Как работает VPN-шлюз Azure

5 мин

В каждой виртуальной сети Azure можно развернуть только один VPN-шлюз. Несмотря на то, что вы ограничены одним VPN-шлюзом, вы можете настроить этот шлюз для подключения к нескольким расположениям, включая другие виртуальные сети Azure или локальные центры обработки данных.

Примечание.

Шлюз виртуальной сети состоит из двух или более специальных виртуальных машин, развернутых в определенной подсети, называемой подсетью шлюза. Виртуальные машины шлюза виртуальной сети размещают таблицы маршрутизации и запускают определенные службы шлюза. Эти виртуальные машины, составляющие шлюз, создаются при создании шлюза виртуальной сети, автоматически управляются Azure и не требуют вмешательства администратора.

Типы VPN-шлюзов

При настройке шлюза виртуальной сети выбирается параметр, указывающий его тип. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети, и действия, которые будет выполнять шлюз. Тип шлюза Vpn указывает, что создается шлюз виртуальной сети VPN gateway. Этим он отличается от шлюза ExpressRoute, который использует другой тип шлюза. Виртуальная сеть Azure может содержать два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute.

Существует два типа VPN-шлюзов Azure.

VPN-шлюзы на основе политик
Пример VPN-шлюза на основе маршрута

VPN-шлюзы на основе политик

Для VPN-шлюзов на основе политик необходимо указать фиксированный набор IP-адресов пакетов, которые должны быть зашифрованы через каждый туннель. Этот тип устройства оценивает каждый пакет данных по этим фиксированным наборам IP-адресов, а затем выбирает туннель, через который он будет отправлять этот трафик.

Ключевые возможности VPN-шлюзов на основе политик в Azure:

Поддержка только IKEv1
Использование статической маршрутизации

Источники и назначения туннельных сетей объявляются в политике VPN. Их необязательно объявлять в таблицах маршрутизации. Используйте VPN на основе политик только в определенных сценариях, требующих, например, обеспечения совместимости с устаревшими локальными VPN-устройствами.

VPN-шлюзы на основе маршрутов

При использовании VPN-шлюзов Azure на основе маршрутов туннель IPsec функционирует как сетевой интерфейс или виртуальный туннельный интерфейс (VTI). IP-маршрутизация (статические маршруты или протоколы динамической маршрутизации) определяет, какие интерфейсы туннелирования будут передавать каждый пакет. Vpn на основе маршрутов — это предпочтительный метод подключения для локальных устройств, так как они более устойчивы к изменениям топологии, таким как создание новых подсетей. VPN на основе маршрутов гораздо более подходит для Adatum, так как он позволит подключаться к ресурсам Azure IaaS в виртуальных сетях, если новые подсети добавляются без необходимости перенастройки VPN-шлюза Azure.

Если вам нужны какие-либо из следующих типов подключения, используйте VPN-шлюз на основе маршрутов:

подключение между виртуальными сетями;
подключения типа "точка — сеть";
многосайтовые VPN-подключения;
сосуществование со шлюзом Azure ExpressRoute.

Ключевые возможности VPN-шлюзов на основе маршрутов в Azure:

поддержка IKEv2;
использование селекторов трафика "любой к любому" (подстановочный знак);
Может использовать протоколы динамической маршрутизации, где таблицы маршрутизации и пересылки направляют трафик в разные туннели IPsec

При использовании динамической маршрутизации исходная и конечная сети не определяются статически в VPN на основе политик или даже в VPN на основе статической маршрутизации. Пакеты данных шифруются на основе таблиц сетевой маршрутизации, которые создаются динамически с помощью протоколов маршрутизации, например BGP.

VPN-шлюзы Azure поддерживают только метод проверки подлинности на основе общего ключа. VPN на основе маршрутов и VPN на основе политик оба используют протокол IKE версии 1 или 2 и протокол IPsec. IKE используется для настройки сопоставления безопасности (соглашение шифрования) между двумя конечными точками. Это сопоставление затем передается в набор IPsec, который шифрует и расшифровывает пакеты данных, инкапсулированные в VPN-туннель.

Размеры VPN-шлюзов Azure

При создании шлюза виртуальной сети необходимо указать SKU шлюза. Необходимо выбрать SKU, удовлетворяющий вашим требованиям в отношении типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.

SKU шлюзов — поколение 1	Максимальное число VPN-туннелей типа "сеть — сеть"	Общая пропускная способность	Поддержка BGP
Базовая	10	100 Мбит/с	Не поддерживается
VpnGw1/Az	30	650 Мбит/с	Поддерживается
VpnGw2/Az	30	1 Гбит/с	Поддерживается
VpnGw3/Az	30	1,25 Гбит/с	Поддерживается

В этой таблице показаны номера SKU поколения 1. При работе с SKU поколения 1 можно выполнять миграцию между SKU VpnGw1, VpnGw2 и VpnGw3. Нельзя выполнить миграцию с SKU "Базовый" без удаления и повторного развертывания VPN-шлюза. VPN-шлюзы также можно создать с помощью SKU поколения 2. Последние сведения об номерах SKU, пропускной способности и поддерживаемых функциях см. в разделе "Сводка" этого модуля.

Требования к VPN-шлюзу

Перед развертыванием рабочего VPN-шлюза понадобятся следующие ресурсы Azure.

Виртуальная сеть: виртуальная сеть Azure с достаточным адресным пространством для дополнительной подсети, необходимой для VPN-шлюза. Адресное пространство для этой виртуальной сети не должно перекрываться с локальной сетью, к которой будет подключаться.
GatewaySubnet: подсеть с именем GatewaySubnet для VPN-шлюза. Требуется адресная маска не менее /27. Эту подсеть нельзя использовать для других служб.
Общедоступный IP-адрес: динамический общедоступный IP-адрес базового SKU при использовании шлюза, не поддерживающего зону. Этот адрес предоставляет общедоступный маршрутизируемый IP-адрес в качестве цели для локального VPN-устройства. Несмотря на то что этот IP-адрес является динамическим, он не изменится, если вы удалите и повторно создадите VPN-шлюз.
Шлюз локальной сети: создайте шлюз локальной сети, чтобы определить конфигурацию локальной сети: где VPN-шлюз будет подключаться и к чему он будет подключаться. Эта конфигурация включает общедоступный IPv4-адрес локального VPN-устройства и маршрутизацию для локальных сетей. Эта информация используется VPN-шлюзом для маршрутизации пакетов, предназначенных для локальных сетей, через IPsec-туннель.

После подготовки этих необходимых компонентов можно создать шлюз виртуальной сети для маршрутизации трафика между виртуальной сетью и локальным центром обработки данных или другими виртуальными сетями. После развертывания шлюза виртуальной сети можно создать ресурс подключения, чтобы создать логическое подключение между VPN-шлюзом и локальным сетевым шлюзом.

Соединение создается с IPv4-адресом локального VPN-устройства, определенным на локальном сетевом шлюзе.
Подключение создается от шлюза виртуальной сети и связанного с ним общедоступного IP-адреса.

Для каждого VPN-шлюза Azure можно настроить несколько подключений, вплоть до ограничения, задаваемого номером SKU.

Высокая доступность

Несмотря на то, что в Azure отображается только один ресурс VPN-шлюза, VPN-шлюзы развертываются в виде двух экземпляров управляемых виртуальных машин в конфигурации "активный-резервный". При плановом обслуживании или незапланированном простое, влияющем на активный экземпляр, ожидающий экземпляр автоматически принимает ответственность за соединения (вмешательство пользователя или администратора не требуется). Во время такой отработки отказа подключения прерываются, но обычно восстанавливаются через несколько секунд в ходе планового обслуживания и в течение 90 секунд в случае непредвиденных повреждений.

VPN-шлюзы Azure поддерживают протокол маршрутизации BGP, позволяющий также развертывать VPN-шлюзы в конфигурации "активный-активный". В этой конфигурации можно назначить уникальный общедоступный IP-адрес для каждого экземпляра. После этого можно создать отдельные туннели с локального устройства до каждого IP-адреса. Вы можете расширить высокий уровень доступности, развернув другое VPN-устройство локально.