Virtuele privénetwerken van Azure beschrijven
Een virtueel particulier netwerk (VPN) maakt gebruik van een versleutelde tunnel binnen een ander netwerk. VPN's worden doorgaans geïmplementeerd om twee of meer vertrouwde privénetwerken met elkaar te verbinden via een niet-vertrouwd netwerk (meestal het openbare internet). Verkeer wordt tijdens het verzenden via het niet-vertrouwde netwerk versleuteld om afluisteren of andere aanvallen te voorkomen. VPN's kunnen netwerken in staat stellen om gevoelige informatie veilig en veilig te delen.
VPN-gateways
Een VPN Gateway is een type virtuele netwerkgateway. Azure VPN Gateway-exemplaren worden geïmplementeerd in een toegewezen subnet van het virtuele netwerk en maken de volgende connectiviteit mogelijk:
- On-premises datacentrums verbinden met virtuele netwerken via een site-naar-site-verbinding.
- Individuele apparaten verbinden met virtuele netwerken via een punt-naar-site-verbinding.
- Virtuele netwerken met elkaar verbinden via een netwerk-naar-netwerk-verbinding.
Alle gegevensoverdracht wordt versleuteld in een privétunnel terwijl deze het internet overschrijdt. U kunt slechts één VPN-gateway implementeren in elk virtueel netwerk. U kunt echter één gateway gebruiken om verbinding te maken met meerdere locaties, waaronder andere virtuele netwerken of on-premises datacenters.
Bij het instellen van een VPN-gateway moet u het type VPN opgeven: op beleid gebaseerd of op route gebaseerd. Het primaire onderscheid tussen deze twee typen is hoe ze bepalen welk verkeer versleuteling nodig heeft. In Azure, ongeacht het VPN-type, is de gebruikte verificatiemethode een vooraf gedeelde sleutel.
- Bij op beleid gebaseerde VPN-gateways wordt voor elke tunnel een statisch IP-adres opgegeven voor pakketten die moeten worden versleuteld. Dit type VPN evalueert elk gegevenspakket op basis van die IP-adressen om de tunnel te kiezen waarmee het pakket wordt verzonden.
- In op route gebaseerde gateways worden IPSec-tunnels gemodelleerd als een netwerkinterface of virtuele tunnelinterface. Met IP-routering (statische of dynamische routeringsprotocollen) wordt bepaald welke van deze tunnelinterfaces wordt gebruikt wanneer een pakket moet worden verzonden. Op route gebaseerde VPN-verbindingen zijn de voorkeursmethode voor het maken van verbinding met on-premises apparaten. Ze zijn toleranter voor topologiewijzigingen, zoals het maken van nieuwe subnetten.
Gebruik een op route gebaseerde VPN Gateway als u een van de volgende typen connectiviteit nodig hebt:
- Verbindingen tussen virtuele netwerken
- Punt-naar-site-verbindingen
- Multi-site-verbindingen
- Co-existentie met een Azure ExpressRoute-gateway
Scenario's voor hoge beschikbaarheid
Als u een VPN configureert om uw gegevens veilig te houden, wilt u er ook voor zorgen dat het een maximaal beschikbare en fouttolerante VPN-configuratie is. Er zijn een aantal manieren om de tolerantie van uw VPN-gateway te maximaliseren.
Actief/stand-by
Standaard worden VPN-gateways geïmplementeerd als twee instanties, in een actief/stand-by-configuratie, zelfs als u maar één VPN-gatewayresource ziet in Azure. Wanneer gepland onderhoud of een niet-geplande onderbreking van invloed is op het actieve exemplaar, neemt het stand-by-exemplaar automatisch de verantwoordelijkheid voor verbindingen, zonder dat iemand hier iets voor hoeft te doen. Verbindingen worden tijdens deze failover onderbroken, maar deze worden in het geval van gepland onderhoud meestal binnen een paar seconden hersteld en in het geval van niet-geplande onderbrekingen binnen 90 seconden.
Actief/actief
Met de introductie van ondersteuning voor het BGP-routeringsprotocol kunt u VPN-gateways implementeren in een actief/actief-configuratie. In deze configuratie wijst u een uniek openbaar IP-adres toe aan elk exemplaar. Vervolgens maakt u afzonderlijke tunnels vanaf het on-premises apparaat naar elk IP-adres. U kunt de hoge beschikbaarheid uitbreiden door een extra VPN-apparaat on-premises te implementeren.
ExpressRoute-failover
Een andere optie voor hoge beschikbaarheid is dat u een VPN-gateway configureert als een beveiligd failoverpad voor ExpressRoute-verbindingen. ExpressRoute-circuits hebben een ingebouwde tolerantie. Ze zijn echter niet immuun voor fysieke problemen die van invloed zijn op de kabels die connectiviteit of storingen leveren die van invloed zijn op de volledige ExpressRoute-locatie. In scenario's met hoge beschikbaarheid en een risico als gevolg van storing in een ExpressRoute-circuit, kunt u ook een VPN-gateway inrichten die het internet als alternatieve connectiviteitsmethode gebruikt. Zo kan er altijd verbinding worden gemaakt met de virtuele netwerken.
Zone-redundante gateways
In regio's die beschikbaarheidszones ondersteunen, kunnen VPN- en ExpressRoute-gateways worden geïmplementeerd in een zone-redundante configuratie. Deze configuratie zorgt in een virtuele netwerkgateway voor tolerantie, schaalbaarheid en hoge beschikbaarheid. Gateways fysiek en logisch implementeren in Azure-beschikbaarheidszones scheidt gateways binnen een regio, terwijl uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen fouten op zoneniveau. Voor deze gateways zijn verschillende SKU's (Gateway Stock Keeping Units) vereist en worden standaard openbare IP-adressen gebruikt in plaats van openbare BASIC-IP-adressen.