Co je VPN Gateway?What is VPN Gateway?

Brána VPN je specifický typ brány virtuální sítě, která se používá k posílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. Bránu VPN můžete použít také k posílání šifrovaného provozu mezi virtuálními sítěmi Azure po síti Microsoftu.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Každá virtuální síť může mít pouze jednu bránu VPN.Each virtual network can have only one VPN gateway. K jedné bráně VPN však můžete vytvořit několik připojení.However, you can create multiple connections to the same VPN gateway. Když vytvoříte několik připojení ke stejné bráně VPN, všechny tunely VPN sdílejí dostupnou šířku pásma.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

Co je brána virtuální sítě?What is a virtual network gateway?

Brána virtuální sítě se skládá ze dvou nebo více virtuálních počítačů, které se nasazují v konkrétní podsíti, kterou vytvoříte s názvem podsíť brány.A virtual network gateway is composed of two or more VMs that are deployed to a specific subnet you create called the gateway subnet. Virtuální počítače brány virtuální sítě obsahují směrovací tabulky a spouštějí konkrétní služby brány.Virtual network gateway VMs contain routing tables and run specific gateway services. Tyto virtuální počítače se vytvoří při vytváření brány virtuální sítě.These VMs are created when you create the virtual network gateway. Nemůžete přímo nakonfigurovat virtuální počítače, které jsou součástí brány virtuální sítě.You can't directly configure the VMs that are part of the virtual network gateway.

Jedním z nastavení, které nakonfigurujete pro bránu virtuální sítě, je typ brány.One setting that you configure for a virtual network gateway is the gateway type. Typ brány určuje, jak se bude používat Brána virtuální sítě, a akce, které brána používá.Gateway type specifies how the virtual network gateway will be used and the actions that the gateway takes. Typ brány VPN určuje, že typ brány virtuální sítě, kterou jste vytvořili, je brána sítě VPN, nikoli brána ExpressRoute.The gateway type 'Vpn' specifies that the type of virtual network gateway created is a 'VPN gateway', rather than an ExpressRoute gateway. Virtuální síť může mít dvě brány virtuální sítě. Jedna Brána VPN a jedna brána ExpressRoute – stejně jako v případě současných konfigurací připojení.A virtual network can have two virtual network gateways; one VPN gateway and one ExpressRoute gateway - as is the case with coexisting connection configurations. Další informace najdete v části Typy bran.For more information, see Gateway types.

Brány VPN se dají nasadit v Zóny dostupnosti Azure.VPN gateways can be deployed in Azure Availability Zones. To přináší odolnost proti chybám, škálovatelnost a vyšší dostupnost bran virtuálních sítí.This brings resiliency, scalability, and higher availability to virtual network gateways. Nasazování bran v rámci Zón dostupnosti Azure fyzicky a logicky odděluje brány v rámci oblasti, přičemž zároveň chrání připojení vaší místní sítě k Azure před výpadky na úrovni zóny.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. viz o branách redundantní virtuální sítě v zóně v zóny dostupnosti Azuresee About zone-redundant virtual network gateways in Azure Availability Zones

Vytvoření vytváření brány virtuální sítě může trvat až 45 minut.Creating a virtual network gateway can take up to 45 minutes to complete. Při vytvoření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují s použitím nastavení, která zadáte.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Po vytvoření brány VPN můžete vytvořit tunelové propojení IPsec/IKE mezi touto bránou VPN a jinou bránou VPN (VNet-to-VNet) nebo tunelové propojení IPsec/IKE mezi místními sítěmi mezi bránou VPN a místním zařízením VPN (Site-to-Site).After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). Můžete také vytvořit připojení VPN typu Point-to-Site (VPN přes OpenVPN, IKEv2 nebo SSTP), které vám umožní připojit se k virtuální síti ze vzdáleného umístění, například z konference nebo z domova.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2, or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Konfigurace služby VPN GatewayConfiguring a VPN Gateway

Připojení brány VPN se spoléhá na několik prostředků nakonfigurovaných se specifickými nastaveními.A VPN gateway connection relies on multiple resources that are configured with specific settings. Většinu prostředků je možné nakonfigurovat jednotlivě, nicméně některé prostředky je potřeba konfigurovat v určitém pořadí.Most of the resources can be configured separately, although some resources must be configured in a certain order.

NastaveníSettings

Nastavení, která jste pro jednotlivé zdroje zvolili, jsou pro vytvoření úspěšného připojení zásadní.The settings that you chose for each resource are critical to creating a successful connection. Informace o jednotlivých prostředcích a nastaveních služby VPN Gateway najdete v tématu Informace o nastavení služby VPN Gateway.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. Tento článek obsahuje informace, které vám pomůžou pochopit typy bran, skladové položky bran, typy sítí VPN, typy připojení, podsítě brány, místní síťové brány a různá další nastavení prostředků, o kterých možná uvažujete.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

Nástroje pro nasazeníDeployment tools

Prostředky můžete začít vytvářet a konfigurovat pomocí konfiguračního nástroje, jako je například Azure Portal.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. Později se můžete rozhodnout používat ke konfiguraci dalších prostředků nebo úpravám stávajících prostředků jiný nástroj, třeba PowerShell.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. V současné době nelze konfigurovat všechny prostředky a nastavení prostředků pomocí webu Azure Portal.Currently, you can't configure every resource and resource setting in the Azure portal. Pokyny v článcích pro každou topologii připojení určují, kdy je zapotřebí specifický konfigurační nástroj.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Model nasazeníDeployment model

Pro Azure aktuálně existují dva modely nasazení.There are currently two deployment models for Azure. Kroky při konfiguraci brány VPN se budou lišit v závislosti na modelu nasazení, který jste použili k vytvoření virtuální sítě.When you configure a VPN gateway, the steps you take depend on the deployment model that you used to create your virtual network. Například pokud jste virtuální síť vytvořili pomocí modelu nasazení Classic, budete při vytváření a konfiguraci brány VPN postupovat podle pokynů pro model nasazení Classic.For example, if you created your VNet using the classic deployment model, you use the guidelines and instructions for the classic deployment model to create and configure your VPN gateway settings. Další informace o modelech nasazení najdete v tématu Pochopení modelů nasazení Resource Manager a Classic.For more information about deployment models, see Understanding Resource Manager and classic deployment models.

Plánovací tabulkaPlanning table

Následující tabulka vám může pomoci se zvolením nejlepší možnosti připojení pro vaše řešení.The following table can help you decide the best connectivity option for your solution.

Point-to-SitePoint-to-Site Site-to-SiteSite-to-Site ExpressRouteExpressRoute
Podporované služby AzureAzure Supported Services Cloud Services a Virtual MachinesCloud Services and Virtual Machines Cloud Services a Virtual MachinesCloud Services and Virtual Machines Seznam služebServices list
Typické šířky pásmaTypical Bandwidths Podle skladové položky (SKU) brányBased on the gateway SKU Obvykle celkem < 1 Gb/sTypically < 1 Gbps aggregate 50 Mb/s, 100 Mb/s, 200 Mb/s, 500 Mb/s, 1 Gb/s, 2 Gb/s, 5 Gb/s, 10 Gb/s50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Podporované protokolyProtocols Supported Secure Sockets Tunneling Protocol (SSTP), OpenVPN a protokolu IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec Protokol IPsecIPsec Přímé připojení přes sítě VLAN, technologie VPN od poskytovatelů síťových služeb (MPLS, VPLS…)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
SměrováníRouting Na základě trasy (RouteBased) (dynamické)RouteBased (dynamic) Podporujeme sítě VPN se statickým směrováním (na základě zásad – PolicyBased) nebo dynamickým směrováním (na základě trasy – RouteBased).We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) Protokol BGPBGP
Odolnost připojeníConnection resiliency aktivní-pasivníactive-passive aktivní-aktivní nebo aktivní-pasivníactive-passive or active-active aktivní-aktivníactive-active
Typický případ použitíTypical use case Vytváření prototypů, vývojové/testovací/laboratorní scénáře pro cloudové služby a virtuální počítačePrototyping, dev / test / lab scenarios for cloud services and virtual machines Vývojové/testovací/laboratorní scénáře a produkční úlohy v malém měřítku pro cloudové služby a virtuální počítačeDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Přístup ke všem službám Azure (ověřený seznam), úlohy podnikové třídy a kritické úlohy, zálohování, velké objemy dat, Azure jako web pro zotavení po haváriiAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
SLASLA SLASLA SLASLA SLASLA
CenyPricing CenyPricing CenyPricing CenyPricing
Technická dokumentaceTechnical Documentation Dokumentace ke službě VPN GatewayVPN Gateway Documentation Dokumentace ke službě VPN GatewayVPN Gateway Documentation Dokumentace ke službě ExpressRouteExpressRoute Documentation
Nejčastější dotazyFAQ VPN Gateway – nejčastější dotazyVPN Gateway FAQ VPN Gateway – nejčastější dotazyVPN Gateway FAQ ExpressRoute – nejčastější dotazyExpressRoute FAQ

SKU brányGateway SKUs

Při vytváření brány virtuální sítě zadáváte jednotku SKU brány, kterou chcete použít.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Vyberte jednotku SKU, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs.

SKU brány podle tunelu, připojení a propustnostiGateway SKUs by tunnel, connection, and throughput

Generace
brány VPN
VPN
Gateway
Generation
SKUSKU Tunely
S2S/VNet-to-VNet
S2S/VNet-to-VNet
Tunnels
Připojení P2S
SSTP
P2S
SSTP Connections
Připojení P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Srovnávací test
agregované propustnosti
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
Generation1Generation1 BasicBasic Nejvýše kMax. 1010 Nejvýše kMax. 128128 Nepodporuje seNot Supported 100 Mb/s100 Mbps Nepodporuje seNot Supported NeNo
Generation1Generation1 VpnGw1VpnGw1 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 250250 650 Mb/s650 Mbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw2VpnGw2 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1 Gb/s1 Gbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw3VpnGw3 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 250250 650 Mb/s650 Mbps PodporovánoSupported AnoYes
Generation1Generation1 VpnGw2AZVpnGw2AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1 Gb/s1 Gbps PodporovánoSupported AnoYes
Generation1Generation1 VpnGw3AZVpnGw3AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw2VpnGw2 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1,25 Gb/s1.25 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw3VpnGw3 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 2,5 GB/s2.5 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw4VpnGw4 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 50005000 5 Gb/s5 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw5VpnGw5 Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1000010000 10 Gb/s10 Gbps PodporovánoSupported NeNo
Generation2Generation2 VpnGw2AZVpnGw2AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 500500 1,25 Gb/s1.25 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw3AZVpnGw3AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1 0001000 2,5 GB/s2.5 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw4AZVpnGw4AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 50005000 5 Gb/s5 Gbps PodporovánoSupported AnoYes
Generation2Generation2 VpnGw5AZVpnGw5AZ Nejvýše kMax. 30*30* Nejvýše kMax. 128128 Nejvýše kMax. 1000010000 10 Gb/s10 Gbps PodporovánoSupported AnoYes

(*) Pokud potřebujete více než 30 tunelů VPN S2S, použijte službu Virtual WAN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Změna velikosti SKU VpnGw je povolena v rámci stejné generace s výjimkou změny velikosti základní SKU.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. Základní SKU je starší verze SKU a má omezení funkcí.The Basic SKU is a legacy SKU and has feature limitations. Aby bylo možné přejít ze základního na jinou SKLADOVOU položku VpnGw, je nutné odstranit základní bránu VPN Gateway a vytvořit novou bránu s požadovanou kombinací velikosti pro generaci a SKU.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Tato omezení připojení jsou nezávislá.These connection limits are separate. Pro skladovou položku VpnGw1 můžete například mít 128 připojení SSTP a také 250 připojení IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Informace o cenách najdete na stránce Ceny.Pricing information can be found on the Pricing page.

  • Informace o smlouvě SLA (smlouva o úrovni služeb) můžete najít na stránce SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • U jediného tunelu lze dosáhnout maximální propustnosti 1 GB/s.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Srovnávací srovnávací test propustnosti ve výše uvedené tabulce je založený na měření více tunelů agregovaných prostřednictvím jedné brány.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. Srovnávací test agregované propustnosti pro VPN Gateway je kombinací S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Pokud máte velké množství připojení typu P2S, může to vzhledem k omezením propustnosti negativně ovlivnit připojení S2S.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Srovnávací srovnávací test propustnosti není zaručená propustnost v důsledku podmínek internetového provozu a chování vaší aplikace.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Abychom zákazníkům porozuměli relativnímu výkonu SKU pomocí různých algoritmů, používali jsme veřejně dostupné nástroje iPerf a CTSTraffic k měření výkonností.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. V následující tabulce jsou uvedeny výsledky testů výkonnosti pro VpnGw SKU generace 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Jak vidíte, dosáhnete nejlepšího výkonu, když jsme použili GCMAES256 algoritmus pro šifrování a integritu protokolu IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Dostali jsme průměrný výkon při použití AES256 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Když jsme používali DES3 pro šifrování protokolem IPsec a SHA256 pro zajištění integrity, máme nejnižší výkon.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

NezbytnýchGeneration SKUSKU Používané
algoritmů
Algorithms
used

propustnosti pozorována
Throughput
observed
Zjištěné
paketů za sekundu
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mb/s650 Mbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
58 00058,000
50 00050,000
50 00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gb/s1 Gbps
500 Mb/s500 Mbps
120 MB/s120 Mbps
90,00090,000
80,00080,000
55 00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gb/s1.25 Gbps
550 MB/s550 Mbps
120 MB/s120 Mbps
105 000105,000
90,00090,000
60,00060,000

Diagramy topologie připojeníConnection topology diagrams

Je důležité vědět, že pro připojení brány VPN jsou dostupné různé konfigurace.It's important to know that there are different configurations available for VPN gateway connections. Musíte určit, která konfigurace bude nejlépe vyhovovat vašim potřebám.You need to determine which configuration best fits your needs. V následujících oddílech si můžete prohlédnout diagramy topologie a informace o následujících připojení brány sítě VPN. Následující oddíly obsahují tabulky, které uvádějí:In the sections below, you can view information and topology diagrams about the following VPN gateway connections: The following sections contain tables which list:

  • dostupný model nasazení,Available deployment model
  • dostupné konfigurační nástroje,Available configuration tools
  • odkazy na příslušný článek, pokud existuje.Links that take you directly to an article, if available

Diagramy a popisy vám pomohou s výběrem topologie připojení, která bude odpovídat vašim požadavkům.Use the diagrams and descriptions to help select the connection topology to match your requirements. Diagramy popisují základní topologie, ale je možné vytvořit komplexnější konfigurace s použitím diagramů jako vodítek.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guideline.

Site-to-Site a Multi-Site (tunel VPN IPsec/IKE)Site-to-Site and Multi-Site (IPsec/IKE VPN tunnel)

Site-to-SiteSite-to-Site

Připojení brány VPN typu Site-to-Site (S2S) je připojení přes tunel VPN prostřednictvím protokolu IPsec/IKE (IKEv1 nebo IKEv2).A Site-to-Site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Připojení S2S můžete použít pro konfigurace mezi různými místy a pro hybridní konfigurace.S2S connections can be used for cross-premises and hybrid configurations. Připojení S2S vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu.A S2S connection requires a VPN device located on-premises that has a public IP address assigned to it. Informace o výběru zařízení VPN najdete v tématu Nejčastější dotazy k branám VPN – Zařízení VPN.For information about selecting a VPN device, see the VPN Gateway FAQ - VPN devices.

Příklad propojení Site-to-Site pomocí Azure VPN Gateway

Multi-SiteMulti-Site

Tento typ připojení je variací připojení Site-to-Site.This type of connection is a variation of the Site-to-Site connection. Z brány virtuální sítě vytvoříte několik připojení VPN, obvykle pro připojení k několika místním lokalitám.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Při práci s několika připojeními je nutné použít typ sítě VPN RouteBased (při práci s klasickými virtuálními sítěmi se označuje jako dynamická brána).When working with multiple connections, you must use a RouteBased VPN type (known as a dynamic gateway when working with classic VNets). Vzhledem k tomu, že virtuální síť může mít jenom jednu bránu virtuální sítě, všechna připojení prostřednictvím brány sdílejí dostupnou šířku pásma.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth. Tento typ připojení se často označuje jako připojení „s více lokalitami“ (multi-site).This type of connection is often called a "multi-site" connection.

Příklad propojení Multi-Site pomocí Azure VPN Gateway

Modely nasazení a metody pro Site-to-Site a Multi-SiteDeployment models and methods for Site-to-Site and Multi-Site

Model/metoda nasazeníDeployment model/method Azure PortalAzure portal PowerShellPowerShell Azure CLIAzure CLI
Resource ManagerResource Manager KurzTutorial
Kurz +Tutorial+
KurzTutorial KurzTutorial
ClassicClassic Kurz **Tutorial** Kurz +Tutorial+ Nepodporuje seNot Supported

Symbol ( ** ) značí, že tato metoda obsahuje kroky, které vyžadují PowerShell.(**) denotes that this method contains steps that require PowerShell.

Symbol (+) značí, že se tento článek týká připojení propojujících víc webů.(+) denotes that this article is written for multi-site connections.

SÍŤ VPN typu Point-to-sitePoint-to-Site VPN

Připojení brány VPN typu Point-to-Site (P2S) umožňuje vytvořit zabezpečené připojení k virtuální síti z jednotlivých klientských počítačů.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Připojení P2S se vytvoří jeho zahájením z klientského počítače.A P2S connection is established by starting it from the client computer. Toto řešení je užitečné pro osoby pracující z domova, které se chtějí k virtuálním sítím Azure připojit ze vzdáleného umístění, například z domova nebo z místa konání konference.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. Síť VPN P2S je také užitečným řešením nahrazujícím síť VPN S2S, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet.

Na rozdíl od připojení S2S nevyžadují připojení P2S místní veřejnou IP adresu ani zařízení VPN.Unlike S2S connections, P2S connections do not require an on-premises public-facing IP address or a VPN device. Připojení typu P2S je možné použít s připojeními typu S2S prostřednictvím stejné brány VPN za předpokladu, že všechny požadavky na konfiguraci obou připojení jsou kompatibilní.P2S connections can be used with S2S connections through the same VPN gateway, as long as all the configuration requirements for both connections are compatible. Další informace o připojení Point-to-Site najdete v tématu věnovaném síti VPN typu Point-to-Site.For more information about Point-to-Site connections, see About Point-to-Site VPN.

Příklad propojení Point-to-Site pomocí Azure VPN Gateway

Modely a metody nasazení pro P2SDeployment models and methods for P2S

Nativní ověřování certifikátů AzureAzure native certificate authentication

Model/metoda nasazeníDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager KurzTutorial KurzTutorial
ClassicClassic KurzTutorial PodporovánoSupported

Ověřování RADIUSRADIUS authentication

Model/metoda nasazeníDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager PodporovánoSupported KurzTutorial
ClassicClassic Nepodporuje seNot Supported Nepodporuje seNot Supported

Připojení typu VNet-to-VNet (tunel VPN IPsec/IKE)VNet-to-VNet connections (IPsec/IKE VPN tunnel)

Propojení virtuální sítě s jinou virtuální sítí (VNet-to-VNet) je podobné propojení virtuální sítě s místním serverem.Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a VNet to an on-premises site location. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec/IKE.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE. Dokonce je možné kombinovat komunikaci typu VNet-to-VNet s konfiguracemi připojení více lokalit.You can even combine VNet-to-VNet communication with multi-site connection configurations. Díky tomu je možné vytvářet topologie sítí, ve kterých se používá propojování více míst i propojování virtuálních sítí.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

Virtuální sítě, které propojujete, můžou být:The VNets you connect can be:

  • v jedné nebo několika oblastech,in the same or different regions
  • v jednom nebo několika předplatných,in the same or different subscriptions
  • v jednom nebo několika modelech nasazení.in the same or different deployment models

Příklad propojení VNet-to-VNet pomocí Azure VPN Gateway

Připojení mezi různými modely nasazeníConnections between deployment models

Azure v současné době nabízí dva modely nasazení: Classic a Resource Manager.Azure currently has two deployment models: classic and Resource Manager. Pokud již Azure nějakou dobu používáte, pravděpodobně vaše virtuální počítače a role instancí Azure fungují ve virtuální síti Classic.If you have been using Azure for some time, you probably have Azure VMs and instance roles running in a classic VNet. Vaše novější virtuální počítače a role instancí však mohou používat virtuální síť vytvořenou v nástroji Resource Manager.Your newer VMs and role instances may be running in a VNet created in Resource Manager. Můžete vytvořit připojení mezi virtuálními sítěmi umožňující prostředkům v jedné virtuální síti přímo komunikovat s prostředky v jiné.You can create a connection between the VNets to allow the resources in one VNet to communicate directly with resources in another.

VNet PeeringVNet peering

Pokud virtuální síť splňuje určité požadavky, je možné k vytvoření připojení využít metodu VNet peering.You may be able to use VNet peering to create your connection, as long as your virtual network meets certain requirements. VNet peering nepoužívá bránu virtuální sítě.VNet peering does not use a virtual network gateway. Další informace najdete v tématu Partnerské vztahy virtuálních sítí.For more information, see VNet peering.

Modely nasazení a metody pro VNet-to-VNetDeployment models and methods for VNet-to-VNet

Model/metoda nasazeníDeployment model/method Azure PortalAzure portal PowerShellPowerShell Azure CLIAzure CLI
ClassicClassic Kurz *Tutorial* PodporovánoSupported Nepodporuje seNot Supported
Resource ManagerResource Manager Kurz +Tutorial+ KurzTutorial KurzTutorial
Připojení mezi různými modely nasazeníConnections between different deployment models Kurz *Tutorial* KurzTutorial Nepodporuje seNot Supported

Symbol (+) značí, že je tato metoda nasazení dostupná jenom pro sítě VNet v rámci jednoho předplatného.(+) denotes this deployment method is available only for VNets in the same subscription.
Symbol ( * ) značí, že tato metoda nasazení vyžaduje i prostředí PowerShell.(*) denotes that this deployment method also requires PowerShell.

ExpressRoute (soukromé připojení)ExpressRoute (private connection)

ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes soukromé připojení zajišťované poskytovatelem připojení.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Pomocí ExpressRoute může vytvořit připojení ke cloudovým službám Microsoftu, jako je například Microsoft Azure, Office 365 a CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. Co se týká připojení, může se jednat o síť typu any-to-any (IP VPN), síť Ethernet typu point-to-point nebo virtuální křížové připojení prostřednictvím poskytovatele připojení ve společném umístění.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

Připojení ExpressRoute se nepřenášejí prostřednictvím veřejného internetu.ExpressRoute connections do not go over the public Internet. To dovoluje připojením ExpressRoute poskytovat větší spolehlivost, vyšší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

Připojení ExpressRoute využívá jako součást požadované konfigurace bránu virtuální sítě.An ExpressRoute connection uses a virtual network gateway as part of its required configuration. U připojení ExpressRoute je brána virtuální sítě nakonfigurovaná s typem ExpressRoute (a ne Vpn).In an ExpressRoute connection, the virtual network gateway is configured with the gateway type 'ExpressRoute', rather than 'Vpn'. I když se provoz přenášený přes okruh ExpressRoute ve výchozím nastavení nešifruje, je možné vytvořit řešení, které vám umožní přes okruh ExpressRoute posílat šifrovaný provoz.While traffic that travels over an ExpressRoute circuit is not encrypted by default, it is possible create a solution that allows you to send encrypted traffic over an ExpressRoute circuit. Další informace o ExpressRoute najdete v Technickém přehledu ExpressRoute.For more information about ExpressRoute, see the ExpressRoute technical overview.

Současně existující připojení typu Site-to-Site a ExpressRouteSite-to-Site and ExpressRoute coexisting connections

ExpressRoute je vyhrazené soukromé připojení ke službám Microsoftu, včetně Azure, z vaší sítě WAN (nikoli prostřednictvím veřejného internetu).ExpressRoute is a direct, private connection from your WAN (not over the public Internet) to Microsoft Services, including Azure. Provoz VPN typu Site-to-Site je přenášen zašifrovaně prostřednictvím veřejného internetu.Site-to-Site VPN traffic travels encrypted over the public Internet. Možnost konfigurace VPN typu Site-to-Site a připojení ExpressRoute pro stejnou virtuální síť má několik výhod.Being able to configure Site-to-Site VPN and ExpressRoute connections for the same virtual network has several advantages.

Můžete nakonfigurovat síť VPN typu Site-to-Site jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute, nebo použít VPN typu Site-to-Site pro připojení k webům, které nejsou součástí vaší sítě, ale jsou připojené prostřednictvím ExpressRoute.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not part of your network, but that are connected through ExpressRoute. Tato konfigurace vyžaduje dvě brány virtuální sítě pro stejnou virtuální síť, jednu typu Vpn a druhou typu ExpressRoute.Notice that this configuration requires two virtual network gateways for the same virtual network, one using the gateway type 'Vpn', and the other using the gateway type 'ExpressRoute'.

Příklad současné existence ExpressRoute a VPN Gateway

Modely a metody nasazení pro S2S a ExpressRoute existují současněDeployment models and methods for S2S and ExpressRoute coexist

Model/metoda nasazeníDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager Podporuje seSupported KurzTutorial
ClassicClassic Nepodporuje seNot Supported KurzTutorial

CenyPricing

Platíte za dvě věci: náklady na výpočetní kapacitu pro bránu virtuální sítě a výchozí přenos dat z brány virtuální sítě.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Informace o cenách najdete na stránce Ceny.Pricing information can be found on the Pricing page. Ceny SKU brány starší verze najdete v článku ExpressRoute stránce s cenami a přejděte k položce brány virtuální sítě části.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Náklady na výpočetní výkon brány virtuální sítěVirtual network gateway compute costs
Každá brána virtuální sítě má náklady na hodinový výpočetní výkon.Each virtual network gateway has an hourly compute cost. Cena je založená na SKU brány, kterou určíte při vytváření brány virtuální sítě.The price is based on the gateway SKU that you specify when you create a virtual network gateway. Náklady jsou pro samotnou bránu vedle přenosu dat, který bránou prochází.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. Náklady na aktivní aktivní instalace je stejný jako aktivní pasivní.Cost of an active-active setup is the same as active-passive.

Náklady na přenos datData transfer costs
Náklady na přenos dat se počítají na základě výchozího přenosu ze zdrojové brány virtuální sítě.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Pokud odesíláte přenosy do místního zařízení VPN, budou se účtovat podle sazby za výchozí internetový přenos dat.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • Pokud přenášíte data mezi virtuálními sítěmi v různých oblastech, liší se ceny podle oblastí.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • Pokud odesíláte přenosy pouze mezi virtuálními sítěmi ve stejné oblasti, žádné náklady na data se na vás nevztahují.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. Přenosy dat mezi virtuálními sítěmi ve stejné oblasti je zdarma.Traffic between VNets in the same region is free.

Další informace o skladových jednotkách (SKU) brány pro službu VPN Gateway najdete v tématu Skladové jednotky (SKU) brány.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

Nejčastější dotazyFAQ

Nejčastější dotazy týkající se služby VPN Gateway najdete v tématu Nejčastější dotazy ke službě VPN Gateway.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

Další krokyNext steps