探索 Azure VPN 閘道
若要整合內部部署環境與 Azure,您必須要能建立加密連線。 您可以透過公用網際網路或專用的連結來進行連線。 在這裡,我們將探討 Azure VPN 閘道,此閘道會針對從內部部署環境傳入的連線提供端點。
您已設定 Azure 虛擬網路,而且需要確保從 Azure 轉送到您網站,以及在 Azure 虛擬網路之間轉送的任何資料都有加密。 而且,您也需要知道如何連線區域和訂用帳戶之間的虛擬網路。
什麼是 VPN 閘道?
Azure 虛擬網路閘道會為透過網際網路從內部部署位置到 Azure 的傳入連線提供端點。 VPN 閘道是可為加密連接端點的特定類型虛擬網路閘道。 此閘道也可透過 Microsoft 的專用網路 (用來連結不同區域中的 Azure 資料中心),在 Azure 虛擬網路之間傳送加密流量。 此設定讓您可以安全連結不同區域中的虛擬機器和服務。
每個虛擬網路只能有一個 VPN 閘道。 對該 VPN 閘道的所有連線都會共用可用的網路頻寬。
每個虛擬網路閘道內都有兩個或兩個以上的虛擬機器 (VM)。 這些 VM 已部署至您指定的特殊子網路 (稱為「閘道子網路」)。 其中包含連線至其他網路的路由表及特定閘道服務。 這些 VM 和閘道子網路類似於強化的網路裝置。 您不需要直接設定這些 VM,而且不應將任何其他資源部署至網路閘道子網路。
建立虛擬網路閘道可能需要一些時間才能完成,因此,請務必適當地規劃。 當您建立虛擬網路閘道時,佈建程序會產生閘道 VM,並將其部署至閘道子網路。 這些 VM 會有您在閘道上完成的設定。
金鑰設定是「閘道類型」。 閘道類型會決定閘道的運作方式。 若為 VPN 閘道,則閘道類型為 "vpn"。 VPN 閘道的選項包括:
透過 IPsec/IKE VPN 通道的網路對網路連線,用來將 VPN 閘道連結至其他 VPN 閘道。
跨單位 IPsec/IKE VPN 通道,透過專用的 VPN 裝置將內部部署網路連線到 Azure,以建立站對站連線。
透過 IKEv2 或 SSTP 的點對站連線,用來將用戶端電腦連線到 Azure 中的資源。
現在,讓我們來看看規劃 VPN 閘道時須考量的要素。
規劃 VPN 閘道
規劃 VPN 閘道時,需要考慮三個架構:
- 透過網際網路的點對站連線
- 透過網際網路的站對站連線
- 透過專用網路 (例如 Azure ExpressRoute) 的站對站連線
規劃要素
規劃過程中必須包含的要素包括:
- 輸送量 - Mbps 或 Gbps
- 骨幹 - 網際網路或私用?
- 公用 (靜態) IP 位址的可用性
- VPN 裝置相容性
- 多個用戶端連線或站對站連結?
- VPN 閘道類型
- Azure VPN 閘道 SKU
下表摘要說明其中幾個規劃問題。 其餘問題稍後會說明。
| 點對站 | 站對站 | ExpressRoute | |
|---|---|---|---|
| Azure 支援的服務 | 雲端服務和 VM | 雲端服務和 VM | 所有支援的服務 |
| 一般頻寬 | 視 VPN 閘道 SKU而定 | 視 VPN 閘道 SKU而定 | 請參閱 ExpressRoute 頻寬選項 |
| 支援的通訊協定 | SSTP 和 IPSec | IPsec | 直接連接,VLAN |
| 路由 | RouteBased (動態) | PolicyBased (靜態) 和 RouteBased | BGP |
| 連線恢復 | 主動-被動 | 主動-被動或主動-主動 | 主動-主動 |
| 使用案例 | 測試和原型設計 | 開發、測試和小規模生產 | 企業/任務關鍵性 |
閘道 SKU
請務必選擇正確的 SKU。 如果使用不正確的 SKU 來設定 VPN 網路閘道,即必須撤換 SKU 並重建網路閘道,這可能會相當費時。 如需閘道 SKU 的最新資訊 (包括輸送量),請參閱什麼是 VPN 閘道? - 閘道 SKU。
工作流程
使用 Azure 上的虛擬私人網路來設計雲端連線策略時,應套用下列工作流程:
設計您的連線拓撲,列出所有連線網路的位址空間。
建立 Azure 虛擬網路。
建立虛擬網路的 VPN 閘道。
建立及設定連接至內部網路或其他虛擬網路的連線 (視需要)。
如有需要,建立並設定 Azure VPN 閘道的點對站連線。
設計考量
當您設計 VPN 閘道來連線虛擬網路時,必須考量下列因素:
子網路無法重疊
這點很重要,一個位置中的子網路不能其他位置中的子網路具有相同位址空間。
IP 位址必須是唯一的
您不能在不同位置上有兩個 IP 位址相同的主機,因為無法在這兩部主機之間路由流量,而且網路對網路的連線將會失敗。
VPN 閘道需要名為 GatewaySubnet 的閘道子網路
閘道子網路必須具有此名稱才能讓閘道運作,而且其中不應包含任何其他資源。
建立 Azure 虛擬網路
建立 VPN 閘道之前,您需要建立 Azure 虛擬網路。
建立 VPN 閘道
您所建立的 VPN 閘道類型取決於您的架構。 選項為:
RouteBased
以路由為基礎的 VPN 裝置使用任何對任何 (萬用字元) 流量選取器,並讓路由/轉接資料表將流量導向到不同 IPsec 通道。 路由型連線通常建置在路由器平台上,其中,每個 IPsec 通道都會建模為網路介面或虛擬通道介面 (VTI)。
PolicyBased
以原則為基礎的 VPN 裝置使用這兩個網路的前置詞組合,定義如何透過 IPsec 通道來加密/解密流量。 原則型連線通常建置在執行封包篩選的防火牆裝置上。 IPsec 通道加密和解密會新增至封包篩選和處理引擎。
設定 VPN 閘道
您需要採取的步驟取決於您要安裝的 VPN 閘道類型。 例如,若要使用 Azure 入口網站建立點對站 VPN 網路閘道,請執行下列步驟:
建立虛擬網路。
新增閘道子網路。
指定 DNS 伺服器 (選擇性)。
建立虛擬網路閘道。
產生憑證。
新增用戶端位址集區。
設定通道類型。
設定驗證類型。
上傳根憑證公開憑證資料。
安裝匯出的用戶端憑證。
產生和安裝 VPN 用戶端組態套件。
連線到 Azure。
由於 Azure VPN 閘道可搭配數個設定路徑,而且每個路徑都有多個選項,因此本課程無法說明每個設定。 如需詳細資訊,請參閱<其他資源>一節。
設定閘道
建立網路閘道之後,您需要進行設定。 您必須提供幾個組態設定,例如名稱、位置、DNS 伺服器等。 我們會在練習中詳細探索這些設定。
Azure VPN 閘道是 Azure 虛擬網路中的元件,可啟用點對站、站對站或網路對網路連線。 Azure VPN 閘道可讓個別用戶端電腦連線到 Azure 中的資源、將內部部署網路延伸至 Azure,或輔助不同區域和訂用帳戶中虛擬網路之間的連線。