Poznawanie usługi Azure VPN Gateway
Aby zintegrować środowisko lokalne z platformą Azure, potrzebna jest możliwość utworzenia połączenia szyfrowanego. Możesz nawiązać połączenie za pośrednictwem Internetu lub za pośrednictwem dedykowanego linku. W tym miejscu przyjrzymy się usłudze Azure VPN Gateway, która zapewnia punkt końcowy dla połączeń przychodzących ze środowisk lokalnych.
Masz już skonfigurowaną sieć wirtualną platformy Azure i chcesz mieć pewność, że wszelkie transfery danych z platformy Azure do Twojej lokacji oraz między sieciami wirtualnymi platformy Azure są szyfrowane. Musisz także wiedzieć, jak połączyć sieci wirtualne między regionami i subskrypcjami.
Co to jest brama VPN?
Brama sieci wirtualnej platformy Azure udostępnia punkt końcowy dla połączeń przychodzących ze środowisk lokalnych do platformy Azure przez Internet. Brama sieci VPN to specyficzny typ bramy sieci wirtualnej, który może być punktem końcowym dla połączeń szyfrowanych. Może także przesyłać szyfrowany ruch między sieciami wirtualnymi platformy Azure przez dedykowaną sieć firmy Microsoft, która łączy centra danych platformy Azure w różnych regionach. Ta konfiguracja umożliwia bezpieczne łączenie maszyn wirtualnych i usług w różnych regionach.
Każda sieć wirtualna może mieć tylko jedną bramę sieci VPN. Wszystkie połączenia do tej bramy sieci VPN współużytkują dostępną przepustowość sieci.
W każdej bramie sieci wirtualnej istnieją co najmniej dwie maszyny wirtualne. Te maszyny wirtualne zostały wdrożone w specjalnej, określonej przez Ciebie podsieci nazywanej podsiecią bramy. Zawierają one tabele routingu dla połączeń do innych sieci oraz specyficzne usługi bramy. Te maszyny wirtualne i podsieć bramy są podobne do urządzenia sieciowego ze wzmocnionymi zabezpieczeniami. Nie trzeba konfigurować tych maszyn wirtualnych bezpośrednio i nie należy wdrażać więcej zasobów w podsieci bramy.
Tworzenie bramy sieci wirtualnej może potrwać trochę czasu, dlatego należy to odpowiednio zaplanować. Po utworzeniu bramy sieci wirtualnej proces aprowizacji wygeneruje maszyny wirtualne bramy i wdroży je w podsieci bramy. Te maszyny wirtualne będą miały ustawienia, które możesz skonfigurować w bramie.
Kluczowe ustawienie to typ bramy. Typ bramy określa sposób działania bramy. W przypadku bramy sieci VPN typ bramy to „vpn”. Opcje dla bram sieci VPN obejmują:
Połączenia między sieciami, które przy użyciu tunelowania IPsec/IKE łączą bramy sieci VPN z innymi bramami sieci VPN.
Tunelowanie IPsec/IKE między środowiskami, które służy do łączenia sieci lokalnych z platformą Azure za pośrednictwem dedykowanych urządzeń sieci VPN w celu utworzenia połączeń typu lokacja-lokacja.
Połączenia typu punkt-lokacja przez protokół IKEv2 lub SSTP, które łączą komputery klienckie z zasobami na platformie Azure.
Teraz przyjrzyjmy się czynnikom, które należy wziąć pod uwagę podczas planowania bramy sieci VPN.
Planowanie bramy sieci VPN
Podczas planowania bramy sieci VPN należy wziąć pod uwagę trzy architektury:
- Punkt-lokacja przez Internet
- Lokacja-lokacja przez Internet
- Lokacja-lokacja przez dedykowaną sieć, na przykład sieć usługi Azure ExpressRoute
Czynniki planowania
Czynniki, które należy uwzględnić w procesie planowania:
- Przepływność — w Mb/s lub Gb/s
- Sieć szkieletowa — Internet czy prywatna?
- Dostępność publicznego (statycznego) adresu IP
- Zgodność urządzenia sieci VPN
- Wiele połączeń klienckich czy połączenie typu lokacja-lokacja?
- Typ bramy sieci VPN
- Jednostka SKU bramy sieci VPN platformy Azure
W poniższej tabeli podsumowano niektóre z tych problemów dotyczących planowania. Pozostałe problemy zostały opisane w dalszej części.
| Punkt-lokacja | Lokacja-lokacja | ExpressRoute | |
|---|---|---|---|
| usługi pomoc techniczna platformy Azure | Usługi w chmurze i maszyny wirtualne | Usługi w chmurze i maszyny wirtualne | Wszystkie obsługiwane usługi |
| Typowa przepustowość | Zależy od jednostki SKU bramy sieci VPN | Zależy od jednostki SKU bramy sieci VPN | Zobacz Opcje przepustowości usługi ExpressRoute |
| Obsługiwane protokoły | SSTP i IPSec | IPsec | Połączenie bezpośrednie, sieci VLAN |
| Routing | RouteBased (dynamiczny) | Oparte na zasadach (statyczny) i RouteBased | BGP |
| Odporność połączenia | Aktywne/pasywne | Aktywne/pasywne lub aktywne/aktywne | Aktywne/aktywne |
| Przypadek użycia | Testowanie i tworzenie prototypów | Tworzenie, testowanie i produkcja na małą skalę | Przedsiębiorstwo/o kluczowym znaczeniu |
Jednostki SKU bramy
Ważne jest, aby wybrać odpowiednią jednostkę SKU. Jeśli skonfigurowaliśmy bramę sieci VPN przy użyciu nieprawidłowej bramy, musisz ją zdjąć i ponownie skompilować bramę, co może być czasochłonne. Aby uzyskać najnowsze informacje o jednostkach SKU bramy, w tym o przepływności, zobacz Co to jest brama sieci VPN? — Jednostki SKU bramy.
Przepływ pracy
Podczas projektowania strategii łączności z chmurą przy użyciu wirtualnej sieci prywatnej należy zastosować następujący przepływ pracy:
Zaprojektuj topologię łączności i utwórz listę przestrzeni adresowych dla wszystkich łączących się sieci.
Utwórz sieć wirtualną platformy Azure.
Utwórz bramę sieci VPN dla sieci wirtualnej.
Utwórz i skonfiguruj połączenia do sieci lokalnych lub innych sieci wirtualnych w zależności od potrzeb.
W razie potrzeby utwórz i skonfiguruj połączenie typu punkt-lokacja dla bramy sieci VPN platformy Azure.
Uwagi dotyczące projektowania
Podczas projektowania bram sieci VPN do łączenia sieci wirtualnych należy wziąć pod uwagę następujące czynniki:
Podsieci nie mogą się nakładać
Ważne jest, aby podsieć w jednej lokalizacji nie zawierała tej samej przestrzeni adresowej co w innej lokalizacji.
Adresy IP muszą być unikatowe
Nie można mieć dwóch hostów o tym samym adresie IP w różnych lokalizacjach, ponieważ nie będzie możliwe kierowanie ruchu między tymi dwoma hostami a połączeniem między siecią a połączeniem sieciowym zakończy się niepowodzeniem.
Bramy sieci VPN potrzebują podsieci bramy o nazwie GatewaySubnet
Musi mieć tę nazwę, aby brama działała i nie powinna zawierać żadnych innych zasobów.
Tworzenie sieci wirtualnej platformy Azure
Przed utworzeniem bramy sieci VPN należy utworzyć sieć wirtualną platformy Azure.
Tworzenie bramy sieci VPN
Typ utworzonej bramy sieci VPN będzie zależeć od architektury. Dostępne opcje:
RouteBased
Urządzenia sieci VPN oparte na trasach używają selektorów ruchu typu dowolne-dowolne (symbol wieloznaczny) i zezwalają tabelom routingu/przesyłania na kierowanie ruchu do różnych tuneli IPsec. Połączenia oparte na trasach są zwykle tworzone na platformach routerów, na których każdy tunel IPsec jest modelowany jako interfejs sieciowy lub wirtualny interfejs tunelu (VTI).
PolicyBased
Urządzenia sieci VPN oparte na zasadach używają kombinacji prefiksów z obu sieci do definiowania sposobu szyfrowania/odszyfrowywania ruchu przez tunele IPsec. Połączenie oparte na zasadach zwykle tworzy się na urządzeniach zapory, które wykonują filtrowanie pakietów. Szyfrowanie i odszyfrowywanie tunelu IPsec jest dodawane do aparatu filtrowania i przetwarzania pakietów.
Konfigurowanie bramy sieci VPN
Kroki, które należy wykonać, zależą od typu instalowanej bramy sieci VPN. Aby na przykład utworzyć bramę sieci VPN typu punkt-lokacja przy użyciu witryny Azure Portal, wykonaj następujące kroki:
Utwórz sieć prywatną.
Dodaj podsieć bramy.
Określ serwer DNS (opcjonalnie).
Utwórz bramę sieci wirtualnej.
Generowanie certyfikatów.
Dodaj pulę adresów klienta.
Skonfiguruj typ tunelu.
Skonfiguruj typ uwierzytelniania.
Przekaż dane certyfikatu publicznego certyfikatu głównego.
Zainstaluj wyeksportowany certyfikat klienta.
Wygeneruj i zainstaluj pakiet konfiguracji klienta sieci VPN.
Połączenie na platformę Azure.
Ponieważ istnieje kilka ścieżek konfiguracji z bramami sieci VPN platformy Azure, z których każda ma wiele opcji, nie można uwzględnić każdej konfiguracji w tym kursie. Aby uzyskać więcej informacji, zobacz sekcję „Dodatkowe zasoby”.
Konfigurowanie bramy
Po utworzeniu bramy należy ją skonfigurować. Istnieje kilka ustawień konfiguracji, które należy podać, takie jak nazwa, lokalizacja, serwer DNS itd. Bardziej szczegółowo omówimy te ustawienia w ćwiczeniu.
Bramy sieci VPN platformy Azure są składnikiem sieci wirtualnych platformy Azure, które umożliwiają nawiązywanie połączeń typu punkt-lokacja, lokacja-lokacja i sieć-sieć. Bramy sieci VPN platformy Azure umożliwiają poszczególnym komputerom klienckim nawiązywanie połączenia z zasobami na platformie Azure, rozszerzanie sieci lokalnych na platformę Azure lub pomagają nawiązywać połączenia między sieciami wirtualnymi w różnych regionach i subskrypcjach.