Sobre as definições de configuração do Gateway VPN
A arquitetura de conexão do gateway VPN depende da configuração de vários recursos, cada um dos quais contém configurações configuráveis. As seções deste artigo discutem os recursos e as configurações relacionados a um gateway VPN para uma rede virtual criada no modelo de implantação do Gerenciador de Recursos. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo de topologia e design do Gateway VPN.
Os valores neste artigo aplicam-se especificamente a gateways VPN (gateways de rede virtual que usam o -GatewayType Vpn). Se você estiver procurando informações sobre os seguintes tipos de gateways, consulte os seguintes artigos:
- Para valores que se aplicam a -GatewayType 'ExpressRoute', consulte Gateways de rede virtual para ExpressRoute.
- Para gateways com redundância de zona, consulte Sobre gateways com redundância de zona.
- Para gateways ativos-ativos, consulte Sobre conectividade altamente disponível.
- Para gateways WAN virtuais, consulte Sobre a WAN virtual.
Gateways e tipos de gateway
Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure que são configuradas e implantadas automaticamente em uma sub-rede específica que você cria chamada sub-rede de gateway. As VMs de gateway contêm tabelas de roteamento e executam serviços de gateway específicos.
Quando você cria um gateway de rede virtual, as VMs de gateway são implantadas automaticamente na sub-rede do gateway (sempre chamada GatwaySubnet) e configuradas com as configurações especificadas. Esse processo pode levar 45 minutos ou mais para ser concluído, dependendo da SKU do gateway selecionada.
Uma das configurações especificadas ao criar um gateway de rede virtual é o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual é usado e as ações que o gateway executa. Uma rede virtual pode ter dois gateways de rede virtual; um gateway VPN e um gateway ExpressRoute. O tipo de gateway 'Vpn' especifica que o tipo de gateway de rede virtual criado é um gateway VPN. Isso o distingue de um gateway de Rota Expressa, que usa um tipo de gateway diferente.
Ao criar um gateway de rede virtual, você deve certificar-se de que o tipo de gateway está correto para sua configuração. Os valores disponíveis para -GatewayType são:
- Vpn
- ExpressRoute
Um gateway VPN requer a -GatewayTypeVPN.
Exemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKUs de gateway e desempenho
Consulte o artigo Sobre SKUs de gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos suportados.
Tipos de VPN
O Azure dá suporte a dois tipos diferentes de VPN para gateways de VPN: baseada em política e baseada em rota. Os gateways VPN baseados em rota são criados em uma plataforma diferente dos gateways VPN baseados em políticas. Isso resulta em diferentes especificações de gateway.
Na maioria dos casos, você criará um gateway VPN baseado em rota. Anteriormente, os SKUs de gateway mais antigos não suportavam IKEv1 para gateways baseados em rota. Agora, a maioria das SKUs de gateway atuais suporta IKEv1 e IKEv2. Se você já tiver um gateway baseado em política, não será necessário atualizar seu gateway para o gateway baseado em rota.
Se você quiser criar um gateway baseado em política, use o PowerShell ou a CLI. A partir de 1º de outubro de 2023, você não poderá criar um gateway VPN baseado em políticas por meio do portal do Azure, apenas gateways baseados em rota estarão disponíveis.
| Tipo de VPN de gateway | SKU do Gateway | Versões IKE suportadas |
|---|---|---|
| Gateway baseado em políticas | Básica | IKEv1 |
| Gateway baseado em rota | Básica | IKEv2 |
| Gateway baseado em rota | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway baseado em rota | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Tipos de ligação
No modelo de implantação do Resource Manager, cada configuração requer um tipo de conexão de gateway de rede virtual específico. Os valores disponíveis do PowerShell do Resource Manager para -ConnectionType são:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
No exemplo do PowerShell a seguir, criamos uma conexão S2S que requer o tipo de conexão IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modos de conexão
A propriedade Modo de Conexão só se aplica a gateways VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de início da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento padrão é aceitar e discar o que se conectar primeiro.
Sub-rede de gateway
Antes de criar um gateway VPN, você deve criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs e os serviços do gateway de rede virtual usam. Quando você cria seu gateway de rede virtual, as VMs de gateway são implantadas na sub-rede do gateway e configuradas com as configurações de gateway VPN necessárias. Nunca implante mais nada (por exemplo, mais VMs) na sub-rede do gateway. A sub-rede do gateway deve ser denominada 'GatewaySubnet' para funcionar corretamente. Nomear a sub-rede do gateway como 'GatewaySubnet' permite que o Azure saiba que essa é a sub-rede na qual ele deve implantar as VMs e os serviços do gateway de rede virtual.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços de gateway do gateway. Algumas configurações requerem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência de Rota Expressa/Gateway VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável apenas à SKU básica), todas as outras SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior (/27, /26, /25 etc.). Talvez você queira criar uma sub-rede de gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.
O exemplo do PowerShell do Gerenciador de Recursos a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerações:
Não há suporte para rotas definidas pelo usuário com destino 0.0.0.0/0 e NSGs na GatewaySubnet. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP deve ser definida como "Enabled" na GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação da rota BGP estiver definida como desativada, o gateway não irá funcionar.
O diagnóstico, o caminho de dados e o caminho de controlo podem ser afetados se uma rota definida pelo utilizador se sobrepuser ao intervalo da sub-rede do Gateway ou ao intervalo de IP público do gateway.
Gateways de rede local
Um gateway de rede local é diferente de um gateway de rede virtual. Quando você está trabalhando com uma arquitetura site a site de gateway VPN, o gateway de rede local geralmente representa sua rede local e o dispositivo VPN correspondente. No modelo de implantação clássico, o gateway de rede local é chamado de Site Local.
Ao configurar um gateway de rede local, você especifica o nome, o endereço IP público ou o FQDN (nome de domínio totalmente qualificado) do dispositivo VPN local e os prefixos de endereço localizados no local local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração que você especificou para seu gateway de rede local e roteia os pacotes de acordo. Se você usar o protocolo BGP (Border Gateway Protocol) em seu dispositivo VPN, fornecerá o endereço IP de mesmo nível BGP do dispositivo VPN e o número de sistema autônomo (ASN) da rede local. Você também especifica gateways de rede local para configurações de rede virtual para rede virtual que usam uma conexão de gateway VPN.
O exemplo do PowerShell a seguir cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN é alterado. Para obter mais informações, consulte Modificar configurações de gateway de rede local.
APIs REST, cmdlets do PowerShell e CLI
Para obter recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell ou CLI do Azure para configurações de Gateway VPN, consulte as seguintes páginas:
| Clássico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| API REST | API REST |
| Não suportado | CLI do Azure |
Próximos passos
Para obter mais informações sobre as configurações de conexão disponíveis, consulte Sobre o gateway VPN.