Topologia e design do Gateway VPN
Há muitas opções de configuração diferentes disponíveis para conexões de Gateway VPN. Use os diagramas e descrições nas seções a seguir para ajudá-lo a selecionar a topologia de conexão que atende aos seus requisitos. Os diagramas mostram as topologias de linha de base principais, mas é possível construir configurações mais complexas usando os diagramas como diretrizes.
VPN site a site
Uma conexão de gateway VPN site a site (S2S) é uma conexão através do túnel VPN IPsec/IKE (IKEv1 ou IKEv2). As ligações site a site podem ser utilizadas para configurações em vários locais e híbridas. Uma conexão site a site requer um dispositivo VPN localizado no local que tenha um endereço IP público atribuído a ele. Para obter informações acerca da seleção de um dispositivo VPN, veja as FAQs do Gateway de VPN - dispositivos VPN.
O Gateway VPN pode ser configurado no modo de espera ativa usando um IP público ou no modo ativo-ativo usando dois IPs públicos. No modo de espera ativa, um túnel IPsec está ativo e o outro túnel está em espera. Nessa configuração, o tráfego flui através do túnel ativo e, se algum problema acontecer com esse túnel, o tráfego muda para o túnel de espera. A configuração do Gateway VPN no modo ativo-ativo é recomendada na qual ambos os túneis IPsec estão simultaneamente ativos, com dados fluindo pelos dois túneis ao mesmo tempo. Outra vantagem do modo ativo-ativo é que os clientes experimentam taxas de transferência mais altas.
Você pode criar mais de uma conexão VPN a partir do seu gateway de rede virtual, normalmente conectando-se a vários sites locais. Quando trabalha com várias ligações, tem de utilizar um tipo de VPN RouteBased (conhecido como gateway dinâmico ao trabalhar com VNets clássicas). Uma vez que cada rede virtual só pode ter um gateway de VPN, todas as ligações através do mesmo partilham a largura de banda disponível. Este tipo de ligação é por vezes referido como uma ligação "multi-site".
Modelos e métodos de implantação para S2S
| Modelo/método de implementação | Portal do Azure | PowerShell | CLI do Azure |
|---|---|---|---|
| Gestor de Recursos | Tutorial | Tutorial | Tutorial |
| Clássico (modelo de implantação herdado) | Tutorial** | Tutorial | Não suportado |
( ** ) indica que este método contém passos que necessitam o PowerShell.
VPN ponto a site
Uma ligação de gateway de VPN ponto a site (P2S) permite criar uma ligação segura para a sua rede virtual a partir de um computador cliente individual. Uma conexão ponto-a-site é estabelecida iniciando-a a partir do computador cliente. Esta solução é útil para as pessoas que trabalham à distância que queiram ligar às Redes Virtuais do Azure a partir de uma localização remota, como, por exemplo, de casa ou de uma conferência. VPN ponto-a-site também é uma solução útil para usar em vez de VPN site a site quando você tem apenas alguns clientes que precisam se conectar a uma rede virtual.
Ao contrário das conexões site a site, as conexões ponto a site não exigem um endereço IP público local ou um dispositivo VPN. As conexões ponto a site podem ser usadas com conexões site a site por meio do mesmo gateway VPN, desde que todos os requisitos de configuração para ambas as conexões sejam compatíveis. Para obter mais informações sobre conexões ponto a site, consulte Sobre VPN ponto a site.
Métodos e modelos de implementação para P2S
| Autenticação de certificados nativa do Azure | Modelo/método de implementação | Portal do Azure | PowerShell |
|---|---|---|---|
| Gestor de Recursos | Tutorial | Tutorial | |
| Clássico (modelo de implantação herdado) | Tutorial | Suportado |
| Autenticação do Microsoft Entra | Modelo/método de implementação | Artigo |
|---|---|---|
| Gestor de Recursos | Criar inquilino | |
| Gestor de Recursos | Configurar usuários e grupos de acesso |
| Autenticação RADIUS | Modelo/método de implementação | Portal do Azure | PowerShell |
|---|---|---|---|
| Gestor de Recursos | Suportado | Tutorial | |
| Clássico (modelo de implantação herdado) | Não suportado | Não suportado |
Configuração do cliente VPN P2S
| Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar cliente VPN |
|---|---|---|---|
| Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
| Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS - certificado | - | Artigo | Artigo |
| RADIUS - palavra-passe | - | Artigo | Artigo |
| RADIUS - outros métodos | - | Artigo | Artigo |
Ligações VNet a VNet (túnel VPN IPsec/IKE)
Conectar uma rede virtual a outra rede virtual (VNet-to-VNet) é semelhante a conectar uma rede virtual a um local de site local. Ambos os tipos de conetividade utilizam um gateway de VPN para fornecer um túnel seguro através de IPsec/IKE. Pode, inclusive, combinar uma comunicação VNet a VNet com configurações de ligação multilocal. Este procedimento permite-lhe estabelecer topologias de rede que combinam uma conetividade em vários locais com uma conetividade de rede intervirtual.
As redes virtuais que você conecta podem ser:
- nas mesmas regiões ou em diferentes
- nas mesmas subscrições ou em diferentes
- nos mesmos modelos de implementação ou em diferentes
Modelos de implementação e métodos para VNet para VNet
| Modelo/método de implementação | Portal do Azure | PowerShell | CLI do Azure |
|---|---|---|---|
| Gestor de Recursos | Tutorial+ | Tutorial | Tutorial |
| Clássico (modelo de implantação herdado) | Tutorial* | Suportado | Não suportado |
| Conexões entre o Resource Manager e modelos de implantação clássicos (legados) | Tutorial* | Tutorial | Não suportado |
(+) indica que este método de implementação só está disponível para VNets na mesma subscrição.
( * ) indica que este método de implementação também requer o PowerShell.
Em alguns casos, talvez você queira usar o emparelhamento de rede virtual em vez de VNet-to-VNet para conectar suas redes virtuais. O emparelhamento de rede virtual não usa um gateway de rede virtual. Para obter mais informações, consulte Emparelhamento de rede virtual.
Ligações Site a site e ExpressRoute coexistentes
O ExpressRoute é uma ligação direta e privada da sua WAN (não através da Internet pública) aos Serviços Microsoft, incluindo o Azure. O tráfego de VPN site a site viaja criptografado pela Internet pública. Ser capaz de configurar conexões VPN site a site e ExpressRoute para a mesma rede virtual tem várias vantagens.
Você pode configurar uma VPN site a site como um caminho de failover seguro para a Rota Expressa ou usar VPNs site a site para se conectar a sites que não fazem parte da sua rede, mas que estão conectados por meio da Rota Expressa. Observe que essa configuração requer dois gateways de rede virtual para a mesma rede virtual, um usando o tipo de gateway Vpn e outro usando o tipo de gateway ExpressRoute.
Modelos e métodos de implantação para conexões coexistentes S2S e ExpressRoute
| Modelo/método de implementação | Portal do Azure | PowerShell |
|---|---|---|
| Gestor de Recursos | Suportado | Tutorial |
| Clássico (modelo de implantação herdado) | Não Suportado | Tutorial |
Conexões altamente disponíveis
Para planejar e projetar conexões altamente disponíveis, consulte Conexões altamente disponíveis.
Próximos passos
Veja as FAQ do Gateway de VPN para obter mais informações.
Saiba mais sobre as definições de configuração do Gateway VPN.
Para obter considerações sobre o BGP do Gateway VPN, consulte Sobre o BGP.
Veja Subscription and service limits (Subscrições e limites do serviço).
Saiba mais sobre algumas das outras principais capacidades de rede do Azure.