浏览 Azure VPN 网关
若要将本地环境与 Azure 集成,需要能够创建加密的连接。 可通过 Internet 或专用链路进行连接。 在这里,我们将探讨 Azure VPN 网关,该网关为来自本地环境的传入连接提供一个终结点。
你已经设置 Azure 虚拟网络,需确保从 Azure 到你的站点以及 Azure 虚拟网络之间的的任何数据传输都进行加密。 还需知道如何在不同区域之间和不同订阅之间连接虚拟网络。
什么是 VPN 网关?
Azure 虚拟网络网关为传入的连接(从本地位置通过 Internet 连接到 Azure)提供一个终结点。 VPN 网关是虚拟网络网关的一种特定类型,可以作为加密连接的终结点。 它还可以通过 Microsoft 的专用网络(链接不同区域中的 Azure 数据中心)在 Azure 虚拟网络之间发送加密的流量。 可使用此配置在不同区域中安全地链接虚拟机和服务。
每个虚拟网络只能有一个 VPN 网关。 到该 VPN 网关的所有连接共享提供的网络带宽。
每个虚拟网关中有至少两个虚拟机 (VM)。 这些 VM 已部署到指定的名为“网关子网”的特殊子网。 它们包含连接到其他网络所需的路由表,以及特定的网关服务。 这些 VM 和网关子网类似于强化的网络设备。 无需直接配置这些 VM,也不得将任何其他资源部署到网关子网。
创建虚拟网关可能需要一些时间才能完成,因此必须进行适当的计划。 创建虚拟网关时,预配过程会生成网关 VM 并将其部署到网关子网。 这些 VM 具有在网关上配置的设置。
密钥设置是网关类型。 网关类型确定网关的工作方式。 对于 VPN 网关,网关类型为“VPN”。 VPN 网关选项包括:
基于 IPsec/IKE VPN 隧道的网络到网络连接,将 VPN 网关连接到其他 VPN 网关。
跨界 IPsec/IKE VPN 隧道,用于通过专用 VPN 设备将本地网络连接到 Azure,以便创建站点到站点连接。
基于 IKEv2 或 SSTP 的点到站点连接,用于将客户端计算机链接到 Azure 中的资源。
现在让我们来看看,在规划 VPN 网关时需考虑的因素。
计划 VPN 网关
规划 VPN 网关时,有三个需要考虑的体系结构:
- 基于 Internet 的点到站点连接
- 基于 Internet 的站点到站点连接
- 基于专用网络(例如 Azure ExpressRoute)的站点到站点连接
规划因素
在规划过程中需考虑的因素包括:
- 吞吐量 - Mbps 或 Gbps
- 主干 - Internet 或专用?
- 公共(静态)IP 地址的可用性
- VPN 设备兼容性
- 多个客户端连接或一个站点到站点链接?
- VPN 网关类型
- Azure VPN 网关 SKU
下表汇总了这些规划问题的其中一部分。 稍后将介绍其余问题。
| 点到站点 | 站点到站点 | ExpressRoute | |
|---|---|---|---|
| Azure 支持的服务 | 云服务和 VM | 云服务和 VM | 所有支持的服务 |
| 典型带宽 | 取决于 VPN 网关 SKU | 取决于 VPN 网关 SKU | 请参阅 ExpressRoute 带宽选项 |
| 支持的协议 | SSTP 和 IPsec | IPsec | 直接连接、VLAN |
| 路由 | RouteBased(动态) | PolicyBased(静态)和 RouteBased | BGP |
| 连接复原能力 | 主动-被动 | 主动-被动或主动-主动 | 主动-主动 |
| 用例 | 测试和原型设计 | 开发、测试和小规模生产 | 企业/任务关键型 |
网关 SKU
必须选择正确的 SKU。 如果使用错误的 SKU 设置 VPN 网关,则需将其拆除并重建网关,这可能很费时间。 有关网关 SKU(包括吞吐量)的最新信息,请参阅什么是 VPN 网关?- 网关 SKU。
工作流
使用 Azure 上的虚拟专用网络设计云连接策略时,应该应用以下工作流:
设计连接拓扑,列出所有连接网络的地址空间。
创建 Azure 虚拟网络。
为虚拟网络创建 VPN 网关。
根据需要创建并配置与本地网络或其他虚拟网络的连接。
根据需要创建并配置 Azure VPN 网关的点到站点连接。
设计注意事项
设计用于连接虚拟网络的 VPN 网关时,必须考虑以下因素:
子网不能重叠
必须确保一个位置的子网不包含另一位置的地址空间。
IP 地址必须独一无二
不能让不同位置的两个主机具有相同的 IP 地址,因为不可能在这两个主机之间路由流量,网络到网络的连接会失败。
VPN 网关需要名为 GatewaySubnet 的网关子网
必须使用此名称才能让网关运行,且不应包含任何其他资源。
创建 Azure 虚拟网络
在创建 VPN 网关之前,需创建 Azure 虚拟网络。
创建 VPN 网关
创建的 VPN 网关的类型将取决于体系结构。 选项包括:
RouteBased
基于路由的 VPN 设备使用任意到任意(通配符)流量选择器,并让路由/转发表将流量直接导向不同的 IPsec 隧道。 基于路由的连接通常基于路由器平台,其中每个 IPsec 隧道都被建模为网络接口或虚拟隧道接口 (VTI)。
PolicyBased
基于策略的 VPN 设备结合使用两个网络的前缀组合来定义流量通过 IPsec 隧道加密/解密的方式。 基于策略的连接通常基于执行数据包筛选的防火墙设备。 数据包筛选和处理引擎添加了 IPsec 隧道加密和解密。
设置 VPN 网关
需执行的步骤将取决于要安装的 VPN 网关的类型。 例如,若要使用 Azure 门户创建点到站点 VPN 网关,需要执行以下步骤:
创建虚拟网络。
添加网关子网。
指定 DNS 服务器(可选)。
创建虚拟网络网关。
生成证书。
添加客户端地址池。
配置隧道类型。
配置身份验证类型。
上传根证书的公共证书数据。
安装已导出的客户端证书。
生成和安装 VPN 客户端配置包。
连接到 Azure。
由于 Azure VPN 网关有多个配置路径,每个路径有多个选项,因此不可能在本课程中讲述所有设置。 有关详细信息,请参阅“其他资源”部分。
配置网关
创建网关以后,需要对其进行配置。 需要提供多项配置设置,例如名称、位置、DNS 服务器等。 我们会在练习中对这些设置进行更详细的探讨。
Azure VPN 网关是 Azure 虚拟网络中的组件,用于进行点到站点、站点到站点或网络到网络连接。 Azure VPN 网关允许单个客户端计算机连接到 Azure 中的资源、将本地网络扩展到 Azure 中,或者辅助不同区域和订阅中的虚拟网络之间的连接。