VPN 閘道拓撲和設計
VPN 閘道聯線有許多不同的組態選項。 下列各節中的圖形和描述可協助您選取符合您需求的連線拓撲。 圖表顯示主要比較基準拓撲,但可以使用圖表作為指導方針來建置更複雜的設定。
站對站 VPN
「站對站 (S2S)」VPN 閘道連線是透過 IPsec/IKE (IKEv1 或 IKEv2) VPN 通道建立的連線。 站對站連線可以用於跨部署與混合式組態。 站對站連線需要位於內部部署的 VPN 裝置,其具有指派的公用 IP 位址。 如需選取 VPN 裝置的資訊,請參閱 VPN 閘道常見問題集 - VPN 裝置。
VPN 閘道可使用一個公用 IP 或在使用兩個公用 IP 的主動-主動模式中設定 VPN 閘道。 在主動待命模式中,一個 IPsec 通道為主動,另一個通道則處於待命狀態。 在此設定中,流量會流經主動通道,如果此通道發生一些問題,流量就會切換至待命通道。 「建議」在主動-主動模式中設定 VPN 閘道;這兩個 IPsec 通道會同時處於使用中狀態,且資料會同時流經這兩個通道。 主動-主動模式的另一個優點是客戶能夠體驗更高的輸送量。
您可以從虛擬網路閘道建立多個 VPN 連線,通常會連線到多個內部部署網站。 使用多個連線時,您必須使用 RouteBased VPN 類型 (在搭配傳統 VNet 使用時,稱為動態閘道) 。 因為每個虛擬網路只能有一個 VPN 閘道,所有透過閘道的連接共用可用頻寬。 這種連線有時稱為「多站台」連線。
S2S 的部署模型和方法
| 部署模型/方法 | Azure 入口網站 | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | 教學課程 | 教學課程 | 教學課程 |
| 傳統 (舊版部署模型) | 教學課程** | 教學課程 | 不支援 |
( ** ) 表示此方法包含需要 PowerShell 的步驟。
點對站 VPN
點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦到虛擬網路的安全連線。 點對站連線的建立方式是從用戶端電腦開始。 此解決方案適合想要從遠端位置 (例如從住家或會議) 連線到 Azure 虛擬網路的遠距工作者。 當您只有少數用戶端需要連線到虛擬網路時,點對站 VPN 也是一個有用的解決方案,可用來取代站對站 VPN。
不同於站對站連線,點對站連線不需要內部部署公用 IP 位址或 VPN 裝置。 點對站連線可與站對站連線透過相同的 VPN 閘道一起使用,前提是這兩個連線的所有設定需求都相容。 如需點對站連線的詳細資訊,請參閱關於點對站 VPN。
P2S 的部署模型和方法
| 驗證方法 | 發行項 |
|---|---|
| [MSSQLSERVER 的通訊協定內容] | 教學課程 操作說明 |
| Microsoft Entra ID | 操作說明 |
| RADIUS | 操作說明 |
點對站 VPN 用戶端設定
| 驗證 | 通道類型 | 用戶端作業系統 | VPN 用戶端 |
|---|---|---|---|
| [MSSQLSERVER 的通訊協定內容] | |||
| IKEv2、SSTP | Windows | 原生 VPN 用戶端 | |
| IKEv2 | macOS | 原生 VPN 用戶端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN 用戶端 OpenVPN 用戶端 |
|
| OpenVPN | macOS | OpenVPN 用戶端 | |
| OpenVPN | iOS | OpenVPN 用戶端 | |
| OpenVPN | Linux | Azure VPN Client OpenVPN 用戶端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 用戶端 | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
VNet 對 VNet 連線 (IPsec/IKE VPN 通道)
將一個虛擬網路連接到另一個虛擬網路 (VNet 對 VNet) 類似於將虛擬網路連接到內部部署站台位置。 兩種連結類型都使用 VPN 閘道提供使用 IPsec/IKE 的安全通道。 您甚至可以將 VNet 對 VNet 通訊與多站台連結設定合併。 這樣,便可以建立將跨界連線與虛擬網路間連線相結合的網路拓撲。
您所連線的虛擬網路可以是:
- 在相同或不同區域中
- 在相同或不同訂用帳戶中
- 在相同或不同部署模型中
VNet 對 VNet 的部署模型和方法
| 部署模型/方法 | Azure 入口網站 | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | 教學課程+ | 教學課程 | 教學課程 |
| 傳統 (舊版部署模型) | 教學課程* | 支援 | 不支援 |
| Azure Resource Manager 與傳統 (舊版) 部署模型之間的連線 | 教學課程* | 教學課程 | 不支援 |
(+) 表示這種部署方法僅適用於相同訂用帳戶中的 VNet。
( * ) 表示這種部署方法也需要 PowerShell。
在某些情況下,您可能想要使用虛擬網路對等互連,而不是使用 VNet 對 VNet 來與您的虛擬網路連線。 虛擬網路對等互連不使用虛擬網路閘道。 如需詳細資訊,請參閱虛擬網路對等互連。
站對站和 ExpressRoute 並存連線
ExpressRoute 是從 WAN (不透過公用網際網路) 到 Microsoft 服務 (包括 Azure) 的私人連線。 站對站 VPN 流量會以加密方式透過公用網際網路進行傳輸。 能夠對相同的虛擬網路設定站對站 VPN 和 ExpressRoute 連線有諸多好處。
您會將站對站 VPN 設定為 ExpressRoute 的安全容錯移轉路徑,或使用站對站 VPN 來連線至不屬於您的網路但透過 ExpressRoute 連線的網站。 請注意,對於相同的虛擬網路,此組態需要兩個虛擬網路閘道,一個使用 Vpn 閘道類型,而另一個使用 ExpressRoute 閘道類型。
站對站和 ExpressRoute 的部署模型和方法並存連線
| 部署模型/方法 | Azure 入口網站 | PowerShell |
|---|---|---|
| Resource Manager | 支援 | 教學課程 |
| 傳統 (舊版部署模型) | 不支援 | 教學課程 |
高可用性連線
如需高可用性連線的規劃和設計,請參閱高可用性連線。
下一步
如需詳細資訊,請參閱 VPN 閘道常見問題集。
深入了解 VPN 閘道組態設定。
如需 VPN 閘道 BGP 考量項目,請參閱關於 BGP。
檢視訂用帳戶與服務限制。
了解 Azure 的一些其他重要網路功能。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應