Configurar as definições do gateway de VPN para o Azure Stack Hub
Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego encriptado entre a rede virtual no Azure Stack Hub e um gateway de VPN remoto. O gateway de VPN remoto pode estar no Azure, num dispositivo no seu datacenter ou num dispositivo noutro site. Se existir conectividade de rede entre os dois pontos finais, pode estabelecer uma ligação de Rede de VPNs (S2S) segura entre as duas redes.
Um gateway de VPN depende da configuração de vários recursos, cada um dos quais contém definições configuráveis. Este artigo descreve os recursos e definições relacionados com um gateway de VPN para uma rede virtual que cria no modelo de implementação Resource Manager. Pode encontrar descrições e diagramas de topologia para cada solução de ligação em Criar gateways de VPN para o Azure Stack Hub.
Definições do gateway de VPN
Tipos de gateway
Cada rede virtual do Azure Stack Hub suporta um único gateway de rede virtual, que tem de ser do tipo Vpn. Este suporte é diferente do Azure, que suporta tipos adicionais.
Quando cria um gateway de rede virtual, tem de se certificar de que o tipo de gateway está correto para a configuração. Um gateway de VPN requer o -GatewayType Vpn sinalizador; por exemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKUs de gateway sem Caminho Rápido de VPN Ativado
Quando cria um gateway de rede virtual, tem de especificar o SKU que pretende utilizar. Selecione os SKUs que satisfazem os seus requisitos com base nos tipos de cargas de trabalho, débito, funcionalidades e SLAs.
Pode ter 10 gateways de alto desempenho ou 20 básicos e padrão antes de atingir a capacidade máxima.
O Azure Stack Hub oferece os SKUs do gateway de VPN apresentados na tabela seguinte:
| SKU | Débito máximo de Ligação VPN | N.º máximo de ligações por VM de GW ativa | N.º máximo de Ligações VPN por selo |
|---|---|---|---|
| Básica | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Elevado Desempenho | Tx/Rx de 200 Mbps | 5 | 10 |
SKUs de Gateway com Caminho Rápido de VPN Ativado
Com o lançamento da pré-visualização pública do Caminho Rápido de VPN, o Azure Stack Hub suporta três NOVOS SKUs com débito mais elevado.
Os novos limites e débito serão ativados assim que o Caminho Rápido da VPN estiver ativado no seu selo do Azure Stack.
O Azure Stack Hub oferece os SKUs do gateway de VPN apresentados na tabela seguinte:
| SKU | Débito máximo de Ligação VPN | N.º máximo de ligações por VM de GW ativa | N.º máximo de Ligações VPN por selo |
|---|---|---|---|
| Básica | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Elevado Desempenho | Tx/Rx de 200 Mbps | 12 | 24 |
| VPNGw1 | Tx/Rx de 650 Mbps | 3 | 6 |
| VPNGw2 | Tx/Rx de 1000 Mbps | 2 | 4 |
| VPNGw3 | Tx/Rx de 1250 Mbps | 2 | 4 |
Redimensionar SKUs de gateways de rede virtual
O Azure Stack Hub não suporta um redimensionamento de um SKU legado suportado (Básico, Standard e HighPerformance) para um SKU mais recente suportado pelo Azure (VpnGw1, VpnGw2 e VpnGw3).
Têm de ser criados novos gateways de rede virtual e ligações para utilizar os novos SKUs ativados pelo Caminho Rápido de VPN.
Configurar o SKU do gateway de rede virtual
Portal do Azure Stack Hub
Se utilizar o portal do Azure Stack Hub para criar um gateway de rede virtual, o SKU pode ser selecionado através da lista pendente. Os novos SKUs de Caminho Rápido de VPN (VpnGw1, VpnGw2, VpnGw3) só serão visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" ao URL e atualizar.
O exemplo de URL seguinte torna os novos SKUs de gateway de rede virtual visíveis no portal de utilizador do Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes de criar estes recursos, o operador tem de ter ativado o Caminho Rápido da VPN no carimbo do Azure Stack Hub. Para obter mais informações, veja Caminho Rápido de VPN para operadores.
PowerShell
O exemplo do PowerShell seguinte especifica o -GatewaySku parâmetro como Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Tipos de ligação
No modelo de implementação Resource Manager, cada configuração requer um tipo de ligação de gateway de rede virtual específico. Os valores disponíveis Resource Manager PowerShell para -ConnectionType são IPsec.
No exemplo seguinte do PowerShell, é criada uma ligação S2S que requer o tipo de ligação IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Tipos de VPN
Quando cria o gateway de rede virtual para uma configuração de gateway de VPN, tem de especificar um tipo de VPN. O tipo de VPN que escolher depende da topologia de ligação que pretende criar. Um tipo de VPN também pode depender do hardware que está a utilizar. As configurações S2S requerem um dispositivo VPN. Alguns dispositivos VPN suportam apenas um determinado tipo de VPN.
Importante
Atualmente, o Azure Stack Hub só suporta o tipo de VPN baseado na rota. Se o seu dispositivo suportar apenas VPNs baseadas em políticas, as ligações a esses dispositivos a partir do Azure Stack Hub não são suportadas.
Além disso, o Azure Stack Hub não suporta a utilização de seletores de tráfego baseados em políticas para gateways baseados na rota neste momento, uma vez que o Azure Stack Hub não suporta seletores de tráfego baseados em políticas, embora sejam suportados no Azure.
PolicyBased: as VPNs baseadas em políticas encriptam e direcionam pacotes através de túneis IPsec com base nas políticas IPsec configuradas com as combinações de prefixos de endereços entre a sua rede no local e a VNet do Azure Stack Hub. A política, ou seletor de tráfego, é normalmente uma lista de acesso na configuração do dispositivo VPN.
Nota
O PolicyBased é suportado no Azure, mas não no Azure Stack Hub.
RouteBased: as VPNs baseadas em rotas utilizam rotas configuradas na tabela de encaminhamento ou reencaminhamento de IP para direcionar os pacotes para as respetivas interfaces de túnel correspondentes. As interfaces de túnel, em seguida, encriptam ou desencriptam os pacotes dentro e fora dos túneis. A política, ou seletor de tráfego, para VPNs RouteBased são configuradas como qualquer para qualquer (ou utilize cartões universais). Por predefinição, não podem ser alteradas. O valor de um tipo de VPN RouteBased é RouteBased.
O exemplo seguinte do PowerShell especifica o -VpnType como RouteBased. Quando cria um gateway, tem de se certificar de que o está correto para a -VpnType configuração.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Os gateways de rede virtual suportavam configurações quando o Caminho Rápido de VPN não estava ativado
| Tipo de VPN | Tipo de ligação | Suporte de Encaminhamento Ativo (BGP) | Ponto final remoto NAT-T Ativado | |
|---|---|---|---|---|
| SKU do VNG Básico | VPN baseada na rota | Chave pré-partilhada IPSec | Não suportado | não é necessário |
| Standard VNG SKU | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | não é necessário |
| SKU do High-Performance VNG | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | não é necessário |
Os gateways de rede virtual suportavam configurações quando o Caminho Rápido de VPN está ativado
| Tipo de VPN | Tipo de ligação | Suporte de encaminhamento ativo (BGP) | Ponto final remoto NAT-T Ativado | |
|---|---|---|---|---|
| SKU do VNG Básico | VPN baseada na rota | Chave pré-partilhada IPSec | Não suportado | Necessário |
| Standard VNG SKU | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | Necessário |
| SKU do High-Performance VNG | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | Necessário |
| VPNGw1 VNG SKU | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | Necessário |
| VPNGw2 VNG SKU | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | Necessário |
| VPNGw2 VNG SKU | VPN baseada na rota | Chave pré-partilhada IPSec | Suportadas, até 150 rotas | Necessário |
Sub-rede de gateway
Antes de criar um gateway de VPN, tem de criar uma sub-rede de gateway. A sub-rede do gateway tem os endereços IP que as VMs e os serviços do gateway de rede virtual utilizam. Quando cria o gateway de rede virtual e a ligação, a VM de Gateway proprietária da ligação será ligada à sub-rede do gateway e será configurada com as definições de gateway de VPN necessárias. Não implemente mais nada (por exemplo, VMs adicionais) na sub-rede do gateway.
Importante
Para funcionar corretamente, a sub-rede do gateway tem de ter o nome GatewaySubnet. O Azure Stack Hub utiliza este nome para identificar a sub-rede para a qual implementar as VMs e os serviços do gateway de rede virtual.
Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados às VMs do gateway e aos serviços de gateway. Algumas configurações requerem mais endereços IP do que outras. Observe as instruções para a configuração que pretende criar e verifique se a sub-rede do gateway que pretende criar cumpre esses requisitos.
Além disso, deve certificar-se de que a sub-rede do gateway tem endereços IP suficientes para processar configurações futuras adicionais. Embora possa criar uma sub-rede de gateway tão pequena como /29, recomendamos que crie uma sub-rede de gateway de /28 ou maior (/28, /27, /26, etc.) Desta forma, se adicionar funcionalidades no futuro, não terá de remover o gateway e, em seguida, eliminar e recriar a sub-rede do gateway para permitir mais endereços IP.
O seguinte Resource Manager exemplo do PowerShell mostra uma sub-rede de gateway denominada GatewaySubnet. Pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o gateway de VPN deixe de funcionar conforme esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
Gateways de rede local
Ao criar uma configuração de gateway de VPN no Azure, o gateway de rede local representa frequentemente a sua localização no local. No Azure Stack Hub, representa qualquer dispositivo VPN remoto que esteja fora do Azure Stack Hub. Este dispositivo pode ser um dispositivo VPN no seu datacenter (ou um datacenter remoto) ou um gateway de VPN no Azure.
Atribua um nome ao gateway de rede local, o endereço IP público do dispositivo VPN remoto e especifique os prefixos de endereço que se encontram na localização no local. O Azure Stack Hub analisa os prefixos de endereços de destino para o tráfego de rede, consulta a configuração que especificou para o gateway de rede local e encaminha os pacotes em conformidade.
Este exemplo do PowerShell cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Por vezes, tem de modificar as definições do gateway de rede local; por exemplo, quando adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN é alterado. Para obter mais informações, veja Modificar as definições do gateway de rede local com o PowerShell.
Parâmetros de IPsec/IKE
Quando configura uma ligação VPN no Azure Stack Hub, tem de configurar a ligação em ambas as extremidades. Se estiver a configurar uma ligação VPN entre o Azure Stack Hub e um dispositivo de hardware, como um comutador ou router que está a agir como um gateway de VPN, esse dispositivo poderá pedir-lhe definições adicionais.
Ao contrário do Azure, que suporta várias ofertas como iniciador e resposta, o Azure Stack Hub suporta apenas uma oferta por predefinição. Se precisar de utilizar diferentes definições ipSec/IKE para trabalhar com o seu dispositivo VPN, existem mais definições disponíveis para configurar a ligação manualmente. Para obter mais informações, veja Configurar a política IPsec/IKE para ligações VPN site a site.
Importante
Ao utilizar o túnel S2S, os pacotes são encapsulados com cabeçalhos adicionais, o que aumenta o tamanho geral do pacote. Nestes cenários, tem de fixar o TCP MSS em 1350. Em alternativa, se os seus dispositivos VPN não suportarem a fixação MSS, pode, em alternativa, definir a MTU na interface do túnel como 1400 bytes. Para obter mais informações, veja Otimização do desempenho do TCPIP de Rede Virutal.
Parâmetros de IKE Fase 1 (Modo Principal)
| Propriedade | Valor |
|---|---|
| Versão do IKE | IKEv2 |
| Grupo Diffie-Hellman* | ECP384 |
| Método de autenticação | Chave Pré-partilhada |
| Encriptação & Algoritmos de Hashing* | AES256, SHA384 |
| Duração de SA (Tempo) | 28 800 segundos |
Parâmetros de IKE Fase 2 (Modo Rápido)
| Propriedade | Valor |
|---|---|
| Versão do IKE | IKEv2 |
| Encriptação & Algoritmos de Hashing (Encriptação) | GCMAES256 |
| Encriptação & Algoritmos de Hashing (Autenticação) | GCMAES256 |
| Duração de SA (Tempo) | 27,000 segundos |
| Duração da SA (Kilobytes) | 33,553,408 |
| Segredo Perfeito para a Frente (PFS)* | ECP384 |
| Deteção de Elemento Inutilizado | Suportado |
* Parâmetro novo ou alterado.
Passos seguintes
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários