Azure Stack Hub için VPN Gateway ayarlarını yapılandırma
VPN ağ geçidi, Azure Stack Hub'daki sanal ağınız ile uzak VPN ağ geçidi arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Uzak VPN ağ geçidi Azure'da, veri merkezinizdeki bir cihazda veya başka bir sitedeki bir cihazda olabilir. İki uç nokta arasında ağ bağlantısı varsa, iki ağ arasında güvenli bir Siteden Siteye (S2S) VPN bağlantısı kurabilirsiniz.
VPN ağ geçidi, her biri yapılandırılabilir ayarlar içeren birden çok kaynağın yapılandırmasına dayanır. Bu makalede, Resource Manager dağıtım modelinde oluşturduğunuz bir sanal ağ için VPN ağ geçidiyle ilgili kaynaklar ve ayarlar açıklanmaktadır. Her bağlantı çözümü için açıklamaları ve topoloji diyagramlarını Azure Stack Hub için VPN ağ geçitleri oluşturma bölümünde bulabilirsiniz.
VPN ağ geçidi ayarları
Ağ geçidi türleri
Her Azure Stack Hub sanal ağı, Vpn türünde olması gereken tek bir sanal ağ geçidini destekler. Bu destek, ek türleri destekleyen Azure'dan farklıdır.
Bir sanal ağ geçidi oluşturduğunuzda, ağ geçidi türünün yapılandırmanız için doğru olduğundan emin olmanız gerekir. VPN ağ geçidi bayrağı -GatewayType Vpn gerektirir; örneğin:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
VPN Hızlı Yolu Etkin Olmayan Ağ Geçidi SKU'ları
Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz SKU'yu belirtmeniz gerekir. İş yükü türlerine, aktarım hızına, özelliklere ve SLA'lara göre gereksinimlerinizi karşılayan SKU'ları seçin.
Maksimum kapasiteye ulaşmadan önce 10 yüksek performanslı ağ geçidiniz veya 20 temel ve standart ağ geçidiniz olabilir.
Azure Stack Hub aşağıdaki tabloda gösterilen VPN ağ geçidi SKU'larını sunar:
| SKU | En Fazla VPN Bağlantısı aktarım hızı | Etkin GW VM başına en fazla bağlantı sayısı | Damga pulu başına en fazla VPN Bağlantısı sayısı |
|---|---|---|---|
| Temel | 100 Mb/sn Tx/Rx | 10 | 20 |
| Standart | 100 Mb/sn Tx/Rx | 10 | 20 |
| Yüksek Performans | 200 Mb/sn Tx/Rx | 5 | 10 |
VPN Hızlı Yolu Etkin Ağ Geçidi SKU'ları
VPN Hızlı Yol genel önizleme sürümünün yayımlanmasıyla birlikte Azure Stack Hub, daha yüksek aktarım hızına sahip üç yeni SKU'yu destekler.
Azure Stack damganızda VPN Hızlı Yolu etkinleştirildikten sonra yeni sınırlar ve aktarım hızı etkinleştirilir.
Azure Stack Hub aşağıdaki tabloda gösterilen VPN ağ geçidi SKU'larını sunar:
| SKU | En Fazla VPN Bağlantısı aktarım hızı | Etkin GW VM başına en fazla bağlantı sayısı | Damga pulu başına en fazla VPN Bağlantısı sayısı |
|---|---|---|---|
| Temel | 100 Mb/sn Tx/Rx | 25 | 50 |
| Standart | 100 Mb/sn Tx/Rx | 25 | 50 |
| Yüksek Performans | 200 Mb/sn Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mb/sn Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mb/sn Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mb/sn Tx/Rx | 2 | 4 |
Sanal ağ geçitleri SKU'larını yeniden boyutlandırma
Azure Stack Hub, desteklenen eski bir SKU'dan (Temel, Standart ve Yüksek Performans) Azure tarafından desteklenen daha yeni bir SKU'ya (VpnGw1, VpnGw2 ve VpnGw3) yeniden boyutlandırmayı desteklemez.
VPN Hızlı Yolu tarafından etkinleştirilen yeni SKU'ları kullanmak için yeni sanal ağ geçitleri ve bağlantılar oluşturulmalıdır.
Sanal ağ geçidi SKU'su yapılandırma
Azure Stack Hub portalı
Sanal ağ geçidi oluşturmak için Azure Stack Hub portalını kullanırsanız, açılan liste kullanılarak SKU seçilebilir. Yeni VPN Hızlı Yol SKU'ları (VpnGw1, VpnGw2, VpnGw3) yalnızca URL'ye "?azurestacknewvpnskus=true" sorgu parametresi eklendikten ve yenilendikten sonra görünür.
Aşağıdaki URL örneği, yeni sanal ağ geçidi SKU'larını Azure Stack Hub kullanıcı portalında görünür hale getirir:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Bu kaynakları oluşturmadan önce operatörün Azure Stack Hub damgasında VPN Hızlı Yolu'nu etkinleştirmiş olması gerekir. Daha fazla bilgi için bkz . operatörler için VPN Hızlı Yolu.
PowerShell
Aşağıdaki PowerShell örneği parametresini -GatewaySku Standart olarak belirtir:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Bağlantı türleri
Resource Manager dağıtım modelinde her yapılandırma belirli bir sanal ağ geçidi bağlantı türü gerektirir. için -ConnectionType kullanılabilir Resource Manager PowerShell değerleri IPsec'tir.
Aşağıdaki PowerShell örneğinde, IPsec bağlantı türünü gerektiren bir S2S bağlantısı oluşturulur:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN türleri
Vpn ağ geçidi yapılandırması için sanal ağ geçidi oluştururken bir VPN türü belirtmeniz gerekir. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır. VPN türü, kullandığınız donanıma da bağlı olabilir. S2S yapılandırmaları bir VPN cihazı gerektirir. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.
Önemli
Şu anda Azure Stack Hub yalnızca yol tabanlı VPN türünü destekler. Cihazınız yalnızca ilke tabanlı VPN'leri destekliyorsa, Azure Stack Hub'dan bu cihazlara yönelik bağlantılar desteklenmez.
Buna ek olarak, Azure Stack Hub şu anda rota tabanlı ağ geçitleri için ilke tabanlı trafik seçicileri kullanmayı desteklemez, çünkü Azure Stack Hub ilke tabanlı trafik seçicilerini desteklemez, ancak bunlar Azure'da desteklenir.
PolicyBased: İlke tabanlı VPN'ler, şirket içi ağınızla Azure Stack Hub sanal ağı arasındaki adres ön eklerinin birleşimleriyle yapılandırılan IPsec ilkelerine göre paketleri IPsec tünelleri aracılığıyla şifreler ve yönlendirir. İlke veya trafik seçicisi genellikle VPN cihazı yapılandırmasındaki bir erişim listesidir.
Not
PolicyBased Azure'da desteklenir ancak Azure Stack Hub'da desteklenmez.
RouteBased: Rota tabanlı VPN'ler, paketleri ilgili tünel arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda yapılandırılan yolları kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. RouteBased VPN'leri için ilke veya trafik seçici herhangi bir noktadan herhangi birine olarak yapılandırılır (veya joker karakterler kullanır). Varsayılan olarak, değiştirilemezler. RouteBased VPN türünün değeri RouteBased'dir.
Aşağıdaki PowerShell örneği, RouteBased olarak belirtir-VpnType. Bir ağ geçidi oluşturduğunuzda, öğesinin -VpnType yapılandırmanız için doğru olduğundan emin olmanız gerekir.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
VPN Hızlı Yolu etkin olmadığında sanal ağ geçitleri tarafından desteklenen yapılandırmalar
| SKU | VPN Türü | Connection type | Etkin Yönlendirme desteği (BGP) | Uzak uç nokta NAT-T Etkin |
|---|---|---|---|---|
| Temel VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenmiyor | Gerekli değil |
| Standart VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Gerekli değil |
| Yüksek Performanslı VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Gerekli değil |
VPN Hızlı Yolu etkinleştirildiğinde desteklenen sanal ağ geçitleri yapılandırmaları
| SKU | VPN Türü | Connection type | Etkin yönlendirme desteği (BGP) | Uzak uç nokta NAT-T Etkin |
|---|---|---|---|---|
| Temel VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenmiyor | Zorunlu |
| Standart VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Zorunlu |
| Yüksek Performanslı VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Zorunlu |
| VPNGw1 VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Zorunlu |
| VPNGw2 VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Zorunlu |
| VPNGw2 VNG SKU'su | Rota tabanlı VPN | IPSec Önceden paylaşılan anahtar | Desteklenen, en çok 150 yol | Zorunlu |
Ağ geçidi alt ağı
VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM'lerinin ve hizmetlerinin kullandığı IP adreslerine sahiptir. Sanal ağ geçidinizi ve bağlantıyı oluşturduğunuzda, bağlantıya sahip olan Ağ Geçidi SANAL Makinesi ağ geçidi alt ağına bağlanır ve gerekli VPN ağ geçidi ayarlarıyla yapılandırılır. Ağ geçidi alt asına başka bir şey (örneğin, ek VM'ler) dağıtmayın.
Önemli
Ağ geçidi alt ağı düzgün çalışması için GatewaySubnet şeklinde adlandırılmalıdır. Azure Stack Hub, sanal ağ geçidi VM'lerinin ve hizmetlerinin dağıtılacağı alt ağı belirlemek için bu adı kullanır.
Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi VM'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir. Oluşturmak istediğiniz yapılandırma yönergelerine bakın ve oluşturmak istediğiniz ağ geçidi alt ağından bu gereksinimleri karşıladığını doğrulayın.
Ayrıca, ağ geçidi alt ağınızın gelecekteki ek yapılandırmaları işlemek için yeterli IP adresine sahip olduğundan emin olmanız gerekir. /29 kadar küçük bir ağ geçidi alt ağı oluşturabilirsiniz ancak /28 veya daha büyük (/28, /27, /26 vb.) ağ geçidi alt ağı oluşturmanızı öneririz. Bu şekilde, gelecekte işlevsellik eklerseniz ağ geçidinizi silmeniz ve daha fazla IP adresi sağlamak için ağ geçidi alt akını silip yeniden oluşturmanız gerekmez.
Aşağıdaki Resource Manager PowerShell örneğinde GatewaySubnet adlı bir ağ geçidi alt ağı gösterilmektedir. CIDR gösteriminin /27 değerini belirttiğini görebilirsiniz. Bu, şu anda mevcut olan yapılandırmaların çoğu için yeterli IP adresi sağlar.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Önemli
Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi VPN ağ geçidinizin beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz . Ağ güvenlik grubu nedir?.
Yerel ağ geçidi geçitleri
Azure'da VPN ağ geçidi yapılandırması oluştururken yerel ağ geçidi genellikle şirket içi konumunuzu temsil eder. Azure Stack Hub'da, Azure Stack Hub dışında bulunan tüm uzak VPN cihazlarını temsil eder. Bu cihaz, veri merkezinizdeki bir VPN cihazı (veya uzak veri merkezi) veya Azure'daki bir VPN ağ geçidi olabilir.
Yerel ağ geçidine bir ad, uzak VPN cihazının genel IP adresini verir ve şirket içi konumdaki adres ön eklerini belirtirsiniz. Azure Stack Hub, ağ trafiğinin hedef adres ön eklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya başvurur ve paketleri uygun şekilde yönlendirir.
Bu PowerShell örneği yeni bir yerel ağ geçidi oluşturur:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekir; örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde veya VPN cihazının IP adresi değiştiğinde. Daha fazla bilgi için bkz . PowerShell kullanarak yerel ağ geçidi ayarlarını değiştirme.
IPsec/IKE parametreleri
Azure Stack Hub'da bir VPN bağlantısı ayarladığınızda, bağlantıyı her iki uçta da yapılandırmanız gerekir. Azure Stack Hub ile VPN ağ geçidi görevi üstleyen anahtar veya yönlendirici gibi bir donanım cihazı arasında VPN bağlantısı yapılandırıyorsanız, bu cihaz sizden ek ayarlar isteyebilir.
Hem başlatıcı hem de yanıtlayıcı olarak birden çok teklifi destekleyen Azure'dan farklı olarak Azure Stack Hub varsayılan olarak yalnızca bir teklifi destekler. VPN cihazınızla çalışmak için farklı IPSec/IKE ayarları kullanmanız gerekiyorsa, bağlantınızı el ile yapılandırmak için kullanabileceğiniz daha fazla ayar vardır. Daha fazla bilgi için bkz . Siteden siteye VPN bağlantıları için IPsec/IKE ilkesini yapılandırma.
Önemli
S2S tüneli kullanılırken paketler, paketin genel boyutunu artıran ek üst bilgilerle daha da kapsüllenir. Bu senaryolarda TCP MSS'yi 1350'de sıkıştırmanız gerekir. Veya VPN cihazlarınız MSS bağlamayı desteklemiyorsa, alternatif olarak tünel arabirimindeki MTU'yu 1400 bayt olarak ayarlayabilirsiniz. Daha fazla bilgi için bkz . Sanal Ağ TCPIP performansı ayarlama.
IKE Aşama 1 (Ana Mod) parametreleri
| Özellik | Değer |
|---|---|
| IKE Sürümü | IKEv2 |
| Diffie-Hellman Grubu* | ECP384 |
| Kimlik Doğrulama Yöntemi | Önceden Paylaşılan Anahtar |
| Şifreleme ve Karma Algoritmaları* | AES256, SHA384 |
| SA Yaşam Süresi (Zaman) | 28.800 saniye |
IKE Aşama 2 (Hızlı Mod) parametreleri
| Özellik | Değer |
|---|---|
| IKE Sürümü | IKEv2 |
| Şifreleme ve Karma Algoritmaları (Şifreleme) | GCMAES256 |
| Şifreleme ve Karma Algoritmaları (Kimlik Doğrulaması) | GCMAES256 |
| SA Yaşam Süresi (Zaman) | 27.000 saniye |
| SA Ömrü (Kilobayt) | 33,553,408 |
| Mükemmel İletme Gizliliği (PFS)* | ECP384 |
| Kullanılmayan Eş Algılama | Desteklenir |
* Yeni veya değiştirilmiş parametre.