Noções básicas do Gateway de VPN do Azure

Concluído

As VPNs utilizam um túnel encriptado noutra rede. Normalmente, são implementadas para ligar duas ou mais redes privadas fidedignas entre si através de uma rede não fidedigna (geralmente pela Internet pública). O tráfego é encriptado enquanto viaja pela rede não fidedigna, para evitar escutas ou outros ataques.

Para o nosso cenário da Tailwind Traders, as VPNs podem permitir que as sucursais partilhem informações confidenciais entre localizações. Por exemplo, digamos que os seus escritórios na região da Costa Leste da América do Norte precisam de aceder aos dados privados de clientes da sua empresa, que são armazenados em servidores que estão localizados fisicamente na região da Costa Oeste. Uma VPN que ligue os seus escritórios da Costa Leste aos seus servidores da Costa Ocidental permite que a sua empresa aceda aos seus dados privados de clientes com segurança.

Gateways de VPN

Um gateway de VPN é um tipo de gateway de rede virtual. As instâncias do Gateway de VPN do Azure são implementadas nas instâncias da Rede Virtual do Azure e ativam a seguinte conectividade:

  • Ligar datacenters no local a redes virtuais através de uma ligação site a site.
  • Ligar dispositivos individuais a redes virtuais através de uma ligação ponto a site.
  • Ligar redes virtuais a outras redes virtuais através de uma ligação rede a rede.

Visualização de uma ligação VPN ao Azure.

Todos os dados transferidos são encriptados num túnel privado à medida que percorrem a Internet. Só pode implementar um gateway de VPN em cada rede virtual, mas pode utilizar um gateway para ligar a várias localizações, o que inclui outras redes virtuais ou datacenters no local.

Ao implementar um gateway de VPN, especifique o tipo de VPN: baseada em políticas ou baseada em rotas. A principal diferença entre estes dois tipos de VPNs é como o tráfego que vai ser encriptado é especificado. No Azure, ambos os tipos de gateways de VPN utilizam a chave pré-partilhada como único método de autenticação. Ambos os tipos também se baseiam no IKE (Internet Key Exchange) na versão 1 ou versão 2 e no IPSec (Internet Protocol Security). O IKE é utilizado para configurar uma associação de segurança (um contrato da encriptação) entre dois pontos finais. Esta associação é então transmitida para o conjunto IPsec, que encripta e desencripta os pacotes de dados encapsulados no túnel de VPN.

VPNs baseadas em políticas

Os gateways de VPNs baseadas em políticas especificam estaticamente o endereço IP dos pacotes que devem ser encriptados através de cada túnel. Este tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel por onde o pacote será enviado.

As principais funcionalidades dos gateways de VPNs baseadas em políticas no Azure incluem:

  • Suporte unicamente para IKEv1.
  • Utilização do encaminhamento estático, em que as combinações de prefixos de endereço de ambas as redes controlam a forma como o tráfego é encriptado e desencriptado através do túnel VPN. A origem e o destino das redes em túnel são declarados na política, e não é necessário declará-los nas tabelas de encaminhamento.
  • As VPNs baseadas em políticas têm de ser utilizadas em cenários específicos que necessitem das mesmas, por exemplo, para compatibilidade com dispositivos VPN legados no local.

VPNs baseadas em rotas

Se definir os endereços IP por trás de cada túnel for demasiado complicado, podem ser utilizados gateways baseados em rotas. Com gateways baseados em rotas, os túneis IPsec são modelados como uma interface de rede ou uma interface de túnel virtual. O encaminhamento de endereços IP (rotas estáticas ou protocolos de encaminhamento dinâmico) decide quais destas interfaces de túnel utilizar ao enviar cada pacote. As VPNs baseadas em rotas são o método de ligação preferencial para dispositivos no local. Estas são mais resilientes a alterações de topologia, por exemplo, a criação de novas sub-redes.

Utilize um gateway de VPN baseada em rotas, se precisar de qualquer um dos seguintes tipos de conectividade:

  • Ligações entre redes virtuais
  • Ligações ponto a site
  • Ligações de múltiplos locais
  • Coexistência com um gateway do Azure ExpressRoute

As principais funcionalidades dos gateways de VPN baseados em rotas no Azure incluem:

  • Suporte para IKEv2
  • Utiliza seletores de tráfego qualquer a qualquer (caráter universal)
  • Pode utilizar protocolos de encaminhamento dinâmicos, onde as tabelas de encaminhamento/encaminhamento direcionam o tráfego direto para diferentes túneis IPSec Neste caso, as redes de origem e destino não estão estáticas definidas como se estiverem em VPNs baseadas em políticas ou mesmo em VPNs baseadas em rotas com encaminhamento estático. Em vez disso, os pacotes de dados são encriptados com base em tabelas de encaminhamento de rede que são criadas dinamicamente com os protocolos de encaminhamento, como o Protocolo BGP.

Tamanhos de gateway de VPN

As capacidades do seu gateway de VPN são determinadas pelo SKU ou pelo tamanho que implementa. Esta tabela mostra as principais capacidades de cada SKU disponível.

SKU

Túneis rede a rede/site a site

Referência de débito de agregação

Suporte do Protocolo BGP

Nota básica [ ver ]

Máximo: 10

100 Mbps

Não suportado

VpnGw1/Az

Máximo: 30

650 Mbps

Suportado

VpnGw2/Az

Máximo: 30

1 Gbps

Suportado

VpnGw3/Az

Máximo: 30

1,25 Gbps

Suportado

Nota

Um gateway de VPN Básico só deve ser utilizado para cargas de trabalho de Dev/Test. Além disso, não é suportada a migração do SKUs Básicos para os VpnGW1/2/3/Az posteriormente sem ter de remover o gateway e a reimplementação.

Implementar gateways de VPN

Antes de poder implementar um gateway de VPN, precisará de alguns recursos do Azure e no local.

Recursos do Azure necessários

Antes de poder implementar um gateway de VPN operacional, precisará destes recursos do Azure:

  • Rede virtual. Implemente uma rede virtual com espaço de endereços suficiente para a sub-rede adicional de que precisará para o gateway de VPN. O espaço de endereços para esta rede virtual não pode sobrepor-se à rede no local à qual está a ligar. Pode implementar um único gateway de VPN numa rede virtual.

  • GatewaySubnet. Implemente uma sub-rede denominada GatewaySubnet para o gateway de VPN. Utilize pelo menos uma máscara de endereço /27 para garantir que tem endereços IP suficientes na sub-rede para uma expansão futura. Não é possível utilizar esta sub-rede para quaisquer outros serviços.

  • Endereço IP público. Crie um endereço IP público dinâmico de SKU Básico se estiver a utilizar um gateway sem área de deteção. Este endereço fornece um endereço IP encaminhável público como o destino para o dispositivo VPN no local. Este endereço IP é dinâmico, mas não será alterado a menos que elimine e recrie o gateway de VPN.

  • Gateway de rede local. Crie um gateway de rede local para definir a configuração da rede no local, por exemplo, onde o gateway de VPN se ligará e a que serviço se ligará. Esta configuração inclui o endereço IPv4 público do dispositivo VPN no local e as redes encaminháveis no local. Estas informações são utilizadas pelo gateway de VPN para encaminhar pacotes destinados a redes no local através do túnel IPsec.

  • Gateway de rede virtual. Crie o gateway de rede virtual para encaminhar o tráfego entre a rede virtual e o datacenter no local ou outras redes virtuais. O gateway de rede virtual pode ser um gateway de VPN ou ExpressRoute, mas esta unidade lida apenas com gateways de rede virtual VPN. (Saberá mais sobre o ExpressRoute numa unidade separada posteriormente neste módulo.)

  • Ligação. Crie um recurso de ligação para criar uma ligação lógica entre o gateway de VPN e o gateway de rede local.

    • A ligação é efetuada para o endereço IPv4 do dispositivo VPN no local conforme definido pelo gateway de rede local.
    • A ligação é efetuada a partir do gateway de rede virtual e o respetivo endereço IP público associado.

    Pode criar múltiplas ligações.

O seguinte diagrama mostra esta combinação de recursos e as relações para o ajudar a compreender melhor o que é preciso para implementar um gateway de VPN.

Visualização dos requisitos dos recursos para um gateway de VPN.

Recursos no local necessários

Para ligar o seu datacenter a um gateway de VPN, precisará dos seguintes recursos no local:

  • Um dispositivo VPN que suporte gateways de VPNs baseadas em políticas ou baseadas em rotas
  • Um endereço IPv4 destinado ao público (encaminhável pela Internet)

Cenários de elevada disponibilidade

Existem várias formas de garantir que tem uma configuração tolerante a falhas.

Ativo/Inativo

Por predefinição, os gateways de VPN são implementados como duas instâncias numa configuração ativa/inativa, mesmo que consiga ver apenas um recurso de gateway de VPN no Azure. Quando a manutenção planeada ou uma interrupção não planeada afetam a instância ativa, a instância inativa assume automaticamente a responsabilidade pelas ligações sem qualquer intervenção do utilizador. As ligações são interrompidas durante esta ativação pós-falha, mas normalmente são restauradas dentro de alguns segundos para a manutenção planeada e dentro de 90 segundos para interrupções não planeadas.

Visualização do gateway de rede virtual de espera ativo.

Ativo/Ativo

Com a introdução do suporte do protocolo de encaminhamento BGP, também pode implementar gateways de VPN numa configuração ativa/ativa. Nesta configuração, atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis separados do dispositivo no local para cada endereço IP. Pode implementar um dispositivo VPN adicional no local para expandir a elevada disponibilidade.

Visualização do portal de rede virtual ativa ativo.

Ativação pós-falha do ExpressRoute

Outra opção de elevada disponibilidade é configurar um gateway de VPN como um caminho de ativação pós-falha seguro para as ligações do ExpressRoute. Os circuitos do ExpressRoute têm resiliência incorporada. Mas não são imunes a problemas físicos que afetam os cabos de fornecimento de conectividade, nem a interrupções que afetam a localização completa do ExpressRoute. Em cenários de elevada disponibilidade, em que há risco associado a uma interrupção de um circuito do ExpressRoute, também pode aprovisionar um gateway de VPN que utiliza a Internet como um método alternativo de conectividade. Desta forma, pode garantir que existe sempre uma ligação às redes virtuais.

Gateways com redundância entre zonas

Em regiões que suportam as zonas de disponibilidade, os gateways de VPN e do ExpressRoute podem ser implementados numa configuração com redundância entre zonas. Esta configuração traz resiliência, escalabilidade e uma maior disponibilidade para os gateways de redes virtuais. Implementar gateways nas zonas de disponibilidade do Azure separa física e logicamente os gateways numa região, enquanto protege a conectividade da rede no local para o Azure contra falhas ao nível das zonas. Estes gateways requerem SKUs de gateway diferentes e utilizam os endereços IP públicos Standard em vez dos endereços IP públicos Básicos.