وصَّل الشبكات الداخلية بـ Azure باستخدام بوابات VPN من موقع إلى موقع

  • 5 دقائق

الشبكة الظاهرية الخاصة (VPN) هي نوع من الشبكات الخاصة المترابطة. تستخدم الشبكات الظاهرية الخاصة (VPNs) باستخدام نفق مشفر داخل شبكة أخرى. تُنشر عادةً لتوصيل شبكتين أو أكثر من الشبكات الخاصة الموثوقة ببعضها البعض عبر شبكة غير موثوق بها (عادةً الإنترنت العام). تُشفَّر نسبة استخدام الشبكة أثناء السفر عبر شبكة غير موثوق بها لمنع التنصت أو أي هجمات أخرى.

بالنسبة لمُزوِد الرعاية الصحية في السيناريو خاصتنا، يمكن للشبكات الظاهرية الخاصة تمكين الأخصائيين الصحيين من مشاركة المعلومات الحساسة بين المواقع. على سبيل المثال، لنفترض أن المريض يحتاج إلى عملية جراحية في منشأة متخصصة. يجب أن يكون الفريق الجراحي قادرًا على الاطلاع على تفاصيل التاريخ الطبي للمريض. تُخزَّن هذه البيانات الطبية على نظام في Azure. تسمح شبكة VPN التي تربط المنشأة بـ Azure للفريق الجراحي بالوصول الآمن إلى هذه المعلومات.

بوابات Azure VPN

بوابة VPN هي نوع من بوابة الشبكة الظاهرية. تُنشر بوابات VPN في شبكات Azure الظاهرية وتمكين الاتصال التالي:

  • وصَّل مراكز البيانات الداخلية بشبكات Azure الظاهرية من خلال اتصال موقع إلي موقع.
  • وصَّل الأجهزة الفردية بشبكات Azure الظاهرية من خلال اتصال نقطة إلى موقع.
  • وصَّل شبكات Azure الظاهرية بشبكات Azure الظاهرية الأخرى من خلال اتصال شبكة إلي شبكة.

Visualization of a VPN connection to Azure.

تُشفَّر جميع البيانات المنقولة في نفق خاص أثناء عبورها للإنترنت. يمكنك نشر بوابة VPN واحدة فقط في كل شبكة ظاهرية، ولكن يمكنك استخدام بوابة واحدة للاتصال بمواقع متعددة، بما في ذلك شبكات Azure الظاهرية الأخرى أو مراكز البيانات الداخلية.

عندما تنشر بوابة VPN، فإنك تحدد نوع شبكة VPN: إما الشبكة القائمة علي نهج أو القائمة علي مسار. يتمثل الاختلاف الرئيسي بين هذين النوعين من شبكات VPN في كيفية تحديد حركة المرور المراد تشفيرها

الشبكات الظاهرية الخاصة القائمة على نهج

تحدد بوابات VPN القائمة على نهج عنوان IP للرُزم التي ينبغي تشفيرها عبر كل نفق تحديدًا ثابتًا. يقيِّم هذا النوع من الأجهزة كل رزمة بيانات مقابل تلك المجموعات من عناوين IP لاختيار النفق حيث ستُرسل تلك الرزمة من خلاله. تتضمن الميزات الرئيسية لبوابات VPN المستندة إلى النهج في Azure ما يلي:

  • دعم IKEv1 فقط.
  • استخدام التوجيه الثابت، حيث تتحكم مجموعات بادئات العناوين من كلتا الشبكتين في كيفية تشفير حركة المرور وفك تشفيرها عبر نفق VPN. يُعلن عن مصدر ووجهة الشبكات النفقية في النهج ولا يلزم الإعلان عنها في جداول التوجيه.
  • يجب استخدام شبكات VPN القائمة على النهج في سيناريوهات محددة تتطلبها، مثل التوافق مع أجهزة VPN الداخلية القديمة.

الشبكات الظاهرية الخاصة القائمة على مسار

إذا كان تحديد عناوين IP الموجودة خلف كل نفق أمرًا مرهقًا للغاية، فيمكن استخدام البوابات القائمة على مسار. باستخدام البوابات القائمة على مسار، تُصمم أنفاق IPSec باعتبارها واجهة شبكة أو VTI (واجهة نفق افتراضية). يحدد توجيه IP (المسارات الثابتة أو بروتوكولات التوجيه الديناميكي) عبر أي من واجهات النفق هذه لإرسال كل رزمة. الشبكات الافتراضية الخاصة القائمة على المسار هي طريقة الاتصال المفضلة للأجهزة الداخلية، لأنها أكثر مرونة في مواجهة تغييرات تخطيط الشبكة مثل إنشاء شبكات فرعية جديدة، على سبيل المثال. استخدم بوابة VPN القائمة على مسار إذا كنت بحاجة إلى أيٍ من أنواع الاتصال التالية:

  • الاتصالات بين الشبكات الافتراضية
  • الاتصالات من نقطة إلى موقع
  • الاتصالات متعددة المواقع
  • التعايش مع بوابة Azure ExpressRoute

تشمل الميزات الرئيسية لبوابات VPN القائمة على مسار في Azure ما يلي:

  • تدعم IKEv2.
  • تستخدم أي محددات إلى أي محددات حركة المرور (حرف البدل).
  • يمكن استخدام بروتوكولات التوجيه الديناميكية، حيث توجه جداول التوجيه/ إعادة توجيه حركة المرور المباشرة إلى أنفاق IPSec مختلفة في هذه الحالة، لا تُعرَّف شبكات المصدر والوجهة تعريفًا ثابتًا لأنها موجودة في شبكات VPN القائمة على نهج أو حتى في الشبكات الظاهرية الخاصة القائمة على مسار مع التوجيه الثابت. بدلًا من ذلك، تُشفر رزم البيانات بناءً على جداول توجيه الشبكة التي يجري إنشاؤها ديناميكيًا باستخدام بروتوكولات التوجيه مثل BGP (بروتوكول بوابة الحدود).

يستخدم كلا النوعين من بوابات VPN (القائمة على مسار والقائمة على نهج) في Azure المفتاح المشترك مسبقًا باعتباره الأسلوب الوحيد للمصادقة. يعتمد كلا النوعين أيضًا على مفتاح الإنترنت التبادلي (IKE) في الإصدار 1 أو الإصدار 2 وأمان بروتوكول الإنترنت (IPSec). يُستخدم IKE لإعداد مجموعة أمان (اتفاقية التشفير) بين نقطتي نهاية. ثم تُمرر هذه المجموعة عندئذٍ إلى حزمة برمجيات IPSec، التي تشفر رزم البيانات المغلفة في نفق VPN وتفك تشفيرها.

أحجام بوابة VPN

تُحدد إمكانيات بوابة VPN خاصتك عن طريق وحدة SKU أو الحجم الذي تنشره. يوضح هذا الجدول الإمكانات الرئيسية لكل وحدة SKU متاحة:

SKU أنفاق موقع إلى موقع/ شبكة ظاهرية إلى شبكة ظاهرية تجميع مقياس معدل النقل دعم بروتوكول بوابة الحدود (BGP)
أساسي* الحد الأقصى: 10 يبلغ 100 ميغابت في الثانية غير مدعوم
VpnGw1/Az الحد الأقصى: 30 650 ميغابت في الثانية مدعوم
VpnGw2/Az الحد الأقصى: 30 يبلغ 1 جيجابت في الثانية مدعوم
VpnGw3/Az الحد الأقصى: 30 1.25 غيغابت في الثانية مدعوم

يجب استخدام بوابة VPN الأساسية لأحمال عمل التطوير/ الاختبار فقط. بالإضافة إلى ذلك، لا يُدعم الترحيل من أساسي إلى أي VpnGw#/Az sku في وقتٍ لاحق دون الحاجة إلى إزالة البوابة وإعادة التوزيع.

نشر بوابات VPN

قبل أن تتمكن من القيام ينشر بوابة VPN، ستكون بحاجة إلى بعض موارد Azure ومواردها المحلية.

موارد Azure المطلوبة

ستحتاج إلى موارد Azure هذه قبل أن تتمكن من نشر بوابة VPN تشغيلية:

  • شبكة ظاهرية. انشر شبكة Azure الظاهرية بمساحة كافية لعنوان الشبكة الفرعية الإضافية التي ستحتاجها لبوابة VPN. يجب ألا تتداخل مساحة العنوان لهذه الشبكة الظاهرية مع الشبكة الداخلية التي ستتصل بها. تذكر أنه يمكنك نشر بوابة VPN واحدة فقط داخل شبكة ظاهرية.

  • GatewaySubnet. انشر شبكة فرعية تُسمى GatewaySubnet بوابة VPN. استخدم قناع عنوان 27/ على الأقل للتأكد من أن لديك عناوين IP كافية في الشبكة الفرعية للنمو المستقبلي. لا يمكنك استخدام هذه الشبكة الفرعية لأية خدمات أخرى.

  • عنوان IP العام. أنشئ عنوان IP عام ديناميكي لوحدة Basic-SKU في حالة استخدام بوابة غير مدركة للمنطقة. هذا العنوان يقدم عنوان IP القابل للتوجيه العام باعتباره هدفًا لجهاز VPN الداخلي خاصتك. عنوان IP هذا ديناميكي، لكنه لن يتغير إلا إذا حذفت بوابة VPN وأعدت إنشائها.

  • بوابة شبكة داخلية. إنشاء بوابة شبكة داخلية لتحديد تكوين الشبكة الداخلية مثل أين ستتصل بوابة VPN وما الذي ستتصل به. يتضمن هذا التكوين عنوان IPv4 العام لجهاز VPN الداخلي والشبكات الداخلية القابلة للتوجيه. تُستخدم هذه المعلومات بواسطة بوابة VPN لتوجيه الرزم المُوجهة للشبكات الداخلية عبر نفق IPSec.

  • بوابة الشبكة الظاهرية. إنشاء بوابة الشبكة الظاهرية لتوجيه حركة المرور بين الشبكة الظاهرية ومركز البيانات الداخلي أو الشبكات الظاهرية الأخرى. يمكن أن تكون بوابة الشبكة الظاهرية إما بوابة VPN أو ExpressRoute، ولكن هذه الوحدة تتناول فقط بوابات الشبكة الظاهرية الخاصة بـ VPN.

  • الاتصال. إنشاء مورد اتصال لإنشاء اتصال منطقي بين بوابة VPN وبوابة الشبكة الداخلية.

    • يُنشأ الاتصال بعنوان IPv4 الخاص بجهاز VPN الداخلي كما تحدد بوابة الشبكة الداخلية.
    • يُنشأ الاتصال من بوابة الشبكة الظاهرية وعنوان IP العام المتصل بها.

    يمكنك إنشاء اتصالات متعددة.

يوضح الرسم البياني التالي هذه المجموعة من الموارد وعلاقاتها لمساعدتك على فهم المطلوب لنشر بوابة VPN فهمًا أفضل:

Resource requirements for a VPN gateway.

الموارد الداخلية المطلوبة

لتوصيل مركز بياناتك ببوابة VPN، ستحتاج إلى هذه الموارد الداخلية:

  • جهاز VPN يدعم بوابات VPN القائمة على النهج أو القائمة على المسار
  • عنوان IPv4 العام (قابل للتوجيه عبر الإنترنت)

سيناريوهات ذات قابلية وصول عالية

هناك عدة طرق للتأكد من أن لديك تكوينًا يتجاوز الأخطاء.

نشط/ استعداد

تُنشر بوابات VPN افتراضيًا باعتبارها مثيلين في تكوين نشط/ استعداد حتى إذا كان لا يمكن أن ترى سوى مورد بوابة VPN واحد فقط في Azure. عندما تؤثر الصيانة المخطط لها أو الانقطاع غير المخطط له على المثيل النشط، يفترض مثيل الاستعداد تلقائيًا مسؤولية الاتصالات دون أي تدخل من المستخدم. تُقطع الاتصالات أثناء تجاوز الفشل هذا، ولكن تُستعاد عادةً في غضون بضع ثوانٍ للصيانة المخطط لها وخلال 90 ثانية في حالة الانقطاعات غير المخطط لها.

Active/standby virtual network gateway.

نشط/نشط

من خلال تقديم الدعم لبروتوكول التوجيه BGP، يمكنك أيضًا نشر بوابات VPN في تكوين نشط/ نشط. في هذا التكوين، تعين عنوان IP عام فريد لكل مثيل. يمكنك عندئذٍ إنشاء أنفاق منفصلة من الجهاز الداخلي لكل عنوان IP. يمكنك تمديد قابلية الوصول العالية من خلال نشر جهاز VPN إضافي داخليًا.

Active/active virtual network Gateway.

تجاوز فشل ExpressRoute

خيار آخر ذو قابلية وصول عالية هو تكوين بوابة VPN باعتبارها مسار آمن لتجاوز الفشل لاتصالات ExpressRoute. تتمتع دوائر ExpressRoute بمرونة مضمَّنة ولكنها غير محصنة ضد المشاكل المادية التي تؤثر على الكابلات التي تزود الاتصال أو الانقطاعات التي تؤثر على موقع ExpressRoute الكامل. في سيناريوهات قابلية الوصول العالية، حيث توجد مخاطر مرتبطة بانقطاع دائرة ExpressRoute، يمكنك أيضًا تزويد بوابة VPN التي تستخدم الإنترنت باعتبارها طريقة بديلة للاتصال، وبالتالي ضمان وجود اتصال دائم بشبكات Azure الظاهرية.

بوابات المنطقة المتكررة

في المناطق التي تدعم مناطق الإتاحة، يمكن نشر بوابات VPN وExpressRoute في تكوين المنطقة المتكررة. يؤدي ذلك إلى تزويد المرونة وقابلية التوسع وقابلية الوصول العالية لبوابات الشبكة الظاهرية. يؤدي نشر البوابات في مناطق قابلية وصول Azure فعليًا ومنطقيًا إلى فصل البوابات داخل منطقة ما، بينما يحمي اتصال شبكتك الداخلية بـ Azure من حالات الفشل على مستوى المنطقة. تتطلب هذه وحدات SKU مختلفة للبوابة وتستفيد من عناوين IP العامة القياسية بدلًا من عناوين IP العامة الأساسية.