Configurar gateway VPN para o Azure Stack Hub
Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego criptografado entre sua rede virtual no Azure Stack Hub e um gateway de VPN remoto. O gateway de VPN remoto pode estar no Azure, em um dispositivo no datacenter ou em um dispositivo em outro site. Se houver conectividade de rede entre os dois pontos de extremidade, você poderá estabelecer uma conexão VPN S2S (Site a Site) segura entre as duas redes.
Um gateway de VPN depende da configuração de vários recursos, cada um dos quais contém configurações configuráveis. Este artigo descreve os recursos e as configurações relacionados a um gateway de VPN para uma rede virtual que você cria no modelo de implantação Resource Manager. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão em Criar gateways de VPN para o Azure Stack Hub.
Configurações do gateway de VPN
Tipos de gateway
Cada rede virtual do Azure Stack Hub dá suporte a um único gateway de rede virtual, que deve ser do tipo Vpn. Esse suporte é diferente do Azure, que dá suporte a tipos adicionais.
Ao criar um gateway de rede virtual, você deve verificar se o tipo de gateway está correto para sua configuração. Um gateway de VPN requer o -GatewayType Vpn sinalizador; por exemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKUs de gateway sem o caminho rápido de VPN habilitado
Ao criar um gateway de rede virtual, você deve especificar a SKU que deseja usar. Selecione os SKUs que atendem aos seus requisitos com base nos tipos de cargas de trabalho, taxa de transferência, recursos e SLAs.
Você pode ter 10 gateways de alto desempenho ou 20 básicos e padrão antes de atingir a capacidade máxima.
O Azure Stack Hub oferece os SKUs de gateway de VPN mostrados na tabela a seguir:
| SKU | Taxa de transferência máxima da conexão VPN | Máximo de conexões por VM GW ativa | Máximo # de Conexões VPN por selo |
|---|---|---|---|
| Basic | Tx/Rx de 100 Mbps | 10 | 20 |
| Standard | Tx/Rx de 100 Mbps | 10 | 20 |
| Alto desempenho | Tx/Rx de 200 Mbps | 5 | 10 |
SKUs de gateway com caminho rápido de VPN habilitado
Com o lançamento da versão prévia pública do Caminho Rápido da VPN, o Azure Stack Hub dá suporte a três novas SKUs com taxa de transferência mais alta.
Novos limites e taxa de transferência serão habilitados quando o Caminho Rápido da VPN estiver habilitado no carimbo do Azure Stack.
O Azure Stack Hub oferece os SKUs de gateway de VPN mostrados na tabela a seguir:
| SKU | Taxa de transferência máxima da conexão VPN | Máximo de conexões por VM GW ativa | Máximo # de Conexões VPN por selo |
|---|---|---|---|
| Basic | Tx/Rx de 100 Mbps | 25 | 50 |
| Standard | Tx/Rx de 100 Mbps | 25 | 50 |
| Alto desempenho | Tx/Rx de 200 Mbps | 12 | 24 |
| VPNGw1 | Tx/Rx de 650 Mbps | 3 | 6 |
| VPNGw2 | Tx/Rx de 1000 Mbps | 2 | 4 |
| VPNGw3 | Tx/Rx de 1250 Mbps | 2 | 4 |
Redimensionando SKUs de gateways de rede virtual
O Azure Stack Hub não dá suporte a um redimensionamento de um SKU herdado com suporte (Básico, Standard e HighPerformance) para um SKU mais recente com suporte do Azure (VpnGw1, VpnGw2 e VpnGw3).
Novos gateways de rede virtual e conexões devem ser criados para usar os novos SKUs habilitados pelo Caminho Rápido da VPN.
Configurar o SKU do gateway de rede virtual
Portal do Azure Stack Hub
Se você usar o portal do Azure Stack Hub para criar um gateway de rede virtual, a SKU poderá ser selecionada usando a lista suspensa. As novas SKUs de Caminho Rápido de VPN (VpnGw1, VpnGw2, VpnGw3) só ficarão visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" à URL e atualizar.
O exemplo de URL a seguir torna as novas SKUs de gateway de rede virtual visíveis no portal do usuário do Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes de criar esses recursos, o operador deve ter habilitado o Caminho Rápido da VPN no carimbo do Azure Stack Hub. Para obter mais informações, consulte Caminho Rápido de VPN para operadores.
PowerShell
O exemplo do PowerShell a seguir especifica o -GatewaySku parâmetro como Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Tipos de conexão
No modelo de implantação do Resource Manager, cada configuração exige um tipo específico de conexão de gateway de rede virtual. Os valores Resource Manager do PowerShell disponíveis para -ConnectionType são IPsec.
No exemplo do PowerShell a seguir, é criada uma conexão S2S que requer o tipo de conexão IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Tipos de VPN
Quando você cria o gateway de rede virtual para uma configuração de gateway de VPN, é preciso especificar um tipo de VPN. O tipo de VPN que você escolhe depende da topologia de conexão que quer criar. Um tipo de VPN também pode depender do hardware que você usa. As configurações S2S requerem um dispositivo VPN. Alguns dispositivos VPN recebem suporte apenas de um determinado tipo de VPN.
Importante
Atualmente, o Azure Stack Hub dá suporte apenas ao tipo de VPN baseado em rota. Se o dispositivo der suporte apenas a VPNs baseadas em política, não há suporte para conexões com esses dispositivos do Azure Stack Hub.
Além disso, o Azure Stack Hub não dá suporte ao uso de seletores de tráfego baseados em política para gateways baseados em rota no momento, pois o Azure Stack Hub não dá suporte a seletores de tráfego baseados em políticas, embora eles tenham suporte no Azure.
PolicyBased: as VPNs baseadas em política criptografam e direcionam pacotes por meio de túneis IPsec com base nas políticas IPsec configuradas com as combinações de prefixos de endereço entre a rede local e a VNet do Azure Stack Hub. A política, ou seletor de tráfego, geralmente é uma lista de acesso na configuração do dispositivo VPN.
Observação
O PolicyBased tem suporte no Azure, mas não no Azure Stack Hub.
RouteBased: as VPNs baseadas em rota usam rotas configuradas na tabela de encaminhamento ou roteamento de IP para direcionar pacotes para suas interfaces de túnel correspondentes. As interfaces de túnel criptografam ou descriptografam então os pacotes para dentro e para fora dos túneis. A política ou o seletor de tráfego para VPNs RouteBased são configurados como qualquer para qualquer (ou usam curingas). Por padrão, eles não podem ser alterados. O valor de um tipo de VPN RouteBased é RouteBased.
O exemplo do PowerShell a seguir especifica o -VpnType como RouteBased. Ao criar um gateway, você deve verificar se o -VpnType está correto para sua configuração.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Configurações com suporte de gateways de rede virtual quando o Caminho Rápido da VPN não está habilitado
| Tipo de VPN | Tipo de conexão | Suporte a roteamento ativo (BGP) | Nat-T do ponto de extremidade remoto habilitado | |
|---|---|---|---|---|
| SKU VNG básico | VPN baseada em rota | Chave pré-compartilhada IPSec | Sem suporte | Não obrigatório |
| Standard VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Não obrigatório |
| SKU do VNG High-Performance | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Não obrigatório |
Configurações com suporte de gateways de rede virtual quando o Caminho Rápido da VPN está habilitado
| Tipo de VPN | Tipo de conexão | Suporte ao roteamento ativo (BGP) | Nat-T do ponto de extremidade remoto habilitado | |
|---|---|---|---|---|
| SKU VNG básico | VPN baseada em rota | Chave pré-compartilhada IPSec | Sem suporte | Obrigatório |
| Standard VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Obrigatório |
| SKU do VNG High-Performance | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Obrigatório |
| VPNGw1 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Obrigatório |
| VPNGw2 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Obrigatório |
| VPNGw2 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Com suporte, até 150 rotas | Obrigatório |
Sub-rede do gateway
Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede do gateway tem os endereços IP que as VMs e os serviços de gateway de rede virtual usam. Quando você cria o gateway de rede virtual e a conexão, a VM do Gateway que possui a conexão será vinculada à sub-rede de gateway e será definida com as configurações de gateway de VPN necessárias. Não implante mais nada (por exemplo, VMs adicionais) na sub-rede do gateway.
Importante
A sub-rede do gateway deve ser denominada GatewaySubnet para funcionar corretamente. O Azure Stack Hub usa esse nome para identificar a sub-rede na qual implantar as VMs e serviços do gateway de rede virtual.
Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras. Examine as instruções da configuração que você deseja criar e verifique se a sub-rede de gateway que você quer criar atende a esses requisitos.
Além disso, você deve verificar se a sub-rede do gateway tem endereços IP suficientes para lidar com configurações futuras adicionais. Embora você possa criar uma sub-rede de gateway tão pequena quanto /29, recomendamos que você crie uma sub-rede de gateway de /28 ou maior (/28, /27, /26 e assim por diante.) Dessa forma, se você adicionar funcionalidade no futuro, não precisará remover o gateway e, em seguida, excluir e recriar a sub-rede de gateway para permitir mais endereços IP.
O exemplo Resource Manager PowerShell a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
Ao trabalhar com sub-redes de gateway, evite a associação de um NSG (grupo de segurança de rede) à sub-rede de gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que o gateway de VPN pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.
Gateways de rede local
Ao criar uma configuração de gateway de VPN no Azure, o gateway de rede local geralmente representa sua localização local. No Azure Stack Hub, ele representa qualquer dispositivo VPN remoto que esteja fora do Azure Stack Hub. Esse dispositivo pode ser um dispositivo VPN em seu datacenter (ou um datacenter remoto) ou um gateway de VPN no Azure.
Você dá um nome ao gateway de rede local, o endereço IP público do dispositivo VPN remoto e especifica os prefixos de endereço que estão no local. O Azure Stack Hub examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração especificada para o gateway de rede local e roteia os pacotes de acordo.
Este exemplo do PowerShell cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Às vezes, você precisa modificar as configurações do gateway de rede local; por exemplo, quando você adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN é alterado. Para obter mais informações, consulte Modificar configurações de gateway de rede local usando o PowerShell.
Parâmetros de IPsec/IKE
Ao configurar uma conexão VPN no Azure Stack Hub, você deve configurar a conexão em ambas as extremidades. Se você estiver configurando uma conexão VPN entre o Azure Stack Hub e um dispositivo de hardware, como um comutador ou roteador que esteja atuando como um gateway de VPN, esse dispositivo poderá solicitar configurações adicionais.
Ao contrário do Azure, que dá suporte a várias ofertas como iniciador e respondente, o Azure Stack Hub dá suporte a apenas uma oferta por padrão. Se você precisar usar diferentes configurações de IPSec/IKE para trabalhar com seu dispositivo VPN, há mais configurações disponíveis para definir sua conexão manualmente. Para obter mais informações, consulte Configurar a política IPsec/IKE para conexões VPN site a site.
Importante
Ao usar o túnel S2S, os pacotes são encapsulados com cabeçalhos adicionais, o que aumenta o tamanho geral do pacote. Nesses cenários, você deve fixar o TCP MSS em 1350. Ou, se os dispositivos VPN não deem suporte à fixação mss, você pode, como alternativa, definir a MTU na interface de túnel como 1400 bytes. Para obter mais informações, consulte Ajuste de desempenho de TCPIP de rede virutal.
Parâmetros da Fase 1 de IKE (Modo Principal)
| Propriedade | Valor |
|---|---|
| Versão IKE | IKEv2 |
| Grupo Diffie-Hellman* | ECP384 |
| Método de autenticação | Chave Pré-Compartilhada |
| Algoritmos de hash de & de criptografia* | AES256, SHA384 |
| Tempo de vida da SA (Tempo) | 28.800 segundos |
Parâmetros da Fase 2 de IKE (Modo Rápido)
| Propriedade | Valor |
|---|---|
| Versão IKE | IKEv2 |
| Algoritmos de hash de & de criptografia (criptografia) | GCMAES256 |
| Algoritmos de hash de & de criptografia (autenticação) | GCMAES256 |
| Tempo de vida da SA (Tempo) | 27.000 segundos |
| Tempo de vida de SA (Kilobytes) | 33,553,408 |
| PFS (Perfect Forward Secrety)* | ECP384 |
| Detecção de par inativo | Com suporte |
* Parâmetro novo ou alterado.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de