Topologia e design do Gateway de VPN
Há muitas opções de configuração diferentes disponíveis para conexões de Gateway de VPN. Use os diagramas e descrições nas seções a seguir para ajudar a selecionar a topologia de conexão que atenda aos seus requisitos. Os diagramas mostram as principais topologias de linha de base, mas é possível criar topologias mais complexas usando os diagramas como diretrizes.
VPN site a site
Uma conexão de gateway de VPN site a site (S2S) é uma conexão pelo túnel VPN IPsec/IKE (IKEv1 ou IKEv2). As conexões site a site podem ser usadas para configurações entre instalações e híbridas. Uma conexão site a site requer um dispositivo VPN localizado localmente que tenha um endereço IP público atribuído a ele. Para saber mais sobre como selecionar um dispositivo VPN, confira as Perguntas Frequentes de Gateway de VPN – dispositivos VPN.
O Gateway de VPN pode ser configurado no modo de espera ativo usando um IP público ou no modo ativo-ativo usando dois IPs públicos. No modo de espera ativo, um túnel IPsec está ativo e o outro túnel está em espera. Nessa configuração, o tráfego flui pelo túnel ativo e, se ocorrer algum problema com esse túnel, o tráfego mudará para o túnel em espera. A configuração do Gateway de VPN no modo ativo-ativo é recomendada quando ambos os túneis IPsec estão simultaneamente ativos, com dados fluindo através de ambos os túneis ao mesmo tempo. Outra vantagem do modo ativo-ativo é que os clientes têm taxas de transferência mais altas.
Você pode criar mais de uma conexão de VPN em seu gateway de rede virtual, normalmente se conectando a vários sites locais. Ao trabalhar com várias conexões, você deve usar um tipo de VPN baseado em rota (conhecido como gateway dinâmico ao trabalhar com redes virtuais clássicas). Como cada rede virtual pode ter apenas um gateway de VPN, todas as conexões por meio do gateway compartilham a largura de banda disponível. Esse tipo de conexão é frequentemente chamado de conexão de "vários sites".
Modelos e métodos de implantação para S2S
| Método/modelo de implantação | Azure portal | PowerShell | CLI do Azure |
|---|---|---|---|
| Gerenciador de Recursos | Tutorial | Tutorial | Tutorial |
| Clássico (modelo de implantação herdado) | Tutorial** | Tutorial | Sem suporte |
( ** ) indica que este método contém etapas que exigem o PowerShell.
VPN ponto a site
Uma conexão de gateway VPN P2S (ponto a site) permite que você crie uma conexão segura na sua rede virtual de um computador cliente individual. Uma conexão ponto a site é estabelecida iniciando-a no computador cliente. Essa solução é útil para pessoas que trabalham remotamente e querem se conectar às Redes Virtuais do Azure de um local remoto, como de casa ou de uma conferência. A VPN ponto a site também é uma solução útil para usar em vez de VPN site a site quando você tem apenas alguns clientes que precisam se conectar a uma rede virtual.
Ao contrário das conexões site a site, as conexões ponto a site não exigem um endereço IP voltado para o público local ou um dispositivo VPN. As conexões ponto a site podem ser usadas com conexões site a site por meio do mesmo gateway de VPN, desde que todos os requisitos de configuração para ambas as conexões sejam compatíveis. Para obter mais informações sobre conexões ponto a site, confira Sobre a VPN ponto a site.
Modelos e métodos de implantação para P2S
| Autenticação de certificado nativo do Azure | Método/modelo de implantação | Azure portal | PowerShell |
|---|---|---|---|
| Gerenciador de Recursos | Tutorial | Tutorial | |
| Clássico (modelo de implantação herdado) | Tutorial | Com suporte |
| autenticação do Microsoft Entra | Método/modelo de implantação | Artigo |
|---|---|---|
| Resource Manager | Criar locatário | |
| Resource Manager | Configurar o acesso – usuários e grupos |
| Autenticação RADIUS | Método/modelo de implantação | Azure portal | PowerShell |
|---|---|---|---|
| Gerenciador de Recursos | Compatível | Tutorial | |
| Clássico (modelo de implantação herdado) | Sem suporte | Sem suporte |
Configuração do cliente VPN P2S
| Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar o cliente VPN |
|---|---|---|---|
| Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
| Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
| ID do Microsoft Entra | OpenVPN (SSL) | Windows | Windows |
| ID do Microsoft Entra | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certificado | - | Artigo | Artigo |
| RADIUS – senha | - | Artigo | Artigo |
| RADIUS – outros métodos | - | Artigo | Artigo |
Conexões de VNet para VNet (túnel VPN IPsec/IKE)
Conectar uma rede virtual a outra rede virtual (rede virtual a rede virtual) é semelhante a conectar uma rede virtual a um site local. Os dois tipos de conectividade usam um gateway de VPN para fornecer um túnel seguro usando IPsec/IKE. Você pode até combinar a comunicação VNet a VNet com as configurações de conexão de vários sites. Isso permite estabelecer topologias de rede que combinam conectividade entre instalações a conectividade de rede intervirtual.
As redes virtuais conectadas por você podem ser:
- na mesma região ou em regiões diferentes
- na mesma assinatura ou em assinaturas diferentes
- nos mesmos modelos de implantação ou em modelos diferentes
Modelos de implantação e métodos para VNet a VNet
| Método/modelo de implantação | Azure portal | PowerShell | CLI do Azure |
|---|---|---|---|
| Gerenciador de Recursos | Tutorial+ | Tutorial | Tutorial |
| Clássico (modelo de implantação herdado) | Tutorial* | Com suporte | Sem suporte |
| Conexões entre o Resource Manager e modelos de implantação clássicos (herdados) | Tutorial* | Tutorial | Sem suporte |
(+) indica que esse método de implantação está disponível somente para redes virtuais na mesma assinatura.
( * ) indica que esse método de implantação também requer o PowerShell.
Em alguns casos, talvez você queira usar o emparelhamento de rede virtual em vez de VNet para VNet para conectar suas redes virtuais. O emparelhamento de rede virtual não usa um gateway de rede virtual. Para obter mais informações, consulte Emparelhamento de rede virtual do Azure.
Conexões coexistentes site a site e de ExpressRoute
ExpressRoute é uma conexão direta e privada de sua WAN (não pela Internet pública) para os serviços da Microsoft, incluindo o Azure. O tráfego de VPN site a site viaja criptografado pela Internet pública. Poder configurar conexões VPN site a site e do ExpressRoute para a mesma rede virtual oferece várias vantagens.
Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute ou usar VPNs site a site para se conectar a sites que não fazem parte de sua rede, mas que estão conectados por meio do ExpressRoute. Observe que essa configuração requer dois gateways de rede virtual para a mesma rede virtual, um usando o tipo de gateway Vpne outro usando o tipo de gateway ExpressRoute.
Modelos e métodos de implantação para conexões coexistentes S2S e ExpressRoute
| Método/modelo de implantação | Azure portal | PowerShell |
|---|---|---|
| Gerenciador de Recursos | Com suporte | Tutorial |
| Clássico (modelo de implantação herdado) | Sem suporte | Tutorial |
Conexões de alta disponibilidade
Para planejamento e projeto de conexões altamente disponíveis, confira Conexões altamente disponíveis.
Próximas etapas
Exiba as Perguntas frequentes sobre o Gateway de VPN para saber mais.
Saiba mais sobre Definições de configuração do Gateway de VPN.
Para obter considerações sobre o BGP do Gateway de VPN, confira Sobre o BGP.
Exiba os Limites de serviço e assinatura.
Saiba mais sobre alguns dos outros principais recursos de rede do Azure.