Sobre as definições de configuração do Gateway VPN
A arquitetura de conexão do gateway VPN depende da configuração de vários recursos, cada um dos quais contém configurações configuráveis. As seções deste artigo discutem os recursos e as configurações relacionados a um gateway VPN para uma rede virtual. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo de topologia e design do Gateway VPN.
Os valores neste artigo aplicam-se especificamente a gateways VPN (gateways de rede virtual que usam o -GatewayType Vpn). Se você estiver procurando informações sobre os seguintes tipos de gateways, consulte os seguintes artigos:
- Para valores que se aplicam a -GatewayType 'ExpressRoute', consulte Gateways de rede virtual para ExpressRoute.
- Para gateways com redundância de zona, consulte Sobre gateways com redundância de zona.
- Para gateways WAN virtuais, consulte Sobre a WAN virtual.
Gateways e tipos de gateway
Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure que são configuradas e implantadas automaticamente em uma sub-rede específica que você cria chamada sub-rede de gateway. As VMs de gateway contêm tabelas de roteamento e executam serviços de gateway específicos. Quando você cria um gateway de rede virtual, as VMs de gateway são implantadas automaticamente na sub-rede do gateway (sempre chamada GatewaySubnet) e configuradas com as configurações especificadas. O processo pode levar 45 minutos ou mais para ser concluído, dependendo da SKU do gateway selecionada.
Uma das configurações especificadas ao criar um gateway de rede virtual é o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual é usado e as ações que o gateway executa. Uma rede virtual pode ter dois gateways de rede virtual; um gateway VPN e um gateway ExpressRoute. O -GatewayType 'Vpn' especifica que o tipo de gateway de rede virtual criado é um gateway VPN. Isso o distingue de um gateway de Rota Expressa.
SKUs de gateway e desempenho
Consulte o artigo Sobre SKUs de gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos suportados.
Tipos de VPN
O Azure dá suporte a dois tipos diferentes de VPN para gateways de VPN: baseada em política e baseada em rota. Os gateways VPN baseados em rota são criados em uma plataforma diferente dos gateways VPN baseados em políticas. Isso resulta em diferentes especificações de gateway. A tabela a seguir mostra as SKUs de gateway que suportam cada um dos tipos de VPN e as versões IKE suportadas associadas.
| Tipo de VPN de gateway | SKU do Gateway | Versões IKE suportadas |
|---|---|---|
| Gateway baseado em políticas | Básica | IKEv1 |
| Gateway baseado em rota | Básica | IKEv2 |
| Gateway baseado em rota | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway baseado em rota | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Na maioria dos casos, você criará um gateway VPN baseado em rota. Anteriormente, os SKUs de gateway mais antigos não suportavam IKEv1 para gateways baseados em rota. Agora, a maioria das SKUs de gateway atuais suporta IKEv1 e IKEv2.
A partir de 1º de outubro de 2023, os gateways baseados em políticas só podem ser configurados usando PowerShell ou CLI e não estão disponíveis no portal do Azure. Para criar um gateway baseado em políticas, consulte Criar um gateway VPN SKU básico usando o PowerShell.
Se você já tiver um gateway baseado em política, não será necessário alterar seu gateway para baseado em rota, a menos que queira usar uma configuração que exija um gateway baseado em rota, como ponto a site.
Não é possível converter um gateway baseado em política em baseado em rota. Você deve excluir o gateway existente e, em seguida, criar um novo gateway como baseado em rota.
Gateways de modo ativo-ativo
Os gateways de VPN do Azure podem ser configurados como active-standby ou active-active. Em uma configuração ativa-ativa, ambas as instâncias das VMs de gateway estabelecem túneis VPN site a site para seu dispositivo VPN local. Os gateways de modo ativo-ativo são uma parte fundamental do design de conectividade de gateway altamente disponível. Para obter mais informações, consulte os seguintes artigos:
- Sobre gateways ativos-ativos
- Projete conectividade de gateway altamente disponível para conexões entre locais e VNet-to-VNet
IPs privados de gateway
Essa configuração é usada para determinadas configurações de emparelhamento privado da Rota Expressa. Para obter mais informações, consulte Configurar uma conexão VPN site a site sobre emparelhamento privado da Rota Expressa.
Tipos de ligação
Cada conexão requer um tipo de conexão de gateway de rede virtual específico. Os valores do PowerShell disponíveis para New-AzVirtualNetworkGatewayConnection -Connection Type são: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Modos de conexão
A propriedade Modo de Conexão só se aplica a gateways VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de início da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento padrão é aceitar e discar o que se conectar primeiro.
Sub-rede de gateway
Antes de criar um gateway VPN, você deve criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs e os serviços do gateway de rede virtual usam. Quando você cria seu gateway de rede virtual, as VMs de gateway são implantadas na sub-rede do gateway e configuradas com as configurações de gateway VPN necessárias. Nunca implante mais nada (por exemplo, mais VMs) na sub-rede do gateway. A sub-rede do gateway deve ser denominada 'GatewaySubnet' para funcionar corretamente. Nomear a sub-rede do gateway como 'GatewaySubnet' permite que o Azure saiba que essa é a sub-rede na qual ele deve implantar as VMs e os serviços do gateway de rede virtual.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços de gateway do gateway. Algumas configurações requerem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência de Rota Expressa/Gateway VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável apenas à SKU básica), todas as outras SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior (/27, /26, /25 etc.). Talvez você queira criar uma sub-rede de gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.
O exemplo do PowerShell a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerações:
Não há suporte para rotas definidas pelo usuário com destino 0.0.0.0/0 e NSGs na GatewaySubnet. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP deve ser definida como "Enabled" na GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação da rota BGP estiver definida como desativada, o gateway não irá funcionar.
O diagnóstico, o caminho de dados e o caminho de controlo podem ser afetados se uma rota definida pelo utilizador se sobrepuser ao intervalo da sub-rede do Gateway ou ao intervalo de IP público do gateway.
Gateways de rede local
Um gateway de rede local é diferente de um gateway de rede virtual. Quando você está trabalhando com uma arquitetura site a site de gateway VPN, o gateway de rede local geralmente representa sua rede local e o dispositivo VPN correspondente.
Ao configurar um gateway de rede local, você especifica o nome, o endereço IP público ou o FQDN (nome de domínio totalmente qualificado) do dispositivo VPN local e os prefixos de endereço localizados no local local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração que você especificou para seu gateway de rede local e roteia os pacotes de acordo. Se você usar o protocolo BGP (Border Gateway Protocol) em seu dispositivo VPN, fornecerá o endereço IP de mesmo nível BGP do dispositivo VPN e o número de sistema autônomo (ASN) da rede local. Você também especifica gateways de rede local para configurações de rede virtual para rede virtual que usam uma conexão de gateway VPN.
O exemplo do PowerShell a seguir cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN é alterado. Para obter mais informações, consulte Modificar configurações de gateway de rede local.
APIs REST, cmdlets do PowerShell e CLI
Para obter recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell ou CLI do Azure para configurações de Gateway VPN, consulte as seguintes páginas:
Próximos passos
Para obter mais informações sobre as configurações de conexão disponíveis, consulte Sobre o gateway VPN.