poziomu bramy sieci wirtualnej i ze skojarzonego z nią publicznego adresu IP.
Dla każdej bramy sieci VPN platformy Azure można skonfigurować wiele połączeń, maksymalnie do limitu zdefiniowanego przez jednostkę SKU.
Wysoka dostępność
Mimo że na platformie Azure jest widoczny tylko jeden zasób bramy sieci VPN, bramy sieci VPN są wdrażane jako dwa wystąpienia zarządzanych maszyn wirtualnych w konfiguracji aktywnej/rezerwowej. Gdy planowana konserwacja lub nieplanowane zakłócenia wpływają na aktywne wystąpienie, wystąpienie rezerwowe automatycznie przejmuje odpowiedzialność za połączenia bez interwencji użytkownika lub administratora. Podczas pracy w trybie failover połączenia są przerywane, ale zazwyczaj są przywracane w ciągu kilku sekund w ramach zaplanowanej konserwacji i w ciągu 90 sekund w ramach nieplanowanych zakłóceń.
Bramy sieci VPN platformy Azure obsługują protokół routingu BGP, który umożliwia również wdrażanie bram sieci VPN w konfiguracji aktywne/aktywne. W tej konfiguracji przypisujesz unikatowy publiczny adres IP do każdego wystąpienia. Następnie tworzysz oddzielne tunele z poziomu urządzenia lokalnego do poszczególnych adresów IP. Wysoką dostępność można rozszerzyć, wdrażając inne urządzenie sieci VPN lokalnie.
Uwaga
Wiele organizacji, które mają połączenia usługi ExpressRoute, również wdrożyło połączenia sieci VPN typu lokacja-lokacja w celu uzyskania dodatkowej warstwy nadmiarowości.