VPN 閘道設計
請務必知道 VPN 閘道連線有不同的組態可用。 您必須決定哪個組態最符合您的需求。 在下列各節中,您可以檢視有關下列 VPN 閘道連線的設計資訊和拓撲圖表。 使用圖形和描述來協助選取符合您需求的連線拓撲。 這些圖表顯示主要基準拓撲,但您也可以使用這些圖表作為指導方針來建置更複雜的設定。
站對站 VPN
網站間 (S2S) VPN 閘道連線是透過 IPsec/IKE (IKEv1 或 IKEv2) VPN 通道建立的連線。 S2S 連線可以用於跨單位與混合式組態。 S2S 連線需要位於內部部署的 VPN 裝置,其具有指派的公用 IP 位址。 如需選取 VPN 裝置的資訊,請參閱 VPN 閘道常見問題集 - VPN 裝置。
VPN 閘道可以使用一個公用 IP 在使用中-待命模式中設定,或使用兩個公用 IP 在主動-主動模式中設定。 在使用中-待命模式中,有一個 IPsec 通道為使用中,另一個通道則處於待命狀態。 在此設定中,流量會流經使用中的通道;如果此通道發生某些問題,則流量會切換到待命通道。 「建議」在主動-主動模式中設定 VPN 閘道;這兩個 IPsec 通道會同時處於使用中狀態,且資料會同時流經這兩個通道。 主動-主動模式的另一個優點是客戶能夠體驗更高的輸送量。
您可以從虛擬網路閘道建立多個 VPN 連線,通常會連線到多個內部部署網站。 處理多重連線時,您必須使用路由式 VPN 類型 (也就是使用傳統 VNet 時的動態閘道)。 因為每個虛擬網路只能有一個 VPN 閘道,所以透過該閘道的所有連線會共用可用的頻寬。 這種類型的連線通常稱為「多站台」連線。
S2S 的部署模型和方法
| 部署模型/方法 | Azure 入口網站 | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | 教學課程 教學課程 |
教學課程 | 教學課程 |
| 傳統 | 教學課程** | 教學課程 | 不支援 |
( ** ) 表示此方法包含需要 PowerShell 的步驟。
點對站 VPN
點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦到您的虛擬網路的安全連線。 P2S 連線的建立方式是從用戶端電腦開始。 此解決方案適合於想要從遠端位置 (例如從住家或會議) 連線到 Azure VNet 的遠距工作者。 當您只有少數用戶端必須連線至 VNet 時,P2S VPN 也是很實用的解決方案 (而不是 S2S VPN)。
如同 S2S 連線,P2S 連線不需要內部部署公眾對應 IP 位址或 VPN 裝置。 P2S 連線可與 S2S 連線透過相同的 VPN 閘道一起使用,前提是這兩個連線的所有設定需求都相容。 如需點對站連線的詳細資訊,請參閱關於點對站 VPN。
P2S 的部署模型和方法
Azure 原生憑證驗證
| 部署模型/方法 | Azure 入口網站 | PowerShell |
|---|---|---|
| Resource Manager | 教學課程 | 教學課程 |
| 傳統 | 教學課程 | 支援 |
RADIUS 驗證
| 部署模型/方法 | Azure 入口網站 | PowerShell |
|---|---|---|
| Resource Manager | 支援 | 教學課程 |
| 傳統 | 不支援 | 不支援 |
VNet 對 VNet 連線 (IPsec/IKE VPN 通道)
將虛擬網路連接至另一個虛擬網路 (VNet 對 VNet),類似於將 VNet 連接至內部部署網站位置。 這兩種連線類型都使用 VPN 閘道提供使用 IPsec/IKE 的安全通道。 您甚至可以將多網站連線組態與 VNet 對 VNet 通訊結合。 這可讓您建立結合了跨單位連線與內部虛擬網路連線的網路拓撲。
您所連接的 VNet 可以:
- 在相同或不同的區域中
- 在相同或不同的訂用帳戶中
- 在相同或不同的部署模型中
部署模型之間的連線
Azure 目前有兩種部署模型:傳統和 Resource Manager。 如果您已使用 Azure 一段時間,則可能具有傳統 VNet 上執行的 Azure VM 和執行個體角色。 較新的 VM 和角色執行個體可能會在 Resource Manager 中建立的 VNet 中執行。 您可以建立 Vnet 間的連線,讓其中一個 VNet 中的資源直接與另一個 VNet 中的資源通訊。
VNet 對等互連
只要您的虛擬網路符合特定需求,您就能夠使用 VNet 對等互連來建立連線。 VNet 對等互連不會使用虛擬網路閘道。 如需詳細資訊,請參閱 VNet 對等互連。
VNet 對 VNet 的部署模型和方法
| 部署模型/方法 | Azure 入口網站 | PowerShell | Azure CLI |
|---|---|---|---|
| 傳統 | 教學課程* | 支援 | 不支援 |
| Resource Manager | 教學課程+ | 教學課程 | 教學課程 |
| 不同部署模型之間的連線 | 教學課程* | 教學課程 | 不支援 |
(+) 表示這種部署方法僅適用於相同訂用帳戶中的 VNet。
( * ) 表示這種部署方法也需要 PowerShell。
站對站及 ExpressRoute 並存連線
ExpressRoute 是從您的 WAN (不透過公用網際網路) 到 Microsoft 服務 (包括 Azure) 的直接私人連線。 站對站 VPN 流量會以加密方式透過公用網際網路進行傳輸。 能夠對相同的虛擬網路設定網站間 VPN 和 ExpressRoute 連線有諸多好處。
您可以將網站間 VPN 設定為 ExpressRoute 的安全容錯移轉路徑,或使用網站間 VPN 來連線至不在您網路中但透過 ExpressRoute 連接的網站。 請注意,對於相同的虛擬網路,此組態需要兩個虛擬網路閘道,一個使用 'Vpn' 閘道類型,而另一個使用 'ExpressRoute' 閘道類型。
S2S 和 ExpressRoute 的部署模型和方法並存
| 部署模型/方法 | Azure 入口網站 | PowerShell |
|---|---|---|
| Resource Manager | 支援 | 教學課程 |
| 傳統 | 不支援 | 教學課程 |
高可用性連線
如需高可用性連線的規劃和設計,請參閱高可用性連線。
後續步驟
如需詳細資訊,請參閱 VPN 閘道常見問題集。
深入了解 VPN 閘道組態設定。
如需 VPN 閘道 BGP 考量項目,請參閱關於 BGP。
檢視訂用帳戶與服務限制。
了解 Azure 的一些其他重要網路功能。