Utforska Azure VPN Gateway
Om du vill integrera din lokala miljö med Azure behöver du möjlighet att skapa en krypterad anslutning. Du kan ansluta via Internet eller via en dedikerad länk. Här ska vi titta på Azures VPN Gateway, som utgör en slutpunkt för inkommande anslutningar från lokala miljöer.
Du har konfigurerat ett virtuellt Azure-nätverk och behöver se till att alla dataöverföringar från Azure till din plats och mellan virtuella Azure-nätverk krypteras. Du måste också veta hur du ansluter virtuella nätverk mellan regioner och prenumerationer.
Vad är en VPN-gateway?
En virtuell Azure-nätverksgateway ger en slutpunkt för inkommande anslutningar från lokala platser till Azure via internet. En VPN-gateway är en speciell typ av virtuell nätverksgateway som kan vara en slutpunkt för krypterade anslutningar. Den kan också skicka krypterad trafik mellan virtuella Azure-nätverk över Microsofts dedikerade nätverk som länkar Azure-datacenter i olika regioner. Med den här konfigurationen kan du länka virtuella datorer och tjänster i olika regioner på ett säkert sätt.
Ett virtuellt nätverk kan endast ha en VPN-gateway. Alla anslutningar till den VPN-gatewayen delar den tillgängliga nätverksbandbredden.
Inom varje virtuell nätverksgateway finns det två eller flera virtuella datorer (VM). Dessa virtuella datorer har distribuerats till ett särskilt undernät som du anger, vilket kallas gatewayundernätet. De innehåller routningstabeller för anslutningar till andra nätverk, tillsammans med specifika gatewaytjänster. De virtuella datorerna och gatewayundernätet liknar en förstärkt nätverksenhet. Du behöver inte konfigurera de här virtuella datorerna direkt och bör inte distribuera fler resurser till gatewayundernätet.
Att skapa en virtuell nätverksgateway kan ta lite tid, så det är viktigt att planera på ett lämpligt sätt. När du skapar en virtuell nätverksgateway genererar etableringsprocessen de virtuella gatewaydatorerna och distribuerar dem till gatewayundernätet. De virtuella datorerna har de inställningar som du konfigurerar på gatewayen.
En viktig inställning är gatewaytyp. Gatewaytypen avgör hur gatewayen fungerar. För en VPN-gateway är gatewaytypen ”vpn”. Här är några alternativ för VPN-gatewayer:
Nätverk-till-nätverk-anslutningar via IPsec/IKE VPN-tunnel, som länkar VPN-gatewayer till andra VPN-gatewayer.
Tunnlar mellan IPsec/IKE VPN på olika platser, för anslutning av lokala nätverk till Azure via dedikerade VPN-enheter för att skapa plats-till-plats-anslutningar.
Punkt till plats-anslutningar via IKEv2 eller SSTP för att länka klientdatorer till resurser i Azure.
Nu ska vi titta på de faktorer som du behöver tänka på för att planera din VPN-gateway.
Planera en VPN-gateway
När du planerar en VPN-gateway finns det tre arkitekturer att överväga:
- Punkt till plats via internet
- Plats till plats via internet
- Plats till plats via ett dedikerat nätverk, till exempel Azure ExpressRoute
Planeringsfaktorer
Faktorer som du behöver ta med under planeringsprocessen är exempelvis:
- Dataflöde – Mbit/s eller Gbit/s
- Stamnät – internet eller privat?
- Tillgängligheten för en offentlig IP-adress (statisk)
- Kompatibilitet med VPN-enhet
- Flera klientanslutningar eller länk för plats-till-plats?
- Typ av VPN-gateway
- SKU för Azure VPN-gateway
I följande tabell sammanfattas några av dessa planeringsproblem. De återstående problemen beskrivs senare.
| Punkt till plats | Plats till plats | ExpressRoute | |
|---|---|---|---|
| Azure-tjänster som stöds | Cloud Services och virtuella datorer | Cloud Services och virtuella datorer | Alla tjänster som stöds |
| Typisk bandbredd | Beror på SKU för VPN Gateway | Beror på SKU för VPN Gateway | Se alternativ för ExpressRoute-bandbredd |
| Protokoll som stöds | SSTP och IPsec | IPsec | Direktanslutning, VLAN |
| Routning | RouteBased (dynamisk) | PolicyBased (statisk) och RouteBased | BGP |
| Anslutningsåterhämtning | Aktiv-passiv | Aktiv-passiv eller aktiv-aktiv | Aktiv-aktiv |
| Användningsfall | Testning och prototyper | Utveckling, testning och småskalig produktion | Enterprise-/verksamhetskritiskt |
Gateway-SKU:er
Det är viktigt att du väljer rätt SKU. Om du har konfigurerat din VPN-gateway med fel måste du ta bort den och återskapa gatewayen, vilket kan vara tidskrävande. Den senaste informationen om gateway-SKU:er, inklusive dataflöde, finns i What is VPN Gateway? - Gateway SKUs (Vad är en VPN-gateway? – Gateway-SKU:er).
Arbetsflöde
När du utformar en strategi för molnanslutning med ett virtuellt privat nätverk i Azure bör du använda följande arbetsflöde:
Utforma din anslutningstopologi och skapa en lista över adressutrymmena för alla anslutningsnätverk.
Skapa ett virtuellt Azure-nätverk.
Skapa en VPN-gateway för det virtuella nätverket.
Skapa och konfigurera anslutningar till lokala nätverk eller andra virtuella nätverk som krävs.
Skapa och konfigurera vid behov en punkt-till-plats-anslutning för din Azure VPN-gateway.
Utformningsbeaktanden
När du utformar dina VPN-gatewayer för att ansluta virtuella nätverk behöver du tänka på följande faktorer:
Undernät kan inte överlappa varandra
Det är viktigt att ett undernät på en plats inte innehåller samma adressutrymme som på en annan plats.
IP-adresser måste vara unika
Du kan inte ha två värdar med samma IP-adress på olika platser, eftersom det blir omöjligt att dirigera trafik mellan dessa två värdar och nätverks-till-nätverk-anslutningen misslyckas.
VPN-gatewayer behöver ett gatewayundernät med namnet GatewaySubnet
Den måste ha det här namnet för att gatewayen ska fungera och den får inte innehålla några andra resurser.
Skapa ett virtuellt Azure-nätverk
Innan du skapar en VPN-gateway måste du skapa det virtuella Azure-nätverket.
Skapa en VPN-gateway
Typen av VPN-gateway som du skapar beror på din arkitektur. Alternativen är:
Routningsbaserad
Routningsbaserade VPN-enheter använder trafikväljare för ”any-to-any” (joker) och låter tabeller för routning/vidarebefordran dirigera trafik till olika IPsec-tunnlar. Routningsbaserade anslutningar bygger vanligtvis på routerplattformar där varje IPsec-tunnel modelleras som ett nätverksgränssnitt eller virtuellt tunnelgränssnitt (VTI).
Principbaserad
Principbaserade VPN-enheter använder kombinationerna av prefix från båda nätverken för att definiera hur trafik krypteras/dekrypteras via IPsec-tunnlar. En principbaserad anslutning bygger vanligtvis på brandväggsenheter som utför paketfiltrering. Kryptering och dekryptering av IPsec-tunnlar läggs till i motorn för paketfiltrering och bearbetning.
Konfigurera en VPN-gateway
Vilka steg du behöver vidta beror på vilken typ av VPN-gateway du installerar. Om du till exempel vill skapa en punkt-till-plats-VPN-gateway med hjälp av Azure-portalen utför du följande steg:
Skapa ett virtuellt nätverk.
Lägg till ett gateway-undernät.
Ange en DNS-server (valfritt).
Skapa en virtuell nätverksgateway.
Generera certifikat.
Lägg till klientadresspoolen.
Konfigurera tunneltypen.
Konfigurera autentiseringstypen.
Ladda upp rotcertifikatets offentliga certifikatdata.
Installera ett exporterat klientcertifikat.
Generera och installera VPN-klientkonfigurationspaketet.
Anslut till Azure.
Eftersom det finns flera konfigurationsvägar med Azure VPN-gatewayer, var och en med flera alternativ, går det inte att gå igenom alla inställningar i den här kursen. Mer information finns i avsnittet Ytterligare resurser.
Konfigurera gatewayen
När din gateway har skapats måste du konfigurera den. Det finns flera konfigurationsinställningar som du måste ange, till exempel namn, plats, DNS-server och så vidare. Vi ska utforska de här inställningarna mer detaljerat i övningen.
En Azure VPN-gateway är en komponent i virtuella Azure-nätverk som gör det möjligt att aktivera punkt till plats-, plats till plats- eller nätverk till nätverk-anslutningar. Med Azure VPN-gatewayer är det möjligt att aktivera enskilda klientdatorer för att ansluta till resurser i Azure, utöka lokala nätverk till Azure eller underlätta anslutningar mellan virtuella nätverk i olika regioner och prenumerationer.