Rozszerzanie sieci lokalnej przy użyciu sieci VPN

Bastion
Azure Stack
Virtual Machines
Virtual Network
VPN Gateway

Ta architektura referencyjna pokazuje, jak zwiększyć sieć z lokalnego lub Azure Stack do sieci wirtualnej platformy Azure przy użyciu wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja.This reference architecture shows how to extend a network from on premises or from Azure Stack into an Azure virtual network, using a site-to-site virtual private network (VPN). Przepływy ruchu między siecią lokalną i platformą Azure za pośrednictwem tunelu IPSec VPN lub za pośrednictwem wielodostępnej bramy sieci VPN w Azure Stack.Traffic flows between the on-premises network and Azure through an IPSec VPN tunnel or through the Azure Stack multitenant VPN gateway. Wdróż to rozwiązanie.Deploy this solution.

Hybrid network spanning on-premises and Azure infrastructures

Diagram architektury bramy sieci VPN.A diagram of the VPN gateway architecture. Sieć lokalna łączy się z siecią wirtualną platformy Azure za pośrednictwem bramy sieci VPN.An on-premises network connects to an Azure virtual network through a VPN gateway. Sieć wirtualna w Azure Stack łączy się również z bramą sieci VPN za pośrednictwem publicznych adresów VIP.A virtual network in Azure Stack also connects to the VPN gateway through public VIPs.

Pobierz plik programu Visio z tą architekturą.Download a Visio file of this architecture.

ArchitekturaArchitecture

Niniejsza architektura zawiera następujące składniki.The architecture consists of the following components.

  • Sieć lokalna.On-premises network. Prywatna sieć lokalna działająca w organizacji.A private local-area network running within an organization.

  • Azure Stack.Azure Stack. Środowisko sieciowe w Azure Stackej subskrypcji dzierżawy uruchomionej w organizacji.A network environment on an Azure Stack tenant subscription, running within an organization. Azure Stack Brama sieci VPN wysyła zaszyfrowany ruch w ramach połączenia publicznego do wirtualnych adresów IP (VIP) i obejmuje następujące składniki:The Azure Stack VPN gateway sends encrypted traffic across a public connection to virtual IP (VIP) addresses and includes the following components:

    • Podsieć bramy.Gateway subnet. Specjalna podsieć wymagana do wdrożenia VPN Gateway w Azure Stack.A special subnet required to deploy the VPN Gateway on Azure Stack.
    • Brama sieci lokalnej.Local network gateway. Wskazuje docelowy adres IP bramy sieci VPN na platformie Azure, a także przestrzeń adresową sieci wirtualnej platformy Azure.Indicates the target IP of the VPN gateway in Azure, as well as the address space of the Azure virtual network.
    • Tunel sieci VPN typu lokacja-lokacja.Site-to-site VPN tunnel. Typ połączenia (IPSec) i klucz współużytkowany przez VPN Gateway platformy Azure do szyfrowania ruchu.The connection type (IPSec) and the key shared with the Azure VPN Gateway to encrypt traffic.
  • Urządzenie sieci VPN.VPN appliance. Urządzenie lub usługa, która zapewnia sieci lokalnej łączność zewnętrzną.A device or service that provides external connectivity to the on-premises network. Urządzenie sieci VPN może być urządzeniem sprzętowym lub rozwiązaniem programowym, takim jak usługa Routing i dostęp zdalny (RRAS) w systemie Windows Server 2012.The VPN appliance may be a hardware device, or it can be a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Aby uzyskać listę obsługiwanych urządzeń sieci VPN i informacje na temat ich konfigurowania pod kątem połączenia z bramą sieci VPN platformy Azure, zobacz instrukcje dla wybranego urządzenia w artykule About VPN devices for Site-to-Site VPN Gateway connections (Informacje o urządzeniach sieci VPN używanych na potrzeby połączeń bramy VPN typu lokacja-lokacja).For a list of supported VPN appliances and information on configuring them to connect to an Azure VPN gateway, see the instructions for the selected device in the article About VPN devices for Site-to-Site VPN Gateway connections.

  • Sieć wirtualna.Virtual network. Aplikacja w chmurze i składniki bramy sieci VPN platformy Azure znajdują się w tej samej sieci wirtualnej.The cloud application and the components for the Azure VPN gateway reside in the same virtual network.

  • Brama sieci VPN platformy Azure.Azure VPN gateway. Usługa bramy sieci VPN umożliwia łączenie sieci wirtualnej z siecią lokalną za pośrednictwem urządzenia sieci VPN lub łączenie się z Azure Stack za pośrednictwem tunelu sieci VPN typu lokacja-lokacja.The VPN gateway service enables you to connect the virtual network to the on-premises network through a VPN appliance or to connect to Azure Stack through a site-to-site VPN tunnel. Aby uzyskać więcej informacji, zobacz Connect an on-premises network to a Microsoft Azure virtual network (Łączenie sieci lokalnej z siecią wirtualną platformy Microsoft Azure).For more information, see Connect an on-premises network to a Microsoft Azure virtual network. Brama sieci VPN obejmuje następujące elementy:The VPN gateway includes the following elements:

    • Brama sieci wirtualnej.Virtual network gateway. Zasób, który zapewnia wirtualne urządzenie sieci VPN dla sieci wirtualnej.A resource that provides a virtual VPN appliance for the virtual network. Jest on odpowiedzialny za kierowanie ruchu z sieci lokalnej do sieci wirtualnej.It is responsible for routing traffic from the on-premises network to the virtual network.
    • Brama sieci lokalnej.Local network gateway. Abstrakcja lokalnego urządzenia sieci VPN.An abstraction of the on-premises VPN appliance. Ruch sieciowy z aplikacji w chmurze do sieci lokalnej jest kierowany przez tę bramę.Network traffic from the cloud application to the on-premises network is routed through this gateway.
    • Połączenie.Connection. Połączenie ma właściwości, które określają typ połączenia (IPSec) i klucz udostępniany lokalnemu urządzeniu sieci VPN do szyfrowania ruchu.The connection has properties that specify the connection type (IPSec) and the key shared with the on-premises VPN appliance to encrypt traffic.
    • Podsieć bramy.Gateway subnet. Brama sieci wirtualnej znajduje się we własnej podsieci, która musi spełniać różne wymagania, opisane w sekcji Zalecenia poniżej.The virtual network gateway is held in its own subnet, which is subject to various requirements, described in the Recommendations section below.
  • Aplikacja w chmurze.Cloud application. Aplikacja hostowana na platformie Azure.The application hosted in Azure. Może ona zawierać wiele warstw z wieloma podsieciami połączonymi za pośrednictwem modułów równoważenia obciążenia platformy Azure.It might include multiple tiers, with multiple subnets connected through Azure load balancers. Aby uzyskać więcej informacji na temat infrastruktury aplikacji, zobacz Running Windows VM workloads (Uruchamianie obciążeń maszyny wirtualnej z systemem Windows) i Running Linux VM workloads (Uruchamianie obciążeń maszyny wirtualnej z systemem Linux).For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • Wewnętrzne równoważenie obciążenia.Internal load balancer. Ruch sieciowy z bramy sieci VPN jest kierowany do aplikacji w chmurze za pośrednictwem wewnętrznego modułu równoważenia obciążenia.Network traffic from the VPN gateway is routed to the cloud application through an internal load balancer. Moduł równoważenia obciążenia znajduje się we frontowej podsieci aplikacji.The load balancer is located in the front-end subnet of the application.

  • Bastionu.Bastion. Usługa Azure bastionu umożliwia logowanie się do maszyn wirtualnych w sieci wirtualnej za pośrednictwem protokołu SSH lub RDP (Remote Desktop Protocol) bez uwidaczniania maszyn wirtualnych bezpośrednio w Internecie.Azure Bastion allows you to log into VMs in the virtual network through SSH or remote desktop protocol (RDP) without exposing the VMs directly to the internet. W przypadku utraty łączności za pośrednictwem sieci VPN można nadal używać bastionu do zarządzania maszynami wirtualnymi w sieci wirtualnej.If you lose connectivity through the VPN, you can still use Bastion to manage the VMs in the virtual network.

ZaleceniaRecommendations

Poniższe zalecenia dotyczą większości scenariuszy.The following recommendations apply for most scenarios. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.Follow these recommendations unless you have a specific requirement that overrides them.

Sieć wirtualna i podsieć bramyVirtual network and gateway subnet

Utwórz sieć wirtualną platformy Azure z wystarczającą przestrzenią adresową dla wszystkich wymaganych zasobów.Create an Azure virtual network with an address space large enough for all of your required resources. Upewnij się, że przestrzeń adresowa sieci wirtualnej ma wystarczającą ilość miejsca do wzrostu, jeśli w przyszłości będzie można wymagać dodatkowych maszyn wirtualnych.Ensure that the virtual network address space has sufficient room for growth if additional VMs are likely to be needed in the future. Przestrzeń adresowa sieci wirtualnej nie może nakładać się na sieć lokalną.The address space of the virtual network must not overlap with the on-premises network. Na przykład powyższy diagram używa przestrzeni adresowej 10.20.0.0/16 dla sieci wirtualnej.For example, the diagram above uses the address space 10.20.0.0/16 for the virtual network.

Utwórz podsieć o nazwie GatewaySubnet mającą zakres adresów równy /27.Create a subnet named GatewaySubnet, with an address range of /27. Ta podsieć jest wymagana przez bramę sieci wirtualnej.This subnet is required by the virtual network gateway. Przydzielenie 32 adresów do tej podsieci pomoże zapobiec osiągnięciu ograniczenia rozmiaru bramy w przyszłości.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future. Ponadto unikaj umieszczania tej podsieci w środku przestrzeni adresowej.Also, avoid placing this subnet in the middle of the address space. Dobrym sposobem jest ustawienie przestrzeni adresowej podsieci bramy w górnym końcu przestrzeni adresowej sieci wirtualnej.A good practice is to set the address space for the gateway subnet at the upper end of the virtual network address space. W przykładzie zamieszczonym w diagramie użyto 10.20.255.224/27.The example shown in the diagram uses 10.20.255.224/27. Poniżej przedstawiono krótką procedurę obliczenia CIDR:Here is a quick procedure to calculate the CIDR:

  1. Ustaw bity zmienne w przestrzeni adresowej sieci wirtualnej na 1, do bitów używanych przez podsieć bramy, a następnie ustaw pozostałe bity na 0.Set the variable bits in the address space of the virtual network to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.
  2. Przekonwertuj uzyskane bity na wartość dziesiętną i wyraź ją jako przestrzeń adresową z długością prefiksu odpowiadającą rozmiarowi podsieci bramy.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

Na przykład w przypadku sieci wirtualnej z zakresem adresów IP 10.20.0.0/16 zastosowanie kroku #1 powyżej 10.20.0 b 11111111.0 b11100000.For example, for a virtual network with an IP address range of 10.20.0.0/16, applying step #1 above becomes 10.20.0b11111111.0b11100000. Przekonwertowanie tej wartości do wartości dziesiętnej i przedstawienie jej jako przestrzeni adresowej daje 10.20.255.224/27.Converting that to decimal and expressing it as an address space yields 10.20.255.224/27.

Ostrzeżenie

Nie wdrażaj maszyn wirtualnych w ramach podsieci bramy.Do not deploy any VMs to the gateway subnet. Nie przypisuj także sieciowej grupy zabezpieczeń do tej podsieci, ponieważ spowoduje to, że brama przestanie działać.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Brama sieci wirtualnejVirtual network gateway

Przydziel publiczny adres IP dla bramy sieci wirtualnej.Allocate a public IP address for the virtual network gateway.

Utwórz bramę sieci wirtualnej w podsieci bramy i przypisz jej nowo przydzielony publiczny adres IP.Create the virtual network gateway in the gateway subnet and assign it the newly allocated public IP address. Użyj typu bramy, który najlepiej pasuje do wymagań i który został włączony przez urządzenie sieci VPN:Use the gateway type that most closely matches your requirements and that is enabled by your VPN appliance:

  • Utwórz bramę opartą na zasadach, jeśli chcesz ściśle kontrolować sposób kierowania żądań w oparciu o kryteria zasad, na przykład prefiksy adresów.Create a policy-based gateway if you need to closely control how requests are routed based on policy criteria such as address prefixes. Bramy oparte na zasadach używają routingu statycznego i działają tylko w przypadku połączeń lokacja-lokacja.Policy-based gateways use static routing, and only work with site-to-site connections.

  • Tworzenie bramy opartej na trasachCreate a route-based gateway

    • Łączysz się z siecią lokalną za pomocą usługi RRAS,You connect to the on-premises network using RRAS,
    • Obsługiwane są połączenia obejmujące wiele lokacji lub między różnymi regionami.You support multi-site or cross-region connections, or
    • Istnieją połączenia między sieciami wirtualnymi, w tym trasy przechodzące przez wiele sieci wirtualnych.You have connections between virtual networks, including routes that traverse multiple virtual networks.

    Bramy oparte na trasach używają routingu dynamicznego do kierowania ruchu między sieciami.Route-based gateways use dynamic routing to direct traffic between networks. Ponieważ mogą wykorzystywać trasy alternatywne, lepiej tolerują błędy na ścieżce sieciowej niż trasy statyczne.They can tolerate failures in the network path better than static routes because they can try alternative routes. Bramy oparte na trasach pomagają również zmniejszyć nakład pracy związany z zarządzaniem, ponieważ trasy nie muszą być ręcznie aktualizowane w przypadku zmiany adresów sieciowych.Route-based gateways can also reduce the management overhead because routes might not need to be updated manually when network addresses change.

Aby uzyskać listę obsługiwanych urządzeń sieci VPN, zobacz About VPN devices for Site-to-Site VPN Gateway connections (Informacje o urządzeniach sieci VPN używanych na potrzeby połączeń bramy VPN typu lokacja-lokacja).For a list of supported VPN appliances, see About VPN devices for Site-to-Site VPN Gateway connections.

Uwaga

Po utworzeniu bramy nie można zmienić typu bramy bez jej usunięcia i utworzenia na nowo.After the gateway has been created, you cannot change between gateway types without deleting and re-creating the gateway.

Wybierz jednostkę SKU bramy sieci VPN platformy Azure, która najlepiej pasuje do wymagań w zakresie przepływności.Select the Azure VPN gateway SKU that most closely matches your throughput requirements. Aby uzyskać więcej informacji, zobacz jednostki SKU bramyFor more information, see Gateway SKUs

Uwaga

Podstawowa jednostka SKU nie jest zgodna z usługą Azure ExpressRoute.The Basic SKU is not compatible with Azure ExpressRoute. Możesz zmienić jednostkę SKU po utworzeniu bramy.You can change the SKU after the gateway has been created.

Utwórz reguły routingu dla podsieci bramy kierujące ruch przychodzący aplikacji z bramy do wewnętrznego modułu równoważenia obciążenia, zamiast zezwalać na przekazywanie żądań bezpośrednio do maszyn wirtualnych aplikacji.Create routing rules for the gateway subnet that direct incoming application traffic from the gateway to the internal load balancer, rather than allowing requests to pass directly to the application VMs.

Połączenie z siecią lokalnąOn-premises network connection

Utwórz bramę sieci lokalnej.Create a local network gateway. Określ publiczny adres IP lokalnego urządzenia sieci VPN oraz przestrzeń adresową sieci lokalnej.Specify the public IP address of the on-premises VPN appliance, and the address space of the on-premises network. Pamiętaj, że lokalne urządzenie sieci VPN musi mieć publiczny adres IP dostępny przez bramę sieci lokalnej w bramie sieci VPN platformy Azure.Note that the on-premises VPN appliance must have a public IP address that can be accessed by the local network gateway in Azure VPN Gateway. Urządzenie sieci VPN nie może znajdować się za translatorem adresów sieciowych (NAT).The VPN device cannot be located behind a network address translation (NAT) device.

Utwórz połączenie lokacja-lokacja dla bramy sieci wirtualnej i bramy sieci lokalnej.Create a site-to-site connection for the virtual network gateway and the local network gateway. Wybierz typ połączenia lokacja-lokacja (IPSec) i określ klucz wspólny.Select the site-to-site (IPSec) connection type, and specify the shared key. Szyfrowanie lokacja-lokacja z bramą sieci VPN platformy Azure jest oparte na protokole IPSec i korzysta z kluczy wstępnych do uwierzytelniania.Site-to-site encryption with the Azure VPN gateway is based on the IPSec protocol, using preshared keys for authentication. Klucz należy określić podczas tworzenia bramy sieci VPN platformy Azure.You specify the key when you create the Azure VPN gateway. Urządzenie sieci VPN uruchamiane lokalnie należy skonfigurować z tym samym kluczem.You must configure the VPN appliance running on-premises with the same key. Inne mechanizmy uwierzytelniania nie są obecnie obsługiwane.Other authentication mechanisms are not currently supported.

Upewnij się, że lokalna infrastruktura routingu jest skonfigurowana do przesyłania dalej żądań przeznaczonych dla adresów w sieci wirtualnej platformy Azure do urządzenia sieci VPN.Ensure that the on-premises routing infrastructure is configured to forward requests intended for addresses in the Azure virtual network to the VPN device.

Otwórz porty w sieci lokalnej wymagane przez aplikację w chmurze.Open any ports required by the cloud application in the on-premises network.

Przetestuj połączenie, aby sprawdzić, czy:Test the connection to verify that:

  • Lokalne urządzenie sieci VPN poprawnie kieruje ruch do aplikacji w chmurze za pośrednictwem bramy sieci VPN platformy Azure.The on-premises VPN appliance correctly routes traffic to the cloud application through the Azure VPN gateway.
  • Sieć wirtualna poprawnie kieruje ruch z powrotem do sieci lokalnej.The virtual network correctly routes traffic back to the on-premises network.
  • Niedozwolony ruch w obu kierunkach jest poprawnie blokowany.Prohibited traffic in both directions is blocked correctly.

Azure Stack połączenie siecioweAzure Stack network connection

Ta architektura referencyjna pokazuje, jak połączyć sieć wirtualną w ramach wdrożenia Azure Stack z siecią wirtualną na platformie Azure za pośrednictwem Azure Stack wielodostępnej bramy sieci VPN.This reference architecture shows how to connect a virtual network in your Azure Stack deployment to a virtual network in Azure through the Azure Stack multitenant VPN gateway. Typowym scenariuszem jest izolowanie krytycznych operacji i danych poufnych w Azure Stack i korzystanie z platformy Azure na potrzeby transakcji publicznych i nieprawidłowych operacji.A common scenario is to isolate critical operations and sensitive data in Azure Stack and take advantage of Azure for public transaction and transitory, non-sensitive operations.

W tej architekturze ruch sieciowy przechodzi przez tunel VPN przy użyciu wielodostępnej bramy w Azure Stack.In this architecture, network traffic flows through a VPN tunnel using the multitenant gateway on Azure Stack. Ruch może również przepływać przez Internet między Azure Stack i platformą Azure za pośrednictwem adresów VIP dzierżawy, platformy Azure ExpressRoute lub sieciowego urządzenia wirtualnego, które działa jako punkt końcowy sieci VPN.Alternatively, traffic can flow over the Internet between Azure Stack and Azure through tenant VIPs, Azure ExpressRoute, or a network virtual appliance that acts as the VPN endpoint.

Azure Stack pojemności bramy sieci wirtualnejAzure Stack virtual network gateway capacity

Zarówno VPN Gateway platformy Azure, jak i Brama VPN Azure Stack obsługują Border Gateway Protocol (BGP) do wymiany informacji routingu między platformą Azure i Azure Stack.Both the Azure VPN Gateway and the Azure Stack VPN gateway support Border Gateway Protocol (BGP) for exchanging routing information between Azure and Azure Stack. Azure Stack nie obsługuje routingu statycznego dla wielodostępnej bramy.Azure Stack does not support static routing for the multitenant gateway.

Utwórz sieć wirtualną Azure Stack z przypisaną przestrzenią adresów IP wystarczającą dla wszystkich wymaganych zasobów.Create an Azure Stack virtual network with an assigned IP address space large enough for all your required resources. Przestrzeń adresowa sieci wirtualnej nie może pokrywać się z żadną inną siecią, która ma być podłączona do tej sieci wirtualnej.The address space of the virtual network must not overlap with any other network that is going to be connected to this virtual network.

Publiczny adres IP jest przypisywany do bramy wielodostępnej podczas wdrażania Azure Stack.A public IP address is assigned to the multitenant gateway during the deployment of Azure Stack. Jest ona pobierana z puli publicznych adresów VIP.It is taken from the public VIP pool. Operator Azure Stack nie ma kontroli nad tym, jaki adres IP jest używany, ale może określić jego przypisanie.The Azure Stack operator has no control over what IP address is used but can determine its assignment.

Przestroga

Nie można wdrożyć maszyn wirtualnych obciążenia w podsieci bramy Azure Stack.Workload VMs cannot be deployed on the Azure Stack gateway subnet. Nie przypisuj także sieciowej grupy zabezpieczeń do tej podsieci, ponieważ spowoduje to, że brama przestanie działać.Also, do not assign an NSG to this subnet, as it will cause the gateway to stop functioning.

Zagadnienia dotyczące skalowalnościScalability considerations

Możesz uzyskać ograniczoną skalowalność pionową, przechodząc z podstawowej lub standardowej jednostki SKU bramy sieci VPN na wysokiej wydajności jednostkę SKU sieci VPN.You can achieve limited vertical scalability by moving from the Basic or Standard VPN Gateway SKUs to the High Performance VPN SKU.

W przypadku sieci wirtualnych, które oczekują dużej ilości ruchu w sieci VPN, należy rozważyć rozmieszczenie różnych obciążeń do oddzielnych mniejszych sieci wirtualnych i skonfigurowanie bramy sieci VPN dla każdego z nich.For virtual networks that expect a large volume of VPN traffic, consider distributing the different workloads into separate smaller virtual networks and configuring a VPN gateway for each of them.

Sieć wirtualną można podzielić w poziomie lub w pionie.You can partition the virtual network either horizontally or vertically. Aby podzielić na partycje w poziomie, przenieś niektóre wystąpienia maszyn wirtualnych z każdej warstwy do podsieci nowej sieci wirtualnej.To partition horizontally, move some VM instances from each tier into subnets of the new virtual network. W efekcie Każda sieć wirtualna ma tę samą strukturę i funkcjonalność.The result is that each virtual network has the same structure and functionality. Aby przeprowadzić podział w pionie, należy zmodyfikować każdą warstwę i podzielić funkcje na różne obszary logiczne (np. obsługa zamówień, fakturowanie, zarządzanie kontami klientów itd.).To partition vertically, redesign each tier to divide the functionality into different logical areas (such as handling orders, invoicing, customer account management, and so on). Każdy obszar funkcjonalny można następnie umieścić w jego własnej sieci wirtualnej.Each functional area can then be placed in its own virtual network.

Replikowanie lokalnego Active Directory kontrolera domeny w sieci wirtualnej i implementowanie systemu DNS w sieci wirtualnej może pomóc w zmniejszeniu liczby przepływów związanych z zabezpieczeniami i ruchem administracyjnym z sieci lokalnej do chmury.Replicating an on-premises Active Directory domain controller in the virtual network, and implementing DNS in the virtual network, can help to reduce some of the security-related and administrative traffic flowing from on-premises to the cloud. Aby uzyskać więcej informacji, zobacz Rozszerzanie usługi Active Directory Domain Services (AD DS) na platformę Azure.For more information, see Extending Active Directory Domain Services (AD DS) to Azure.

Zagadnienia dotyczące dostępnościAvailability considerations

Jeśli istnieje konieczność zapewnienia stałej dostępności sieci lokalnej dla bramy sieci VPN platformy Azure, należy wdrożyć klaster trybu failover dla lokalnej bramy sieci VPN.If you need to ensure that the on-premises network remains available to the Azure VPN gateway, implement a failover cluster for the on-premises VPN gateway.

Jeśli organizacja ma wiele lokacji lokalnych, należy utworzyć połączenia z wieloma lokacjami do co najmniej jednej sieci wirtualnej platformy Azure.If your organization has multiple on-premises sites, create multi-site connections to one or more Azure virtual networks. Ta metoda wymaga routingu dynamicznego (opartego na trasach), dlatego należy upewnić się, że lokalna brama sieci VPN obsługuje tę funkcję.This approach requires dynamic (route-based) routing, so make sure that the on-premises VPN gateway supports this feature.

Aby uzyskać szczegółowe informacje na temat umów dotyczących poziomu usług, zobacz VPN Gateway — umowa SLA.For details about service level agreements, see SLA for VPN Gateway.

Na Azure Stack można rozwinąć bramy sieci VPN w celu uwzględnienia interfejsów do wielu sygnatur Azure Stack i wdrożeń platformy Azure.On Azure Stack, you can expand VPN gateways to include interfaces to multiple Azure Stack stamps and Azure deployments.

Kwestie do rozważenia dotyczące metodyki DevOpsDevOps considerations

Do wdrożenia infrastruktury służy proces infrastruktury as Code (IaC).Use the Infrastructure as Code (IaC) process for deploying the infrastructure. W tej architekturze korzystamy z zestawu niestandardowych szablonów bloków konstrukcyjnych platformy Azure wdrożonych przy użyciu Azure Portal.In this architecture, we've used a set of Azure Building Blocks custom templates deployed using the Azure portal. Aby zautomatyzować wdrażanie infrastruktury, możesz użyć usług Azure DevOps Services lub innych rozwiązań ciągłej integracji/ciągłego wdrażania.To automate infrastructure deployment, you can use Azure DevOps Services or other CI/CD solutions. Proces wdrażania jest również idempotentne.The deployment process is also idempotent.

Dla danego zasobu mogą istnieć inne zasoby, które muszą istnieć przed wdrożeniem zasobu.For a given resource, there can be other resources that must exist before the resource is deployed. Szablony bloków konstrukcyjnych platformy Azure są również przydatne do śledzenia zależności, ponieważ umożliwiają definiowanie zależności dla zasobów wdrożonych w tym samym szablonie.Azure Building Blocks templates are also good for dependency tracking because they allow you to define dependencies for resources that are deployed in the same template.

Wszystkie zasoby główne (zestaw skalowania maszyn wirtualnych, Brama sieci VPN i Azure bastionu) znajdują się w tej samej sieci wirtualnej, dzięki czemu są izolowane w tym samym podstawowym obciążeniu.All the main resources (Virtual machine scale set, VPN gateway, Azure Bastion) are in the same virtual network so they are isolated in the same basic workload. Następnie łatwiej jest skojarzyć konkretne zasoby obciążenia z zespołem, aby zespół mógł niezależnie zarządzać wszystkimi aspektami tych zasobów.It's then easier to associate the workload's specific resources to a team, so that the team can independently manage all aspects of those resources. Ta izolacja umożliwia DevOps ciągłej integracji i ciągłego dostarczania (CI/CD).This isolation enables DevOps to perform continuous integration and continuous delivery (CI/CD).

MonitorowanieMonitoring

Monitoruj informacje diagnostyczne z lokalnych urządzeń sieci VPN.Monitor diagnostic information from on-premises VPN appliances. Ten proces zależy od funkcji oferowanych przez urządzenia sieci VPN.This process depends on the features provided by the VPN appliance. Jeśli na przykład korzystasz z usługi Routing i dostęp zdalny w systemie Windows Server 2012, jest to rejestrowanie RRAS.For example, if you are using the Routing and Remote Access Service on Windows Server 2012, RRAS logging.

Użyj diagnostyki bramy sieci VPN platformy Azure do przechwytywania informacji na temat problemów z łącznością.Use Azure VPN gateway diagnostics to capture information about connectivity issues. Te dzienniki mogą służyć do śledzenia informacji takich jak źródło i lokalizacje docelowe żądań połączeń, użyty protokół oraz sposób, w jaki nawiązano połączenie (lub dlaczego próba się nie powiodła).These logs can be used to track information such as the source and destinations of connection requests, which protocol was used, and how the connection was established (or why the attempt failed).

Monitoruj dzienniki operacyjne bramy sieci VPN platformy Azure za pomocą dzienników inspekcji dostępnych w witrynie Azure Portal.Monitor the operational logs of the Azure VPN gateway using the audit logs available in the Azure portal. Oddzielne dzienniki są dostępne dla bramy sieci lokalnej, bramy sieci platformy Azure i połączenia.Separate logs are available for the local network gateway, the Azure network gateway, and the connection. Te informacje mogą służyć do śledzenia wszelkich zmian wprowadzonych w bramie i mogą być przydatne, jeśli działająca wcześniej brama przestanie z jakiegoś powodu działać.This information can be used to track any changes made to the gateway, and can be useful if a previously functioning gateway stops working for some reason.

Audit logs in the Azure portal

Zrzut ekranu przedstawiający Azure Portal pokazujący zdarzenia dziennika inspekcji przefiltrowane według daty.A screenshot of the Azure portal, showing audit log events filtered by date.

Monitoruj łączność i śledź zdarzenia błędów łączności.Monitor connectivity, and track connectivity failure events. Do przechwytywania i raportowania tych informacji możesz użyć pakietu monitorowania, np. Nagios.You can use a monitoring package such as Nagios to capture and report this information.

Aby rozwiązać problem z połączeniem, zobacz Rozwiązywanie problemów z hybrydowym połączeniem sieci VPN.To troubleshoot the connection, see Troubleshoot a hybrid VPN connection.

Jeśli łączność bramy z sieci lokalnej na platformę Azure nie działa, nadal możesz uzyskiwać dostęp do maszyn wirtualnych w sieci wirtualnej platformy Azure za pomocą usługi Azure bastionu.If gateway connectivity from your on-premises network to Azure is down, you can still reach the VMs in the Azure virtual network through Azure Bastion.

Zagadnienia dotyczące bezpieczeństwaSecurity considerations

Wygeneruj inny klucz wspólny dla każdej bramy sieci VPN.Generate a different shared key for each VPN gateway. Używaj silnego klucza wspólnego, który pomoże oprzeć się atakom siłowym.Use a strong shared key to help resist brute-force attacks.

W przypadku połączeń Azure Stack Wygeneruj inny klucz współużytkowany dla każdego tunelu sieci VPN.For Azure Stack connections, generate a different shared key for each VPN tunnel. Używaj silnego klucza wspólnego, który pomoże oprzeć się atakom siłowym.Use a strong shared key to help resist brute-force attacks.

Uwaga

Obecnie nie można używać usługi Azure Key Vault do obsługi kluczy wstępnych dla bramy sieci VPN platformy Azure.Currently, you cannot use Azure Key Vault to preshare keys for the Azure VPN gateway.

Upewnij się, że lokalne urządzenie sieci VPN korzysta z metody szyfrowania zgodnej z bramą sieci VPN platformy Azure.Ensure that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Na potrzeby routingu opartego na zasadach brama sieci VPN platformy Azure obsługuje algorytmy szyfrowania AES256, AES128 i 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Bramy oparte na trasach obsługują algorytmy AES256 i 3DES.Route-based gateways support AES256 and 3DES.

Jeśli lokalne urządzenie sieci VPN znajduje się w sieci obwodowej (DMZ) z zaporą między siecią obwodową a Internetem, może być konieczne skonfigurowanie dodatkowych reguł zapory, aby umożliwić połączenie sieci VPN typu lokacja-lokacja.If your on-premises VPN appliance is on a perimeter network (DMZ) that has a firewall between the perimeter network and the Internet, you might have to configure additional firewall rules to allow the site-to-site VPN connection.

Jeśli aplikacja w sieci wirtualnej wysyła dane do Internetu, należy rozważyć zaimplementowanie wymuszonego tunelowania , aby skierować cały ruch związany z Internetem za pomocą sieci lokalnej.If the application in the virtual network sends data to the Internet, consider implementing forced tunneling to route all Internet-bound traffic through the on-premises network. Takie podejście umożliwia inspekcję wychodzących żądań aplikacji z poziomu infrastruktury lokalnej.This approach enables you to audit outgoing requests made by the application from the on-premises infrastructure.

Uwaga

Wymuszone tunelowanie może wpłynąć na łączność z usługami platformy Azure (na przykład z usługą Storage) i menedżerem licencji systemu Windows.Forced tunneling can impact connectivity to Azure services (the Storage Service, for example) and the Windows license manager.

Kwestie związane z kosztamiCost considerations

Koszty możesz szacować za pomocą kalkulatora cen platformy Azure.Use the Azure pricing calculator to estimate costs. Ogólne zagadnienia znajdują się w sekcji koszt w Microsoft Azure Well-Architected Framework.For general considerations, see the Cost section in Microsoft Azure Well-Architected Framework.

Usługi używane w tej architekturze są rozliczone w następujący sposób:The services used in this architecture are charged as follows:

Azure VPN GatewayAzure VPN Gateway

Głównym składnikiem tej architektury jest Usługa bramy sieci VPN.The main component of this architecture is the VPN gateway service. Opłata jest naliczana na podstawie czasu, przez jaki brama jest aprowizowana i dostępna.You are charged based on the amount of time that the gateway is provisioned and available.

Cały ruch przychodzący jest bezpłatny, jest naliczany cały ruch wychodzący.All inbound traffic is free, all outbound traffic is charged. Opłaty za przepustowość internetową są naliczane za ruch wychodzący sieci VPN.Internet bandwidth costs are applied to VPN outbound traffic.

Aby uzyskać więcej informacji, zobacz temat VPN Gateway — cennik.For more information, see VPN Gateway Pricing.

Azure Virtual NetworkAzure Virtual Network

Usługa Azure Virtual Network jest bezpłatna.Azure Virtual Network is free. Każda subskrypcja może utworzyć maksymalnie 50 sieci wirtualnych we wszystkich regionach.Every subscription is allowed to create up to 50 virtual networks across all regions.

Cały ruch przychodzący w granicach sieci wirtualnej jest bezpłatny.All traffic that occurs within the boundaries of a virtual network is free. W związku z tym komunikacja między dwiema maszynami wirtualnymi w tej samej sieci wirtualnej jest bezpłatna.So, communication between two virtual machines in the same virtual network is free.

Azure BastionAzure Bastion

Usługa Azure bastionu bezpiecznie nawiązuje połączenie z maszyną wirtualną w sieci wirtualnej za pośrednictwem protokołu RDP i SSH bez konieczności konfigurowania publicznego adresu IP na maszynie wirtualnej.Azure Bastion securely connects to your virtual machine in the virtual network over RDP and SSH without having the need to configure a public IP on the virtual machine. Konieczne będzie bastionu w każdej sieci wirtualnej zawierającej maszyny wirtualne, z którymi chcesz nawiązać połączenie.You will need Bastion in every virtual network that contains virtual machines that you want to connect to. To rozwiązanie jest bardziej ekonomiczne i bezpieczne niż przy użyciu pól skoku.This solution is more economical and secure than using jump boxes.

Aby zapoznać się z przykładami, zobacz Cennik usługi Azure bastionu.For examples, see Azure Bastion Pricing.

Maszyny wirtualne i wewnętrzne moduły równoważenia obciążeniaVirtual machine and internal load balancers

W tej architekturze wewnętrzne moduły równoważenia obciążenia są używane do równoważenia obciążenia ruchu w sieci wirtualnej.In this architecture, internal load balancers are used to load balance traffic inside a virtual network. Podstawowe Równoważenie obciążenia między maszynami wirtualnymi znajdującymi się w tej samej sieci wirtualnej jest bezpłatne.Basic load balancing between virtual machines that reside in the same virtual network is free.

Zestawy skalowania maszyn wirtualnych są dostępne we wszystkich rozmiarach maszyn wirtualnych z systemem Linux i Windows.Virtual machine scale sets are available on all Linux and windows VM sizes. Opłata jest naliczana tylko za maszyny wirtualne platformy Azure, które są wdrażane, oraz wykorzystywane zasoby infrastruktury, takie jak magazyn i sieć.You are only charged for the Azure VMs you deploy and underlying infrastructure resources consumed such as storage and networking. Nie ma opłat przyrostowych dla usługi zestawu skalowania maszyn wirtualnych.There are no incremental charges for the virtual machine scale sets service.

Aby uzyskać więcej informacji, zobacz Cennik maszyny wirtualnej platformy Azure.For more information, see Azure VM pricing.

Wdrażanie rozwiązaniaDeploy the solution

Aby wdrożyć tę architekturę referencyjną, zobacz plik Readme usługi GitHub.To deploy this reference architecture, see the GitHub readme.

Następne krokiNext steps

Mimo że sieci VPN mogą być używane do nawiązywania połączeń z siecią wirtualną na platformie Azure, nie zawsze jest to najlepszy wybór.Although VPNs can be used to connect virtual networks within Azure, it's not always the best choice. Aby uzyskać więcej informacji, zobacz Wybieranie między wirtualnymi sieciami równorzędnymi i bramami sieci VPN na platformie Azure.For more information, see Choose between virtual network peering and VPN gateways in Azure.