Настройка параметров VPN-шлюза для Azure Stack Hub
VPN-шлюз — это разновидность шлюза виртуальной сети, который передает зашифрованный трафик между виртуальной сетью в Azure Stack Hub и удаленным VPN-шлюзом. Удаленный VPN-шлюз может быть шлюзом Azure, устройством в центре обработки данных или устройством в другом расположении. Если есть возможность сетевого подключения между двумя конечными точками, вы можете установить между двумя сетями VPN-подключение "сеть — сеть".
VPN-шлюз зависит от конфигурации нескольких ресурсов, каждая из которых содержит настраиваемые параметры. В этой статье описываются ресурсы и параметры, относящиеся к VPN-шлюзу для виртуальной сети, созданной на основе модели развертывания с помощью Resource Manager. Описания и схемы топологии для каждого решения подключения можно найти в разделе "Создание VPN-шлюзов для Azure Stack Hub".
Параметры VPN-шлюза
Типы шлюзов
Каждая виртуальная сеть Azure Stack Hub поддерживает один шлюз виртуальной сети, который должен относиться к типу VPN, в отличие от Azure, где поддерживаются дополнительные типы.
При создании шлюза виртуальной сети необходимо убедиться, что в конфигурации указан правильный тип шлюза. Для VPN-шлюза требуется отметить -GatewayType Vpn, например:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Номера SKU шлюза без поддержки быстрого пути VPN
При создании шлюза виртуальной сети необходимо указать номер SKU, который требуется использовать. Выберите номера SKU, удовлетворяющие вашим требованиям на основе типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.
Вы можете иметь 10 высокопроизводительных шлюзов или 20 базовых и стандартных, прежде чем достичь максимальной емкости.
Azure Stack Hub предлагает номера SKU VPN-шлюзов, показанные в следующей таблице.
| Номер SKU | Максимальная пропускная способность VPN-подключения | Максимальное число подключений на активную виртуальную машину GW | Максимальное число VPN-подключений на метку |
|---|---|---|---|
| Базовая | 100 Мбит/с Tx/Rx | 10 | 20 |
| Стандартные | 100 Мбит/с Tx/Rx | 10 | 20 |
| Высокая производительность | 200 Мбит/с Tx/Rx | 5 | 10 |
Номера SKU шлюза с поддержкой быстрого пути VPN
В выпуске общедоступной предварительной версии VPN Fast Path Azure Stack Hub поддерживает три новых номера SKU с более высокой пропускной способностью.
Новые ограничения и пропускная способность будут включены после включения быстрого пути VPN на метке Azure Stack.
Azure Stack Hub предлагает номера SKU VPN-шлюзов, показанные в следующей таблице.
| Номер SKU | Максимальная пропускная способность VPN-подключения | Максимальное число подключений на активную виртуальную машину GW | Максимальное число VPN-подключений на метку |
|---|---|---|---|
| Базовая | 100 Мбит/с Tx/Rx | 25 | 50 |
| Стандартные | 100 Мбит/с Tx/Rx | 25 | 50 |
| Высокая производительность | 200 Мбит/с Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Мбит/с Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Мбит/с Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Мбит/с Tx/Rx | 2 | 4 |
Изменение размера номеров SKU шлюзов виртуальной сети
Azure Stack Hub не поддерживает изменение размера из поддерживаемого устаревшего номера SKU (basic, Standard и HighPerformance) на более новый номер SKU, поддерживаемый Azure (VpnGw1, VpnGw2 и VpnGw3).
Для использования новых номеров SKU, включенных VPN Fast Path, необходимо создать новые шлюзы и подключения виртуальной сети.
Настройка SKU шлюза виртуальной сети
Портал Azure Stack Hub
Если вы используете портал Azure Stack Hub для создания шлюза виртуальной сети, номер SKU можно выбрать с помощью раскрывающегося списка. Новые номера SKU fast Path VPN (VpnGw1, VpnGw2, VpnGw3) будут отображаться только после добавления параметра запроса "?azurestacknewvpnskus=true" в URL-адрес и обновления.
Следующий пример URL-адреса делает новые номера SKU шлюза виртуальной сети видимыми на пользовательском портале Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Перед созданием этих ресурсов оператор должен включить VPN Fast Path на метке Azure Stack Hub. Дополнительные сведения см. в разделе "Быстрый путь VPN" для операторов.
PowerShell
В следующем примере PowerShell используется параметр -GatewaySku со значением Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Типы подключений
В модели развертывания с помощью Resource Manager каждой конфигурации необходим определенный тип подключения шлюза виртуальной сети. При развертывании Resource Manager для -ConnectionType в PowerShell можно указать значения IPsec.
В следующем примере PowerShell создается подключение "сеть — сеть", для которого требуется тип IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Типы VPN
При создании шлюза виртуальной сети для конфигурации VPN-шлюза необходимо указать тип VPN. Выбор типа VPN зависит от топологии подключений, которую вы хотите создать. Тип VPN может также зависеть от используемого оборудования. Для конфигураций "сеть — сеть" требуется VPN-устройство. Некоторые VPN-устройства поддерживают только определенный тип VPN.
Внимание
Сейчас Azure Stack Hub поддерживает только VPN на основе маршрутов. Если устройство поддерживает только VPN на основе политики, подключения к этим устройствам из Azure Stack Hub не поддерживаются.
Кроме того, Azure Stack Hub не поддерживает использование селекторов трафика на основе политик для шлюзов на основе маршрутов в настоящее время, так как Azure Stack Hub не поддерживает селекторы трафика на основе политик, хотя они поддерживаются в Azure.
PolicyBased: виртуальные сети на основе политик шифруют и направляют пакеты через туннели IPsec на основе политик IPsec, настроенных с помощью сочетаний префиксов адресов между локальной сетью и виртуальной сетью Azure Stack Hub. Политика (или селектор трафика) обычно представляет собой список доступа в конфигурации VPN-устройства.
Примечание.
PolicyBased поддерживается в Azure, но не в Azure Stack Hub.
RouteBased: vpn-адреса на основе маршрутов используют маршруты, настроенные в таблице IP-пересылки или маршрутизации, чтобы направлять пакеты в соответствующие интерфейсы туннеля. Затем интерфейсы туннелей шифруют пакеты в туннели или расшифровывают их из туннелей. Политика (или селектор трафика) для VPN типа RouteBased настроена по схеме "любой к любому" (или использует подстановочные знаки). По умолчанию их нельзя изменить. Значение для VPN типа RouteBased — RouteBased.
В следующем примере PowerShell используется -VpnType со значением RouteBased. При создании шлюза необходимо убедиться, что в конфигурации указано правильное значение -VpnType.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Поддерживаемые конфигурации шлюзов виртуальной сети при отключении быстрого пути VPN
| Номер SKU | Тип VPN | Connection type | Поддержка активной маршрутизации (BGP) | Удаленная конечная точка NAT-T с поддержкой |
|---|---|---|---|---|
| Базовый номер SKU VNG | VPN на основе маршрутов | Общий ключ IPSec | Не поддерживается | Необязательное |
| Номер SKU VNG уровня "Стандартный" | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Необязательное |
| SKU SNG с высокой производительностью | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Необязательное |
Поддерживаемые конфигурации шлюзов виртуальной сети при включенном vpn-пути
| Номер SKU | Тип VPN | Connection type | активная поддержка маршрутизации (BGP) | Удаленная конечная точка NAT-T с поддержкой |
|---|---|---|---|---|
| Базовый номер SKU VNG | VPN на основе маршрутов | Общий ключ IPSec | Не поддерживается | Обязательное поле |
| Номер SKU VNG уровня "Стандартный" | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Обязательное поле |
| SKU SNG с высокой производительностью | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Обязательное поле |
| VPNGw1 VNG SKU | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Обязательное поле |
| VPNGw2 VNG SKU | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Обязательное поле |
| VPNGw2 VNG SKU | VPN на основе маршрутов | Общий ключ IPSec | Поддерживаемые до 150 маршрутов | Обязательное поле |
Подсеть шлюза
Прежде чем создать VPN-шлюз, необходимо создать подсеть для него. Подсеть шлюза имеет IP-адреса, которые используют виртуальные машины и службы шлюза виртуальной сети. При создании шлюза виртуальной сети и подключения виртуальная машина шлюза, принадлежающая подключению, будет связана с подсетью шлюза и будет настроена с необходимыми параметрами VPN-шлюза. Не развертывайте в подсети шлюза что-либо еще (например, дополнительные виртуальные машины).
Внимание
Чтобы подсети шлюзов работали правильно, каждую подсеть нужно назвать GatewaySubnet . Azure Stack Hub использует это имя, чтобы определить подсеть для развертывания виртуальных машин и служб шлюза виртуальной сети.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. IP-адреса в подсети шлюза выделяются виртуальным машинам и службам шлюза. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Просмотрите инструкции к конфигурации, которую требуется создать, и убедитесь, что создаваемая подсеть шлюза соответствует указанным требованиям.
Кроме того, следует убедиться, что подсеть шлюза содержит достаточно IP-адресов для обработки дополнительных конфигураций в будущем. Хотя вы можете создать подсеть шлюза меньше /29, рекомендуется создать подсеть шлюза /28 или больше (/28, /27, /26 и т. д.). Таким образом, если вы добавите функциональные возможности в будущем, вам не нужно удалить шлюз, а затем удалить и повторно создать подсеть шлюза, чтобы разрешить дополнительные IP-адреса.
В примере PowerShell для Resource Manager ниже показана подсеть шлюза GatewaySubnet. Здесь приведена нотация CIDR, указывающая размер /27, при котором можно использовать достаточно IP-адресов для большинства существующих конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Внимание
При работе с подсетями шлюза не связывайте группу безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети (NSG) с этой подсетью приведет к тому, что VPN-шлюз перестанет правильно функционировать. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Шлюзы локальной сети
При создании конфигурации VPN-шлюза в Azure шлюз локальной сети нередко представляет ваше локальное расположение. В Azure Stack Hub шлюз представляет любое удаленное VPN-устройство, находящееся за пределами Azure Stack Hub. Это может быть VPN-устройство в вашем или удаленном центре обработки данных либо VPN-шлюз в Azure.
Присвойте шлюзу локальной сети имя, общедоступный IP-адрес удаленного VPN-устройства и укажите префиксы адресов, которые находятся в локальном расположении. Azure Stack Hub проверяет префиксы целевого адреса для сетевого трафика, просматривает конфигурацию, указанную для шлюза локальной сети, и маршрутизирует пакеты соответствующим образом.
Этот пример PowerShell создает шлюз локальной сети:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Иногда возникает необходимость изменить параметры шлюза локальной сети, например, при добавлении или изменении диапазона адресов либо при изменении IP-адреса VPN-устройства. Дополнительные сведения см. в разделе Изменение параметров шлюза локальной сети с помощью PowerShell.
Параметры IPsec/IKE
При настройке VPN-подключения в Azure Stack Hub оно должно быть настроено на обеих сторонах. Возможно, при настройке VPN-подключения между Azure Stack Hub и устройством, например коммутатором или маршрутизатором, выполняющем функции VPN-шлюза, вам потребуется настроить дополнительные параметры для устройства.
В отличие от Azure, где поддерживается несколько предложений (как инициатора, так и отвечающего устройства), Azure Stack Hub по умолчанию поддерживает только одно предложение. Если вам нужно использовать разные параметры IPSec/IKE для работы с VPN-устройством, доступны дополнительные параметры для настройки подключения вручную. См. сведения о настройке политики IPsec/IKE для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть".
Внимание
Если вы используете туннель для подключения "сеть — сеть", пакеты инкапсулируются с дополнительными заголовками. Это увеличивает общий размер пакета. В таких случаях необходимо установить для TCP MSS значение 1350. Если же VPN-устройства не поддерживают фиксацию MSS, в качестве альтернативы в интерфейсе туннеля можно указать для MTU1400 байт. Дополнительные сведения см. в статье Настройка производительности виртуальной сети TCPIP.
Параметры этапа 1 IKE (основной режим)
| Свойство | Значение |
|---|---|
| Версия IKE | IKEv2 |
| Группа Диффи-Хелмана* | ECP384 |
| Метод проверки подлинности | Общий ключ |
| Алгоритмы шифрования и хэширования* | AES256, SHA384 |
| Срок действия SA (время) | 28 800 сек |
Параметры этапа 2 IKE (быстрый режим)
| Свойство | Значение |
|---|---|
| Версия IKE | IKEv2 |
| Алгоритмы шифрования и хэширования (шифрование) | GCMAES256 |
| Алгоритмы шифрования и хэширования (аутентификация) | GCMAES256 |
| Срок действия SA (время) | 27 000 секунд |
| Срок действия SA (килобайты) | 33 553 408 |
| Полная безопасность пересылки (PFS)* | ECP384 |
| Обнаружение неиспользуемых одноранговых узлов | Поддерживается |
* Новый или измененный параметр.