On-premises netwerk dat is verbonden met Azure via een VPN-gatewayOn-premises network connected to Azure using a VPN gateway

Deze referentie architectuur laat zien hoe u een netwerk kunt uitbreiden van on-premises of van Azure Stack naar een virtueel Azure-netwerk met behulp van een site-naar-site virtueel particulier netwerk (VPN).This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). Verkeer loopt tussen het on-premises netwerk en Azure via een IPSec VPN-tunnel of via de Azure Stack multi tenant VPN-gateway.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Deze oplossing implementeren.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

Een diagram van de architectuur van de VPN-gateway.A diagram of the VPN gateway architecture. Een on-premises netwerk maakt verbinding met een virtueel Azure-netwerk via een VPN-gateway.An on-premises network connects to an Azure virtual network through a VPN gateway. Een virtueel netwerk in Azure Stack maakt ook verbinding met de VPN-gateway via open bare Vip's.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Een Visio-bestand van deze architectuur downloaden.Download a Visio file of this architecture.

ArchitectuurArchitecture

De architectuur bestaat uit de volgende onderdelen.The architecture consists of the following components.

  • On-premises netwerk.On-premises network. Een lokaal privénetwerk dat binnen een organisatie wordt uitgevoerd.A private local-area network running within an organization.

  • Azure stack.Azure Stack. Een netwerk omgeving met een Azure Stack-Tenant abonnement dat binnen een organisatie wordt uitgevoerd.A network environment on an Azure Stack tenant subscription, running within an organization. De Azure Stack VPN- Gateway verzendt versleuteld verkeer via een open bare verbinding met VIP-adressen (virtuele IP) en omvat de volgende onderdelen:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Gateway-subnet.Gateway subnet. Een speciaal subnet dat vereist is voor het implementeren van de VPN Gateway op Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Lokale netwerkgateway.Local network gateway. Hiermee wordt de doel-IP van de VPN-gateway in azure aangegeven, evenals de adres ruimte van het virtuele Azure-netwerk.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Site-naar-site-VPN-tunnel.Site-to-site VPN tunnel. Het verbindings type (IPSec) en de sleutel die is gedeeld met de Azure-VPN Gateway om verkeer te versleutelen.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • VPN-apparaat.VPN appliance. Een apparaat of service dat een externe verbinding met het on-premises netwerk biedt.A device or service that provides external connectivity to the on-premises network. Het VPN-apparaat kan een hardwareapparaat zijn maar het kan ook een softwareoplossing zijn, zoals RRAS (Routing and Remote Access-service) in Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Voor een lijst met ondersteunde VPN-apparaten en informatie over het configureren ervan voor verbinding met een Azure VPN-gateway, raadpleegt u de instructies voor het geselecteerde apparaat in het artikel VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen.For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Virtueel netwerk.Virtual network. De Cloud toepassing en de onderdelen voor de Azure VPN-gateway bevinden zich in hetzelfde virtuele netwerk.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Azure VPN-gateway.Azure VPN gateway. Met de VPN-gateway service kunt u het virtuele netwerk verbinden met het on-premises netwerk via een VPN-apparaat of verbinding maken met Azure stack via een site-naar-site-VPN-tunnel.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Zie Connect an on-premises network to a Microsoft Azure virtual network (On-premises netwerk verbinden met een virtueel Microsoft Azure-netwerk) voor meer informatie.For more information, see Connect an on-premises network to a Microsoft Azure virtual network. De VPN-gateway bevat de volgende elementen:The VPN gateway includes the following elements:

    • Virtuele netwerkgateway.Virtual network gateway. Een resource die een virtueel VPN-apparaat voor het virtuele netwerk biedt.A resource that provides a virtual VPN appliance for the virtual network. Het is verantwoordelijk voor het routeren van verkeer van het on-premises netwerk naar het virtuele netwerk.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Lokale netwerkgateway.Local network gateway. Een abstractie van het on-premises VPN-apparaat.An abstraction of the on-premises VPN appliance. Netwerkverkeer van de cloudtoepassing naar het on-premises netwerk wordt doorgestuurd via deze gateway.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Verbinding.Connection. De verbinding heeft eigenschappen die het verbindingstype (IPSec) opgeven en tevens de sleutel die wordt gedeeld met het on-premises VPN-apparaat voor het versleutelen van verkeer.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Gateway-subnet.Gateway subnet. De virtuele netwerkgateway is ondergebracht in een eigen subnet, dat aan verschillende vereisten is onderworpen, zoals beschreven in de sectie Aanbevelingen verderop.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Cloudtoepassing.Cloud application. De toepassing die in Azure wordt gehost.The application hosted in Azure. Er kunnen meerdere lagen zijn, met meerdere subnetten die zijn verbonden via Azure-load balancers.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Zie Windows VM-workloads uitvoeren en Linux VM-workloads uitvoeren voor meer informatie over de infrastructuur van de toepassing.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Interne load balancer.Internal load balancer. Netwerkverkeer van de VPN-gateway wordt doorgestuurd naar de cloudtoepassing via een interne load balancer.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. De load balancer bevindt zich in het front-endsubnet van de toepassing.The load balancer is located in the front-end subnet of the application.

  • Bastion.Bastion. Met Azure Bastion kunt u zich aanmelden bij vm's in het virtuele netwerk via SSH of Remote Desktop Protocol (RDP) zonder de vm's rechtstreeks op internet weer te geven.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. Als u de verbinding met het VPN verliest, kunt u nog steeds Bastion gebruiken voor het beheren van de virtuele machines in het virtuele netwerk.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

AanbevelingenRecommendations

De volgende aanbevelingen gelden voor de meeste scenario's.The following recommendations apply for most scenarios. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.Follow these recommendations unless you have a specific requirement that overrides them.

Subnet van virtuele netwerk en gatewayVirtual network and gateway subnet

Maak een virtueel Azure-netwerk met een adres ruimte die groot genoeg is voor al uw vereiste resources.Create an Azure virtual network with an address space large enough for all of your required resources. Zorg ervoor dat de adres ruimte van het virtuele netwerk voldoende ruimte heeft voor de groei als er waarschijnlijk extra Vm's in de toekomst nodig zijn.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. De adres ruimte van het virtuele netwerk mag niet overlappen met het on-premises netwerk.The address space of the virtual network must not overlap with the on-premises network. Het bovenstaande diagram maakt bijvoorbeeld gebruik van de adres ruimte 10.20.0.0/16 voor het virtuele netwerk.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Maak een subnet met de naam GatewaySubnet, met /27 als adresbereik.Create a subnet named GatewaySubnet, with an address range of /27. Dit subnet wordt vereist door de virtuele netwerkgateway.This subnet is required by the virtual network gateway. Door 32 adressen aan dit subnet toe te wijzen, kan worden voorkomen dat in de toekomst beperkingen in gatewaygrootte worden bereikt.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Voorkom ook dat dit subnet in het midden van de adresruimte wordt geplaatst.Also, avoid placing this subnet in the middle of the address space. U kunt het beste de adres ruimte voor het gateway-subnet instellen aan het bovenste einde van de adres ruimte van het virtuele netwerk.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. Het voorbeeld dat in het diagram wordt weergegeven, maakt gebruik van 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Hier volgt een snelle procedure voor het berekenen van de CIDR:Here is a quick procedure to calculate the CIDR:

  1. Stel de variabele bits in de adres ruimte van het virtuele netwerk in op 1, tot de bits die worden gebruikt door het gateway-subnet en stel vervolgens de resterende bits in op 0.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Converteer de resulterende bits naar een decimale indeling en druk deze uit als een adresruimte waarbij de lengte van het voorvoegsel is ingesteld op de grootte van het gatewaysubnet.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Een voor beeld: voor een virtueel netwerk met het IP-adres bereik 10.20.0.0/16 wordt het Toep assen van stap #1 hierboven 10.20.0 b 11111111.0 b11100000.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Als dit naar een decimale indeling wordt geconverteerd en uitgedrukt als een adresruimte, is 10.20.255.224/27 het resultaat.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Waarschuwing

Implementeer geen VM's in het gatewaysubnet.Do not deploy any VMs to the gateway subnet. Wijs evenmin een netwerkbeveiligingsgroep (NSG) toe aan dit subnet, omdat de gateway hierna niet meer functioneert.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Gateway van een virtueel netwerkVirtual network gateway

Wijs een openbaar IP-adres toe aan de virtuele netwerkgateway.Allocate a public IP address for the virtual network gateway.

Maak de virtuele netwerkgateway in het gatewaysubnet en wijs het zojuist toegewezen openbaar IP-adres eraan toe.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Gebruik het gatewaytype dat het beste aansluit bij uw behoeften en dat door uw VPN-apparaat wordt ingeschakeld:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Maak een op beleid gebaseerde gateway als u nauwkeurig wilt bepalen hoe aanvragen worden doorgestuurd op basis van beleidscriteria, zoals adresvoorvoegsels.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Op beleid gebaseerde gateways maken gebruik van statische routering en werken alleen met site-naar-site-verbindingen.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Een op een route gebaseerde gateway makenCreate a route-based gateway

    • U maakt verbinding met het on-premises netwerk met behulp van RRAS,You connect to the on-premises network using RRAS,
    • U ondersteunt verbindingen met meerdere locaties of meerdere regio's, ofYou support multi-site or cross-region connections, or
    • U hebt verbindingen tussen virtuele netwerken, met inbegrip van routes die meerdere virtuele netwerken passeren.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Op routes gebaseerde gateways maken gebruik van dynamische routering om verkeer tussen netwerken te regelen.Route-based gateways use dynamic routing to direct traffic between networks. Hierdoor worden fouten in het netwerkpad beter getolereerd dan met statische routes, omdat er alternatieve routes mogelijk zijn.They can tolerate failures in the network path better than static routes because they can try alternative routes. Op routes gebaseerde gateways kunnen ook de overhead vanwege beheer verminderen, omdat routes niet handmatig hoeven te worden bijgewerkt als netwerkadressen worden gewijzigd.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Zie VPN-apparaten en IPSec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen voor een lijst met ondersteunde VPN-apparaten.For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Notitie

Als de gateway is gemaakt, kunt u niet wisselen tussen gatewaytypen zonder de gateway te moeten verwijderen en opnieuw te maken.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Selecteer de SKU van Azure VPN Gateway die het meest overeenkomt met de vereisten voor uw doorvoer.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Zie Gateway-sku's voor meer informatie.For more information, see Gateway SKUs

Notitie

De basis-SKU is niet compatibel met Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. U kunt de SKU wijzigen nadat de gateway is gemaakt.You can change the SKU after the gateway has been created.

Maak routeringsregels voor het gatewaysubnet dat inkomend toepassingsverkeer doorstuurt van de gateway naar de interne load balancer, zodat er geen aanvragen rechtstreeks naar de toepassings-VM's hoeven te worden doorgegeven.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

On-premises netwerkverbindingOn-premises network connection

Maak een lokale netwerkgateway.Create a local network gateway. Geef het openbare IP-adres van het on-premises VPN-apparaat en de adresruimte van het on-premises netwerk op.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Het on-premises VPN-apparaat moet een openbaar IP-adres hebben dat kan worden geopend door de lokale netwerkgateway in Azure VPN Gateway.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. Het VPN-apparaat mag zich niet achter een NAT-apparaat (Network Address Translation) bevinden.The VPN device cannot be located behind a network address translation (NAT) device.

Maak een site-naar-site-verbinding voor de virtuele netwerkgateway en de lokale netwerkgateway.Create a site-to-site connection for the virtual network gateway and the local network gateway. Selecteer het site-naar-site-verbindingstype (IPSec) en geef de gedeelde sleutel op.Select the site-to-site (IPSec) connection type, and specify the shared key. Site-naar-site-versleuteling met de Azure VPN-gateway is gebaseerd op het IPSec-protocol met behulp van vooraf gedeeld sleutels voor verificatie.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. U geeft de sleutel op als u de Azure VPN-gateway maakt.You specify the key when you create the Azure VPN gateway. U moet het VPN-apparaat on-premises configureren met dezelfde sleutel.You must configure the VPN appliance running on-premises with the same key. Andere verificatiemechanismen worden momenteel niet ondersteund.Other authentication mechanisms are not currently supported.

Zorg ervoor dat de on-premises routerings infrastructuur is geconfigureerd voor het door sturen van aanvragen die bestemd zijn voor adressen in het virtuele Azure-netwerk naar het VPN-apparaat.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Open eventuele poorten die door de cloudtoepassing in het on-premises netwerk zijn vereist.Open any ports required by the cloud application in the on-premises network.

Test de verbinding om het volgende te controleren:Test the connection to verify that:

  • Of het on-premises VPN-apparaat verkeer correct via de Azure VPN-gateway doorstuurt naar de cloudtoepassing.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • Verkeer wordt op de juiste wijze door het virtuele netwerk doorgestuurd naar het on-premises netwerk.The virtual network correctly routes traffic back to the on-premises network.
  • Of niet-toegestaan verkeer in beide richtingen correct wordt geblokkeerd.Prohibited traffic in both directions is blocked correctly.

Azure Stack netwerk verbindingAzure Stack network connection

Deze referentie architectuur laat zien hoe u een virtueel netwerk in uw Azure Stack-implementatie verbindt met een virtueel netwerk in azure via de Azure Stack multi tenant VPN-gateway.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Een veelvoorkomend scenario is het isoleren van kritieke bewerkingen en gevoelige gegevens in Azure Stack en profiteer van Azure voor open bare trans acties en tijdelijke, niet-gevoelige bewerkingen.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

In deze architectuur loopt het netwerk verkeer via een VPN-tunnel met behulp van de multi tenant-gateway op Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Verkeer kan ook via het internet over Azure Stack en Azure stromen via Tenant-Vip's, Azure ExpressRoute of een virtueel netwerk apparaat dat fungeert als VPN-eind punt.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack capaciteit van de virtuele netwerk gatewayAzure Stack virtual network gateway capacity

Zowel de Azure VPN Gateway als de Azure Stack VPN-gateway ondersteunen Border Gateway Protocol (BGP) voor het uitwisselen van routerings gegevens tussen Azure en Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack biedt geen ondersteuning voor statische route ring voor de multi tenant-gateway.Azure Stack does not support static routing for the multitenant gateway.

Maak een Azure Stack virtueel netwerk met een toegewezen IP-adres ruimte die groot genoeg is voor alle vereiste resources.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. De adres ruimte van het virtuele netwerk mag niet overlappen met een ander netwerk dat zal worden verbonden met dit virtuele netwerk.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Een openbaar IP-adres wordt toegewezen aan de multi tenant-gateway tijdens de implementatie van Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Het wordt opgehaald uit de open bare VIP-groep.It is taken from the public VIP pool. De operator Azure Stack heeft geen controle over welk IP-adres wordt gebruikt, maar kan de toewijzing vaststellen.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Waarschuwing

Werk belasting Vm's kunnen niet worden geïmplementeerd op het subnet van de Azure Stack gateway.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Wijs evenmin een netwerkbeveiligingsgroep (NSG) toe aan dit subnet, omdat de gateway hierna niet meer functioneert.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

SchaalbaarheidsoverwegingenScalability considerations

U kunt beperkte verticale schaalbaarheid bereiken door van Basic of Standard VPN Gateway-SKU's over te stappen op de High Performance VPN-SKU.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

Voor virtuele netwerken die een grote hoeveelheid VPN-verkeer verwachten, kunt u overwegen om de verschillende werk belastingen te verdelen in afzonderlijke, kleinere virtuele netwerken en een VPN-gateway voor elk van deze te configureren.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

U kunt het virtuele netwerk horizon taal of verticaal partitioneren.You can partition the virtual network either horizontally or vertically. Als u horizon taal wilt partitioneren, verplaatst u enkele VM-exemplaren van elke laag naar subnetten van het nieuwe virtuele netwerk.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. Het resultaat is dat elk virtueel netwerk dezelfde structuur en functionaliteit heeft.The result is that each virtual network has the same structure and functionality. Als u verticaal wilt partitioneren, ontwerpt u elke laag opnieuw, zodat de functionaliteit over verschillende logische gebieden wordt verdeeld (zoals het verwerken van orders, facturering, beheer van klantaccounts enzovoort).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Elk functioneel gebied kan vervolgens in een eigen virtueel netwerk worden geplaatst.Each functional area can then be placed in its own virtual network.

Het repliceren van een on-premises Active Directory domein controller in het virtuele netwerk en het implementeren van DNS in het virtuele netwerk, kan helpen bij het verminderen van een aantal beveiligings-en beheer verkeer dat van on-premises naar de Cloud stroomt.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Zie Active Directory Domain Services (AD DS) naar Azure uitbreiden voor meer informatie.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

BeschikbaarheidsoverwegingenAvailability considerations

Als u zeker wilt zijn dat het on-premises netwerk beschikbaar blijft voor de Azure VPN-gateway, implementeert u een failovercluster voor de on-premises VPN-gateway.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Als uw organisatie meerdere on-premises sites heeft, maakt u verbinding met meerdere locaties met een of meer virtuele Azure-netwerken.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Voor deze benadering is dynamische (op route gebaseerde) routering vereist. U dient er dus voor te zorgen dat de on-premises VPN-gateway deze functie ondersteunt.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Zie SLA voor VPN Gateway voor meer informatie over service level agreements.For details about service level agreements, see SLA for VPN Gateway.

Op Azure Stack kunt u VPN-gateways uitvouwen om interfaces toe te voegen aan meerdere Azure Stack tempels en Azure-implementaties.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

DevOps overwegingenDevOps considerations

Gebruik het IaC-proces (Infrastructure as code) voor het implementeren van de infra structuur.Use the Infrastructure as Code (IaC) process for deploying the infrastructure. In deze architectuur hebben we een set met Azure buil ding -sjablonen gebruikt die zijn geïmplementeerd met behulp van de Azure Portal.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Als u de implementatie van de infrastructuur wilt automatiseren, kunt u Azure DevOps-services of andere CI/CD-oplossingen gebruiken.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Het implementatie proces is ook idempotent.The deployment process is also idempotent.

Voor een bepaalde resource kunnen er andere resources zijn die moeten bestaan voordat de resource wordt geïmplementeerd.For a given resource, there can be other resources that must exist before the resource is deployed. Sjablonen voor Azure buil ding blocks zijn ook geschikt voor het bijhouden van afhankelijkheden, omdat hiermee afhankelijkheden kunnen worden gedefinieerd voor resources die in dezelfde sjabloon worden geïmplementeerd.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Alle hoofd bronnen (virtuele-machine schaalset, VPN-gateway, Azure-Bastion) bevinden zich in hetzelfde virtuele netwerk, zodat ze in dezelfde basis werk belasting worden geïsoleerd.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Het is nu eenvoudiger om de specifieke resources van de werk belasting aan een team te koppelen, zodat het team onafhankelijk alle aspecten van deze resources kan beheren.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Dankzij deze isolatie kunnen DevOps continue integratie en continue levering (CI/CD) uitvoeren.This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

BewakingMonitoring

Bewaak diagnostische gegevens afkomstig van on-premises VPN-apparaten.Monitor diagnostic information from on-premises VPN appliances. Dit proces is afhankelijk van de door het VPN-apparaat geboden functies.This process depends on the features provided by the VPN appliance. Als u bijvoorbeeld de Routing and Remote Access-service onder Windows Server 2012 gebruikt, kiest u RRAS logging (Logboekregistratie met RRAS).For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Gebruik Azure VPN gateway diagnostics (Diagnostische gegevens van Azure VPN-gateway) om informatie over verbindingsproblemen vast te leggen.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Deze logboeken kunnen worden gebruikt voor het bijhouden van gegevens, zoals de bron en de bestemmingen van verbindingsaanvragen, het gebruikte protocol en hoe de verbinding is opgezet (of waarom de poging is mislukt).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Bewaak de operationele logboeken van de Azure VPN-gateway met de auditlogboeken die in Azure Portal beschikbaar zijn.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Er zijn afzonderlijke logboeken beschikbaar voor de lokale netwerkgateway, de Azure-netwerkgateway en de verbinding.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Deze informatie kan worden gebruikt voor het bijhouden van wijzigingen aan de gateway en kan nuttig zijn als een eerder functionerende gateway om een bepaalde reden niet meer werkt.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Een scherm opname van het Azure Portal, waarin de gebeurtenissen van het controle logboek worden gefilterd op datum.A screenshot of the Azure portal, showing audit log events filtered by date.

Controleer de connectiviteit en houd mislukte verbindingen bij.Monitor connectivity, and track connectivity failure events. U kunt een controlepakket gebruiken, bijvoorbeeld Nagios, om deze gegevens vast te leggen en te rapporteren.You can use a monitoring package such as Nagios to capture and report this information.

Zie problemen met een hybride VPN-verbinding oplossenvoor het oplossen van de verbinding.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Als gateway connectiviteit van uw on-premises netwerk naar Azure niet actief is, kunt u nog steeds de virtuele machines in het virtuele Azure-netwerk bereiken via Azure Bastion.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

BeveiligingsoverwegingenSecurity considerations

Genereer voor elke VPN-gateway een andere gedeelde sleutel.Generate a different shared key for each VPN gateway. Gebruik een sterke gedeelde sleutel om beveiligingsaanvallen tegen te gaan.Use a strong shared key to help resist brute-force attacks.

Genereer voor Azure Stack verbindingen een andere gedeelde sleutel voor elke VPN-tunnel.For Azure Stack connections, generate a different shared key for each VPN tunnel. Gebruik een sterke gedeelde sleutel om beveiligingsaanvallen tegen te gaan.Use a strong shared key to help resist brute-force attacks.

Notitie

Momenteel kunt u Azure Key Vault niet gebruiken voor het vooraf delen van sleutels voor de Azure VPN-gateway.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Zorg ervoor dat het on-premises VPN-apparaat een versleutelingsmethode gebruikt die compatibel is met de Azure VPN-gateway.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Voor routering op basis van beleid ondersteunt de Azure VPN-gateway de versleutelingsalgoritmen AES256, AES128 en 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Gateways op basis van routes ondersteunen AES256 en 3DES.Route-based gateways support AES256 and 3DES.

Als uw on-premises VPN-apparaat zich op een perimeternetwerk (DMZ) bevindt met een firewall tussen het perimeternetwerk en internet, dient u mogelijk aanvullende firewallregels te configureren om de site-naar-site-VPN-verbinding toe te staan.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Als de toepassing in het virtuele netwerk gegevens verzendt naar het Internet, kunt u overwegen om geforceerde tunneling te implementeren om alle Internet verkeer via het on-premises netwerk te routeren.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Met deze methode kunt u vanaf de on-premises infrastructuur uitgaande aanvragen controleren die door de toepassing zijn gemaakt.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Notitie

Geforceerde tunneling kan van invloed zijn op de connectiviteit met Azure-services (bijvoorbeeld de Storage-service) en Windows-licentiebeheer.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

KostenoverwegingenCost considerations

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken.Use the Azure pricing calculator to estimate costs. Zie de sectie kosten in Microsoft Azure Well-Architected Frameworkvoor algemene overwegingen.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

De services die in deze architectuur worden gebruikt, worden als volgt in rekening gebracht:The services used in this architecture are charged as follows:

Azure VPN-gatewayAzure VPN Gateway

Het belangrijkste onderdeel van deze architectuur is de VPN-gateway service.The main component of this architecture is the VPN gateway service. Kosten worden in rekening gebracht op basis van de duur van het inrichten van de gateway en de beschikbaarheid.You are charged based on the amount of time that the gateway is provisioned and available.

Al het inkomende verkeer is gratis, alle uitgaande verkeer wordt in rekening gebracht.All inbound traffic is free, all outbound traffic is charged. Kosten voor internetbandbreedte worden toegepast op uitgaand VPN-verkeer.Internet bandwidth costs are applied to VPN outbound traffic.

Zie Prijzen van VPN Gateway voor meer informatie.For more information, see VPN Gateway Pricing.

Virtueel Azure-netwerkAzure Virtual Network

Azure Virtual Network is gratis.Azure Virtual Network is free. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's.Every subscription is allowed to create up to 50 virtual networks across all regions.

Al het verkeer dat plaatsvindt binnen de grenzen van een virtueel netwerk is gratis.All traffic that occurs within the boundaries of a virtual network is free. De communicatie tussen twee virtuele machines in hetzelfde virtuele netwerk is dus gratis.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Azure Bastion maakt een beveiligde verbinding met uw virtuele machine in het virtuele netwerk via RDP en SSH zonder dat hiervoor een openbaar IP-adres op de virtuele machine hoeft te worden geconfigureerd.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. In elk virtueel netwerk dat virtuele machines bevat waarmee u verbinding wilt maken, hebt u Bastion nodig.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. Deze oplossing is voordeliger en veiliger dan het gebruik van Jump boxen.This solution is more economical and secure than using jump boxes.

Zie prijzen voor Azure Bastionvoor voor beelden.For examples, see Azure Bastion Pricing.

Virtuele machine en interne load balancersVirtual machine and internal load balancers

In deze architectuur worden interne load balancers gebruikt voor het verdelen van verkeer binnen een virtueel netwerk.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Eenvoudige taak verdeling tussen virtuele machines die zich in hetzelfde virtuele netwerk bevinden, is gratis.Basic load balancing between virtual machines that reside in the same virtual network is free.

Virtuele-machine schaal sets zijn beschikbaar op alle Linux-en Windows VM-grootten.Virtual machine scale sets are available on all Linux and windows VM sizes. Er worden alleen kosten in rekening gebracht voor de virtuele Azure-machines die u implementeert en onderliggende infrastructuur resources die worden verbruikt, zoals opslag en netwerken.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Er zijn geen incrementele kosten voor de virtuele-machine Scale sets-service.There are no incremental charges for the virtual machine scale sets service.

Zie prijzen van Azure VMvoor meer informatie.For more information, see Azure VM pricing.

De oplossing implementerenDeploy the solution

Zie het github Leesmijvoor informatie over het implementeren van deze referentie architectuur.To deploy this reference architecture, see the GitHub readme.

Volgende stappenNext steps

Hoewel Vpn's kunnen worden gebruikt voor het verbinden van virtuele netwerken in azure, is het niet altijd de beste keuze.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Zie kiezen tussen virtuele netwerk peering en VPN-gateways in azurevoor meer informatie.For more information, see Choose between virtual network peering and VPN gateways in Azure.