Implementace možností Azure VPN

  • 13 min

Datacentra společnosti Contoso podporují vzdálené připojení, aby uživatelé mohli pracovat vzdáleně. Některé pobočky jsou také připojené k hlavnímu kancelářskému datacentru prostřednictvím sítí VPN typu site-to-site. Jako vedoucí systémový inženýr musíte implementovat řešení VPN, které umožňuje průběžnou podporu aktuálních scénářů použití.

Návrh brány VPN

Pomocí brány Azure můžete implementovat následující typy připojení VPN k řešení potřeb vaší organizace:

  • S2S
  • Připojení typu multi-site (pro více lokalit)
  • P2S
  • Připojení vnet-to-vnet (mezi virtuálními sítěmi)

Site-to-Site

Implementujete připojení S2S přes protokol IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Připojení S2S se používají k podpoře napříč místními a hybridními konfiguracemi. Pokud chcete implementovat připojení S2S, musíte mít zařízení VPN s veřejnou IP adresou, jak je uvedeno v následujícím diagramu.

A diagram of a typical S2S VPN configuration. A VNet (IP: 10.10.0.0/16) labelled VNet1 connects via a VPN Gateway device (IP: 131.1.1.) through an IPsec/IKE VPN tunnel to a VPN device (IP: 33.2.1.5) in LocalSite1 at the head office.

Připojení typu multi-site (pro více lokalit)

Připojení s více lokalitami je varianta připojení S2S. Pomocí tohoto typu připojení vytvoříte z brány virtuální sítě více než jedno připojení VPN. Při implementaci připojení s více lokalitami je nutné použít typ sítě VPN Typu RouteBased.

Jak název napovídá, obvykle tento typ připojení používáte pro připojení k několika místním lokalitám, jak je uvedeno v následujícím diagramu.

A diagram of a typical multi-site VPN configuration. VNet1 in US West connects through a VPN Gateway (IP: 131.1.1.1). The gateway has two IPsec/IKE VPN tunnels. One connects to LocalSite1(IP: 128.8.8.8), and the other to LocalSite2 (IP: 139.9.9.9).

Tip

Virtuální síť může mít jenom jednu bránu VPN, takže všechna připojení sdílejí šířku pásma.

Připojení typu point-to-site

Připojení P2S VPN umožňuje uživatelům připojit se k vaší organizaci ze vzdálené sítě, například z domova nebo z veřejného hotspotu Wi-Fi. Uživatelé obvykle inicialují připojení P2S, jak je znázorněno v následujícím diagramu. V diagramu dva uživatelé inicializuje připojení SSTP (Secure Socket Tunneling Protocol), zatímco třetí používá protokol IKEv2. Na rozdíl od připojení S2S nepotřebujete k implementaci připojení P2S místní veřejnou IP adresu ani zařízení VPN.

A diagram of a typical P2S configuration. VNet1 in East US connects to a VPN gateway (IP: 131.1.1.1). Three VPN tunnels are connected inbound to the VPN gateway. Two are of type SSTP while the third is IKEv2. Clients users and devices are displayed on the far side of the tunnel, each with a private IP address allocated from a pool.

Tip

Připojení P2S můžete použít společně s připojeními S2S prostřednictvím stejné brány VPN.

Připojení vnet-to-vnet (mezi virtuálními sítěmi)

Implementace připojení typu VNet-to-VNet se některým způsobem podobá připojení jedné virtuální sítě k místnímu umístění lokality (S2S). V obou scénářích použijete k implementaci tunelu IPsec/IKE bránu VPN Gateway.

Poznámka:

Když implementujete připojení typu VNet-to-VNet prostřednictvím služby VPN Gateway, virtuální sítě nemusí být ve stejné oblasti Nebo předplatném Azure.

Tip

Partnerský vztah můžete použít také k připojení virtuálních sítí bez ohledu na umístění nebo předplatné. Tento přístup může být rychlejší a efektivnější.

A diagram of a typical Vnet-to-Vnet connection. VNet1 in East US connects through a VPN Gateway (IP: 131.1.1.1). An IPsec/IKE tunnel connects to a VPN Gateway (IP: 151.2.2.2) which resides on the edge of VNet4, West US region.

Připojení ExpressRoute

Pomocí připojení Azure ExpressRoute můžete usnadnit privátní připojení z místních sítí ke cloudu Microsoftu nebo k jiným webům ve vaší organizaci. Vzhledem k tomu, že je síťové připojení privátní, je bezpečnější a může také nabízet významné výhody výkonu. Připojení ExpressRoute nakonfigurujete pomocí brány virtuální sítě. S připojením ExpressRoute ale nakonfigurujete bránu virtuální sítě s typem brány ExpressRoute, nikoli vpn.

Tip

I když provoz přes okruh ExpressRoute není ve výchozím nastavení šifrovaný, můžete nakonfigurovat připojení tak, aby odesílalo šifrovaný provoz.

Je také možné kombinovat připojení ExpressRoute a S2S, jak je znázorněno v následujícím diagramu. Můžete například nakonfigurovat síť VPN S2S:

  • Jako zabezpečená cesta převzetí služeb při selhání pro ExpressRoute.
  • Pokud se chcete připojit k webům, které nejsou součástí vaší sítě, ale jsou připojené přes ExpressRoute.

A diagram of a dual connection from VNet1, East US, via both an ExpressRoute gateway and a VPN Gateway (IP: 131.1.1.1). The ExpressRoute connection provides private connectivity to On-premises HQ site (IP: 141.4.4.4). The HQ site also has an IPsec/IKE tunnel that connects to VNet1. Finally, VNet1 uses the VPN Gateway to connect to LocalSite2 through an IPsec/IKE tunnel..

Implementace brány VPN

Při konfiguraci brány VPN musíte vybrat a nakonfigurovat řadu nastavení. Nejprve se musíte rozhodnout, jestli chcete implementovat konfiguraci založenou na zásadách nebo směrování.

Zásadové

Pokud se rozhodnete implementovat brány založené na zásadách (které jsou založené na statickém směrování), musíte definovat sady IP adres, které brána používá k určení cílů paketů. Brána vyhodnocuje všechny pakety s těmito sadami IP adres, aby určila, přes který tunel se paket šifruje a směruje.

Trasové

Brány založené na směrování můžete použít, abyste se vyhnuli úsilí definovat, které IP adresy jsou za každým tunelem. U bran založených na trasách určuje směrování PROTOKOLU IP, ve kterém z vašich tunelových rozhraní se má každý paket odesílat.

Tip

Pro místní zařízení byste měli vybrat sítě VPN založené na směrování, protože jsou odolnější vůči změnám topologie – například když ve virtuální síti vytvoříte nové podsítě.

Vždy byste měli zvolit bránu VPN založenou na směrování pro následující typy připojení:

  • Připojení mezi virtuálními sítěmi
  • Připojení P2S
  • Připojení typu multi-site
  • Koexistence s bránou Azure ExpressRoute

Další nastavení

Kromě toho musíte také definovat následující nastavení pro implementaci brány VPN:

  • VPN nebo ExpressRoute. Zvolte základní typ připojení.
  • Rozsah adres podsítě brány Určuje rozsah privátních IP adres přidružený k bráně VPN.
  • Veřejná IP adresa: Určuje objekt veřejné IP adresy, který se přidružuje k bráně VPN.

Vytvoření virtuální sítě

Pokud chcete implementovat vpn Gateway, musíte mít virtuální síť. Můžete ho vytvořit před konfigurací služby VPN Gateway nebo během této konfigurace. Nejprve vytvoříme jednu. Uděláte to tak, že otevřete Azure Portal a provedete následující postup:

  1. Vyberte Vytvořit prostředek a pak vyhledejte a vyberte Virtuální síť.

  2. V okně Virtuální síť vyberte Vytvořit.

  3. Vytvořte virtuální síť zadáním odpovídajících vlastností: Předplatné, skupina prostředků, název a oblast.

    A screenshot of the Create a virtual network page. The administrator has defined the subscription, and selected the ContosoResourceGroup. The VNet name is ContosoVPN1 in the East US region.

  4. Vyberte Další: IP adresy >.

  5. Nakonfigurujte podsíť, kterou chcete přidružit k virtuální síti, tím, že přijmete výchozí nastavení nebo nakonfigurujete vlastní.

  6. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Vytvoření brány

Po vytvoření příslušné virtuální sítě teď musíte vytvořit bránu VPN. Pokud například chcete vytvořit bránu VPN založenou na směrování pomocí webu Azure Portal, použijte následující postup:

  1. Na webu Azure Portal vyhledejte a vyberte bránu virtuální sítě.

  2. V okně Brána virtuální sítě vyberte Vytvořit.

  3. V okně Vytvořit bránu virtuální sítě vytvořte bránu zadáním příslušných vlastností: Předplatné, Název a Oblast.

  4. Pak zvolte, jestli implementujete připojení VPN nebo ExpressRoute .

  5. Pro síť VPN vyberte trasu nebozaloženou na zásadách.

    A screenshot of the Create a virtual network gateway page. The administrator has defined the subscription. The Name is ContosoVPNGateway, in the East US region. Gateway type is VPN, and VPN type is Route-based.

  6. Vyberte virtuální síť, kterou jste vytvořili dříve.

  7. Nakonfigurujte rozsah adres podsítě brány a nastavení veřejné IP adresy.

    A screenshot of the Create a virtual network gateway page. The administrator has selected the Gateway subnet address range (10.3.1.0/24) and has opted to create a new Public IP address called ContosoVPNPublic. Other options are disabled..

  8. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Vyzkoušejte si to.

Pokud chcete pracovat s Azure VPN, vyzkoušejte tato cvičení v testovacím prostředí. Cvičení jsou založená na prostředí sandboxu a nevyžadují dokončení předplatného Azure: