Helyszíni hálózat kiterjesztése VPN használatával

Bastion
Azure Stack
Virtual Machines
Virtual Network
VPN Gateway

Ez a viszonyítási architektúra azt mutatja be, hogyan lehet a hálózatokat a telephelyről vagy Azure Stackból egy Azure-beli virtuális hálózatra kiterjeszteni a helyek közötti virtuális magánhálózat (VPN) használatával.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). A forgalom a helyszíni hálózat és az Azure között egy IPSec VPN-alagúton vagy az Azure Stack több-bérlős VPN-átjárón keresztül áramlik.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. A megoldás üzembe helyezése.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

A VPN Gateway architektúrájának ábrája.A diagram of the VPN gateway architecture. A helyszíni hálózat egy VPN-átjárón keresztül csatlakozik egy Azure-beli virtuális hálózathoz.An on-premises network connects to an Azure virtual network through a VPN gateway. Azure Stack virtuális hálózata a VPN-átjáróhoz is kapcsolódik a nyilvános VIP-címeken keresztül.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Töltse le az architektúra Visio-fájlját.Download a Visio file of this architecture.

ArchitektúraArchitecture

Az architektúra a következőkben leírt összetevőkből áll.The architecture consists of the following components.

  • Helyszíni hálózat.On-premises network. A cégen belül futó helyi magánhálózat.A private local-area network running within an organization.

  • Azure stack.Azure Stack. Egy Azure Stack bérlői előfizetés hálózati környezete, amely egy szervezeten belül fut.A network environment on an Azure Stack tenant subscription, running within an organization. A Azure Stack VPN- átjáró titkosított forgalmat küld nyilvános kapcsolaton keresztül a virtuális IP-címekhez (VIP), és a következő összetevőket tartalmazza:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Átjáró-alhálózat.Gateway subnet. Egy speciális alhálózat, amely a VPN Gateway Azure Stackn való üzembe helyezéséhez szükséges.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Helyi hálózati átjáró.Local network gateway. Megadja az Azure-beli VPN-átjáró célként megadott IP-címét, valamint az Azure-beli virtuális hálózat címterület területét.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Helyek közötti VPN-alagút.Site-to-site VPN tunnel. A kapcsolódási típus (IPSec) és az Azure VPN Gateway megosztott kulcs a forgalom titkosításához.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN-berendezés.VPN appliance. A helyszíni hálózat számára külső kapcsolatot biztosító eszköz vagy szolgáltatás.A device or service that provides external connectivity to the on-premises network. A VPN-berendezés lehet hardvereszköz vagy valamilyen szoftvermegoldás, amilyen például a Windows Server 2012 Útválasztás és távelérés szolgáltatása (Routing and Remote Access Service, RRAS).The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. A támogatott VPN-berendezések listájáért és azok Azure-hoz való csatlakoztatásra történő konfigurálásával kapcsolatos információkért tekintse meg a kiválasztott eszközre vonatkozó utasításokat az Információk a helyek közötti VPN Gateway-kapcsolatok VPN-eszközeiről című cikkben.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Virtuális hálózat.Virtual network. A felhőalapú alkalmazás és az Azure VPN Gateway összetevői ugyanabban a virtuális hálózatbantalálhatók.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure VPN Gateway.Azure VPN gateway. A VPN Gateway szolgáltatás lehetővé teszi a virtuális hálózat VPN-készüléken keresztüli összekapcsolását a helyszíni hálózattal, vagy egy helyek közötti VPN-alagúton keresztüli Azure Stackhoz való csatlakozást.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. További információért tekintse át a helyszíni hálózat és a Microsoft Azure Virtual Network csatlakoztatásával foglalkozó cikket.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. A VPN-átjáró az alábbi elemeket tartalmazza:The VPN gateway includes the following elements:

    • Virtuális hálózati átjáró.Virtual network gateway. Olyan erőforrás, amely virtuális VPN-berendezést biztosít a virtuális hálózathoz.A resource that provides a virtual VPN appliance for the virtual network. Feladata a helyszíni hálózatról a virtuális hálózatra irányuló forgalom irányítása.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Helyi hálózati átjáró.Local network gateway. A helyszíni VPN-készülék absztrakciója.An abstraction of the on-premises VPN appliance. A felhőalkalmazásról a helyszíni hálózatra irányuló hálózati forgalom ezen az átjárón halad át.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Kapcsolat.Connection. A kapcsolat olyan tulajdonságokkal rendelkezik, amelyek megadják a kapcsolat típusát (IPSec) és a helyszíni VPN-berendezéssel megosztott kulcsot a forgalom titkosításához.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Átjáró-alhálózat.Gateway subnet. A virtuális hálózati átjáró a saját alhálózatán található, amelynek számos, az alább található Javaslatok szakaszban leírt követelménynek meg kell felelnie.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Felhőalkalmazás.Cloud application. Az Azure-ban üzemeltetett alkalmazás.The application hosted in Azure. Több réteget is foglalhat magában, amelyek alhálózatait Azure-terheléselosztók kapcsolják össze.It might include multiple tiers, with multiple subnets connected through Azure load balancers. További információ az alkalmazás-infrastruktúrával kapcsolatban: Windows rendszerű virtuális gépek számítási feladatainak futtatása és Számítási feladatok futtatása Linux rendszerű virtuális gépeken.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Belső terheléselosztó.Internal load balancer. A rendszer a VPN-átjáróról érkező hálózati forgalmat egy belső terheléselosztón keresztül irányítja a felhőalkalmazásba.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. A terheléselosztó az alkalmazás előtérbeli alhálózatán található.The load balancer is located in the front-end subnet of the application.

  • Megerősített.Bastion. Az Azure Bastion lehetővé teszi, hogy az ssh vagy a Remote Desktop Protocol (RDP) használatával bejelentkezzen a virtuális hálózatban lévő virtuális gépekre anélkül, hogy közvetlenül az internethez tenné.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. Ha megszakad a kapcsolat a VPN-en keresztül, továbbra is használhatja a-t a virtuális hálózatban lévő virtuális gépek kezelésére.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

JavaslatokRecommendations

Az alábbi javaslatok a legtöbb forgatókönyvre vonatkoznak.The following recommendations apply for most scenarios. Kövesse ezeket a javaslatokat, ha nincsenek ezeket felülíró követelményei.Follow these recommendations unless you have a specific requirement that overrides them.

Virtuális hálózat és átjáró-alhálózatVirtual network and gateway subnet

Hozzon létre egy Azure-beli virtuális hálózatot az összes szükséges erőforráshoz elég nagy címtartomány mellett.Create an Azure virtual network with an address space large enough for all of your required resources. Győződjön meg arról, hogy a virtuális hálózati címtartomány elegendő lemezterülettel rendelkezik a növekedéshez, ha további virtuális gépek várhatóan a jövőben szükségesek.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. A virtuális hálózat címterület nem lehet átfedésben a helyszíni hálózattal.The address space of the virtual network must not overlap with the on-premises network. A fenti diagram például a virtuális hálózat 10.20.0.0/16-át használja.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Hozzon létre egy GatewaySubnet nevű alhálózatot /27 címtartománnyal.Create a subnet named GatewaySubnet, with an address range of /27. Ez az alhálózat a virtuális hálózat átjárójához szükséges.This subnet is required by the virtual network gateway. Ha kioszt 32 címet erre az alhálózatra, azzal megelőzheti az átjáró mérethatárának elérését a jövőben.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Lehetőleg a címtér közepére se helyezze ezt az alhálózatot.Also, avoid placing this subnet in the middle of the address space. A virtuális hálózati címtartomány felső végén található átjáró-alhálózat esetében érdemes beállítani a címtartományt.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. Az ábrán is látható példa a 10.20.255.224/27 címteret használja.The example shown in the diagram uses 10.20.255.224/27. Íme egy gyors eljárás a CIDR kiszámításához:Here is a quick procedure to calculate the CIDR:

  1. Állítsa a biteket a virtuális hálózat címterület 1 értékre, az átjáró-alhálózat által használt BITS-re, majd állítsa a fennmaradó biteket 0-ra.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Alakítsa át az eredményül kapott biteket decimálisra, és fejezze ki címtérként, az előtag hosszúságát pedig állítsa az átjáró-alhálózat hosszúságára.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Egy 10.20.0.0/16 IP-címtartományt tartalmazó virtuális hálózat esetében például a fenti #1 10.20.0 b 11111111.0 b11100000 válik.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Ha ezt átváltja decimálisra, és címtérként fejezi ki, a következőt kapja: 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Figyelmeztetés

Ne telepítsen virtuális gépet az átjáró-alhálózatba.Do not deploy any VMs to the gateway subnet. Arra is ügyeljen, hogy ne rendeljen NSG-t ehhez az alhálózathoz, különben az átjáró nem fog működni.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Virtuális hálózati átjáróVirtual network gateway

Foglaljon le egy nyilvános IP-címet a virtuális hálózati átjáróhoz.Allocate a public IP address for the virtual network gateway.

Hozza létre a virtuális hálózati átjárót az átjáró-alhálózatban, és rendelje hozzá az újonnan lefoglalt nyilvános IP-címet.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Használja az igényeinek leginkább megfelelő, és a VPN-berendezés által engedélyezett átjárótípust:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Házirendalapú átjárót hozzon létre, ha házirendfeltételek, például címelőtagok alapján szoros felügyeletet szeretne gyakorolni a kérelmek útválasztása fölött.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. A házirendalapú átjárók statikus útválasztást használnak, és csak a helyek közötti kapcsolatoknál használhatók.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Route-alapú átjáró létrehozásaCreate a route-based gateway

    • Az RRAS használatával csatlakozik a helyszíni hálózathoz.You connect to the on-premises network using RRAS,
    • Többhelyes vagy régiók közötti kapcsolatokat támogat, vagyYou support multi-site or cross-region connections, or
    • Kapcsolata van a virtuális hálózatok között, beleértve a több virtuális hálózatot áthaladó útvonalakat is.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Az útválasztó-alapú átjárók dinamikus útválasztást használnak a hálózatok között.Route-based gateways use dynamic routing to direct traffic between networks. Ezek jobban tűrik a hálózati útvonal hibáit, mint a statikus útvonalak, mert próbálkozhatnak más útvonalakkal.They can tolerate failures in the network path better than static routes because they can try alternative routes. Az útválasztó-alapú átjárók is csökkenthetik a felügyeleti terheket, mert az útvonalakat nem feltétlenül kell manuálisan frissíteni, ha változik a hálózati cím.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

A támogatott VPN-berendezések listáját az Információk a helyek közötti VPN Gateway-kapcsolatok VPN-eszközeiről cikkben találja meg.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Megjegyzés

Az átjáró létrehozása után az átjárótípusok között csak az átjáró törlésével és újbóli létrehozásával válthat.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Válassza ki az Azure VPN-átjáró azon termékváltozatát, amely leginkább megfelel a teljesítménybeli követelményeknek.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. További információ: Gateway SKU -iFor more information, see Gateway SKUs

Megjegyzés

Az alapszintű SKU nem kompatibilis az Azure ExpressRoute-tal.The Basic SKU is not compatible with Azure ExpressRoute. A termékváltozat az átjáró létrehozása után is módosítható.You can change the SKU after the gateway has been created.

Ahelyett, hogy közvetlenül engedné áthaladni a kérelmeket az alkalmazás virtuális gépeire, hozzon létre útválasztási szabályokat a bejövő alkalmazásforgalmat az átjáróról a belső terheléselosztóra irányító átjáró-alhálózathoz.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Helyszíni hálózati kapcsolatOn-premises network connection

Hozzon létre egy helyi hálózati átjárót.Create a local network gateway. Adja meg a helyszíni VPN-berendezés nyilvános IP-címét és a helyszíni hálózat címterét.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Vegye figyelembe, hogy a helyszíni VPN-berendezésnek nyilvános IP-címmel kell rendelkeznie ahhoz, hogy az Azure VPN Gateway helyi hálózati átjárója hozzáférhessen.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. A VPN-eszköz nem helyezhető egy hálózati címfordítás (NAT) mögé.The VPN device cannot be located behind a network address translation (NAT) device.

Hozzon létre egy helyek közötti kapcsolatot a virtuális hálózati átjáróhoz és a helyi hálózati átjáróhoz.Create a site-to-site connection for the virtual network gateway and the local network gateway. Válassza ki a helyek közötti (IPSec) kapcsolattípust, és adja meg a megosztott kulcsot.Select the site-to-site (IPSec) connection type, and specify the shared key. Az Azure VPN-átjáróval végzett helyek közötti titkosítás az IPSec protokollon alapul, és előre megosztott kulcsokat használ a hitelesítéshez.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. A kulcsot az Azure VPN-átjáró létrehozásakor adja meg.You specify the key when you create the Azure VPN gateway. A helyszínen futó VPN-berendezést ugyanazzal a kulccsal kell konfigurálni.You must configure the VPN appliance running on-premises with the same key. Más hitelesítési mechanizmusok jelenleg nem támogatottak.Other authentication mechanisms are not currently supported.

Győződjön meg arról, hogy a helyszíni útválasztási infrastruktúra úgy van konfigurálva, hogy továbbítsa az Azure-beli virtuális hálózatban lévő címekre irányuló kérelmeket a VPN-eszközre.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Nyissa meg a felhőalkalmazás által igényelt portokat a helyszíni hálózatban.Open any ports required by the cloud application in the on-premises network.

A kapcsolatot tesztelve ellenőrizze a következőket:Test the connection to verify that:

  • A helyszíni VPN-berendezés megfelelően irányítja-e a forgalmat a felhőalkalmazásba az Azure VPN-átjárón keresztül.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • A virtuális hálózat megfelelően irányítja át a forgalmat a helyszíni hálózatra.The virtual network correctly routes traffic back to the on-premises network.
  • A tiltott forgalom mindkét irányba megfelelően blokkolva van-e.Prohibited traffic in both directions is blocked correctly.

Azure Stack hálózati kapcsolatokAzure Stack network connection

Ez a hivatkozási architektúra bemutatja, hogyan csatlakoztathatók a virtuális hálózatok a Azure Stack üzemelő példányban egy Azure-beli virtuális hálózathoz az Azure Stack több-bérlős VPN-átjárón keresztül.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Gyakori forgatókönyv a kritikus fontosságú műveletek és a bizalmas adatok elkülönítése Azure Stackban, és az Azure előnyeit kihasználva a nyilvános tranzakciók és az átmeneti, nem bizalmas műveletek számára.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

Ebben az architektúrában a hálózati forgalom egy VPN-alagúton keresztül áramlik a Azure Stack több-bérlős átjárójának használatával.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Azt is megteheti, hogy a forgalom átáramlik az interneten keresztül Azure Stack és az Azure között a bérlői VIP-en, az Azure ExpressRoute vagy egy VPN-végpontként működő hálózati virtuális berendezésen keresztül.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack virtuális hálózati átjáró kapacitásaAzure Stack virtual network gateway capacity

Az Azure VPN Gateway és az Azure Stack VPN-átjáró támogatja Border Gateway Protocol (BGP) az útválasztási információk Azure és Azure Stack közötti cseréjéhez.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack a több-bérlős átjáró esetében nem támogatja a statikus útválasztást.Azure Stack does not support static routing for the multitenant gateway.

Hozzon létre egy Azure Stack virtuális hálózatot az összes szükséges erőforráshoz elég nagy mennyiségű hozzárendelt IP-címmel.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. A virtuális hálózat címterület nem fedi át a virtuális hálózathoz csatlakoztatni kívánt többi hálózatot.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

A Azure Stack telepítése során egy nyilvános IP-cím van hozzárendelve a több-bérlős átjáróhoz.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. A nyilvános VIP-készletből származnak.It is taken from the public VIP pool. A Azure Stack operátor nem szabályozhatja, hogy milyen IP-címet használ, de meghatározhatja annak hozzárendelését.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Figyelemfelhívás

A munkaterhelési virtuális gépek nem helyezhetők üzembe a Azure Stack átjáró alhálózatán.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Arra is ügyeljen, hogy ne rendeljen NSG-t ehhez az alhálózathoz, különben az átjáró nem fog működni.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Méretezési szempontokScalability considerations

Az alapszintű vagy standard VPN Gateway termékváltozatoktól a nagy teljesítményű VPN termékváltozatra áttérve korlátozott függőleges méretezhetőséget érhet el.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

A nagy mennyiségű VPN-forgalmat elvárt virtuális hálózatok esetében érdemes lehet külön kisebb virtuális hálózatokra terjeszteni a különböző számítási feladatokat, és konfigurálni a VPN-átjárót.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

A virtuális hálózatot akár vízszintesen, akár függőlegesen is particionálhatja.You can partition the virtual network either horizontally or vertically. A horizontális particionáláshoz helyezzen át néhány virtuálisgép-példányt az egyes szintekről az új virtuális hálózat alhálózatára.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. Ennek eredményeképpen minden virtuális hálózat ugyanazzal a szerkezettel és funkcióval rendelkezik.The result is that each virtual network has the same structure and functionality. A függőleges particionáláshoz tervezze át az egyes szinteket úgy, hogy a funkcionalitás különböző logikai területekre oszoljon (például megrendelések kezelése, számlázás, ügyfélfiókok kezelése stb.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). A funkcionális területek ezután a saját virtuális hálózatba helyezhetők.Each functional area can then be placed in its own virtual network.

Ha egy helyszíni Active Directory tartományvezérlőt replikál a virtuális hálózatban, és a DNS-t a virtuális hálózatban implementálja, a a helyszíni és a felhőbe irányuló, biztonsággal kapcsolatos és adminisztratív forgalmat is csökkentheti.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. További információk: Az Azure Active Directory Domain Services (AD DS) kiterjesztése az Azure-ra.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Rendelkezésre állási szempontokAvailability considerations

Ha biztosítania kell, hogy az Azure VPN-átjáró folyamatosan el tudja érni a helyszíni hálózatot, implementáljon egy feladatátvételi fürtöt a helyszíni VPN-átjáróhoz.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Ha a szervezet több helyszíni hellyel rendelkezik, hozzon létre többhelyes kapcsolatokat egy vagy több Azure-beli virtuális hálózattal.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Ehhez a megközelítéshez dinamikus (útvonalalapú) útválasztásra van szükség, ezért ügyeljen arra, hogy a helyszíni VPN-átjáró támogassa ezt a szolgáltatást.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

További információk a szolgáltatói szerződésekről: A VPN Gateway szolgáltatói szerződése.For details about service level agreements, see SLA for VPN Gateway.

Azure Stack a VPN-átjárók kibontásával több Azure Stack bélyegzőhöz és Azure-környezethez is hozzáadhat felületet.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

A DevOps megfontolandó szempontjaiDevOps considerations

Használja az infrastruktúra kód (IaC) folyamatát az infrastruktúra üzembe helyezéséhez.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. Ebben az architektúrában az Azure-beli építőelemeket használtuk a Azure Portal használatával telepített egyéni sablonokból.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Az infrastruktúra üzembe helyezése automatizálható az Azure DevOps Services vagy egyéb CI/CD-megoldások segítségével.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Az üzembe helyezési folyamat is idempotens.The deployment process is also idempotent.

Egy adott erőforrás esetében más erőforrások is lehetnek, amelyeknek az erőforrás üzembe helyezése előtt léteznie kell.For a given resource, there can be other resources that must exist before the resource is deployed. Az Azure Építőelem-sablonok a függőségi követéshez is jók, mivel lehetővé teszik az azonos sablonban üzembe helyezett erőforrások függőségeinek meghatározását.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Az összes fő erőforrás (virtuálisgép-méretezési csoport, VPN-átjáró, Azure Bastion) ugyanabban a virtuális hálózatban van, hogy el legyenek különítve ugyanabban az alapszintű munkaterhelésben.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Ezt követően könnyebben társíthatók a munkaterhelések adott erőforrásai egy csapathoz, így a csapat egymástól függetlenül kezelheti az erőforrások összes aspektusát.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Ez az elkülönítés lehetővé teszi, hogy a DevOps folyamatos integrációt és folyamatos teljesítést végezzenek (CI/CD).This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

FigyelésMonitoring

Monitorozza a helyszíni VPN-berendezésekről származó diagnosztikai információkat.Monitor diagnostic information from on-premises VPN appliances. Ez a folyamat a VPN-berendezés által megadott szolgáltatásoktól függ.This process depends on the features provided by the VPN appliance. Ha például a Windows Server 2012 útválasztási és távelérési szolgáltatását használja, akkor az RRAS naplózástól.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

A kapcsolati problémákra vonatkozó információk rögzítéséhez használja az Azure VPN-átjáró-diagnosztikát.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Ezen naplók segítségével olyan információk követhetők nyomon például, mint a kapcsolati kérelmek forrása és célja, a használt protokoll típusa és a kapcsolat létrehozásának módja (vagy a meghiúsulás oka).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Monitorozza az Azure VPN-átjáró működési naplóit az Azure Portalon elérhető auditnaplók segítségével.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. A helyi hálózati átjáróhoz, az Azure hálózati átjáróhoz és a kapcsolathoz külön naplók érhetők el.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Ezzel az információval nyomon követhetők az átjáró módosításai, és hasznosak lehetnek, ha egy korábban funkcionáló átjáró működése valamiért leáll.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

A Azure Portal képernyőképe, amely a naplózási események dátum szerinti szűrését mutatja be.A screenshot of the Azure portal, showing audit log events filtered by date.

Monitorozza a kapcsolatokat, és kövesse nyomon a hibaeseményeket.Monitor connectivity, and track connectivity failure events. Az információ rögzítéséhez és jelentéséhez használhat olyan monitorozási csomagokat, mint amilyen például a Nagios.You can use a monitoring package such as Nagios to capture and report this information.

A kapcsolattal kapcsolatos hibákért tekintse meg a hibrid VPN-kapcsolat hibakeresésecímű témakört.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Ha a helyszíni hálózatról az Azure-ra irányuló átjáró kapcsolata nem érhető el, az Azure-beli virtuális hálózaton továbbra is elérheti az Azure-beli virtuális gépeket.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

Biztonsági szempontokSecurity considerations

Minden VPN-átjáróhoz hozzon létre különböző megosztott kulcsot.Generate a different shared key for each VPN gateway. Egy erős megosztott kulccsal könnyebb ellenállni a találgatásos támadásoknak.Use a strong shared key to help resist brute-force attacks.

Azure Stack kapcsolatok esetében minden egyes VPN-alagúthoz állítson be egy másik megosztott kulcsot.For Azure Stack connections, generate a different shared key for each VPN tunnel. Egy erős megosztott kulccsal könnyebb ellenállni a találgatásos támadásoknak.Use a strong shared key to help resist brute-force attacks.

Megjegyzés

Az Azure Key Vault jelenleg nem használható az Azure VPN-átjáró kulcsainak előzetes megosztására.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Győződjön meg arról, hogy a helyszíni VPN-készülék az Azure VPN-átjáróval kompatibilis titkosítási módszert alkalmaz.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. A házirendalapú útválasztás esetében az Azure VPN-átjáró az AES256, az AES128 és a 3DES titkosítási algoritmust támogatja.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Az útvonalalapú átjárók az AES256 és 3DES titkosítási algoritmust támogatják.Route-based gateways support AES256 and 3DES.

Ha a helyszíni VPN-berendezés olyan szegélyhálózaton (DMZ) található, amely tűzfalat tart fenn a szegélyhálózat és az internet között, akkor előfordulhat, hogy további tűzfalszabályokat kell konfigurálnia a helyek közötti VPN-kapcsolat engedélyezéséhez.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Ha a virtuális hálózatban lévő alkalmazás adatokat küld az internetre, érdemes lehet kényszerített bújtatást megvalósítani , hogy az összes internetes forgalmat a helyszíni hálózaton keresztül irányítsa.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Ez a megközelítés lehetővé teszi az alkalmazás által a helyszíni infrastruktúráról kimenő kérelmek naplózását.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Megjegyzés

A kényszerített bújtatás hatással lehet az Azure-szolgáltatásokhoz (például a Storage Service-hez) és a Windows licenckezelőhöz való kapcsolódásra.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Költségekkel kapcsolatos szempontokCost considerations

Az Azure díjkalkulátorával megbecsülheti költségeit.Use the Azure pricing calculator to estimate costs. Az általános szempontokat lásd: Microsoft Azure Well-Architected FrameworkCost (COST) szakasza.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Az architektúrában használt szolgáltatások díja a következőképpen történik:The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

Ennek az architektúrának a fő összetevője a VPN Gateway szolgáltatás.The main component of this architecture is the VPN gateway service. A díjat az átjáró üzemképes állapotának és rendelkezésre állásának időtartama számoljuk fel.You are charged based on the amount of time that the gateway is provisioned and available.

Minden bejövő forgalom ingyenes, minden kimenő forgalom díja.All inbound traffic is free, all outbound traffic is charged. Az internetes sávszélesség költségei a VPN kimenő forgalmára vonatkoznak.Internet bandwidth costs are applied to VPN outbound traffic.

További információkért lásd: VPN Gateway-díjszabás.For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Az Azure Virtual Network ingyenes.Azure Virtual Network is free. Előfizetésenként akár 50 virtuális hálózat is létrehozható minden régióban.Every subscription is allowed to create up to 50 virtual networks across all regions.

A virtuális hálózat határain belül minden forgalom ingyenes.All traffic that occurs within the boundaries of a virtual network is free. Így az azonos virtuális hálózatban lévő két virtuális gép közötti kommunikáció ingyenes.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Az Azure Bastion biztonságosan csatlakozik a virtuális hálózathoz RDP-és SSH-kapcsolaton keresztül a virtuális géphez anélkül, hogy a virtuális gépen be kellene állítania egy nyilvános IP-címet.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Minden olyan virtuális hálózatban meg kell adni a megkötést, amely a-hez csatlakozni kívánó virtuális gépeket tartalmazza.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Ez a megoldás gazdaságosabb és biztonságosabb, mint a Jump Box használata.This solution is more economical and secure than using jump boxes.

Példaként lásd: az Azure Bastion díjszabása.For examples, see Azure Bastion Pricing.

Virtuális gép és belső terheléselosztóVirtual machine and internal load balancers

Ebben az architektúrában a belső terheléselosztó a virtuális hálózaton belüli forgalom elosztására szolgál.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Az azonos virtuális hálózatban található virtuális gépek közötti alapszintű terheléselosztás ingyenes.Basic load balancing between virtual machines that reside in the same virtual network is free.

A virtuálisgép-méretezési csoportok minden Linux és Windows rendszerű virtuális gépen elérhetők.Virtual machine scale sets are available on all Linux and windows VM sizes. Csak az üzembe helyezett Azure-beli virtuális gépekért és a mögöttes infrastruktúra-erőforrásokért kell fizetnie (például tárolás és Hálózatkezelés).You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. A virtuálisgép-méretezési csoportok szolgáltatáshoz nem tartoznak növekményes díjak.There are no incremental charges for the virtual machine scale sets service.

További információ: Azure-beli virtuális gépek díjszabása.For more information, see Azure VM pricing.

A megoldás üzembe helyezéseDeploy the solution

A hivatkozási architektúra üzembe helyezéséhez tekintse meg a GitHub információs fájlját.To deploy this reference architecture, see the GitHub readme.

Következő lépésekNext steps

Bár a VPN-ek a virtuális hálózatok az Azure-on belüli összekapcsolására használhatók, nem mindig a legjobb választás.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. További információ: választás a virtuális hálózatok közötti és VPN-átjárók között az Azure-ban.For more information, see Choose between virtual network peering and VPN gateways in Azure.