Описание виртуальных частных сетей Azure

  • 5 мин

Виртуальная частная сеть (VPN) использует зашифрованный туннель внутри другой сети. Обычно VPN-сети развертываются для соединения двух или более надежных частных сетей через ненадежную сеть (обычно с использованием общедоступного Интернета). Передаваемый по ненадежной сети трафик шифруется во избежание прослушивания или действия других атак. VPN-сети обеспечивают защищенное безопасное совместное использование конфиденциальной информации в различных сетях.

VPN-шлюзы

VPN-шлюз — это тип шлюза виртуальной сети. Экземпляры VPN-шлюза Azure развертываются в выделенной подсети виртуальной сети и обеспечивают следующие возможности соединения:

  • из локальных центров обработки данных к виртуальным сетям с использованием подключения сеть — сеть;
  • с отдельных устройств к виртуальным сетям с использованием подключения точка —сеть;
  • из виртуальных сетей к виртуальным сетям с использованием подключения сеть — сеть.

Все передаваемые данные шифруются в закрытом туннеле, который проходит через Интернет. В каждой виртуальной сети можно развернуть только один VPN-шлюз. Однако один шлюз можно использовать для подключения к нескольким расположениям, в том числе к другим виртуальным сетям или локальным центрам обработки данных.

При настройке VPN-шлюза необходимо указать тип VPN на основе политики или на основе маршрутов. Основное различие между этими двумя типами заключается в том, как они определяют, какой трафик требует шифрования. В Azure независимо от типа VPN метод проверки подлинности используется предварительно общим ключом.

  • VPN-шлюзы на основе политик определяют статические IP-адреса пакетов, которые должны быть зашифрованы при прохождении через каждый туннель. Устройство этого типа оценивает каждый пакет данных на соответствие этим наборам IP-адресов, чтобы выбрать туннель, через который будет отправляться пакет.
  • При использовании шлюзов на основе маршрутов туннели IPSec предоставляются как сетевой интерфейс или интерфейс виртуального туннеля. IP-маршрутизация (статические маршруты или протоколы динамической маршрутизации) определяет, какой из этих интерфейсов туннеля используется при отправке каждого пакета. VPN на основе маршрутов — предпочтительный метод подключения локальных устройств. Они более устойчивы к изменениям топологии, например к созданию новых подсетей.

Если вам нужны какие-либо из следующих типов подключения, используйте VPN-шлюз на основе маршрутов:

  • подключение между виртуальными сетями;
  • подключения типа "точка — сеть";
  • многосайтовые VPN-подключения;
  • сосуществование со шлюзом Azure ExpressRoute.

Сценарии с высоким уровнем доступности

Если вы настраиваете VPN для защиты информации, необходимо также убедиться, что это высокодоступная и отказоустойчивая конфигурация VPN. Существует несколько способов повысить устойчивость VPN-шлюза.

Активный — резервный

По умолчанию VPN-шлюзы развертываются в конфигурации из двух экземпляров (активного и резервного), даже если в Azure доступен только один ресурс VPN-шлюза. При плановом обслуживании или незапланированном простое, влияющем на активный экземпляр, ожидающий экземпляр автоматически принимает ответственность за соединения (вмешательство пользователя не требуется). Во время такой отработки отказа подключения прерываются, но обычно восстанавливаются через несколько секунд в ходе планового обслуживания и в течение 90 секунд в случае непредвиденных повреждений.

Активный и активный

С появлением поддержки протокола маршрутизации BGP можно развертывать VPN-шлюзы в конфигурации активный —активный. В этой конфигурации можно назначить уникальный общедоступный IP-адрес для каждого экземпляра. После этого можно создать отдельные туннели с локального устройства до каждого IP-адреса. Обеспечить высокую доступность можно путем развертывания дополнительного локального VPN-устройства.

Отработка отказа для ExpressRoute

Другой вариант для высокого уровня доступности — настройка VPN-шлюза как защищенного пути отработки отказа для подключений ExpressRoute. В каналы ExpressRoute встроен механизм обеспечения устойчивости. Однако VPN-шлюзы не защищены от физических проблем с кабелями или сбоев, влияющих на все расположение ExpressRoute. В сценариях с высоким уровнем доступности, в которых есть риск отказа канала ExpressRoute, можно подготовить VPN-шлюз через Интернет в качестве альтернативного способа подключения. Так вы сможете гарантировать постоянное соединение с виртуальными сетями.

Шлюзы, избыточные между зонами

В регионах, поддерживающих зоны доступности, шлюзы VPN и шлюзы ExpressRoute можно развертывать в конфигурации с избыточностью между зонами. Такая конфигурация обеспечивает шлюзам виртуальной сети более высокие уровни устойчивости, масштабируемости и доступности. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. Для этих шлюзов требуются разные единицы хранения запасов шлюза (SKU) и используйте общедоступные IP-адреса уровня "Стандартный" вместо общедоступных IP-адресов уровня "Базовый".