安全 VPN 连接(包括点到站点和站点到站点)
必须知道,VPN 网关连接可以使用不同的配置。 必须确定哪种配置最适合自己的需要。 在以下部分,可以查看有关下述 VPN 网关连接的设计信息和拓扑示意图。 使用图示和描述来帮助选择符合要求的连接拓扑。 这些示意图显示了主要的基准拓扑。但是,你也可以使用这些示意图作为指导来构建更复杂的配置。
站点到站点 VPN
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道建立的连接。 S2S 连接可用于跨界和混合配置。 S2S 连接要求位于本地的 VPN 设备分配有一个公共 IP 地址。
VPN 网关可使用一个公共 IP 以主动-备用模式配置,也可使用两个公共 IP 以主动-主动模式配置。 在主动-备用模式下,一个 IPsec 隧道处于活动状态,另一个处于备用状态。 在此设置中,流量流经活动隧道,如果此隧道出现问题,则流量将切换到备用隧道。 建议在主动-主动模式下设置 VPN 网关,此时两个 IPsec 隧道都处于活动状态,数据同时流经这两个隧道。 主动-主动模式的另一优点是,客户可处理更高的吞吐量。
你可以从虚拟网络网关创建多个 VPN 连接,通常情况下连接到多个本地站点。 使用多个连接时,必须使用 RouteBased VPN 类型(使用经典 VNet 时称为动态网关)。 由于每个虚拟网络只能有一个 VPN 网关,因此通过该网关的所有连接都共享可用带宽。 这种类型的连接有时称为“多站点”连接。
点到站点虚拟专用网络
通过点到站点 (P2S) VPN 网关连接,可以创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure VNet 的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到 VNet,则还可以使用 P2S VPN 这一解决方案来代替 S2S VPN。
与 S2S 连接不同,P2S 连接不需本地面向公众的 IP 地址或 VPN 设备。 可以通过同一 VPN 网关将 P2S 连接与 S2S 连接结合使用,前提是这两种连接的所有配置要求都兼容。
VNet 到 VNet 连接(Internet 协议安全/Internet 密钥交换虚拟专用网隧道)
将一个虚拟网络连接到另一个虚拟网络(VNet 到 VNet)类似于将 VNet 连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样,便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。
连接的 VNet 可以:
- 在相同或不同的区域中
- 在相同或不同订阅中
- 在相同或不同部署模型中
部署模型之间的连接
Azure 当前具有两个部署模型:经典模型和 Resource Manager 模型。 如果 Azure 已经使用了一段时间,则 Azure VM 和实例角色可能是在经典 VNet 上运行。 而较新的 VM 和角色实例可能是在 Resource Manager 中创建的 VNet 上运行。 可以在 Vnet 之间创建连接,使其中一个 VNet 中的资源能够直接与另一个 VNet 中的资源通信。
VNet 对等互连
只要虚拟网络符合特定要求,就能使用 VNet 对等互连来创建连接。 VNet 对等互连不使用虚拟网络网关。
站点到站点和 ExpressRoute 的共存连接
ExpressRoute 是从 WAN(不通过公共 Internet)到 Microsoft 服务(包括 Azure)的直接专用连接。 站点到站点 VPN 流量以加密方式通过公共 Internet 传输。 能够为同一个虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接可带来诸多好处。
可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径,或者使用站点到站点 VPN 连接到不属于网络但却已通过 ExpressRoute 进行连接的站点。 请注意,此配置需要同一虚拟网络使用两个虚拟网络网关,一个使用网关类型“Vpn”,另一个使用网关类型“ExpressRoute”。