وصَّل الشبكات الداخلية بـ Azure باستخدام بوابات VPN من موقع إلى موقع

  • 5 دقائق

وتعد الشبكة الافتراضية الخاصة (VPN) نوعًا من شبكة الاتصال المترابط الخاصة. تستخدم الشبكات الظاهرية الخاصة (VPNs) باستخدام نفق مشفر داخل شبكة أخرى. تُنشر عادةً لتوصيل شبكتين أو أكثر من الشبكات الخاصة الموثوقة ببعضها البعض عبر شبكة غير موثوق بها (عادةً الإنترنت العام). تُشفَّر نسبة استخدام الشبكة أثناء السفر عبر شبكة غير موثوق بها لمنع التنصت أو أي هجمات أخرى.

بالنسبة لمُزوِد الرعاية الصحية في السيناريو خاصتنا، يمكن للشبكات الظاهرية الخاصة تمكين الأخصائيين الصحيين من مشاركة المعلومات الحساسة بين المواقع. على سبيل المثال، لنفترض أن المريض يحتاج إلى عملية جراحية في منشأة متخصصة. يجب أن يكون الفريق الجراحي قادرًا على الاطلاع على تفاصيل التاريخ الطبي للمريض. تُخزَّن هذه البيانات الطبية على نظام في Azure. تسمح شبكة VPN التي تربط المنشأة بـ Azure للفريق الجراحي بالوصول الآمن إلى هذه المعلومات.

بوابات Azure VPN

بوابة VPN هي نوع من بوابة الشبكة الظاهرية. تُنشر بوابات VPN في شبكات Azure الظاهرية وتمكين الاتصال التالي:

  • وصَّل مراكز البيانات الداخلية بشبكات Azure الظاهرية من خلال اتصال موقع إلي موقع.
  • وصَّل الأجهزة الفردية بشبكات Azure الظاهرية من خلال اتصال نقطة إلى موقع.
  • وصَّل شبكات Azure الظاهرية بشبكات Azure الظاهرية الأخرى من خلال اتصال شبكة إلي شبكة.

Diagram visualization of a VPN connection to Azure.

يتم تشفير جميع البيانات التي يتم نقلها في نفق خاص عبر الإنترنت. يمكنك نشر بوابة VPN واحدة فقط في كل شبكة ظاهرية، ولكن يمكنك استخدام بوابة واحدة للاتصال بمواقع متعددة، بما في ذلك شبكات Azure الظاهرية الأخرى أو مراكز البيانات الداخلية.

عندما تنشر بوابة VPN، فإنك تحدد نوع شبكة VPN: إما الشبكة القائمة علي نهج أو القائمة علي مسار. الفرق الرئيسي بين هذين النوعين من VPN هو كيفية تحديد نسبة استخدام الشبكة المشفرة.

الشبكات الظاهرة الخاصة القائمة على نهج

تحدد بوابات VPN القائمة على نهج عنوان IP للرُزم التي ينبغي تشفيرها عبر كل نفق تحديدًا ثابتًا. يقيِّم هذا النوع من الأجهزة كل رزمة بيانات مقابل تلك المجموعات من عناوين IP لاختيار النفق حيث ستُرسل تلك الرزمة من خلاله. بوابات VPN المستندة إلى النهج محدودة في الميزات والاتصالات التي يمكن دعمها. تتضمن الميزات الرئيسية لبوابات VPN المستندة إلى النهج في Azure ما يلي:

  • الدعم لـ IKEv1 فقط.
  • استخدام التوجيه الثابت، حيث تتحكم مجموعات بادئات العناوين من كلتا الشبكتين في كيفية تشفير حركة المرور وفك تشفيرها عبر نفق VPN. يُعلن عن مصدر ووجهة الشبكات النفقية في النهج ولا يلزم الإعلان عنها في جداول التوجيه.
  • يجب استخدام شبكات VPN القائمة على النهج في سيناريوهات محددة تتطلبها، مثل التوافق مع أجهزة VPN الداخلية القديمة.

الشبكات الظاهرية الخاصة القائمة على مسار

إذا كان تحديد عناوين IP الموجودة خلف كل نفق أمرا مرهقا للغاية بالنسبة لموقفك. أو تحتاج إلى ميزات واتصالات لا تدعمها البوابات المستندة إلى النهج. يجب استخدام البوابات المستندة إلى المسار. باستخدام البوابات القائمة على مسار، تُصمم أنفاق IPSec باعتبارها واجهة شبكة أو VTI (واجهة نفق افتراضية). يحدد توجيه IP (المسارات الثابتة أو بروتوكولات التوجيه الديناميكية) أي من واجهات النفق لإرسال كل حزمة عبرها. الشبكات الظاهرية الخاصة المستندة إلى المسار هي طريقة الاتصال المفضلة للأجهزة المحلية، لأنها أكثر مرونة في مواجهة تغييرات المخطط مثل إنشاء شبكات فرعية جديدة، على سبيل المثال. استخدم بوابة VPN القائمة على مسار إذا كنت بحاجة إلى أيٍ من أنواع الاتصال التالية:

  • الاتصالات بين الشبكات الافتراضية
  • الاتصالات من نقطة إلى موقع
  • الاتصالات متعددة المواقع
  • التعايش مع بوابة Azure ExpressRoute

وتتضمن الميزات الرئيسية لبوابة VPN القائمة على التوجيه في Azure ما يلي:

  • تدعم IKEv2.
  • تستخدم أي محددات إلى أي محددات حركة المرور (حرف البدل).
  • يمكن استخدام بروتوكولات التوجيه الديناميكية، حيث توجه جداول التوجيه/ إعادة توجيه حركة المرور المباشرة إلى أنفاق IPSec مختلفة في هذه الحالة، لا يتم تعريف شبكات المصدر والوجهة بشكل ثابت كما هي في الشبكات الافتراضية الخاصة القائمة على نهج أو حتى في الشبكات الافتراضية الخاصة القائمة على المسارات ذات التوجيه الثابت. بدلا من ذلك، يتم تشفير حزم البيانات، استنادا إلى جداول توجيه الشبكة التي يتم إنشاؤها ديناميكيا باستخدام بروتوكولات التوجيه مثل BGP (بروتوكول بوابة الحدود).

يستخدم كلا النوعين من بوابات VPN (المستندة إلى المسار والمستندة إلى النهج) في Azure المفتاح المشترك مسبقا باعتباره الأسلوب الوحيد للمصادقة. يعتمد كلا النوعين أيضًا على مفتاح الإنترنت التبادلي (IKE) في الإصدار 1 أو الإصدار 2 وأمان بروتوكول الإنترنت (IPSec). يُستخدم IKE لإعداد مجموعة أمان (اتفاقية التشفير) بين نقطتي نهاية. ثم تُمرر هذه المجموعة عندئذٍ إلى حزمة برمجيات IPSec، التي تشفر رزم البيانات المغلفة في نفق VPN وتفك تشفيرها.

أحجام بوابة VPN

يحدد SKU أو الحجم الذي تقوم بنشره قدرات بوابة VPN الخاصة بك. يعرض هذا الجدول مثالا على بعض وحدات SKU للبوابة. تخضع الأرقام الموجودة في هذا الجدول للتغيير في أي وقت. للحصول على أحدث المعلومات، راجع وحدات SKU للبوابة في وثائق بوابة Azure VPN. يجب استخدام بوابة VPN الأساسية فقط لأحمال عمل Dev/Test. بالإضافة إلى ذلك، لا يتم دعم الترحيل من Basic إلى أي VpnGw#/Az sku في وقت لاحق دون الحاجة إلى إزالة البوابة وإعادة التوزيع.

Vpn
البوابة
الجيل		 SKU S2S/VNet-to-VNet
الأنفاق		 P2S
اتصالات SSTP		 P2S
اتصالات IKEv2/OpenVPN		 التجميع
معيار معدل النقل		 Bgp المنطقة زائدة عن الحاجة عدد الأجهزة الظاهرية المدعومة في الشبكة الظاهرية
الجيل 1 الاساسيه الحد الأقصى. 10 الحد الأقصى. 128 غير معتمد 100 ميغابت في الثانية غير معتمد لا 200
الجيل 1 VpnGw1 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 250 650 ميغابت في الثانية مدعوم لا 450
الجيل 1 VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم لا 1300
الجيل 1 VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 1.25 غيغابت في الثانية مدعوم لا 4000
الجيل 1 VpnGw1AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 250 650 ميغابت في الثانية مدعوم ‏‏نعم‬ 1000
الجيل 1 VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 يبلغ 1 جيجابت في الثانية مدعوم ‏‏نعم‬ 2000
الجيل 1 VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 1.25 غيغابت في الثانية مدعوم ‏‏نعم‬ 5000
الجيل الثاني VpnGw2 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 1.25 غيغابت في الثانية مدعوم لا 685
الجيل الثاني VpnGw3 الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 2.5 غيغابت في الثانية مدعوم لا 2240
الجيل الثاني VpnGw4 الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 5000 5 غيغابت في الثانية مدعوم لا 5300
الجيل الثاني VpnGw5 الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 10000 10 جيجابت في الثانية مدعوم لا 6700
الجيل الثاني VpnGw2AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 500 1.25 غيغابت في الثانية مدعوم ‏‏نعم‬ 2000
الجيل الثاني VpnGw3AZ الحد الأقصى. 30 الحد الأقصى. 128 الحد الأقصى. 1000 2.5 غيغابت في الثانية مدعوم ‏‏نعم‬ 3300
الجيل الثاني VpnGw4AZ الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 5000 5 غيغابت في الثانية مدعوم ‏‏نعم‬ 4400
الجيل الثاني VpnGw5AZ الحد الأقصى. 100* الحد الأقصى. 128 الحد الأقصى. 10000 10 جيجابت في الثانية مدعوم ‏‏نعم‬ 9000

نشر بوابات VPN

قبل أن تتمكن من نشر بوابة VPN، تحتاج إلى بعض موارد Azure والموارد المحلية.

موارد Azure المطلوبة

تحتاج إلى موارد Azure هذه قبل أن تتمكن من نشر بوابة VPN تشغيلية:

  • شبكة ظاهرية. نشر شبكة Azure الظاهرية مع مساحة عنوان كافية للشبكة الفرعية الإضافية التي تحتاجها لبوابة VPN. يجب ألا تتداخل مساحة العنوان لهذه الشبكة الظاهرية مع الشبكة المحلية التي تتصل بها. تذكر أنه يمكنك نشر بوابة VPN واحدة فقط داخل شبكة ظاهرية.
  • GatewaySubnet. انشر شبكة فرعية تُسمى GatewaySubnet بوابة VPN. استخدم قناع عنوان 27/ على الأقل للتأكد من أن لديك عناوين IP كافية في الشبكة الفرعية للنمو المستقبلي. لا يمكنك استخدام هذه الشبكة الفرعية لأية خدمات أخرى.
  • عنوان IP العام. أنشئ عنوان IP عام ديناميكي لوحدة Basic-SKU في حالة استخدام بوابة غير مدركة للمنطقة. هذا العنوان يقدم عنوان IP القابل للتوجيه العام باعتباره هدفًا لجهاز VPN الداخلي خاصتك. عنوان IP هذا ديناميكي، ولكنه لا يتغير إلا إذا قمت بحذف بوابة VPN وإعادة إنشائها.
  • بوابة شبكة داخلية. إنشاء بوابة شبكة محلية لتعريف تكوين الشبكة المحلية. على وجه التحديد، حيث تتصل بوابة VPN وما تتصل به. يتضمن هذا التكوين عنوان IPv4 العام لجهاز VPN الداخلي والشبكات الداخلية القابلة للتوجيه. تُستخدم هذه المعلومات بواسطة بوابة VPN لتوجيه الرزم المُوجهة للشبكات الداخلية عبر نفق IPSec.
  • بوابة الشبكة الظاهرية. إنشاء بوابة الشبكة الظاهرية لتوجيه حركة المرور بين الشبكة الظاهرية ومركز البيانات الداخلي أو الشبكات الظاهرية الأخرى. يمكن أن تكون بوابة الشبكة الظاهرية إما بوابة VPN أو ExpressRoute، ولكن هذه الوحدة تتناول فقط بوابات الشبكة الظاهرية الخاصة بـ VPN.
  • الاتصال. إنشاء مورد اتصال لإنشاء اتصال منطقي بين بوابة VPN وبوابة الشبكة الداخلية. ومع ذلك، يمكنك إنشاء اتصالات متعددة لنفس بوابة VPN.
    • يُنشأ الاتصال بعنوان IPv4 الخاص بجهاز VPN الداخلي كما تحدد بوابة الشبكة الداخلية.
    • يُنشأ الاتصال من بوابة الشبكة الظاهرية وعنوان IP العام المتصل بها.

يوضح الرسم البياني التالي هذه المجموعة من الموارد وعلاقاتها لمساعدتك على فهم المطلوب لنشر بوابة VPN فهمًا أفضل:

Resource requirements for a VPN gateway.

الموارد الداخلية المطلوبة

لتوصيل مركز البيانات الخاص بك ببوابة VPN، تحتاج إلى هذه الموارد المحلية:

  • جهاز VPN يدعم بوابات VPN القائمة على النهج أو القائمة على التوجيه
  • عنوان IPv4 العام (قابل للتوجيه عبر الإنترنت)

سيناريوهات ذات قابلية وصول عالية

هناك عدة طرق للتأكد من أن لديك تكوينًا يتجاوز الأخطاء.

نشط/ استعداد

تُنشر بوابات VPN افتراضيًا باعتبارها مثيلين في تكوين نشط/ استعداد حتى إذا كان لا يمكن أن ترى سوى مورد بوابة VPN واحد فقط في Azure. عندما تؤثر الصيانة المخطط لها أو الانقطاع غير المخطط له على المثيل النشط، يفترض مثيل الاستعداد تلقائيًا مسؤولية الاتصالات دون أي تدخل من المستخدم. تُقطع الاتصالات أثناء تجاوز الفشل هذا، ولكن تُستعاد عادةً في غضون بضع ثوانٍ للصيانة المخطط لها وخلال 90 ثانية في حالة الانقطاعات غير المخطط لها.

Active/standby virtual network gateway.

نشط/نشط

من خلال تقديم الدعم لبروتوكول التوجيه BGP، يمكنك أيضًا نشر بوابات VPN في تكوين نشط/ نشط. وفي هذا التكوين، يمكنك أن تقوم بتعيين عنوان IP عام مميز لكل مثيل. يمكنك عندئذٍ إنشاء أنفاق منفصلة من الجهاز الداخلي لكل عنوان IP. يمكنك توسيع التوفر العالي عن طريق نشر جهاز VPN آخر في الموقع.

Active/active virtual network Gateway.

تجاوز الفشل الذي يوجد في ExpressRoute

خيار آخر ذو قابلية وصول عالية هو تكوين بوابة VPN باعتبارها مسار آمن لتجاوز الفشل لاتصالات ExpressRoute. تتمتع دوائر ExpressRoute بمرونة مضمَّنة ولكنها غير محصنة ضد المشاكل المادية التي تؤثر على الكابلات التي تزود الاتصال أو الانقطاعات التي تؤثر على موقع ExpressRoute الكامل. في سيناريوهات قابلية الوصول العالية، حيث توجد مخاطر مرتبطة بانقطاع دائرة ExpressRoute، يمكنك أيضا تكوين بوابة VPN تستخدم الإنترنت كطريقة بديلة للاتصال، وبالتالي ضمان وجود اتصال دائم بشبكات Azure الظاهرية.

بوابات منطقة متكررة

في المناطق التي تدعم مناطق الإتاحة، يمكن نشر بوابات VPN وExpressRoute في تكوين المنطقة المتكررة. هذا التكوين يجلب مرونة وقابلية التوسع وتوافر عالي إلى بوابات شبكة افتراضية. يؤدي نشر البوابات في مناطق قابلية وصول Azure فعليًا ومنطقيًا إلى فصل البوابات داخل منطقة ما، بينما يحمي اتصال شبكتك الداخلية بـ Azure من حالات الفشل على مستوى المنطقة. وهذه تتطلب وحدات SKU مختلفة للبوابة وتستخدم عناوين IP عامة قياسية بدلاً من عناوين IP العامة الأساسية.