Изучение VPN-шлюза Azure

  • 10 мин

Для интеграции локальной среды с помощью Azure вам необходимо уметь создавать зашифрованное подключение. Вы можете подключиться через Интернет или выделенный канал. Здесь мы рассмотрим VPN-шлюз Azure, предоставляющий конечную точку для входящих подключений из локальных сред.

Вы настроили виртуальную сеть Azure и хотите убедиться, что передача данных из Azure на ваш сайт, а также между виртуальными сетями Azure, зашифрована. Также необходимо знать, как подключать виртуальные сети между регионами и подписками.

Что такое VPN-шлюз?

Шлюз виртуальной сети Azure предоставляет конечную точку для входящих подключений из локальных расположений к Azure через Интернет. VPN-шлюз — это особый тип шлюза виртуальной сети, который может служить конечной точкой для зашифрованных подключений. Он также может пересылать зашифрованный трафик между виртуальными сетями Azure, используя выделенную сеть корпорации Майкрософт, которая связывает центры обработки данных Azure в разных регионах. Эта конфигурация обеспечивает безопасную связь между виртуальными машинами и службами в разных регионах.

Каждая виртуальная сеть может иметь только один VPN-шлюз. Все подключения к этому VPN-шлюзу совместно используют доступную пропускную способность сети.

В каждом шлюзе виртуальной сети есть две или более виртуальных машин. Эти виртуальные машины были развернуты в специальной подсети, которую вы указали и которая называется подсетью шлюза. В них содержатся таблицы маршрутизации для подключения к другим сетям, а также конкретные службы шлюза. Эти виртуальные машины и подсети шлюза похожи на сетевое устройство с усиленной защитой. Эти виртуальные машины не нужно настраивать напрямую и не следует развертывать больше ресурсов в подсети шлюза.

Создание шлюза виртуальной сети может занять некоторое время поэтому следует все правильно спланировать. При создании шлюза виртуальной сети процесс подготовки генерирует виртуальные машины шлюза и развертывает их в подсети шлюза. У этих виртуальных машин будут параметры, которые вы настраиваете на сетевом шлюзе.

Ключевым параметром является тип шлюза. Он определяет способ работы шлюза. VPN-шлюз имеет тип "vpn". Параметры для VPN-шлюзов:

  • подключения типа "сеть — сеть" через VPN-туннелирование по протоколу IPsec/IKE, которое связывает VPN-шлюзы с другими VPN-шлюзами;

  • распределенное VPN-туннелирование IPsec/IKE для подключения локальных сетей к Azure через выделенное VPN-устройство, чтобы создать подключения типа "сеть — сеть";

  • подключение типа "точка — сеть" по протоколу IKEv2 или SSTP, чтобы связать клиентские компьютеры с ресурсами в Azure.

Рассмотрим факторы, которые необходимо учитывать при планировании VPN-шлюза.

Планирование VPN-шлюза

При планировании VPN-шлюза следует рассмотреть три архитектуры:

  • подключение типа "точка — сеть" через Интернет;
  • подключение типа "сеть — сеть" через Интернет;
  • подключение типа "сеть —сеть" через выделенную сеть, например Azure ExpressRoute.

Факторы планирования

Факторы, которые необходимо учесть во время процесса планирования:

  • пропускная способность (Мбит/с или Гбит/с);
  • магистраль (облачная или частная);
  • доступность общедоступного (статического) IP-адреса;
  • совместимость VPN-устройств;
  • несколько подключений клиента или ссылка подключения типа "сайт — сайт";
  • тип VPN-шлюза;
  • номер SKU VPN-шлюза Azure.

В следующей таблице перечислены некоторые из этих вопросов планирования. Остальные проблемы описаны далее.

"Точка — сеть" "Сеть — сеть" ExpressRoute
поддержка Azure служб Облачные службы и виртуальные машины Облачные службы и виртуальные машины Все поддерживаемые службы
Типичная пропускная способность Зависит от номера SKU VPN-шлюза Зависит от номера SKU VPN-шлюза См. раздел Поддерживаемая пропускная способность
Поддерживаемые протоколы SSTP и IPsec IPsec Прямые соединения, виртуальные локальные сети
Маршрутизация RouteBased (динамическая) PolicyBased (статическая) и RouteBased BGP
Устойчивость подключения Шаблон "активный — пассивный" "Активный — пассивный" или "активный — активный" Шаблон "активный — активный"
Вариант использования Тестирование и создание прототипов Разработка, тестирование и производство в мелких масштабах Корпоративный/критически важный

SKU шлюза

Важно выбрать подходящий номер SKU. Если вы настроили VPN-шлюз, используя неправильный номер, вам потребуется изъять его и повторно создать шлюз, что может занять много времени. Последние сведения о номерах SKU шлюзов, включая пропускную способность, см. в разделе Что такое VPN-шлюз? — Номера SKU шлюза.

Workflow

При разработке облачной возможности подключения с помощью частных виртуальных сетей в Azure необходимо применить следующий рабочий процесс:

  1. создайте топологию возможности подключения, в которой будет список адресных пространств всех соединений сетей;

  2. создайте виртуальную сеть Azure;

  3. создайте VPN-шлюз для виртуальной сети;

  4. при необходимости создайте и настройте подключения к локальным сетям или другим виртуальным сетям;

  5. При необходимости создайте и настройте подключение типа "точка — сеть" для VPN-шлюза Azure.

Рекомендации по проектированию

При разработке VPN-шлюзов для подключения к виртуальным сетям необходимо учитывать перечисленные ниже факторы.

  • Подсети не могут перекрываться

    Важно, чтобы подсеть в одном расположении не содержала то же адресное пространство, что и в другом расположении.

  • IP-адреса должны быть уникальными.

    У вас не может быть двух узлов с одинаковым IP-адресом в разных расположениях, так как маршрутизировать трафик между этими двумя узлами и сетевое подключение завершится ошибкой.

  • VPN-шлюзам нужна подсеть шлюза с именем GatewaySubnet.

    Он должен иметь это имя для работы шлюза, и он не должен содержать другие ресурсы.

Создание виртуальной сети Azure

Перед созданием VPN-шлюза нужно создать виртуальную сеть Azure.

Создание VPN-шлюза

Тип VPN-шлюза, который вы создаете, будет зависеть от вашей архитектуры. Доступные параметры описаны ниже.

  • RouteBased.

    VPN-устройства на основе маршрута используют селекторы трафика типа "любой к любому" (подстановочные) и позволяют таблицам пересылки и маршрутизации направлять трафик в различные IPsec-туннели. Подключения на основе маршрута обычно используются для платформ маршрутизатора, где каждый IPsec-туннель смоделирован как сетевой интерфейс или VTI (виртуальный интерфейс туннеля).

  • PolicyBased

    VPN-устройства на основе политики используют комбинации префиксов из двух сетей, чтобы определить способ шифрования и расшифровки трафика через IPsec-туннели. Подключения на основе политики обычно используют для устройств брандмауэра, выполняющих фильтрацию пакетов. Шифрование и расшифровка туннеля IPsec добавляются в фильтрацию пакетов и подсистему обработки.

Настройка VPN-шлюза

Действия, которые необходимо выполнить, будут зависеть от типа VPN-шлюза, который вы устанавливаете. Например, чтобы создать VPN-шлюз с подключением "точка — сеть" с помощью портала Azure, нужно выполнить следующие действия:

  1. Создайте виртуальную сеть.

  2. Добавьте подсеть шлюза.

  3. Выберите DNS-сервер (необязательно).

  4. Создайте шлюз виртуальной сети.

  5. Создайте сертификаты.

  6. Добавьте пулы адресов клиента.

  7. Настройте тип туннеля.

  8. Настройте тип проверки подлинности.

  9. Отправьте данные об открытом ключе корневого сертификата.

  10. Установите экспортированный сертификат клиента.

  11. Создайте и установите пакет конфигурации VPN-клиента.

  12. Подключитесь к Azure.

Так как существует несколько путей конфигурации с VPN-шлюзами Azure, каждый из которых имеет несколько вариантов, невозможно покрыть каждую настройку в этом курсе. Дополнительные сведения см. в разделе "Дополнительные ресурсы".

Настройка шлюза

После создания шлюз нужно настроить. Существует несколько параметров конфигурации, которые нужно указать, включая имя, расположение, DNS-сервер и т. д. Мы рассмотрим эти параметры более подробно в упражнении.

VPN-шлюзы Azure — это компонент виртуальных сетей Azure, который позволяет создавать подключения типа "точка — сеть" или "сеть — сеть". VPN-шлюзы Azure предоставляют компьютерам отдельных клиентов возможность подключения к ресурсам в Azure, расширения локальных сетей в Azure или упрощения подключений между виртуальными сетями в разных регионах и подписках.