Azure VPN 閘道的運作方式
您在每一個 Azure 虛擬網路內只能部署單一 VPN 閘道。 即使您僅限於單一 VPN 閘道,也可以將此閘道設定為連線到多個位置,包括其他 Azure 虛擬網路或內部部署資料中心。
注意
虛擬網路閘道是由部署到特定子網路 (稱為閘道子網路) 的兩部或多部特定 VM 所組成。 虛擬網路閘道 VM 會裝載路由表,並且會執行特定的閘道服務。 這些構成閘道的 VM 是在您建立虛擬網路閘道時所建立,並由 Azure 自動管理,且不需要系統管理注意。
VPN 閘道類型
當您設定虛擬網路閘道時,可以選取指定閘道類型的設定。 閘道類型會決定使用虛擬網路閘道的方式,以及閘道所將採取的動作。 閘道類型 Vpn 會指定所建立虛擬網路閘道的類型為 VPN gateway。 這會將其與使用不同閘道類型的 ExpressRoute 閘道進行區別。 Azure 虛擬網路可以有兩個虛擬網路閘道:一個是 VPN 閘道,一個是 ExpressRoute 閘道。
Azure VPN 閘道有兩種類型:
- 原則型 VPN 閘道
- 路由型 VPN 閘道
原則型 VPN 閘道
原則式 VPN 閘道需要您指定一組固定的封包 IP 位址,這些封包應該透過每個通道進行加密。 這種類型的裝置會根據這幾組固定 IP 位址評估每個資料封包,然後選擇其將傳送該流量的通道。
Azure 中原則型 VPN 閘道的主要功能包括:
- 只支援 IKEv1
- 使用靜態路由
通道網路的來源和目的地皆在原則中進行宣告,而不需在 VPN 路由表中進行宣告。 僅在需要原則型 VPN 的特定案例中使用這些原則型 VPN,例如,為了與舊有內部部署 VPN 裝置相容。
路由型 VPN 閘道
透過路由式 Azure VPN 閘道,IPsec 通道會做為網路介面或虛擬通道介面 (VTI)。 IP 路由 (靜態路由或動態路由通訊協定) 會決定哪些通道介面會傳輸每個封包。 路由型 VPN 是內部部署裝置的慣用連線方式,因為這類 VPN 對於拓撲變更 (例如建立新的子網路) 更有彈性。 路由型 VPN 更適合 Adatum,因為如果新增了新的子網路而不必重新設定 Azure VPN 閘道,就會允許連線到虛擬網路上的 Azure IaaS 資源。
如果您需要下列任何類型的連線能力,請使用路由型 VPN 閘道:
- 虛擬網路之間的連線
- 點對站連線
- 多站台連線
- 與 Azure ExpressRoute 閘道並存
Azure 中路由型 VPN 閘道的主要功能包括:
- 支援 IKEv2
- 使用任意對任意 (萬用字元) 流量選取器
- 可以使用動態路由通訊協定,其中路由/轉送表會將流量導向不同的 IPSec 通道
設定為使用動態路由時,來源與目的地網路不會以靜態方式定義,因為其位於原則型 VPN 中,或甚至是具有靜態路由的路由型 VPN 中。 相反地,資料封包會根據使用路由通訊協定 (例如邊界閘道協定 (BGP)) 動態建立的網路路由表進行加密。
Azure VPN 閘道僅支援使用預先共用金鑰驗證方法。 路由型和原則型這兩種類型也都倚賴第 1 版或第 2 版的「網際網路金鑰交換」(IKE) 與「網際網路通訊協定安全性」(IPSec)。 IKE 可用來在兩個端點之間建立安全性關聯性 (一種加密協議)。 此關聯性接著會傳遞給 IPSec 套件,這會將封裝在 VPN 通道中的資料封包加密和解密。
Azure VPN 閘道大小
建立虛擬網路閘道時,您必須指定閘道 SKU。 您應該根據工作負載、輸送量、功能和 SLA 的類型,選取符合您需求的 SKU。
| 閘道 SKU - 第 1 代 | 站對站 VPN 通道上限 | 彙總輸送量 | BGP 支援 |
|---|---|---|---|
| 基本 | 10 | 100 Mbps | 不支援 |
| VpnGw1/Az | 30 | 650 Mbps | 支援 |
| VpnGw2/Az | 30 | 1 Gbps | 支援 |
| VpnGw3/Az | 30 | 1.25 Gbps | 支援 |
下表顯示第 1 代 SKU。 使用第 1 代 SKU 時,您可以視需要在 VpnGw1、VpnGw2 和 VpnGw3 SKU 之間進行遷移。 您無法在未移除和重新部署 VPN 閘道的情況下,從基本 SKU 進行遷移。 您也可以使用第 2 代 SKU 來建立 VPN 閘道。 如需 SKU、輸送量和支援功能的最新資訊,請參閱本課程模組〈摘要〉章節中的連結。
VPN 閘道需求
您必須有下列 Azure 資源,才能部署可運作的 VPN 閘道:
- 虛擬網路:一個有足夠位址空間的 Azure 虛擬網路,以供 VPN 閘道所需的額外子網路使用。 此虛擬網路的位址空間不得與您將連線的內部部署網路重疊。
- GatewaySubnet:用於 VPN 閘道且名為 GatewaySubnet 的子網路。 至少需要 /27 位址遮罩。 此子網路無法用於任何其他服務。
- 公用 IP 位址:若使用非區域感知閘道,基本 SKU 動態的公用 IP 位址。 此位址會為您的內部部署 VPN 裝置提供一個可路由傳送的公用 IP 位址作為目標。 此 IP 位址是動態的,但除非您將 VPN 閘道刪除後再重新建立,否則將不會變更。
- 本機網路閘道:建立區域網路閘道以定義內部部署網路的設定:VPN 閘道將連線的位置與對象。 此設定包括內部部署 VPN 裝置的公用 IPv4 位址,以及內部部署中可路由傳送的網路。 VPN 閘道會使用此資訊,透過 IPSec 通道來路由傳送以內部部署網路為目的地的封包。
當您有這些必要條件元件時,可以建立虛擬網路閘道,以在虛擬網路與內部部署資料中心或其他虛擬網路之間路由傳送流量。 您部署虛擬網路閘道之後,可以接著建立連線資源,以在 VPN 閘道與本機網路閘道之間建立邏輯連線:
- 連線的目的地是區域網路閘道所定義之內部部署 VPN 裝置的 IPv4 位址。
- 連線的來源是虛擬網路閘道及其相關聯的公用 IP 位址。
您可以為每個 Azure VPN 閘道設定多個連線,上限為 SKU 所定義的限制。
高可用性
即使您只在 Azure 中看到一個 VPN 閘道資源,VPN 閘道仍會以「使用中/待命」設定來部署為兩個受控虛擬機器執行個體。 當計劃性維護或非計劃性中斷影響到使用中的執行個體時,待命執行個體就會自動負責連線工作,而不需要任何使用者或系統管理員介入。 連線會在此容錯移轉期間中斷,但對計劃性維護來說,它們通常可在幾秒內還原,而對非計劃性中斷來說,則會在 90 秒內還原。
Azure VPN 閘道支援 BGP 路由通訊協定,讓您也可以在主動/主動設定中部署 VPN 閘道。 在此設定中,您會為每個執行個體指派唯一的公用 IP 位址。 接著,您會建立從內部部署裝置到每個 IP 位址的個別通道。 您可以藉由在內部部署環境中部署其他 VPN 裝置來擴展高可用性。
注意
許多使用 ExpressRoute 連線的組織也已部署站對站 VPN 連線,以取得額外的備援層。