Co je Azure VPN Gateway?
Azure VPN Gateway je služba, která se dá použít k odesílání šifrovaného provozu mezi virtuální sítí Azure a místními umístěními přes veřejný internet. Bránu VPN Gateway můžete použít také k odesílání šifrovaného provozu mezi virtuálními sítěmi Azure přes síť Microsoftu. Služba VPN Gateway používá konkrétní typ brány virtuální sítě Azure, která se nazývá brána VPN. Ke stejné bráně VPN je možné vytvořit více připojení. Když vytvoříte několik připojení, všechny tunely VPN sdílejí dostupnou šířku pásma brány.
Proč používat službu VPN Gateway?
Tady jsou některé klíčové scénáře pro službu VPN Gateway:
Odesílat šifrovaný provoz mezi virtuální sítí Azure a místními umístěními přes veřejný internet. Můžete to provést pomocí následujících typů připojení:
Připojení typu Site-to-Site: Připojení VPN typu IPsec/IKE mezi různými místy mezi bránou VPN a místním zařízením VPN.
Připojení point-to-site: VPN přes OpenVPN, IKEv2 nebo SSTP. Tento typ připojení umožňuje připojení k virtuální síti ze vzdáleného umístění, například z konference nebo z domova.
Odesílání šifrovaného provozu mezi virtuálními sítěmi Můžete to provést pomocí následujících typů připojení:
VNet-to-VNet: Tunel vpn IPsec/IKE mezi bránou VPN a jinou bránou Azure VPN, která používá typ připojení typu VNet-to-VNet . Tento typ připojení je navržený speciálně pro připojení typu VNet-to-VNet.
Připojení typu Site-to-Site: Tunel vpn IPsec/IKE mezi bránou VPN a jinou bránou Azure VPN. Tento typ připojení, pokud se používá v architektuře VNet-to-VNet, používá typ připojení Site-to-Site (IPsec), který umožňuje připojení mezi různými místy k bráně navíc připojení mezi bránami VPN.
Nakonfigurujte síť VPN typu site-to-site jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute. Můžete to udělat pomocí:
- ExpressRoute + VPN Gateway: Kombinace připojení ExpressRoute + VPN Gateway (spoluexistující připojení).
Pomocí sítí VPN typu site-to-site se připojte k webům, které nejsou připojené přes ExpressRoute. Můžete to udělat takto:
- ExpressRoute + VPN Gateway: Kombinace připojení ExpressRoute + VPN Gateway (spoluexistující připojení).
Plánování a návrh
Vzhledem k tomu, že pomocí služby VPN Gateway můžete vytvořit více konfigurací připojení, musíte určit, která konfigurace nejlépe vyhovuje vašim potřebám. Připojení Typu point-to-site, site-to-site a současně existující připojení ExpressRoute/site-to-site mají různé pokyny a požadavky na konfiguraci prostředků.
Informace o topologii a návrhu služby VPN Gateway najdete v článku o topologiích návrhu a odkazech na pokyny ke konfiguraci. Následující části článku zvýrazňují některé topologie návrhu, které se nejčastěji používají.
Plánovací tabulka
Následující tabulka vám může pomoci se zvolením nejlepší možnosti připojení pro vaše řešení.
| Point-to-Site | Site-to-Site | |
|---|---|---|
| Podporované služby Azure | Cloudové služby a virtuální počítače | Cloudové služby a virtuální počítače |
| Typické šířky pásma | Podle skladové položky (SKU) brány | Agregace obvykle < 10 Gb/s |
| Podporované protokoly | Protokol SSTP (Secure Sockets Tunneling Protocol), OpenVPN a IPsec | IPsec |
| Směrování | RouteBased (dynamické) | Podporujeme sítě VPN se statickým směrováním (na základě zásad – PolicyBased) nebo dynamickým směrováním (na základě trasy – RouteBased). |
| Odolnost připojení | aktivní-pasivní | aktivní-aktivní nebo aktivní-pasivní |
| Typický případ použití | Zabezpečený přístup k virtuálním sítím Azure pro vzdálené uživatele | Scénáře vývoje, testování a testovacího prostředí a úlohy v produkčním prostředí v malém až středním měřítku pro cloudové služby a virtuální počítače |
| SLA | SLA | SLA |
| Ceny | Ceny | Ceny |
| Technická dokumentace | VPN Gateway | VPN Gateway |
| Nejčastější dotazy | VPN Gateway – nejčastější dotazy | VPN Gateway – nejčastější dotazy |
Zóny dostupnosti
Brány VPN je možné nasadit v Azure Zóny dostupnosti. To přináší odolnost proti chybám, škálovatelnost a vyšší dostupnost bran virtuálních sítí. Nasazování bran v rámci Zón dostupnosti Azure fyzicky a logicky odděluje brány v rámci oblasti, přičemž zároveň chrání připojení vaší místní sítě k Azure před výpadky na úrovni zóny. Viz Informace o zónově redundantních branách virtuální sítě v Azure Zóny dostupnosti.
Konfigurování brány VPN Gateway
Připojení brány VPN se spoléhá na několik prostředků nakonfigurovaných se specifickými nastaveními. V některých případech musí být prostředky nakonfigurované v určitém pořadí. Nastavení, která jste pro jednotlivé zdroje zvolili, jsou pro vytvoření úspěšného připojení zásadní.
Informace o jednotlivých prostředcích a nastaveních služby VPN Gateway najdete v tématu o nastaveních služby VPN Gateway a o skladových posílacích brány. Tyto články obsahují informace, které vám pomůžou pochopit typy bran, skladové položky brány, typy vpn, typy připojení, podsítě brány, brány místní sítě a různá další nastavení prostředků, která byste mohli zvážit.
Diagramy návrhu a odkazy na články o konfiguraci najdete v článku topologie a návrhu služby VPN Gateway.
Skladové položky brány
Při vytváření brány virtuální sítě zadáváte jednotku SKU brány, kterou chcete použít. Vyberte jednotku SKU, která splňuje vaše požadavky na základě typů úloh, propustnosti, funkcí a SLA. Další informace o cenových úrovních brány, včetně podporovaných funkcí, tabulek výkonu, kroků konfigurace a produkčních a produkčních úloh, najdete v tématu O skladových po řádcích brány.
| VPN Brána Generace |
Skladová jednotka (SKU) | S2S/VNet-to-VNet Tunely |
P2S Připojení iony SSTP |
P2S Připojení iony IKEv2/OpenVPN |
Agregace Srovnávací test propustnosti |
BGP | Zónově redundantní | Podporovaný počet virtuálních počítačů ve virtuální síti |
|---|---|---|---|---|---|---|---|---|
| Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No | 200 |
| Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No | 450 |
| Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No | 1300 |
| Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No | 4000 |
| Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Ano | 1000 |
| Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Ano | 2000 |
| Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Ano | 5000 |
| Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No | 685 |
| Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No | 2240 |
| Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No | 5300 |
| Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No | 6700 |
| Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Ano | 2000 |
| Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Ano | 3300 |
| Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Ano | 4400 |
| Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Ano | 9000 |
(*) Pokud potřebujete více než 100 tunelů VPN S2S, použijte místo služby VPN Gateway virtual WAN .
Ceny
Platíte za dvě věci: náklady na výpočetní kapacitu pro bránu virtuální sítě a výchozí přenos dat z brány virtuální sítě. Informace o cenách najdete na stránce Ceny. Informace o cenách starších skladových položek brány najdete na stránce s cenami Služby ExpressRoute a přejděte do části Brány virtuální sítě.
Náklady na výpočetní výkon brány virtuální sítě
Každá brána virtuální sítě má náklady na hodinový výpočetní výkon. Cena je založená na SKU brány, kterou určíte při vytváření brány virtuální sítě. Náklady jsou pro samotnou bránu vedle přenosu dat, který bránou prochází. Náklady na nastavení aktivní-aktivní jsou stejné jako aktivní-pasivní. Další informace o skladových jednotkách (SKU) brány pro službu VPN Gateway najdete v tématu Skladové jednotky (SKU) brány.
Náklady na přenos dat
Náklady na přenos dat se počítají na základě výchozího přenosu ze zdrojové brány virtuální sítě.
- Pokud odesíláte provoz do místního zařízení VPN, bude se vám účtovat rychlost přenosu dat odchozího přenosu dat z internetu.
- Pokud odesíláte provoz mezi virtuálními sítěmi v různých oblastech, ceny jsou založené na dané oblasti.
- Pokud odesíláte provoz jenom mezi virtuálními sítěmi, které jsou ve stejné oblasti, nejsou žádné náklady na data. Přenosy dat mezi virtuálními sítěmi ve stejné oblasti je zdarma.
Co je nového?
Azure VPN Gateway se pravidelně aktualizuje. Pokud chcete zůstat aktuální s nejnovějšími oznámeními, přečtěte si článek Co je nového? Článek zdůrazňuje následující body zájmu:
- Poslední vydané verze
- Verze Preview probíhají se známými omezeními (pokud jsou k dispozici)
- Známé problémy
- Zastaralé funkce (pokud jsou k dispozici)
Můžete se také přihlásit k odběru informačního kanálu RSS a zobrazit nejnovější aktualizace funkcí služby VPN Gateway na stránce Azure Aktualizace.
Často kladené dotazy
Nejčastější dotazy týkající se služby VPN Gateway najdete v tématu Nejčastější dotazy ke službě VPN Gateway.