Připojení místní sítě k Azure pomocí brány sítě VPNConnect an on-premises network to Azure using a VPN gateway

Tato referenční architektura ukazuje, jak pomocí virtuální privátní sítě (VPN) typu Site-to-site rozmístit místní síť nebo na Azure Stack do Azure.This reference architecture shows how to extend a network on premises or on Azure Stack to Azure, using a site-to-site virtual private network (VPN). Přenos toků mezi místní sítí a službou Azure Virtual Network (VNet) prostřednictvím tunelu VPN IPSec nebo pomocí Azure Stack víceklientské brány VPN.Traffic flows between the on-premises network and an Azure Virtual Network (VNet) through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Nasaďte toto řešení.Deploy this solution.

Hybridní sítě pokrývající místní prostředí a infrastrukturu Azure

Stáhněte si soubor aplikace Visio s touto architekturou.Download a Visio file of this architecture.

ArchitekturaArchitecture

Tato architektura se skládá z následujících součástí.The architecture consists of the following components.

  • Místní síť:On-premises network. Privátní místní síť fungující v organizaciA private local-area network running within an organization.

  • Azure Stack.Azure Stack. Síťové prostředí v předplatném Azure Stack tenanta spuštěné v organizaci.A network environment on an Azure Stack tenant subscription, running within an organization. Brána VPN Gateway Azure Stack odesílá šifrovaný provoz mezi veřejným připojením k virtuální IP adrese (VIP) a zahrnuje tyto komponenty:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Podsíť brány.Gateway subnet. Speciální podsíť nutná k nasazení VPN Gateway v Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Brána místní sítě.Local network gateway. Označuje cílovou IP adresu brány VPN v Azure a adresní prostor virtuální sítě Azure.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure VNet.
    • Tunel VPN typu Site-to-site.Site-to-site VPN tunnel. Typ připojení (IPSec) a klíč sdílený s VPN Gateway Azure k šifrování provozu.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • Zařízení VPN.VPN appliance. Zařízení nebo služba poskytující externí připojení k místní síti.A device or service that provides external connectivity to the on-premises network. Zařízení VPN může být hardwarové zařízení nebo softwarové řešení, třeba služba Směrování a vzdálený přístup (RRAS) ve Windows Serveru 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Seznam podporovaných zařízení VPN a informace o jejich konfiguraci pro připojení k bráně Azure VPN najdete v pokynech k vybranému zařízení v článku o zařízeních VPN pro připojení typu Site-to-site VPN Gateway.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Virtuální síť (VNet) .Virtual network (VNet). Cloudová aplikace a součásti pro bránu Azure VPN se nacházejí ve stejné virtuálnísíti.The cloud application and the components for the Azure VPN gateway reside in the same VNet.

  • Azure VPN Gateway.Azure VPN gateway. Služba VPN Gateway umožňuje připojit virtuální síť k místní síti přes zařízení VPN nebo se připojit k Azure Stack prostřednictvím tunelu VPN typu Site-to-site.The VPN gateway service enables you to connect the VNet to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Další informace najdete v tématu připojení místní sítě k virtuální síti Microsoft Azure.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. Bránu sítě VPN tvoří následující prvky:The VPN gateway includes the following elements:

    • Brána virtuální sítě.Virtual network gateway. Prostředek, který poskytuje virtuální zařízení VPN pro virtuální síť.A resource that provides a virtual VPN appliance for the VNet. Zodpovídá za směrování přenosů z místní sítě do virtuální sítě.It is responsible for routing traffic from the on-premises network to the VNet.
    • Brána místní sítě.Local network gateway. Abstrakce místního zařízení VPN.An abstraction of the on-premises VPN appliance. Touto branou jsou směrovány síťové přenosy z cloudové aplikace do místní sítě.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Připojení.Connection. Připojení má vlastnosti, které určují typ připojení (IPSec) a klíč sdílený s místním zařízením VPN k šifrování přenosů.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Podsíť brány.Gateway subnet. Brána virtuální sítě se nachází ve vlastní podsíti, která podléhá různým požadavkům popsaným níže v části Doporučení.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Cloudová aplikace.Cloud application. Aplikace hostovaná v Azure.The application hosted in Azure. Může obsahovat několik vrstev s několika podsítěmi připojenými prostřednictvím nástrojů pro vyrovnávání zatížení Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Další informace o infrastruktuře aplikace najdete v tématu spouštění úloh virtuálních počítačů s Windows a spouštění úloh virtuálních počítačůse systémem Linux.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Interní nástroj pro vyrovnávání zatížení.Internal load balancer. Síťový přenos z brány sítě VPN se směruje do cloudové aplikace prostřednictvím interního nástroje pro vyrovnávání zatížení.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. Nástroj pro vyrovnávání zatížení je umístěný ve front-endové podsíti aplikace.The load balancer is located in the front-end subnet of the application.

DoporučeníRecommendations

Následující doporučení platí pro většinu scénářů.The following recommendations apply for most scenarios. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.Follow these recommendations unless you have a specific requirement that overrides them.

Virtuální síť a podsíť brányVNet and gateway subnet

Vytvořte virtuální síť Azure s dostatečně velkým adresním prostorem pro všechny požadované prostředky.Create an Azure VNet with an address space large enough for all of your required resources. Adresní prostor virtuální sítě by měl být dostatečně velký i pro případné další virtuální počítače, které můžete chtít přidat v budoucnosti.Ensure that the VNet address space has sufficient room for growth if additional VMs are likely to be needed in the future. Adresní prostor virtuální sítě se nesmí překrývat s místní sítí.The address space of the VNet must not overlap with the on-premises network. Například diagram výše používá adresní prostor pro virtuální síť 10.20.0.0/16.For example, the diagram above uses the address space 10.20.0.0/16 for the VNet.

Vytvořte podsíť s názvem GatewaySubnet s rozsahem adres /27.Create a subnet named GatewaySubnet, with an address range of /27. Tuto podsíť vyžaduje brána virtuální sítě.This subnet is required by the virtual network gateway. Přidělením 32 adres této podsíti se pomůže zabránit budoucímu dosažení limitů velikosti brány.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Podsíť by navíc neměla být uprostřed tohoto adresního prostoru.Also, avoid placing this subnet in the middle of the address space. Adresní prostor pro podsíť brány je vhodné zvolit v horní části adresního prostoru virtuální sítě.A good practice is to set the address space for the gateway subnet at the upper end of the VNet address space. Příklad znázorněný v diagramu používá adresní prostor 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Tady je rychlý postup pro výpočet zápisu CIDR:Here is a quick procedure to calculate the CIDR:

  1. Proměnlivé bity v adresním prostoru virtuální sítě – až po bity používané podsítí brány – nastavte na hodnotu 1, pro zbývající bity pak nastavte hodnotu 0.Set the variable bits in the address space of the VNet to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Výsledné bity převeďte na desítkové číslo a to vyjádřete jako adresní prostor s délkou předpony nastavenou na velikost podsítě brány.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Když například první krok použijete na virtuální síť s rozsahem IP adres 10.20.0.0/16, dostanete: 10.20.0b11111111.0b11100000.For example, for a VNet with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Po převodu na desítkové číslo a jeho vyjádření v podobě adresního prostoru je výsledný zápis: 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Varování

Nenasazujte v podsíti brány žádné virtuální počítače.Do not deploy any VMs to the gateway subnet. Také této podsíti nepřiřazujte skupinu zabezpečení sítě (NSG), brána by přestala fungovat.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Brána virtuální sítěVirtual network gateway

Přidělte veřejnou IP adresu pro bránu virtuální sítě.Allocate a public IP address for the virtual network gateway.

V podsíti brány vytvořte bránu virtuální sítě a přiřaďte ji nově přidělenou veřejnou IP adresu.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Použijte typ brány, který nejlépe odpovídá vašim požadavkům a který vaše zařízení VPN povoluje:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Pokud potřebujete přesně řídit, jak jsou požadavky směrovány na základě kritérií zásad, jako jsou předpony adres, vytvořte bránu založenou na zásadách .Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Brány založené na zásadách používají statické směrování a fungují pouze s připojením typu site-to-site.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Pokud se připojujete k místní síti pomocí RRAS, vytvoříte bránu založenou na Směrování , můžete podporovat připojení k více lokalitám nebo různým oblastem nebo implementovat připojení typu VNet-to-VNet (včetně tras, které procházejí více virtuální sítě).Create a route-based gateway if you connect to the on-premises network using RRAS, support multi-site or cross-region connections, or implement VNet-to-VNet connections (including routes that traverse multiple VNets). Brány založené na směrování používají k řízení přenosů mezi sítěmi dynamické směrování.Route-based gateways use dynamic routing to direct traffic between networks. Oproti statickým trasám dokážou lépe tolerovat chyby v síťových cestách, protože v případě selhání zkouší použít alternativní trasy.They can tolerate failures in the network path better than static routes because they can try alternative routes. Brány založené na směrování vám také můžou pomoct se snížením režijních nákladů na správu – když totiž dojde ke změně síťové adresy, nemusí být potřeba aktualizovat trasy ručně.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Seznam podporovaných zařízení VPN najdete v tématu informace o zařízeních VPN pro připojení typu Site-to-site VPN Gateway.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Poznámka

Jakmile bránu vytvoříte, už nelze změnit její typ – pokud to chcete udělat, musíte bránu odstranit a vytvořit novou.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Vyberte skladovou položku služby Azure VPN Gateway, která nejlépe vyhovuje vašim požadavkům na propustnost.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Další informace najdete v tématu SKU brány .For more information, see Gateway SKUs

Poznámka

Základní skladová položka není kompatibilní se službou Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. SKU můžete změnit po vytvoření brány.You can change the SKU after the gateway has been created.

Poplatky se účtují podle doby, po kterou je brána zajištěná a dostupná.You are charged based on the amount of time that the gateway is provisioned and available. Viz ceny VPN Gateway.See VPN Gateway Pricing.

Pro podsíť brány můžete vytvořit pravidla směrování, která budou příchozí přenosy aplikací z brány směrovat do interního nástroje pro vyrovnávání zatížení a nepovolí směrování požadavků přímo do virtuálních počítačů aplikace.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Místní síťové připojeníOn-premises network connection

Vytvořte bránu místní sítě.Create a local network gateway. Zadejte veřejnou IP adresu místního zařízení VPN a adresní prostor místní sítě.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Místní zařízení VPN musí mít veřejnou IP adresu přístupnou pro bránu místní sítě v Azure VPN Gateway.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. Zařízení VPN nemůže být umístěné za zařízením pro překlad adres (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Vytvořte připojení typu site-to-site pro bránu virtuální sítě a bránu místní sítě.Create a site-to-site connection for the virtual network gateway and the local network gateway. Vyberte typ připojení site-to-site (IPSec) a určete sdílený klíč.Select the site-to-site (IPSec) connection type, and specify the shared key. Site-to-site šifrování brány Azure VPN je založené na protokolu IPSec a k ověřování používá předsdílené klíče.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Klíč se definuje při vytváření brány Azure VPN.You specify the key when you create the Azure VPN gateway. Zařízení VPN, které poběží místně, je potřeba nakonfigurovat se stejným klíčem.You must configure the VPN appliance running on-premises with the same key. Jiné ověřovací mechanismy se aktuálně nepodporují.Other authentication mechanisms are not currently supported.

Zajistěte, aby byla místní infrastruktura směrování nakonfigurovaná tak, aby směrovala požadavky určené pro adresy ve virtuální síti Azure do zařízení VPN.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure VNet to the VPN device.

Otevřete libovolné porty požadované cloudovou aplikací v místní síti.Open any ports required by the cloud application in the on-premises network.

Otestujte připojení, abyste ověřili, že:Test the connection to verify that:

  • Místní zařízení VPN správně směruje přenosy do cloudové aplikace přes bránu Azure VPN.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • Virtuální síť směruje přenosy správně zpět do místní sítě.The VNet correctly routes traffic back to the on-premises network.
  • Zakázané přenosy v obou směrech jsou správně blokované.Prohibited traffic in both directions is blocked correctly.

Azure Stack síťové připojeníAzure Stack network connection

Tato referenční architektura ukazuje, jak připojit virtuální síť v nasazení Azure Stack k virtuální síti v Azure pomocí Azure Stack víceklientské brány VPN.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Běžným scénářem je izolovat kritické operace a citlivá data v Azure Stack a využít výhod Azure pro veřejnou transakci a přechodné, necitlivé operace.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

V této architektuře přenos přes síť přes tunel VPN pomocí víceklientské brány v Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Přenos dat se taky může přenášet přes Internet mezi Azure Stack a Azure prostřednictvím virtuálních klientských IP adres, Azure ExpressRoute nebo síťového virtuálního zařízení, které funguje jako koncový bod VPN.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack kapacity brány virtuální sítěAzure Stack virtual network gateway capacity

Border Gateway Protocol (BGP) pro výměnu informací o směrování mezi Azure a Azure Stack podporuje VPN Gateway Azure i Azure Stack VPN Gateway.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack nepodporuje statické směrování pro víceklientské brány.Azure Stack does not support static routing for the multitenant gateway.

Vytvořte virtuální síť Azure Stack s přiřazeným adresním prostorem IP adres, který je dostatečně velký pro všechny požadované prostředky.Create an Azure Stack VNet with an assigned IP address space large enough for all your required resources. Adresní prostor virtuální sítě se nesmí překrývat s žádnou jinou sítí, která se bude k této virtuální síti připojit.The address space of the VNet must not overlap with any other network that is going to be connected to this VNet.

Veřejná IP adresa se přiřadí bráně víceklientské brány během nasazování Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Je pořízen z fondu veřejných VIP adres.It is taken from the public VIP pool. Operátor Azure Stack nemá žádnou kontrolu nad tím, která IP adresa se používá, ale může určit její přiřazení.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Upozornění

Virtuální počítače úlohy nejde nasadit na Azure Stack podsíti brány.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Také této podsíti nepřiřazujte skupinu zabezpečení sítě (NSG), brána by přestala fungovat.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Aspekty zabezpečeníScalability considerations

Když přejdete ze skladové položky VPN Gateway Basic nebo Standard na High Performance, můžete využít omezenou vertikální škálovatelnost.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

U virtuálních sítí, kde očekáváte velký objem přenosů sítě VPN, můžete různé úlohy distribuovat do samostatných menších virtuálních sítí a pro každou z nich nakonfigurovat samostatnou bránu sítě VPN.For VNets that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller VNets and configuring a VPN gateway for each of them.

Virtuální síť můžete rozdělit horizontálně, nebo vertikálně.You can partition the VNet either horizontally or vertically. V případě horizontálního rozdělení přesuňte některé instance virtuálních počítačů z každé vrstvy do podsítí nové virtuální sítě.To partition horizontally, move some VM instances from each tier into subnets of the new VNet. Výsledkem bude, že každá virtuální síť bude mít stejnou strukturu a funkce.The result is that each VNet has the same structure and functionality. V případě vertikálního rozdělení upravte návrh jednotlivých úrovní tak, aby každá obsahovala jinou logickou oblast (například zpracovávání objednávek, fakturaci, správu účtů zákazníků atd.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Každá funkční oblast pak může být umístěna do své vlastní virtuální sítě.Each functional area can then be placed in its own VNet.

Replikování místního řadiče domény služby Active Directory ve virtuální síti a implementace sítě DNS ve virtuální síti můžou pomoct zredukovat některé přenosy související se zabezpečením a správou, které jsou směrované z místní sítě do cloudu.Replicating an on-premises Active Directory domain controller in the VNet, and implementing DNS in the VNet, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Další informace najdete v tématu rozšíření Active Directory Domain Services (služba AD DS) do Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Aspekty dostupnostiAvailability considerations

Pokud potřebujete, aby místní síť zůstala přístupná pro bránu Azure VPN, implementujte pro místní bránu sítě VPN cluster s podporou převzetí služeb při selhání.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Pokud má vaše organizace více místních webů, vytvořte připojení více lokalit k jednomu nebo více virtuální sítě Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure VNets. Tento přístup vyžaduje dynamické směrování (brány založené na směrování), ověřte proto, že místní brána sítě VPN tuto funkci podporuje.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Podrobnosti o smlouvách o úrovni služeb najdete v tématu SLA pro VPN Gateway.For details about service level agreements, see SLA for VPN Gateway.

V Azure Stack můžete rozšířit brány VPN tak, aby zahrnovaly rozhraní pro více Azure Stack razítek a nasazení Azure.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Aspekty správyManageability considerations

Monitorujte diagnostické informace z místních zařízení VPN.Monitor diagnostic information from on-premises VPN appliances. Tento proces závisí na funkcích poskytovaných zařízením VPN.This process depends on the features provided by the VPN appliance. Pokud například používáte službu Směrování a vzdálený přístup v systému Windows Server 2012, protokolování služby RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Pomocí diagnostiky Azure VPN Gateway Zachyťte informace o problémech s připojením.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Prostřednictvím těchto protokolů můžete sledovat různé informace, například zdroj a cíle žádostí o připojení, který protokol byl použit nebo jak bylo připojení vytvořeno (případně proč selhal pokus o připojení).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Operační protokoly brány Azure VPN můžete monitorovat pomocí protokolů auditování, které jsou k dispozici na portálu Azure Portal.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Jsou k dispozici samostatné protokoly pro bránu místní sítě, bránu sítě Azure a připojení.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Tyto informace lze použít ke sledování jakýchkoli provedených změn brány a můžou být užitečné, pokud dříve funkční brána z nějakého důvodu přestala fungovat.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Protokoly auditu na portálu Azure portal

Monitorujte připojení a sledujte události selhání připojení.Monitor connectivity, and track connectivity failure events. K zachycení a hlášení těchto informací můžete použít balíček monitorování, například Nagios .You can use a monitoring package such as Nagios to capture and report this information.

Aspekty zabezpečeníSecurity considerations

Pro každou bránu sítě VPN vygenerujte jiný sdílený klíč.Generate a different shared key for each VPN gateway. Silný sdílený klíč vám pomůže odolat útoku hrubou silou.Use a strong shared key to help resist brute-force attacks.

Pro Azure Stack připojení vygenerujte jiný sdílený klíč pro každé tunelové propojení VPN.For Azure Stack connections, generate a different shared key for each VPN tunnel. Silný sdílený klíč vám pomůže odolat útoku hrubou silou.Use a strong shared key to help resist brute-force attacks.

Poznámka

V současné době nelze použít Azure Key Vault k předsdílení klíče pro bránu Azure VPN.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Ujistěte se, že místní zařízení VPN používá metodu šifrování, která je kompatibilní s bránou Azure VPN Gateway.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. V případě směrování založeného na zásadách podporuje brána Azure VPN šifrovací algoritmy AES256, AES128 a 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Brány založené na trasách podporují AES256 a 3DES.Route-based gateways support AES256 and 3DES.

Pokud je vaše místní zařízení VPN v hraniční síti (DMZ), která má bránu firewall mezi hraniční sítí a internetem, možná budete muset nakonfigurovat další pravidla brány firewall, aby bylo možné připojení Site-to-Site VPN.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Pokud aplikace ve virtuální síti odesílá data na Internet, zvažte implementaci vynuceného tunelového propojení pro směrování veškerého internetového provozu prostřednictvím místní sítě.If the application in the VNet sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Díky tomu budete moct auditovat odchozí požadavky od aplikací z místní infrastruktury.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Poznámka

Vynucené tunelování může mít vliv na připojení ke službám Azure (například ke službě Storage Services) a ke správci licencí Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Nasazení řešeníDeploy the solution

Požadavky.Prerequisites. Musíte už mít nakonfigurovanou existující místní infrastrukturu s vhodným síťovým zařízením.You must have an existing on-premises infrastructure already configured with a suitable network appliance.

K nasazení řešení proveďte následující kroky.To deploy the solution, perform the following steps.

  1. Kliknutím na níže uvedený odkaz nasazení řešení nasadíte.Click the link below to deploy the solution.

    Nasazení do AzureDeploy to Azure

  2. Počkejte, až se odkaz otevře na portálu Azure Portal, a pak postupujte podle těchto kroků:Wait for the link to open in the Azure portal, then follow these steps:

    • Název skupiny prostředků už je v souboru parametrů definovaný. Proto vyberte Vytvořit nový a do textového pole zadejte ra-hybrid-vpn-rg.The Resource group name is already defined in the parameter file, so select Create New and enter ra-hybrid-vpn-rg in the text box.
    • V rozevíracím seznamu Umístění vyberte příslušnou oblast.Select the region from the Location drop down box.
    • Obsah textových polí s kořenovým URI pro šablony a kořenovým URI pro parametry neupravujte.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Přečtěte si podmínky a ujednání a potom klikněte na zaškrtávací políčko Souhlasím s podmínkami a ujednáními uvedenými nahoře.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Klikněte na tlačítko Koupit.Click the Purchase button.
  3. Počkejte, než se nasazení dokončí.Wait for the deployment to complete.

Řešení potíží s připojením najdete v tématu řešení potíží s hybridním připojením k síti VPN.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.