Ligar redes no local ao Azure através de gateways de VPN site a site
Uma rede privada virtual (VPN) é um tipo de rede privada interligada. As VPNs utilizam um túnel encriptado noutra rede. Normalmente, são implementadas para ligar duas ou mais redes privadas fidedignas entre si através de uma rede não fidedigna (geralmente pela Internet pública). O tráfego é encriptado enquanto viaja pela rede não fidedigna, para evitar escutas ou outros ataques.
Para o prestador de cuidados de saúde no nosso cenário, as VPNs podem permitir aos profissionais de saúde partilhar informações confidenciais entre localizações. Por exemplo, imaginemos que um paciente precisa de uma cirurgia numa instalação de especialidade. A equipa de cirurgia tem de ser capaz de ver os detalhes do historial médico do paciente. Estes dados médicos são armazenados num sistema no Azure. Uma VPN que liga as instalações ao Azure permite que a equipa de cirurgia aceda a estas informações com segurança.
Gateways de VPN do Azure
Um gateway de VPN é um tipo de Gateway de Rede Virtual. Os gateways de VPN são implementados em redes virtuais do Azure e permitem a seguinte conectividade:
- Ligar datacenters no local a redes virtuais do Azure através de uma ligação site a site.
- Ligar dispositivos individuais a redes virtuais do Azure através de uma ligação ponto a site.
- Ligar redes virtuais do Azure a outras redes virtuais do Azure através de uma ligação rede a rede.
Todos os dados transferidos são encriptados num túnel privado à medida que percorrem a Internet. Só pode implementar um gateway de VPN em cada rede virtual, mas pode utilizar um gateway para ligar a múltiplos locais, incluindo outras redes virtuais do Azure ou datacenters no local.
Ao implementar um gateway de VPN, especifique o tipo de VPN: baseada em políticas ou baseada em rotas. A principal diferença entre esses dois tipos de VPN é como o tráfego criptografado é especificado.
VPNs baseadas em políticas
Os gateways de VPNs baseadas em políticas especificam estaticamente o endereço IP dos pacotes que devem ser encriptados através de cada túnel. Este tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel por onde o pacote será enviado. Os gateways VPN baseados em políticas são limitados nos recursos e conexões que podem ser suportados. As principais funcionalidades dos gateways de VPNs baseadas em políticas no Azure incluem:
- Suporte unicamente para IKEv1.
- Utilização do encaminhamento estático, em que as combinações de prefixos de endereço de ambas as redes controlam a forma como o tráfego é encriptado e desencriptado através do túnel VPN. A origem e o destino das redes em túnel são declarados na política, e não é necessário declará-los nas tabelas de encaminhamento.
- As VPNs baseadas em políticas têm de ser utilizadas em cenários específicos que necessitem das mesmas, por exemplo, para compatibilidade com dispositivos VPN legados no local.
VPNs baseadas em rotas
Se definir quais endereços IP estão por trás de cada túnel é muito complicado para a sua situação. Ou você precisa de recursos e conexões que os gateways baseados em políticas não suportam. Gateways baseados em rota devem ser usados. Com gateways baseados em rotas, os túneis IPSec são modelados como interface de rede ou VTI (interface de túnel virtual). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina qual das interfaces de túnel enviar cada pacote. As VPNs baseadas em rota são o método de conexão preferido para dispositivos locais, uma vez que são mais resilientes a mudanças de topologia, como a criação de novas sub-redes, por exemplo. Utilize um gateway de VPN baseada em rotas, se precisar de qualquer um dos seguintes tipos de conectividade:
- Ligações entre redes virtuais
- Ligações ponto a site
- Ligações de múltiplos locais
- Coexistência com um gateway do Azure ExpressRoute
As principais funcionalidades dos gateways de VPN baseados em rotas no Azure incluem:
- Suporte para IKEv2.
- Utiliza seletores de tráfego qualquer a qualquer (caráter universal).
- Pode utilizar protocolos de encaminhamento dinâmico, pelo qual as tabelas de encaminhamento/reencaminhamento direcionam o tráfego para diferentes túneis IPsec. Neste caso, as redes de origem e de destino não são definidas estaticamente, pois estão em VPNs baseadas em políticas ou mesmo em VPNs baseadas em rotas com encaminhamento estático. Em vez disso, os pacotes de dados são criptografados, com base em tabelas de roteamento de rede que são criadas dinamicamente usando protocolos de roteamento, como BGP (Border Gateway Protocol).
Ambos os tipos de gateways de VPN (baseados em rota e em políticas) no Azure usam chave pré-compartilhada como o único método de autenticação. Ambos os tipos também se baseiam no IKE (Internet Key Exchange) na versão 1 ou versão 2 e no IPSec (Internet Protocol Security). O IKE é utilizado para configurar uma associação de segurança (um contrato da encriptação) entre dois pontos finais. Esta associação é, em seguida, transmitida para o conjunto IPSec, que encripta e desencripta os pacotes de dados encapsulados no túnel de VPN.
Tamanhos de gateway de VPN
A SKU ou o tamanho que você implanta determina os recursos do seu gateway de VPN. Esta tabela mostra um exemplo de algumas das SKUs de gateway. Os números nesta tabela estão sujeitos a alterações a qualquer momento. Para obter as informações mais recentes, consulte SKUs de gateway na documentação do Gateway de VPN do Azure. A SKU do gateway Básico só deve ser usada para cargas de trabalho de Desenvolvimento/Teste. Além disso, não há suporte para migrar do Basic para qualquer sku VpnGw#/Az posteriormente, sem ter que remover o gateway e reimplantá-lo.
| VPN Gateway Geração |
SKU | S2S/VNet-to-VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Zona redundante | Número suportado de VMs na rede virtual |
|---|---|---|---|---|---|---|---|---|
| Geração1 | Básica | Máx. 10 | Máx. 128 | Não suportado | 100 Mbps | Não suportado | Não | 200 |
| Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Não | 450 |
| Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Não | 1300 |
| Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Não | 4000 |
| Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Sim | 1000 |
| Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Sim | 2000 |
| Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Sim | 5000 |
| Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Não | 685 |
| Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Não | 2240 |
| Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Não | 5300 |
| Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Não | 6700 |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Sim | 2000 |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Sim | 3300 |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Sim | 4400 |
| Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Sim | 9000 |
Implementar gateways de VPN
Antes de implantar um gateway de VPN, você precisa de alguns recursos do Azure e locais.
Recursos do Azure necessários
Você precisa destes recursos do Azure antes de implantar um gateway VPN operacional:
- Rede virtual. Implante uma rede virtual do Azure com espaço de endereço suficiente para a sub-rede extra necessária para o gateway VPN. O espaço de endereço para essa rede virtual não deve se sobrepor à rede local à qual você está se conectando. Lembre-se de que só pode implementar um único gateway de VPN numa rede virtual.
- GatewaySubnet. Implemente uma sub-rede denominada
GatewaySubnetpara o gateway de VPN. Utilize pelo menos uma máscara de endereço /27 para garantir que tem endereços IP suficientes na sub-rede para uma expansão futura. Não é possível utilizar esta sub-rede para quaisquer outros serviços. - Endereço IP público. Crie um endereço IP público dinâmico de SKU Básico se estiver a utilizar um gateway sem área de deteção. Este endereço fornece um endereço IP encaminhável público como o destino para o dispositivo VPN no local. Esse endereço IP é dinâmico, mas não muda, a menos que você exclua e recrie o gateway VPN.
- Gateway de rede local. Crie um gateway de rede local para definir a configuração da rede local. Especificamente, onde o gateway VPN se conecta e a que ele se conecta. Esta configuração inclui o endereço IPv4 público do dispositivo VPN no local e as redes encaminháveis no local. Estas informações são utilizadas pelo gateway de VPN para encaminhar pacotes destinados a redes no local através do túnel IPsec.
- Gateway de rede virtual. Crie o gateway de rede virtual para encaminhar o tráfego entre a rede virtual e o datacenter no local ou outras redes virtuais. O gateway de rede virtual pode ser configurado como um gateway VPN ou um gateway de Rota Expressa, mas este módulo lida apenas com gateways de rede virtual VPN.
- Ligação. Crie um recurso de Ligação para criar uma ligação lógica entre o gateway de VPN e o gateway de rede local. Você pode criar várias conexões com o mesmo gateway.
- A ligação é efetuada para o endereço IPv4 do dispositivo VPN no local conforme definido pelo gateway de rede local.
- A ligação é efetuada a partir do gateway de rede virtual e o respetivo endereço IP público associado.
O seguinte diagrama mostra esta combinação de recursos e as suas relações para o ajudar a compreender melhor o que é necessário para implementar um gateway de VPN:
Recursos no local necessários
Para conectar seu datacenter a um gateway VPN, você precisa destes recursos locais:
- Um dispositivo VPN que suporte gateways de VPNs baseadas em políticas ou baseadas em rotas
- Um endereço IPv4 destinado ao público (encaminhável pela Internet)
Cenários de elevada disponibilidade
Existem várias formas de garantir que tem uma configuração tolerante a falhas.
Ativo/Inativo
Por predefinição, os gateways de VPN são implementados como duas instâncias numa configuração ativa/inativa, mesmo que consiga ver apenas um recurso de gateway de VPN no Azure. Quando a manutenção planeada ou uma interrupção não planeada afetam a instância ativa, a instância inativa assume automaticamente a responsabilidade pelas ligações sem qualquer intervenção do utilizador. As ligações são interrompidas durante esta ativação pós-falha, mas normalmente são restauradas dentro de alguns segundos para a manutenção planeada e dentro de 90 segundos para interrupções não planeadas.
Ativo/Ativo
Com a introdução do suporte do protocolo de encaminhamento BGP, também pode implementar gateways de VPN numa configuração ativa/ativa. Nesta configuração, atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis separados do dispositivo no local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN localmente.
Ativação pós-falha do ExpressRoute
Outra opção de elevada disponibilidade é configurar um gateway de VPN como um caminho de ativação pós-falha seguro para as ligações do ExpressRoute. Os circuitos do ExpressRoute têm resiliência incorporada, mas não são imunes a problemas físicos que afetam os cabos de fornecimento de conectividade, nem a interrupções que afetam a localização completa do ExpressRoute. Em cenários de alta disponibilidade, onde há risco associado a uma interrupção de um circuito de Rota Expressa, você também pode configurar um gateway VPN que usa a Internet como um método alternativo de conectividade, garantindo assim que sempre haja uma conexão com as redes virtuais do Azure.
Gateways com redundância entre zonas
Em regiões que suportam as zonas de disponibilidade, os gateways de VPN e ExpressRoute podem ser implementados numa configuração com redundância entre zonas. Esta configuração traz resiliência, escalabilidade e uma maior disponibilidade para os gateways de redes virtuais. Implementar gateways nas Zonas de Disponibilidade do Azure separa física e logicamente os gateways numa região, enquanto protege a sua conectividade de rede no local para o Azure contra falhas ao nível das zonas. Eles exigem SKUs de gateway diferentes e usam endereços IP públicos padrão em vez de endereços IP públicos básicos.