使用站對站 VPN 閘道將內部部署網路連線至 Azure
虛擬私人網路 (VPN) 是一種私人互連網路。 VPN 會使用另一個網路內的加密通道。 通常會部署它們,以透過不受信任的網路 (通常是公用網際網路) 將兩個或多個受信任的私人網路連接到另一個網路。 流量會在於不受信任的網路上移動時加密,以防止竊聽或其他攻擊。
針對我們案例中的醫療保健提供者,VPN 可讓醫療專業人員在不同的位置共用敏感性資訊。 例如,假設某位病患需要在某家專科醫院進行手術。 手術團隊必須能夠查看該病患就醫記錄的詳細資料。 此醫療資料儲存於 Azure 中的系統上。 透過將該院所連線至 Azure 的 VPN,可讓手術團隊安全地存取此資訊。
Azure VPN 閘道
VPN 閘道是一種虛擬網路閘道。 VPN 閘道部署於 Azure 虛擬網路中,且可啟用下列連線能力:
- 透過「站對站」連線,將內部部署資料中心連線至 Azure 虛擬網路。
- 透過「點對站」連線,將個別裝置連線至 Azure 虛擬網路。
- 透過「網路對網路」連線,將 Azure 虛擬網路連線至其他 Azure 虛擬網路。
所有傳輸的資料都會在通過網際網路時,於私人通道中加密。 您在每個虛擬網路中只能部署一個 VPN 閘道,但可以使用一個閘道來連線至多個位置,包括其他 Azure 虛擬網路或內部部署資料中心。
部署 VPN 閘道時,您需指定 VPN 類型:「原則型」或「路由型」。 這兩種 VPN 類型間的主要差異在於如何指定加密的流量。
原則型 VPN
原則型 VPN 閘道會以靜態方式指定應透過每個通道所加密封包的 IP 位址。 此類型的裝置會針對那些 IP 位址集合評估每個資料封包,以選擇要透過哪個通道傳送封包。 原則型 VPN 閘道受限於可支援的功能和連線。 Azure 中原則型 VPN 閘道的主要功能包括:
- 只支援 IKEv1。
- 使用「靜態路由」,其中來自這兩個網路的位址首碼組合可控制流量通過 VPN 通道的加密和解密方式。 通道網路的來源和目的地均宣告於原則中,而不需宣告於路由表中。
- 原則型 VPN 必須在需要它們的特定案例中使用,例如,為了與舊有內部部署 VPN 裝置相容。
路由型 VPN
若定義哪些 IP 位址位於每個通道後,對您的解決方案而言太麻煩。 或者,您需要的功能和連線原則型網路閘道不支援。 應該使用路由型網路閘道。 透過路由型閘道,IPSec 通道會模型化為網路介面或 VTI (虛擬通道介面)。 IP 路由 (靜態路由或動態路由通訊協定) 會決定透過其哪一個通道介面來傳送每個封包。 路由型 VPN 是內部部署裝置的慣用連線方式,因為它們對於拓撲變更 (例如建立新的子網路) 更有彈性。 如果您需要下列任何類型的連線能力,請使用路由型 VPN 閘道:
- 虛擬網路之間的連線
- 點對站連線
- 多站台連線
- 與 Azure ExpressRoute 閘道並存
Azure 中路由型 VPN 閘道的主要功能包括:
- 支援 IKEv2。
- 使用任意對任意 (萬用字元) 流量選取器。
- 可以使用「動態路由通訊協定」,其中路由/轉送表會將流量導向至不同的 IPSec 通道。 在此案例中,來源與目的地網路不會以靜態方式定義,因為這兩者位於原則型 VPN 中,或甚至是在具有靜態路由的路由型 VPN 中。 相反地,資料封包會根據使用如 BGP (邊界閘道協定)路由通訊協定動態建立的網路路由表進行加密。
在 Azure 中,這兩種類型的 VPN 閘道 (路由型與原則型) 都會使用預先共用的金鑰作為唯一的驗證方法。 兩種類型也都倚賴第 1 版或第 2 版的「網際網路金鑰交換」(IKE) 與「網際網路通訊協定安全性」(IPSec)。 IKE 可用來在兩個端點之間建立安全性關聯性 (一種加密協議)。 此關聯性會接著傳遞給 IPSec 套件,這會將封裝在 VPN 通道中的資料封包加密和解密。
VPN 閘道大小
您部署的 SKU 或大小會決定您的 VPN 閘道功能。 下表顯示一些閘道 SKU 的範例。 此數據表中的數字隨時可能會變更。 如需最新資訊,請參閱 Azure VPN 閘道文件中的閘道 SKU。 基本閘道 SKU 只能用於開發/測試工作負載。 此外,不支援稍後在未先移除閘道並重新部署之前從基本移轉到任何 VpnGw#/Az sku。
| VPN 閘道 世代 |
SKU | S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 ions |
P2S IKEv2/OpenVPN 連線 ions |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網絡 中支援的 VM 數目 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
| Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
| Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
| Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
| Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
| Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
| Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
| Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
| Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
| Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
| Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
| Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
| Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
| Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
| Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
部署 VPN 閘道
您需要一些 Azure 和內部部署資源,才能部署 VPN 閘道。
所需的 Azure 資源
您需要下列 Azure 資源,才能部署可運作的 VPN 閘道:
- 虛擬網路。 部署具有足夠位址空間的 Azure 虛擬網路,以供您的 VPN 閘道所需的額外子網路使用。 此虛擬網路的位址空間不得與您正在連線的內部部署網路重疊。 請記住,您在一個虛擬網路內只能部署單一 VPN 閘道。
- GatewaySubnet。 為 VPN 閘道部署一個名為
GatewaySubnet的子網路。 至少使用 /27 位址遮罩,以確保您會在子網路中提供足夠的 IP 位址來因應未來的成長。 您無法將此子網路用於任何其他服務。 - 公用 IP 位址。 若使用非區域感知閘道,請建立基本 SKU 動態公用 IP 位址。 此位址會為您的內部部署 VPN 裝置提供一個可路由傳送的公用 IP 位址作為目標。 此 IP 位址是動態的,但除非您將 VPN 閘道刪除後再重新建立,否則不會變更。
- 區域網路閘道。 建立局域網路閘道以定義內部部署網路的設定。 具體而言,是 VPN 閘道的連線位置及其連線目的地。 此設定包括內部部署 VPN 裝置的公用 IPv4 位址,以及內部部署中可路由傳送的網路。 VPN 閘道會使用此資訊,透過 IPSec 通道來路由傳送以內部部署網路為目的地的封包。
- 虛擬網路閘道。 建立虛擬網路閘道,以在虛擬網路與內部部署資料中心或其他虛擬網路之間路由傳送流量。 此虛擬網路閘道可以設定為 VPN 閘道或 ExpressRoute 閘道,但此課程模組只會探討 VPN 虛擬網路閘道。
- 連線。 建立連線資源,以在 VPN 閘道與區域網路閘道之間建立邏輯連線。 您可以建立與相同閘道的多個連線。
- 連線的目的地是區域網路閘道所定義之內部部署 VPN 裝置的 IPv4 位址。
- 連線的來源是虛擬網路閘道及其相關聯的公用 IP 位址。
下圖顯示資源及其關聯性的這個組合,可協助您進一步了解部署 VPN 閘道的必備要件:
所需的內部部署資源
若要將資料中心連線至 VPN 閘道,您需要下列的內部部署資源:
- 一個支援原則型或路由型 VPN 閘道的 VPN 裝置
- 一個公眾對應 (可透過網際網路路由傳送) 的 IPv4 位址
高可用性案例
有數種方式可確保您具有容錯設定。
使用中/待命
VPN 閘道預設會以「使用中/待命」設定來部署為兩個執行個體,即使您只在 Azure 中看到一個 VPN 閘道資源也一樣。 當計劃性維護或非計劃性中斷影響到使用中的執行個體時,待命執行個體就會自動負責連線工作,而不需要使用者介入。 連線會在此容錯移轉期間中斷,但對計劃性維護來說,它們通常可在幾秒內還原,而對非計劃性中斷來說,則會在 90 秒內還原。
主動/主動
隨著引進對 BGP 路由傳送通訊協定的支援,您也能以「主動/主動」設定來部署 VPN 閘道。 在此設定中,您會為每個執行個體指派唯一的公用 IP 位址。 接著,您會建立從內部部署裝置到每個 IP 位址的個別通道。 您可以藉由在內部部署環境中部署其他 VPN 裝置來擴展高可用性。
ExpressRoute 容錯移轉
另一個高可用性選項是將 VPN 閘道設定為 ExpressRoute 連線的安全容錯移轉路徑。 ExpressRoute 線路內建復原能力,但在發生影響纜線傳遞連線能力的實體問題或影響完整 ExpressRoute 位置的中斷問題時,也不能倖免。 在高可用性案例中,如果有與 ExpressRoute 線路中斷相關的風險,您也可以設定使用網際網路作為連線替代方法的 VPN 閘道,以確保總是有 Azure 虛擬網路連線可用。
區域備援閘道
在支援可用性區域的區域中,您能以區域備援設定部署 VPN 與 ExpressRoute 閘道。 此設定可為虛擬網路閘道帶來復原功能、可擴縮性和更高的可用性。 在 Azure 可用性區域中部署閘道可從根本上和邏輯上分隔區域內的閘道,同時還能在發生區域層級的失敗時,保護您內部部署項目與 Azure 的網路連線。 這些需要不同的閘道 SKU 並使用標準公用 IP 位址,而非基本公用 IP 位址。