Topologie a návrh služby VPN Gateway
Pro připojení ke službě VPN Gateway je k dispozici mnoho různých možností konfigurace. Pomocí diagramů a popisů v následujících částech můžete vybrat topologii připojení, která splňuje vaše požadavky. Diagramy znázorňují hlavní základní topologie, ale pomocí diagramů je možné vytvářet složitější konfigurace podle pokynů.
Site-to-site VPN
Připojení brány VPN typu site-to-site (S2S) je připojení přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Připojení typu Site-to-Site lze použít pro konfigurace mezi různými místy a pro hybridní konfigurace. Připojení typu site-to-site vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu. Informace o výběru zařízení VPN najdete v tématu Nejčastější dotazy k branám VPN – Zařízení VPN.
Bránu VPN Gateway je možné nakonfigurovat v režimu aktivní-pohotovostní pomocí jedné veřejné IP adresy nebo v režimu aktivní-aktivní pomocí dvou veřejných IP adres. V pohotovostním režimu aktivní je jeden tunel IPsec aktivní a druhý tunel je v pohotovostním režimu. V tomto nastavení provoz prochází aktivním tunelem a pokud dojde k nějakému problému s tímto tunelem, provoz se přepne do pohotovostního tunelu. Nastavení služby VPN Gateway v režimu aktivní-aktivní se doporučuje , ve kterém jsou oba tunely IPsec současně aktivní, přičemž data procházející oběma tunely současně. Další výhodou režimu aktivní-aktivní je, že zákazníci mají vyšší propustnost.
Z brány virtuální sítě můžete vytvořit více než jedno připojení VPN, obvykle se připojujete k několika místním lokalitám. Při práci s několika připojeními je nutné použít typ sítě VPN RouteBased (při práci s klasickými virtuálními sítěmi se označuje jako dynamická brána). Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma. Tento typ připojení se někdy označuje jako připojení typu multi-site.
Modely nasazení a metody pro S2S
| Model/metoda nasazení | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Správce zdrojů | Kurz | Kurz | Kurz |
| Classic (starší verze modelu nasazení) | Tutorial** | Kurz | Nepodporuje se |
Symbol ( ** ) značí, že tato metoda obsahuje kroky, které vyžadují PowerShell.
Point-to-site VPN
Připojení brány VPN typu point-to-site (P2S) umožňuje vytvořit zabezpečené připojení z jednotlivých klientských počítačů k virtuální síti. Připojení typu point-to-site se naváže spuštěním z klientského počítače. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference. Připojení VPN typu point-to-site je také užitečné řešení, které je vhodné použít místo sítě VPN typu site-to-site, pokud máte jenom několik klientů, kteří se potřebují připojit k virtuální síti.
Na rozdíl od připojení typu site-to-site připojení typu point-to-site nevyžadují místní veřejnou IP adresu ani zařízení VPN. Připojení typu point-to-site je možné použít s připojeními typu site-to-site prostřednictvím stejné brány VPN, pokud jsou kompatibilní všechny požadavky na konfiguraci obou připojení. Další informace o připojeních typu point-to-site naleznete v tématu Informace o síti VPN typu point-to-site.
Modely a metody nasazení pro P2S
| Nativní ověřování certifikátů Azure | Model/metoda nasazení | Azure Portal | PowerShell |
|---|---|---|---|
| Správce zdrojů | Kurz | Kurz | |
| Classic (starší verze modelu nasazení) | Kurz | Podporováno |
| Ověřování Microsoft Entra | Model/metoda nasazení | Článek |
|---|---|---|
| Správce zdrojů | Vytvoření tenanta | |
| Správce zdrojů | Konfigurace přístupu – uživatelé a skupiny |
| Ověřování RADIUS | Model/metoda nasazení | Azure Portal | PowerShell |
|---|---|---|---|
| Správce zdrojů | Podporováno | Kurz | |
| Classic (starší verze modelu nasazení) | Nepodporuje se | Nepodporuje se |
Konfigurace klienta VPN typu P2S
| Ověřování | Typ tunelového propojení | Generování konfiguračních souborů | Konfigurace klienta VPN |
|---|---|---|---|
| Certifikát Azure | IKEv2, SSTP | Windows | Nativní klient VPN |
| Certifikát Azure | OpenVPN | Windows | - Klient OpenVPN - Klient Azure VPN |
| Certifikát Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certifikát Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certifikát | - | Článek | Článek |
| RADIUS – heslo | - | Článek | Článek |
| RADIUS – jiné metody | - | Článek | Článek |
Připojení typu VNet-to-VNet (tunel VPN IPsec/IKE)
Připojení připojení virtuální sítě k jiné virtuální síti (VNet-to-VNet) se podobá připojení virtuální sítě k místnímu umístění lokality. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec/IKE. Dokonce je možné kombinovat komunikaci typu VNet-to-VNet s konfiguracemi připojení více lokalit. Díky tomu je možné vytvářet topologie sítí, ve kterých se používá propojování více míst i propojování virtuálních sítí.
Virtuální sítě, které připojíte, můžou být:
- v jedné nebo několika oblastech,
- v jednom nebo několika předplatných,
- v jednom nebo několika modelech nasazení.
Modely nasazení a metody pro VNet-to-VNet
| Model/metoda nasazení | Azure Portal | PowerShell | Azure CLI |
|---|---|---|---|
| Správce zdrojů | Kurz+ | Kurz | Kurz |
| Classic (starší verze modelu nasazení) | Tutorial* | Podporováno | Nepodporuje se |
| Připojení mezi modely nasazení Resource Manager a Classic (starší verze) | Tutorial* | Kurz | Nepodporuje se |
Symbol (+) značí, že je tato metoda nasazení dostupná jenom pro sítě VNet v rámci jednoho předplatného.
Symbol ( * ) značí, že tato metoda nasazení vyžaduje i prostředí PowerShell.
V některých případech můžete k propojení virtuálních sítí použít partnerský vztah virtuálních sítí místo virtuální sítě typu VNet-to-VNet. Peering virtuálních sítí nepoužívá bránu virtuální sítě. Další informace najdete v tématu Partnerské vztahy virtuálních sítí.
Současně existující připojení typu Site-to-Site a ExpressRoute
ExpressRoute je přímé privátní připojení z vaší sítě WAN (ne přes veřejný internet) ke službám Microsoftu, včetně Azure. Provoz VPN typu Site-to-Site se přes veřejný internet šifruje. Schopnost konfigurovat připojení VPN typu site-to-site a ExpressRoute pro stejnou virtuální síť má několik výhod.
Vpn typu site-to-site můžete nakonfigurovat jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute nebo použít sítě VPN typu site-to-site pro připojení k lokalitám, které nejsou součástí vaší sítě, ale jsou připojené přes ExpressRoute. Všimněte si, že tato konfigurace vyžaduje dvě brány virtuální sítě pro stejnou virtuální síť, jednu s typem brány Vpn a druhou s typem brány ExpressRoute.
Modely nasazení a metody pro spoluexistující připojení S2S a ExpressRoute
| Model/metoda nasazení | Azure Portal | PowerShell |
|---|---|---|
| Správce zdrojů | Podporuje se | Kurz |
| Classic (starší verze modelu nasazení) | Nepodporuje se | Kurz |
Vysoce dostupná připojení
Informace o plánování a návrhu připojení s vysokou dostupností najdete v tématu Připojení s vysokou dostupností.
Další kroky
Další informace najdete v tématu věnovaném nejčastějším dotazům k VPN Gateway.
Přečtěte si další informace o nastavení konfigurace služby VPN Gateway.
Důležité informace o protokolu BGP služby VPN Gateway najdete v tématu Informace o protokolu BGP.
Přečtěte si téma Předplatné a omezení služeb.
Informace o některých dalších klíčových možnostech sítě v Azure.