Az Azure Stack Hub VPN-átjáróbeállításainak konfigurálása
A VPN-átjárók olyan virtuális hálózati átjárók, amelyek titkosított forgalmat küldenek az Azure Stack Hub virtuális hálózata és egy távoli VPN-átjáró között. A távoli VPN-átjáró lehet az Azure-ban, az adatközpontban lévő eszköz vagy egy másik webhelyen található eszköz. Ha hálózati kapcsolat van a két végpont között, biztonságos helyek közötti (S2S) VPN-kapcsolatot hozhat létre a két hálózat között.
A VPN-átjárók több erőforrás konfigurációján alapulnak, amelyek mindegyike konfigurálható beállításokat tartalmaz. Ez a cikk azokat az erőforrásokat és beállításokat ismerteti, amelyek a Resource Manager üzembehelyezési modellben létrehozott virtuális hálózatok VPN-átjáróihoz kapcsolódnak. Az egyes kapcsolati megoldásokhoz tartozó leírásokat és topológiadiagramokat a VPN-átjárók létrehozása az Azure Stack Hubhoz című témakörben találja.
VPN-átjáró beállításai
Átjárótípusok
Minden Azure Stack Hub virtuális hálózat egyetlen virtuális hálózati átjárót támogat, amelynek Vpn típusúnak kell lennie. Ez a támogatás eltér az Azure-tól, amely további típusokat támogat.
Virtuális hálózati átjáró létrehozásakor meg kell győződnie arról, hogy az átjáró típusa megfelelő a konfigurációhoz. A VPN-átjáróhoz szükség van a -GatewayType Vpn jelzőre, például:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Átjáró termékváltozatai a VPN gyorselérési útvonalának engedélyezése nélkül
Virtuális hálózati átjáró létrehozásakor meg kell adnia a használni kívánt termékváltozatot. Válassza ki azokat az SKU-kat, amelyek megfelelnek a követelményeknek a számítási feladatok, az átviteli sebesség, a funkciók és az SLA-k típusai alapján.
A maximális kapacitás elérése előtt 10 nagy teljesítményű vagy 20 alapszintű és standard átjáróval rendelkezhet.
Az Azure Stack Hub az alábbi táblázatban látható VPN-átjáró termékváltozatokat kínálja:
| SKU | A VPN-kapcsolat átviteli sebességének maximális mérete | Kapcsolatok maximális száma aktív GW virtuális gépenként | VPN-kapcsolatok maximális száma bélyegenként |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Nagy teljesítmény | 200 Mbps Tx/Rx | 5 | 10 |
Átjáró termékváltozatai, amelyeken engedélyezve van a VPN gyors elérési útja
A VPN Fast Path nyilvános előzetes verziójának kiadásával az Azure Stack Hub három új termékváltozatot támogat magasabb átviteli sebességgel.
Az új korlátok és az átviteli sebesség akkor lesz engedélyezve, ha a VPN Fast Path engedélyezve van az Azure Stack-bélyegen.
Az Azure Stack Hub az alábbi táblázatban látható VPN-átjáró termékváltozatokat kínálja:
| SKU | A VPN-kapcsolat átviteli sebességének maximális mérete | Kapcsolatok maximális száma aktív GW virtuális gépenként | VPN-kapcsolatok maximális száma bélyegenként |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Nagy teljesítmény | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Virtuális hálózati átjárók termékváltozatainak átméretezése
Az Azure Stack Hub nem támogatja az Azure által támogatott újabb termékváltozatra (VpnGw1, VpnGw2 és VpnGw3) történő átméretezést egy támogatott örökölt termékváltozatról (Alapszintű, Standard és HighPerformance).
Új virtuális hálózati átjárókat és kapcsolatokat kell létrehozni a VPN Fast Path által engedélyezett új termékváltozatok használatához.
A virtuális hálózati átjáró termékváltozatának konfigurálása
Azure Stack Hub portál
Ha az Azure Stack Hub portál használatával hoz létre virtuális hálózati átjárót, a termékváltozat a legördülő listával választható ki. Az új VPN Fast Path termékváltozatok (VpnGw1, VpnGw2, VpnGw3) csak akkor lesznek láthatók, ha hozzáadta az URL-címhez az "azurestacknewvpnskus=true" lekérdezési paramétert .
Az alábbi URL-példa láthatóvá teszi az új virtuális hálózati átjáró termékváltozatát az Azure Stack Hub felhasználói portálján:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Az erőforrások létrehozása előtt az operátornak engedélyeznie kell a VPN Fast Path szolgáltatást az Azure Stack Hub-bélyegen. További információ: VPN Fast Path for operátorok.
PowerShell
A következő PowerShell-példa standardként határozza meg a -GatewaySku paramétert:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Kapcsolattípusok
A Resource Manager üzembehelyezési modellben minden konfigurációhoz egy adott virtuális hálózati átjáró kapcsolattípusa szükséges. A rendelkezésre álló Resource Manager PowerShell-értékek az -ConnectionTypeIPsec.
A következő PowerShell-példában létrejön egy S2S-kapcsolat, amelyhez IPsec-kapcsolattípus szükséges:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
VPN-típusok
Amikor létrehozza a virtuális hálózati átjárót egy VPN-átjáró konfigurációhoz, meg kell adnia egy VPN-típust. A választott VPN-típus a létrehozni kívánt kapcsolati topológiától függ. A VPN-típus a használt hardvertől is függhet. Az S2S-konfigurációkhoz VPN-eszköz szükséges. Egyes VPN-eszközök csak bizonyos VPN-típusokat támogatnak.
Fontos
Az Azure Stack Hub jelenleg csak az útvonalalapú VPN-típust támogatja. Ha az eszköz csak a szabályzatalapú VPN-eket támogatja, akkor az eszközökhöz az Azure Stack Hubból származó kapcsolatok nem támogatottak.
Emellett az Azure Stack Hub jelenleg nem támogatja a szabályzatalapú forgalomválasztók használatát az útvonalalapú átjárókhoz, mivel az Azure Stack Hub nem támogatja a szabályzatalapú forgalomválasztókat, bár az Azure-ban támogatottak.
PolicyBased: A szabályzatalapú VPN-ek az IPsec-alagutakon keresztül titkosítják és irányítják a csomagokat a helyszíni hálózat és az Azure Stack Hub virtuális hálózata közötti címelőtagok kombinációjával konfigurált IPsec-szabályzatok alapján. A szabályzat vagy forgalomválasztó általában egy hozzáférési lista a VPN-eszköz konfigurációjában.
Megjegyzés
A PolicyBased az Azure-ban támogatott, az Azure Stack Hubban azonban nem.
RouteBased: Az útvonalalapú VPN-ek az IP-továbbítási vagy útválasztási táblában konfigurált útvonalakat használják a csomagok megfelelő alagútillesztőkre való irányításához. Az alagútkapcsolatok ezután titkosítják vagy visszafejtik az alagutakba bemenő vagy onnan kijövő csomagokat. A RouteBased VPN-ek házirendje vagy forgalomválasztója any-to-any (vagy helyettesítő kártyák használata) állapotúként van konfigurálva. Alapértelmezés szerint nem módosíthatók. A RouteBased VPN-típus értéke RouteBased.
Az alábbi PowerShell-példa a -VpnTyperouteBased paramétert adja meg. Átjáró létrehozásakor meg kell győződnie arról, hogy a -VpnType megfelelő a konfigurációhoz.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
A virtuális hálózati átjárók támogatták a konfigurációkat, ha a VPN gyors elérési útja nincs engedélyezve
| VPN-típus | Kapcsolat típusa | Aktív útválasztás támogatása (BGP) | Távoli végpont NAT-T engedélyezve | |
|---|---|---|---|---|
| Alapszintű VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Nem támogatott | Nem szükséges |
| Standard VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Nem szükséges |
| VNG-termékváltozat High-Performance | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Nem szükséges |
A virtuális hálózati átjárók támogatták a konfigurációkat, ha a VPN Fast Path engedélyezve van
| VPN-típus | Kapcsolat típusa | Aktív útválasztás-támogatás (BGP) | Távoli végpont NAT-T engedélyezve | |
|---|---|---|---|---|
| Alapszintű VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Nem támogatott | Kötelező |
| Standard VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VNG-termékváltozat High-Performance | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw1 VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw2 VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
| VPNGw2 VNG-termékváltozat | Útvonalalapú VPN | IPSec előre megosztott kulcs | Támogatott, legfeljebb 150 útvonal | Kötelező |
Átjáró alhálózata
VPN-átjáró létrehozása előtt létre kell hoznia egy átjáróalhálózatot. Az átjáróalhálózat rendelkezik a virtuális hálózati átjáró virtuális gépei és szolgáltatásai által használt IP-címekkel. A virtuális hálózati átjáró és a kapcsolat létrehozásakor a kapcsolatot birtoklő átjáró virtuális gép az átjáró alhálózatához lesz csatolva, és a szükséges VPN-átjáró-beállításokkal lesz konfigurálva. Ne helyezzen üzembe semmi mást (például további virtuális gépeket) az átjáróalhálózaton.
Fontos
A megfelelő működéshez az átjáró-alhálózat neve GatewaySubnet kell legyen. Az Azure Stack Hub ezzel a névvel azonosítja azt az alhálózatot, amelyre a virtuális hálózati átjáró virtuális gépeit és szolgáltatásait üzembe szeretné helyezni.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. Az átjáróalhálózat IP-címei az átjáró virtuális gépeihez és átjárószolgáltatásaihoz vannak lefoglalva. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük. Tekintse meg a létrehozni kívánt konfigurációra vonatkozó utasításokat, és ellenőrizze, hogy a létrehozni kívánt átjáróalhálózat megfelel-e ezeknek a követelményeknek.
Emellett győződjön meg arról, hogy az átjáróalhálózat rendelkezik elegendő IP-címmel a további jövőbeli konfigurációk kezeléséhez. Bár akár /29-hez is létrehozhat átjáróalhálózatot, javasoljuk, hogy hozzon létre egy /28-as vagy nagyobb átjáróalhálózatot (/28, /27, /26 stb.). Így, ha a jövőben funkciókat ad hozzá, nem kell lebontani az átjárót, majd törölnie és újra létre kell hoznia az átjáró-alhálózatot, hogy több IP-címet engedélyezhessen.
Az alábbi Resource Manager PowerShell-példa egy GatewaySubnet nevű átjáróalhálózatot mutat be. Láthatja, hogy a CIDR-jelölés /27-et ad meg, amely elegendő IP-címet biztosít a legtöbb jelenleg létező konfigurációhoz.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Fontos
Amikor átjáró-alhálózatokkal dolgozik, kerülje a hálózati biztonsági csoportok (NSG) társítását az átjáró-alhálózathoz. Ha egy hálózati biztonsági csoportot társít ehhez az alhálózathoz, a VPN-átjáró leállhat a várt módon. A hálózati biztonsági csoportokkal kapcsolatos további információkért lásd : Mi az a hálózati biztonsági csoport?.
Helyi hálózati átjárók
Amikor VPN-átjárókonfigurációt hoz létre az Azure-ban, a helyi hálózati átjáró gyakran a helyszíni helyet jelöli. Az Azure Stack Hubban minden olyan távoli VPN-eszközt jelöl, amely az Azure Stack Hubon kívül található. Ez az eszköz lehet egy VPN-eszköz az adatközpontban (vagy egy távoli adatközpontban), vagy egy VPN-átjáró az Azure-ban.
Adja meg a helyi hálózati átjáró nevét, a távoli VPN-eszköz nyilvános IP-címét, és adja meg a helyszíni helyen található címelőtagokat. Az Azure Stack Hub megvizsgálja a hálózati forgalom célcímelőtagját, áttekinti a helyi hálózati átjáróhoz megadott konfigurációt, és ennek megfelelően irányítja a csomagokat.
Ez a PowerShell-példa egy új helyi hálózati átjárót hoz létre:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Néha módosítania kell a helyi hálózati átjáró beállításait; például a címtartomány hozzáadásakor vagy módosításakor, vagy ha a VPN-eszköz IP-címe megváltozik. További információ: Helyi hálózati átjáró beállításainak módosítása a PowerShell használatával.
IPsec/IKE-paraméterek
Amikor VPN-kapcsolatot állít be az Azure Stack Hubban, mindkét végén konfigurálnia kell a kapcsolatot. Ha VPN-kapcsolatot konfigurál az Azure Stack Hub és egy hardvereszköz, például egy VPN-átjáróként működő kapcsoló vagy útválasztó között, az eszköz további beállításokat kérhet.
Az Azure-nal ellentétben, amely kezdeményezőként és válaszadóként is több ajánlatot támogat, az Azure Stack Hub alapértelmezés szerint csak egy ajánlatot támogat. Ha különböző IPSec-/IKE-beállításokat kell használnia a VPN-eszköz használatához, további beállítások érhetők el a kapcsolat manuális konfigurálásához. További információ: IPsec/IKE-szabályzat konfigurálása helyek közötti VPN-kapcsolatokhoz.
Fontos
Az S2S-alagút használatakor a csomagok további fejlécekkel vannak beágyazva, ami növeli a csomag teljes méretét. Ezekben a forgatókönyvekben a TCP MSS-t1350-nél kell rögzítenie. Vagy ha a VPN-eszközök nem támogatják az MSS-befogást, az alagút interfészén lévő MTU-t is beállíthatja 1400 bájtra. További információ: Virutal Network TCPIP teljesítményhangolás.
Az IKE 1. fázis (Elsődleges mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Diffie-Hellman csoport* | ECP384 |
| Hitelesítési módszer | Előre megosztott kulcs |
| Titkosítási & kivonatoló algoritmusok* | AES256, SHA384 |
| SA élettartama (Idő) | 28 800 másodperc |
Az IKE 2. fázis (Gyors mód) paraméterei
| Tulajdonság | Érték |
|---|---|
| IKE verziószám | IKEv2 |
| Titkosítási & kivonatoló algoritmusok (titkosítás) | GCMAES256 |
| Titkosítási & kivonatoló algoritmusok (hitelesítés) | GCMAES256 |
| SA élettartama (Idő) | 27 000 másodperc |
| SA élettartama (kilobájt) | 33,553,408 |
| Tökéletes továbbítási titoktartás (PFS)* | ECP384 |
| Kapcsolat megszakadásának észlelése | Támogatott |
* Új vagy módosított paraméter.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: