Что такое VPN-шлюз Azure?
Azure VPN-шлюз — это служба, которая может использоваться для отправки зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. VPN-шлюз использует определенный тип шлюза виртуальной сети Azure, который называется VPN-шлюзом. Можно создать несколько подключений к одному VPN-шлюзу. При создании нескольких подключений все VPN-туннели совместно используют доступную пропускную способность шлюза.
Зачем использовать VPN-шлюз?
Ниже приведены некоторые ключевые сценарии для VPN-шлюз:
Отправка зашифрованного трафика между виртуальной сетью Azure и локальными расположениями через общедоступный Интернет. Это можно сделать с помощью следующих типов подключений:
Подключение типа "сеть — сеть": подключение между VPN-шлюзом и локальным VPN-подключением между VPN-шлюзом и локальным VPN-устройством.
Подключение типа "точка — сеть": VPN через OpenVPN, IKEv2 или SSTP. Этот тип подключения позволяет подключаться к виртуальной сети из удаленного расположения, например из конференции или из дома.
Отправка зашифрованного трафика между виртуальными сетями. Это можно сделать с помощью следующих типов подключений:
Виртуальная сеть — виртуальная сеть: vpn-туннель IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure, использующим тип подключения "виртуальная сеть — виртуальная сеть ". Этот тип подключения предназначен специально для подключений между виртуальными сетями.
Подключение типа "сеть — сеть": vpn-туннель IPsec/IKE между VPN-шлюзом и другим VPN-шлюзом Azure. Этот тип подключения, используемый в архитектуре виртуальной сети к виртуальной сети, использует тип подключения типа "сеть — сеть" (IPsec), который позволяет локальным подключениям к шлюзу в дополнение к подключениям между VPN-шлюзами.
Настройте VPN типа "сеть — сеть" в качестве безопасного пути отработки отказа для ExpressRoute. Это можно сделать с помощью:
- ExpressRoute + VPN-шлюз: сочетание подключений ExpressRoute + VPN-шлюз (сосуществующие подключения).
Используйте VPN типа "сеть — сеть" для подключения к сайтам, которые не подключены через ExpressRoute. Это можно сделать с помощью:
- ExpressRoute + VPN-шлюз: сочетание подключений ExpressRoute + VPN-шлюз (сосуществующие подключения).
Планирование и проектирование
Так как с помощью VPN-шлюза вы можете создать несколько конфигураций подключения, необходимо определить, какая конфигурация наилучшим образом соответствует вашим требованиям. Подключения типа "точка — сеть", "сеть — сеть" и совместное подключение ExpressRoute или "сеть — сеть" имеют разные инструкции и требования к конфигурации ресурсов.
См. статью VPN-шлюз топологии и разработки топологий проектирования и ссылки на инструкции по настройке. В следующих разделах статьи рассматриваются некоторые топологии проектирования, которые чаще всего используются.
- VPN-подключения типа "сеть — сеть"
- VPN-подключения типа "точка — сеть"
- VPN-подключение "виртуальная сеть — виртуальная сеть".
Таблица планирования
Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения.
| Точка-сеть | Подключение "сеть — сеть". | |
|---|---|---|
| Поддерживаемые службы Azure | Облачные службы и виртуальные машины | Облачные службы и виртуальные машины |
| Типичные пропускные способности | Зависит от SKU шлюза | Обычно < 10 Гбит/с (совокупная) |
| Поддерживаемые протоколы | Протокол безопасного туннелирования сокетов (SSTP), OpenVPN и IPsec | IPsec |
| Маршрутизация | RouteBased (динамическая) | Мы поддерживаем маршрутизацию на основе политик (PolicyBased, статическая маршрутизация) и маршрутов (RouteBased, VPN с динамической маршрутизацией). |
| Устойчивость подключения | "Активное — пассивное" или "активное —активное" | "Активное — пассивное" или "активное —активное" |
| Типичный случай использования | Безопасный доступ к виртуальным сетям Azure для удаленных пользователей | Сценарии разработки, тестирования и лаборатории, а также небольшие и средние рабочие нагрузки для облачных служб и виртуальных машин |
| Соглашение об уровне обслуживания | Соглашение об уровне обслуживания | Соглашение об уровне обслуживания |
| Цены | Цены | Цены |
| Техническая документация | VPN-шлюз | VPN-шлюз |
| Вопросы и ответы | VPN-шлюз: вопросы и ответы | VPN-шлюз: вопросы и ответы |
зоны доступности;
VPN-шлюзы можно развернуть в Зонах доступности Azure. В результате шлюзы виртуальной сети смогут работать на более высоких уровнях отказоустойчивости, масштабируемости и доступности. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. Ознакомьтесь со статьей Избыточные между зонами шлюзы виртуальной сети в Зонах доступности Azure.
Настройка VPN-шлюза
При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. В некоторых случаях ресурсы должны быть настроены в определенном порядке. Правильный выбор параметров каждого ресурса критически важен для успешного создания подключения.
Сведения о отдельных ресурсах и параметрах для VPN-шлюз см. в разделе "Сведения о параметрах VPN-шлюз" и номерах SKU шлюза " В этих статьях содержатся сведения о типах шлюзов, номерах SKU шлюза, типах VPN, типах подключений, подсетях шлюзов, шлюзах локальной сети и различных других параметрах ресурсов, которые можно рассмотреть.
Схемы проектирования и ссылки на статьи о конфигурации см. в статье о топологии и проектировании VPN-шлюз.
SKU шлюза
Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания. Дополнительные сведения о номерах SKU шлюза, включая поддерживаемые функции, таблицы производительности, шаги конфигурации и рабочие нагрузки dev-test, см. в разделе "Сведения о номерах SKU шлюза".
| VPN Шлюз Поколение |
SKU | Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть" Туннели |
Подключение "точка — сеть" Подключения SSTP |
Подключение "точка — сеть" Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Избыточность между зонами | Поддерживаемая численность виртуальных машин в виртуальная сеть |
|---|---|---|---|---|---|---|---|---|
| Поколение1 | Базовая | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | No | 200 |
| Поколение1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | No | 450 |
| Поколение1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | No | 1300 |
| Поколение1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | No | 4000 |
| Поколение1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Поколение1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Поколение1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5000 |
| Поколение2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | No | 685 |
| Поколение2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | No | 2240 |
| Поколение2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | No | 5300 |
| Поколение2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | No | 6700 |
| Поколение2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Поколение2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Поколение2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Поколение2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Да | 9000 |
(*) Если требуется более 100 VPN-туннелей S2S, используйте Виртуальная глобальная сеть вместо VPN-шлюз.
Цены
Вы платите за каждый час использования вычислительных ресурсов шлюза виртуальной сети и за его исходящий трафик. Дополнительные сведения о ценах можно просмотреть на этой странице . Чтобы узнать цены на SKU для шлюза прежних версий, откройте страницу с ценами на ExpressRoute и прокрутите ее до разделаШлюзы виртуальной сети.
Имя шлюза виртуальной сети: VNet1GW.
Плата за использование вычислительных ресурсов шлюза виртуальной сети взимается по почасовому тарифу. Тариф зависит от SKU шлюза, выбранного при создании шлюза виртуальной сети. В стоимость входит сам шлюз и трафик, который через него проходит. Конфигурации "активный — активный" и "активный — пассивный" одинаковы по стоимости установки. См. дополнительные сведения о номерах SKU для VPN-шлюзов.
расходы, связанные с передачей данных;
Стоимость передачи данных вычисляется на основе исходящего трафика исходного шлюза виртуальной сети.
- Если вы отправляете трафик в локальное VPN-устройство, с вас будет взиматься плата как за исходящий сетевой трафик.
- При обмене данными между виртуальными сетями в разных регионах цена зависит от региона.
- При обмене данными между виртуальными сетями в одном регионе плата не взимается. Обмен данными между виртуальными сетями в одном регионе бесплатный.
Новые возможности VPN-шлюз?
VPN-шлюз Azure регулярно обновляется. Чтобы оставаться в курсе последних объявлений, см. статью "Новые возможности". В статье рассматриваются следующие моменты:
- Последние выпуски
- Предварительные версии, которые ведутся с известными ограничениями (если применимо)
- Известные проблемы
- со сведениями о нерекомендуемых функциях (если это применимо).
Вы также можете подписаться на RSS-канал и просмотреть последние обновления компонентов VPN-шлюз на странице "Обновления Azure".
Вопросы и ответы
См. вопросы и ответы, связанные с использованием VPN-шлюза.