Explorar o Gateway de VPN do Azure
Para integrar o seu ambiente no local com o Azure, tem de poder criar uma ligação encriptada. Pode ligar-se através da Internet ou através de uma ligação dedicada. Aqui, vamos ver o Gateway de VPN do Azure, que faculta um ponto final para ligações de entrada a partir de ambientes no local.
Configurou uma rede virtual do Azure e tem de ter a certeza de que todas as transferências de dados do Azure para o seu site e entre as redes virtuais do Azure são encriptadas. Também tem de saber como ligar redes virtuais entre regiões e subscrições.
O que é um gateway de VPN?
Um gateway de rede virtual do Azure faculta um ponto final para as ligações de entrada de localizações no local para o Azure através da Internet. Um gateway de VPN é um tipo específico de gateway de rede virtual que pode ser um ponto final para ligações encriptadas. Também pode enviar tráfego encriptado entre redes virtuais do Azure através da rede dedicada da Microsoft, que liga os datacenters do Azure em diferentes regiões. Essa configuração permite vincular máquinas virtuais e serviços em diferentes regiões com segurança.
Cada rede virtual pode ter apenas um gateway de VPN. Todas as ligações a esse gateway de VPN partilham a largura de banda da rede disponível.
Dentro de cada gateway de rede virtual, há duas ou mais máquinas virtuais (VMs). Essas VMs foram implantadas em uma sub-rede especial que você especifica chamada sub-rede de gateway. Contêm tabelas de encaminhamento para ligações a outras redes, juntamente com serviços de gateway específicos. AS VMs e a sub-rede de gateway são semelhantes a um dispositivo de rede protegido. Você não precisa configurar essas VMs diretamente e não deve implantar mais recursos na sub-rede do gateway.
A conclusão da criação de um gateway de rede virtual pode demorar algum tempo, pelo que é vital que a planeie adequadamente. Quando cria um gateway de rede virtual, o processo de aprovisionamento processa as VMs do gateway e implementa-as na sub-rede de gateway. Essas VMs têm as configurações que você define no gateway.
Uma configuração chave é o tipo de gateway. O tipo de gateway determina a forma como o gateway funciona. Para um gateway de VPN, o tipo de gateway é “vpn”. As opções dos gateways de VPN incluem:
Ligações rede a rede através de túnel de VPN IPsec/IKE, ligando gateways de VPN a outros gateways de VPN.
Túnel de VPN IPsec/IKE em vários locais, para ligar redes no local ao Azure através de dispositivos VPN dedicados para criar ligações site a site.
Ligações ponto a site através de IKEv2 ou SSTP, para ligar os computadores cliente a recursos no Azure.
Agora, vamos analisar os fatores que tem de ter em conta quando planear o gateway de VPN.
Planear um gateway de VPN
Quando estiver a planear um gateway de VPN, existem três arquiteturas a considerar:
- Ponto a site através da Internet
- Site a site através da Internet
- Site a site através de uma rede dedicada, como o Azure ExpressRoute.
Fatores do plano
Os fatores que tem de considerar durante o processo de planeamento incluem:
- Taxa de transferência: Mbps ou Gbps?
- Backbone: Internet ou privado?
- Disponibilidade de um endereço IP público (estático)
- Compatibilidade de dispositivos VPN
- Várias ligações cliente ou uma ligação site a site?
- Tipo de gateway de VPN
- SKU do Gateway de VPN do Azure
A tabela abaixo resume algumas destas questões do planeamento: Descrevemos as questões restantes mais adiante.
| Ponto a site | Site a site | Rota Expressa | |
|---|---|---|---|
| Serviços suportados do Azure | Serviços cloud e VMs | Serviços cloud e VMs | Todos os serviços suportados |
| Largura de banda típica | Depende do Gateway VPN SKU | Depende do Gateway VPN SKU | Consulte Opções de largura de banda da Rota Expressa |
| Protocolos suportados | SSTP e IPsec | IPsec | Ligação direta, VLANs |
| Roteamento | RouteBased (dinâmico) | PolicyBased (estático) e RouteBased | BGP |
| Resiliência da conexão | Ativa-passiva | Ativa-passiva ou ativa-ativa | Ativa-ativa |
| Caso de uso | Testes e prototipagem | Desenvolvimento, testes e produção em pequena escala | Crítico para empresa/missão |
SKUs de Gateway
É importante escolher o SKU certo. Se você configurou seu gateway de VPN com o errado, terá que derrubá-lo e reconstruir o gateway, o que pode ser demorado. Para obter as informações mais recentes sobre SKUs de gateway, incluindo taxa de transferência, consulte SKUs de gateway.
Fluxo de Trabalho
Ao conceber uma estratégia de conectividade na cloud com uma rede privada virtual no Azure, deve aplicar o seguinte fluxo de trabalho:
Desenhe a topologia da conectividade mediante a indicação dos espaços de endereço de todas as redes de ligação.
Crie uma rede virtual do Azure.
Crie um gateway de VPN para a rede virtual.
Crie e configure ligações a redes no local ou a outras redes virtuais, conforme seja preciso.
Se necessário, crie e configure uma conexão ponto a site para seu gateway de VPN do Azure.
Considerações de design
Quando desenha os gateways de VPN para ligar redes virtuais, tem de ter em conta os seguintes fatores:
As sub-redes não podem se sobrepor: é vital que uma sub-rede em um local não contenha o mesmo espaço de endereço que em outro local.
Os endereços IP devem ser exclusivos: você não pode ter dois hosts com o mesmo endereço IP em locais diferentes, porque será impossível rotear o tráfego entre esses dois hosts e a conexão de rede para rede falhará.
Os gateways VPN precisam de uma sub-rede de gateway chamadaGatewaySubnet: ela deve ter esse nome para que o gateway funcione e não deve conter outros recursos.
Criar uma rede virtual do Azure
Antes de criar um gateway de VPN, tem de criar a rede virtual do Azure.
Criar um gateway de VPN
O tipo de gateway de VPN que criar depende da arquitetura. As opções são:
RouteBased: Os dispositivos VPN baseados em rota usam seletores de tráfego de qualquer para qualquer (curinga) e permitem que as tabelas de roteamento/encaminhamento direcionem o tráfego para diferentes túneis IPsec. As conexões baseadas em rota são normalmente construídas em plataformas de roteador onde cada túnel IPsec é modelado como uma interface de rede ou interface de túnel virtual (VTI).
Baseado em políticas: os dispositivos VPN baseados em políticas usam as combinações de prefixos de ambas as redes para definir como o tráfego é criptografado/descriptografado por meio de túneis IPsec. Regra geral, as ligações baseadas em políticas são criadas em dispositivos de firewall que fazem filtragem de pacotes. A encriptação e desencriptação de túnel IPsec são adicionadas à filtragem de pacotes e ao motor de processamento.
Configurar um gateway de VPN
As etapas que você precisa seguir dependerão do tipo de gateway VPN que você está instalando. Por exemplo, para criar um gateway VPN ponto a site usando o portal do Azure, você deve executar as seguintes etapas:
Crie uma rede virtual.
Adicione uma sub-rede de gateway.
Especifique um servidor DNS (opcional).
Crie um gateway de rede virtual.
Gerar certificados.
Adicione o pool de endereços do cliente.
Configure o tipo de túnel.
Configure o tipo de autenticação.
Carregue os dados do certificado público do certificado raiz.
Instale um certificado de cliente exportado.
Gere e instale o pacote de configuração do cliente VPN.
Conecte-se ao Azure.
Como há vários caminhos de configuração com gateways de VPN do Azure, cada um com várias opções, não é possível cobrir todas as configurações neste curso. Para obter mais informações, consulte a seção Recursos adicionais no final deste módulo.
Configurar o gateway
Depois que o gateway for criado, você precisará configurá-lo. Há várias definições de configuração que você precisará fornecer, como nome, local, servidor DNS e assim por diante. Exploraremos essas configurações com mais detalhes no exercício.
Os gateways de VPN do Azure são componentes nas redes virtuais do Azure que permitem ligações ponto a site, site a site ou rede a rede. Os gateways de VPN do Azure permitem que computadores cliente individuais se liguem a recursos no Azure, expandam as redes no local para o Azure ou facilitem ligações entre redes virtuais em diferentes regiões e subscrições.