描述 Azure 虚拟专用网
虚拟专用网络 (VPN) 在另一网络中使用加密隧道。 通常,部署 VPN 的目的是,通过不受信任的网络(通常是公共 Internet)将两个或更多个受信任的专用网络相互连接。 通过不受信任的网络传输时会加密流量,用于防止窃听或其他攻击。 VPN 可支持网络安全可靠地共享敏感信息。
VPN 网关
VPN 网关是一种虚拟网络网关。 Azure VPN 网关实例部署在虚拟网络的专用子网中,可实现以下连接:
- 通过站点到站点连接将本地数据中心连接到虚拟网络。
- 通过点到站点连接将各个设备连接虚拟网络。
- 通过网络到网络连接将虚拟网络连接到其他虚拟网络。
所有数据传输在通过 Internet 时都会在一个专用隧道中进行加密。 每个虚拟网络中只能部署一个 VPN 网关。 然而,可使用一个网关连接到多个位置,包括其他虚拟网络或本地数据中心。
设置 VPN 网关时,必须指定 VPN 的类型 - 基于策略或基于路由。 这两种类型之间的主要区别在于它们如何确定哪些流量需要加密。 在 Azure 中,无论 VPN 类型如何,采用的身份验证方法都是预共享密钥。
- 基于策略的 VPN 网关通过静态方式指定应通过每个隧道加密的数据包的 IP 地址。 这种类型的设备根据这些 IP 地址集评估每个数据包,以选择将用于发送该数据包的隧道。
- 在基于路由的网关中,将 IPSec 隧道建模为网络接口或虚拟隧道接口。 IP 路由(静态路由或动态路由协议)决定在发送每个数据包时使用哪一个隧道接口。 基于路由的 VPN 是本地设备的首选连接方法。 它们具有更高的复原能力,能够适应拓扑更改,例如创建的新子网。
如果需要以下任何类型的连接,请使用基于路由的 VPN 网关:
- 虚拟网络之间的连接
- 点到站点连接
- 多站点连接
- 与 Azure ExpressRoute 网关共存
高可用性方案
如果正在配置 VPN 以确保信息安全,还需要确保它是一个高可用和容错的 VPN 配置。 有几种方法可以最大限度地提高 VPN 网关的复原能力。
主动/备用
默认情况下,VPN 网关在“主动/备用”配置中部署为两个实例,即使只能在 Azure 中看到一个 VPN 网关资源也是如此。 当计划内维护或计划外中断影响主动实例时,备用实例会自动承担连接责任,无需任何用户干预。 在此故障转移期间,连接会中断,但对于计划内维护,连接通常会在几秒钟内恢复,对于计划外中断,通常会在 90 秒内恢复。
主动/主动
由于已引入对 BGP 路由协议的支持,你还可在主动/主动配置中部署 VPN 网关。 在此配置中,为每个实例分配唯一的公共 IP 地址。 然后创建从本地设备到每个 IP 地址的单独隧道。 可以通过在本地再部署一个 VPN 设备来扩展高可用性。
ExpressRoute 故障转移
另一个高可用性选项是将 VPN 网关配置为 ExpressRoute 连接的安全故障转移路径。 ExpressRoute 线路具有内置复原能力。 然而,它们仍会受到影响连接电缆的物理问题或影响完整的 ExpressRoute 位置的中断的影响。 在高可用性应用场景中,如果存在与 ExpressRoute 线路中断相关的风险,还可以预配 VPN 网关,该网关使用 Internet 作为替代连接方法。 因此你可以确保始终与虚拟网络建立连接。
区域冗余网关
在支持可用性区域的区域中,可在区域冗余配置中部署 VPN 网关和 ExpressRoute 网关。 此配置可以提高虚拟网络网关的复原性、可伸缩性和可用性。 可通过在 Azure 可用性区域中部署网关,在地理位置和逻辑上将区域内的网关分隔开来,同时还能保护本地网络与 Azure 的连接免受区域级故障的影响。 上述网关需要不同的网关库存单位 (SKU),且使用标准公共 IP 地址而不是基本公共 IP 地址。