使用站点到站点 VPN 网关将本地网络连接到 Azure
虚拟专用网络 (VPN) 是一种专用互连网络。 VPN 在另一网络内使用加密隧道。 通常,部署 VPN 的目的是,通过不受信任的网络(通常是公共 Internet)将两个或更多个受信任的专用网络相互连接。 通过不受信任的网络传输时会加密流量,用于防止窃听或其他攻击。
对于我们应用场景中的医疗保健提供商,VPN 可以使医疗专业人员在不同地点之间共享敏感信息。 例如,假设患者需要在某个专业设施内进行手术。 手术团队必须能够查看患者病史的详细信息。 此医疗数据存储在 Azure 的系统中。 通过使用 VPN 将设施连接到 Azure,手术团队能够安全地访问此信息。
Azure VPN 网关
VPN 网关是一种虚拟网络网关。 VPN 网关部署在 Azure 虚拟网络中,可实现以下连接:
- 通过站点到站点连接将本地数据中心连接到 Azure 虚拟网络。
- 通过点到站点连接将各个设备连接到 Azure 虚拟网络。
- 通过网络到网络连接将 Azure 虚拟网络连接到其他 Azure 虚拟网络。
所有传输的数据在通过 Internet 时都会在一个专用隧道中进行加密。 每个虚拟网络中只能部署一个 VPN 网关,但可使用一个网关连接到多个位置,包括其他 Azure 虚拟网络或本地数据中心。
部署 VPN 网关时,可以指定 VPN 类型:基于策略或基于路由。 这两种类型的 VPN 的主要区别在于如何指定加密流量。
基于策略的 VPN
基于策略的 VPN 网关通过静态方式指定应通过每个隧道加密的数据包的 IP 地址。 这种类型的设备根据这些 IP 地址集评估每个数据包,以选择将用于发送该数据包的隧道。 基于策略的 VPN 网关在可支持的功能和连接方面受到限制。 Azure 中基于策略的 VPN 网关的主要功能包括:
- 仅支持 IKEv1。
- 使用静态路由,其中来自两个网络的地址前缀的组合控制如何通过 VPN 隧道加密和解密流量。 隧道网络的源和目标在策略中声明,不需要在路由表中声明。
- 基于策略的 VPN 必须在需要它们的特定场景中使用,例如为了与旧的本地 VPN 设备兼容。
基于路由的 VPN
就你的情况而言,如果定义每个隧道后面的 IP 地址会过于麻烦。 或者,你需要基于策略的网关不支持的功能和连接。 应使用基于路由的网关。 通过基于路由的网关,将 IPSec 隧道建模为网络接口或 VTI(虚拟隧道接口)。 IP 路由(静态路由或动态路由协议)决定跨其中哪个隧道接口来发送每个数据包。 基于路由的 VPN 是本地设备的首选连接方法,因为它们对拓扑更改(例如创建新子网)更具弹性。 如果需要以下任何类型的连接,请使用基于路由的 VPN 网关:
- 虚拟网络之间的连接
- 点到站点连接
- 多站点连接
- 与 Azure ExpressRoute 网关共存
Azure 中基于路由的 VPN 网关的主要功能包括:
- 支持 IKEv2。
- 使用“任意位置之间”(通配符)的流量选择器。
- 可以使用动态路由协议,其中路由/转发表将流量定向到不同的 IPSec 隧道。 在这种情况下,源网络和目标网络不通过静态方式定义,因为它们处于基于策略的 VPN 中,甚至是处于具有静态路由的基于路由的 VPN 中。 相反,数据包是基于使用诸如 BGP(边界网关协议)之类的路由协议通过动态方式创建的网络路由表来加密的。
Azure 中两种类型的 VPN 网关(基于路由的网关和基于策略的网关)都使用预共享密钥作为唯一的身份验证方法。 这两种类型还依赖于版本 1 或版本 2 的 Internet 密钥交换 (IKE) 和 Internet 协议安全性 (IPSec)。 IKE 用于在两个终结点之间建立安全关联(加密协议)。 然后将此关联传递给 IPSec 套件,该套件对封装在 VPN 隧道中的数据包进行加密和解密。
VPN 网关大小
你部署的 SKU 或大小决定了 VPN 网关的功能。 此表显示了某些网关 SKU 的示例。 此表中的数字可能随时会更改。 有关最新信息,请参阅 Azure VPN 网关文档中的网关 SKU。 基本网关 SKU 应仅用于开发/测试工作负载。 此外,稍后必须删除网关并重新部署,然后才可将它从基本层迁移到任何 VpnGw#/Az SKU。
| VPN 网关 代系 |
SKU | S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 | 虚拟网络中支持的 VM 数 |
|---|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 5000 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 否 | 5300 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 否 | 6700 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 是 | 4400 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 是 | 9000 |
部署 VPN 网关
在部署 VPN 网关之前,需要一些 Azure 和本地资源。
所需的 Azure 资源
在部署可操作的 VPN 网关之前,需要以下 Azure 资源:
- 虚拟网络。 部署 Azure 虚拟网络,使其具有足够地址空间可用于另一个要用于 VPN 网关的子网。 此虚拟网络的地址空间不得与要连接的本地网络重叠。 请记住,只能在虚拟网络中部署一个 VPN 网关。
- GatewaySubnet。 为 VPN 网关部署名为
GatewaySubnet的子网。 至少使用一个 /27 地址掩码,确保在子网中拥有足够的 IP 地址以满足将来的增长需要。 不能将此子网用于任何其他服务。 - 公共 IP 地址。 如果使用不可感知区域的网关,请创建基本 SKU 动态公共 IP 地址。 此地址提供公共可路由的 IP 地址作为本地 VPN 设备的目标。 此 IP 地址是动态的,但是除非删除并重新创建 VPN 网关,否则该地址不会改变。
- 本地网络网关。 创建本地网络网关以定义本地网络的配置。 具体而言,即 VPN 网关连接的位置和连接的对象。 此配置包括本地 VPN 设备的公共 IPv4 地址和本地可路由网络。 VPN 网关使用此信息来路由通过 IPSec 隧道发往本地网络的数据包。
- 虚拟网络网关。 创建虚拟网络网关以在虚拟网络和本地数据中心或其他虚拟网络之间路由流量。 虚拟网络网关可以配置为 VPN 网关或 ExpressRoute 网关,但此模块仅处理 VPN 虚拟网络网关。
- 连接。 创建连接资源以在 VPN 网关和本地网络网关之间创建逻辑连接。 可以创建到同一个网关的多个连接。
- 该连接的目标是本地网络网关定义的本地 VPN 设备的 IPv4 地址。
- 该连接的源是虚拟网络网关及其关联的公共 IP 地址。
下图显示了这种资源组合及其关系,可帮助你更好地了解部署 VPN 网关所需的内容:
所需的本地资源
若要将数据中心连接到 VPN 网关,需要以下本地资源:
- 支持基于策略或基于路由的 VPN 网关的 VPN 设备
- 面向公众(可通过 Internet 路由)的 IPv4 地址
高可用性方案
有几种方法可以确保你具有容错配置。
主动/备用
默认情况下,VPN 网关在“主动/备用”配置中部署为两个实例,即使只能在 Azure 中看到一个 VPN 网关资源也是如此。 当计划内维护或计划外中断影响主动实例时,备用实例会自动承担连接责任,无需任何用户干预。 在此故障转移期间,连接会中断,但对于计划内维护,连接通常会在几秒钟内恢复,对于计划外中断,通常会在 90 秒内恢复。
主动/主动
由于已引入对 BGP 路由协议的支持,你还可在主动/主动配置中部署 VPN 网关。 在此配置中,为每个实例分配唯一的公共 IP 地址。 然后创建从本地设备到每个 IP 地址的单独隧道。 可以通过在本地部署另一个 VPN 设备来扩展高可用性。
ExpressRoute 故障转移
另一个高可用性选项是将 VPN 网关配置为 ExpressRoute 连接的安全故障转移路径。 ExpressRoute 线路具有内置复原能力,但对影响连接电缆的物理问题,或者是影响完整的 ExpressRoute 位置的中断并不是免疫的。 在高可用性应用场景中,如果存在与 ExpressRoute 线路中断相关的风险,还可以配置 VPN 网关,该网关使用 Internet 作为替代连接方法,从而确保始终与 Azure 虚拟网络建立连接。
区域冗余网关
在支持可用性区域的区域中,可在区域冗余配置中部署 VPN 和 ExpressRoute 网关。 此配置可以提高虚拟网络网关的复原性、可伸缩性和可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。 上述操作需要不同的网关 SKU,且使用标准公共 IP 地址而不是基本公共 IP 地址。