Explorar o Gateway de VPN do Azure
Para integrar o seu ambiente no local com o Azure, tem de poder criar uma ligação encriptada. Pode ligar-se através da Internet ou através de uma ligação dedicada. Aqui, vamos ver o Gateway de VPN do Azure, que faculta um ponto final para ligações de entrada a partir de ambientes no local.
Configurou uma rede virtual do Azure e tem de ter a certeza de que todas as transferências de dados do Azure para o seu site e entre as redes virtuais do Azure são encriptadas. Também tem de saber como ligar redes virtuais entre regiões e subscrições.
O que é um gateway de VPN?
Um gateway de rede virtual do Azure faculta um ponto final para as ligações de entrada de localizações no local para o Azure através da Internet. Um gateway de VPN é um tipo específico de gateway de rede virtual que pode ser um ponto final para ligações encriptadas. Também pode enviar tráfego encriptado entre redes virtuais do Azure através da rede dedicada da Microsoft, que liga os datacenters do Azure em diferentes regiões. Essa configuração permite vincular máquinas virtuais e serviços em diferentes regiões com segurança.
Cada rede virtual pode ter apenas um gateway de VPN. Todas as ligações a esse gateway de VPN partilham a largura de banda da rede disponível.
Dentro de cada gateway de rede virtual, há duas ou mais máquinas virtuais (VMs). Essas VMs foram implementadas numa sub-rede especial que foi especificada por si, denominada sub-rede do gateway. Contêm tabelas de encaminhamento para ligações a outras redes, juntamente com serviços de gateway específicos. AS VMs e a sub-rede de gateway são semelhantes a um dispositivo de rede protegido. Você não precisa configurar essas VMs diretamente e não deve implantar mais recursos na sub-rede do gateway.
A conclusão da criação de um gateway de rede virtual pode demorar algum tempo, pelo que é vital que a planeie adequadamente. Quando cria um gateway de rede virtual, o processo de aprovisionamento processa as VMs do gateway e implementa-as na sub-rede de gateway. As VMs terão as definições que configurar no gateway.
Uma definição chave é o tipo de gateway. O tipo de gateway determina a forma como o gateway funciona. Para um gateway de VPN, o tipo de gateway é “vpn”. As opções dos gateways de VPN incluem:
Ligações rede a rede através de túnel de VPN IPsec/IKE, ligando gateways de VPN a outros gateways de VPN.
Túnel de VPN IPsec/IKE em vários locais, para ligar redes no local ao Azure através de dispositivos VPN dedicados para criar ligações site a site.
Ligações ponto a site através de IKEv2 ou SSTP, para ligar os computadores cliente a recursos no Azure.
Agora, vamos analisar os fatores que tem de ter em conta quando planear o gateway de VPN.
Planear um gateway de VPN
Quando estiver a planear um gateway de VPN, existem três arquiteturas a considerar:
- Ponto a site através da Internet
- Site a site através da Internet
- Site a site através de uma rede dedicada, como o Azure ExpressRoute.
Fatores a considerar no planeamento
Os fatores que tem de considerar durante o processo de planeamento incluem:
- Débito – Mbps ou Gbps
- Backbone - Internet ou privada?
- Disponibilidade de um endereço IP público (estático)
- Compatibilidade de dispositivos VPN
- Várias ligações cliente ou uma ligação site a site?
- Tipo de gateway de VPN
- SKU do Gateway de VPN do Azure
A tabela abaixo resume algumas destas questões do planeamento: Os restantes problemas são descritos mais adiante.
| Ponto a site | Site a site | ExpressRoute | |
|---|---|---|---|
| Serviços suportados do Azure | Serviços cloud e VMs | Serviços cloud e VMs | Todos os serviços suportados |
| Largura de banda típica | Depende do SKU do Gateway de VPN | Depende do SKU do Gateway de VPN | Consulte opções de largura de banda do ExpressRoute |
| Protocolos suportados | SSTP e IPsec | IPsec | Ligação direta, VLANs |
| Encaminhamento | RouteBased (dinâmico) | PolicyBased (estático) e RouteBased | BGP |
| Resiliência de ligação | Ativa-passiva | Ativa-passiva ou ativa-ativa | Ativa-ativa |
| Cenário de teste | Testes e prototipagem | Desenvolvimento, testes e produção em pequena escala | Crítico para empresa/missão |
SKUs de Gateway
É importante escolher o SKU certo. Se você configurou seu gateway de VPN com o errado, terá que derrubá-lo e reconstruir o gateway, o que pode ser demorado. Para obter as informações mais recentes sobre os SKUs de gateway, incluindo o débito, veja O que é o Gateway de VPN? – SKUs de Gateway.
Fluxo de Trabalho
Ao conceber uma estratégia de conectividade na cloud com uma rede privada virtual no Azure, deve aplicar o seguinte fluxo de trabalho:
Desenhe a topologia da conectividade mediante a indicação dos espaços de endereço de todas as redes de ligação.
Crie uma rede virtual do Azure.
Crie um gateway de VPN para a rede virtual.
Crie e configure ligações a redes no local ou a outras redes virtuais, conforme seja preciso.
Se necessário, crie e configure uma conexão ponto a site para seu gateway de VPN do Azure.
Considerações de design
Quando desenha os gateways de VPN para ligar redes virtuais, tem de ter em conta os seguintes fatores:
As sub-redes não podem sobrepor-se
É vital que uma sub-rede em um local não contenha o mesmo espaço de endereço que em outro local.
Os endereços IP têm de ser exclusivos
Você não pode ter dois hosts com o mesmo endereço IP em locais diferentes, pois será impossível rotear o tráfego entre esses dois hosts e a conexão de rede para rede falhará.
Os gateways de VPN precisam de uma sub-rede de gateway denominada GatewaySubnet
Ele deve ter esse nome para que o gateway funcione e não deve conter outros recursos.
Criar uma rede virtual do Azure
Antes de criar um gateway de VPN, tem de criar a rede virtual do Azure.
Criar um gateway de VPN
O tipo de gateway de VPN que criar depende da arquitetura. As opções são:
RouteBased
Os dispositivos VPN baseados em rotas utilizam seletores de tráfego qualquer para qualquer (universal) e permitem que as tabelas de encaminhamento/reencaminhamento direcionem o tráfego para diferentes túneis IPsec. As conexões baseadas em rota são normalmente construídas em plataformas de roteador onde cada túnel IPsec é modelado como uma interface de rede ou interface de túnel virtual (VTI).
PolicyBased
Os dispositivos VPN baseados em políticas utilizam as combinações de prefixos de ambas as redes para definir de que forma é que o tráfego é encriptado/desencriptado através dos túneis IPsec. Regra geral, as ligações baseadas em políticas são criadas em dispositivos de firewall que fazem filtragem de pacotes. A encriptação e desencriptação de túnel IPsec são adicionadas à filtragem de pacotes e ao motor de processamento.
Configurar um gateway de VPN
As etapas que você precisa seguir dependerão do tipo de gateway VPN que você está instalando. Por exemplo, para criar um gateway VPN ponto a site usando o portal do Azure, você deve executar as seguintes etapas:
Crie uma rede virtual.
Adicione uma sub-rede de gateway.
Especifique um servidor DNS (opcional).
Crie um gateway de rede virtual.
Gerar certificados.
Adicione o pool de endereços do cliente.
Configure o tipo de túnel.
Configure o tipo de autenticação.
Carregue os dados do certificado público do certificado raiz.
Instale um certificado de cliente exportado.
Gere e instale o pacote de configuração do cliente VPN.
Conecte-se ao Azure.
Como há vários caminhos de configuração com gateways de VPN do Azure, cada um com várias opções, não é possível cobrir todas as configurações neste curso. Para obter mais informações, veja a secção Recursos Adicionais.
Configurar o gateway
Depois que o gateway for criado, você precisará configurá-lo. Há várias definições de configuração que você precisará fornecer, como nome, local, servidor DNS e assim por diante. Exploraremos essas configurações com mais detalhes no exercício.
Os gateways de VPN do Azure são componentes nas redes virtuais do Azure que permitem ligações ponto a site, site a site ou rede a rede. Os gateways de VPN do Azure permitem que computadores cliente individuais se liguem a recursos no Azure, expandam as redes no local para o Azure ou facilitem ligações entre redes virtuais em diferentes regiões e subscrições.