Připojení místních sítí k Azure pomocí bran VPN typu site-to-site
Virtuální privátní síť (VPN) je typ privátně propojené sítě. Sítě VPN používají šifrované tunelové propojení v rámci jiné sítě. Obvykle se nasazují kvůli vzájemnému propojení dvou nebo více důvěryhodných privátních sítí přes nedůvěryhodnou síť (obvykle veřejný internet). Provoz se při průchodu přes nedůvěryhodnou síť šifruje, aby se zabránilo odposlouchávání nebo jiným útokům.
V našem scénáři s poskytovatelem zdravotní péče můžou sítě VPN zajistit, aby odborníci v oblasti zdravotnictví mohli sdílet citlivé informace mezi jednotlivými pracovišti. Řekněme například, že pacient vyžaduje operaci ve specializovaném zařízení. Chirurgický tým musí být schopen vidět podrobnosti o pacientově zdravotní anamnéze. Tato lékařská data se ukládají do systému v Azure. Použití sítě VPN pro připojení příslušného zařízení k Azure umožní chirurgickému týmu bezpečný přístup k těmto informacím.
Brány VPN Azure
Brána VPN je typem brány virtuální sítě. Brány VPN se nasazují ve virtuálních sítích Azure a umožňují následující připojení:
- Připojení místních datových center k virtuálním sítím Azure prostřednictvím připojení typu site-to-site
- Připojení jednotlivých zařízení k virtuálním sítím Azure prostřednictvím připojení typu point-to-site
- Připojení virtuálních sítí Azure k jiným virtuálním sítím Azure prostřednictvím připojení typu network-to-network
Všechna přenášená data jsou při průchodu internetem zašifrována v privátním tunelu. V každé virtuální síti můžete nasadit jenom jednu bránu sítě VPN, ale pomocí jedné brány můžete připojit více umístění, včetně jiných virtuálních sítí Azure nebo místních datových center.
Při nasazování brány VPN určíte typ VPN: založená na zásadách nebo založená na směrování. Hlavním rozdílem mezi těmito dvěma typy sítě VPN je způsob určení šifrovaného provozu.
Sítě VPN založené na zásadách
Brány VPN založené na zásadách určují staticky IP adresu paketů, které mají být při průchodu jednotlivými tunely šifrované. Tento typ zařízení vyhodnotí každý datový paket proti těmto sadám IP adres a zvolí tunel, kterým se tento paket odešle. Brány VPN založené na zásadách jsou omezené na funkce a připojení, která je možné podporovat. Mezi klíčové funkce bran VPN založených na zásadách v Azure patří:
- Podpora jen pro IKEv1.
- Používají statické směrování, při kterém kombinace předpon adres z obou sítí určují, jak se přenosy tunelem VPN šifrují a dešifrují. Zdroje a cíle tunelovaných sítí se deklarují v zásadách a není nutné je deklarovat ve směrovacích tabulkách.
- Sítě VPN založené na zásadách je nutné použít v určitých scénářích, které je vyžadují, například z důvodu kompatibility se staršími místními zařízeními VPN.
Sítě VPN založené na směrování
Pokud definujete, které IP adresy se nacházejí za každým tunelem, je pro vaši situaci příliš těžkopádné. Nebo potřebujete funkce a připojení, které brány založené na zásadách nepodporují. Měly by se používat brány založené na směrování. V branách založených na směrování jsou tunely IPSec modelovány jako síťová rozhraní nebo virtuální rozhraní tunelu (VTI). Směrování PROTOKOLU IP (statické trasy nebo protokoly dynamického směrování) určuje, které z rozhraní tunelu se mají jednotlivé pakety odesílat. Sítě VPN založené na směrování jsou upřednostňovanou metodou připojení pro místní zařízení, protože jsou odolnější vůči změnám topologie, jako je například vytváření nových podsítí. Bránu sítě VPN založené na směrování použijte, pokud potřebujete některé z následujících typů připojení:
- Připojení mezi virtuálními sítěmi
- Připojení typu point-to-site
- Připojení typu multi-site
- Koexistence s bránou Azure ExpressRoute
Mezi klíčové funkce bran VPN založených na směrování v Azure patří:
- Podpora IKEv2.
- Používá selektory provozu typu any-to-any (se zástupnými znaky).
- Můžou používat protokoly dynamického směrování, u kterých provoz do různých tunelů IPsec směrují směrovací a předávací tabulky. V takovém případě nejsou zdrojové a cílové sítě staticky definované, protože jsou v sítích VPN založených na zásadách nebo dokonce v sítích VPN založených na směrování se statickým směrováním. Místo toho se datové pakety šifrují na základě tabulek směrování sítě, které se vytvářejí dynamicky pomocí směrovacích protokolů, jako je protokol BGP (Border Gateway Protocol).
Oba typy bran VPN (založené na směrování a zásadách) v Azure používají předsdílený klíč jako jedinou metodu ověřování. Oba typy používají protokoly IKE (Internet Key Exchange) verze 1 nebo verze 2 a IPSec (Internet Protocol Security). IKE se používá k nastavení přidružení zabezpečení (dohody o šifrování) mezi dvěma koncovými body. Toto přidružení se pak předá sadě IPSec, která provádí šifrování a dešifrování datových paketů zapouzdřených v tunelu VPN.
Velikosti bran VPN
Skladová položka nebo velikost, kterou nasadíte, určuje možnosti vaší brány VPN. Tato tabulka ukazuje příklad některých skladových položek brány. Čísla v této tabulce se můžou kdykoli změnit. Nejnovější informace najdete v tématu Skladové položky brány v dokumentaci ke službě Azure VPN Gateway. Skladová položka brány Basic by se měla používat jenom pro úlohy vývoje/testování. Kromě toho není podporována migrace z úrovně Basic na libovolnou skladovou položku VpnGw#/Az později, aniž byste museli bránu odebrat a znovu nasadit.
| VPN Brána Generace |
Skladová jednotka (SKU) | S2S/VNet-to-VNet Tunely |
P2S Připojení iony SSTP |
P2S Připojení iony IKEv2/OpenVPN |
Agregace Srovnávací test propustnosti |
BGP | Zónově redundantní | Podporovaný počet virtuálních počítačů ve virtuální síti |
|---|---|---|---|---|---|---|---|---|
| Generace 1 | Basic | Max. 10 | Max. 128 | Nepodporuje se | 100 Mb/s | Nepodporuje se | No | 200 |
| Generace 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | No | 450 |
| Generace 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | No | 1300 |
| Generace 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | No | 4000 |
| Generace 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Podporováno | Ano | 1000 |
| Generace 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Podporováno | Ano | 2000 |
| Generace 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Podporováno | Ano | 5000 |
| Generace 2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | No | 685 |
| Generace 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | No | 2240 |
| Generace 2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | No | 5300 |
| Generace 2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | No | 6700 |
| Generace 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Podporováno | Ano | 2000 |
| Generace 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Podporováno | Ano | 3300 |
| Generace 2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Podporováno | Ano | 4400 |
| Generace 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gb/s | Podporováno | Ano | 9000 |
Nasazení bran VPN
Před nasazením brány VPN potřebujete některé prostředky Azure a místní prostředky.
Požadované prostředky Azure
Před nasazením provozní brány VPN potřebujete tyto prostředky Azure:
- Virtuální síť: Nasaďte virtuální síť Azure s dostatečným adresními prostory pro další podsíť, kterou potřebujete pro bránu VPN. Adresní prostor pro tuto virtuální síť se nesmí překrývat s místní sítí, ke které se připojujete. Mějte na paměti, že v rámci virtuální sítě můžete nasadit jenom jednu bránu VPN.
- Podsíť brány: Nasaďte pro bránu VPN podsíť s názvem
GatewaySubnet. Použijte masku adresy aspoň /27, abyste v této podsíti měli dostatek IP adres pro budoucí růst. Tuto podsíť nemůžete používat pro žádné jiné služby. - Veřejná IP adresa: Pokud využíváte bránu bez rozlišování zón dostupnosti, vytvořte dynamickou veřejnou IP adresu pro SKU na úrovni Basic. Tato adresa poskytuje jako cíl pro místní zařízení VPN veřejnou směrovatelnou IP adresu. Tato IP adresa je dynamická, ale nemění se, pokud neodstraníte a znovu nevytvoříte bránu VPN.
- Brána místní sítě: Vytvořte bránu místní sítě, která definuje konfiguraci místní sítě. Konkrétně tam, kde se brána VPN připojuje a k čemu se připojuje. Tato konfigurace zahrnuje veřejnou adresu IPv4 místního zařízení VPN a místní směrovatelné sítě. Brána VPN používá tyto informace ke směrování paketů, které jsou určeny pro místní sítě, prostřednictvím tunelu IPSec.
- Brána virtuální sítě: Vytvořte bránu virtuální sítě pro směrování provozu mezi danou virtuální sítí a místním datovým centrem nebo jinými virtuálními sítěmi. Bránu virtuální sítě je možné nakonfigurovat buď jako bránu VPN, nebo bránu ExpressRoute, ale tento modul se zabývá pouze bránami virtuální sítě VPN.
- Připojení: Vytvořte prostředek připojení, který vytvoří logické propojení mezi bránou VPN a bránou místní sítě. Můžete vytvořit více připojení ke stejné bráně.
- Připojení se vytvoří k adrese IPv4 místního zařízení VPN, kterou definuje brána místní sítě.
- Připojení se vytvoří z brány virtuální sítě a její přidružené veřejné IP adresy.
Tuto kombinaci prostředků a jejich relací znázorňuje následující diagram, který vám pomůže lépe pochopit, co je potřeba k tomu, aby bylo možné nasadit bránu VPN:
Požadované místní prostředky
K připojení datacentra k bráně VPN potřebujete tyto místní prostředky:
- Zařízení VPN, které podporuje brány VPN založené na zásadách nebo na směrování
- Veřejně přístupná (směrovatelná do internetu) adresa IPv4
Scénáře s vysokou dostupností
Existuje několik způsobů, jak zajistit, abyste měli konfiguraci odolnou proti chybám.
Aktivní/pohotovostní
Ve výchozím nastavení jsou brány VPN nasazené jako dvě instance v konfiguraci aktivní/pohotovostní, i když se v Azure zobrazuje jenom jeden prostředek brány VPN. Pokud aktivní instanci ovlivní plánovaná údržba nebo neplánovaný výpadek, zodpovědnost za připojení převezme automaticky bez zásahu uživatele pohotovostní instance. Během tohoto převzetí služeb při selhání se připojení přeruší, ale k jejich obnovení obvykle dojde při plánované údržbě během několika sekund a při neplánovaných výpadcích během 90 sekund.
Aktivní/aktivní
Se zavedením podpory směrovacího protokolu BGP můžete brány VPN nasazovat také v konfiguraci aktivní/aktivní. V této konfiguraci přiřadíte každé instanci jedinečnou veřejnou IP adresu. Pak vytvoříte samostatné tunely z místního zařízení ke každé IP adrese. Vysokou dostupnost můžete rozšířit nasazením jiného místního zařízení VPN.
Převzetí služeb při selhání pro ExpressRoute
Další možností zajištění vysoké dostupnosti je konfigurace brány VPN jako zabezpečené cesty převzetí služeb při selhání pro připojení ExpressRoute. Okruhy ExpressRoute mají integrovanou odolnost, ale nejsou imunní k fyzickým problémům s kabely zajišťujícími připojení a k výpadkům, které postihnou kompletní umístění ExpressRoute. Ve scénářích s vysokou dostupností, kde existuje riziko spojené s výpadkem okruhu ExpressRoute, můžete také nakonfigurovat bránu VPN, která používá internet jako alternativní metodu připojení, a zajistit tak připojení k virtuálním sítím Azure vždy.
Zónově redundantní brány
V oblastech, které podporují zóny dostupnosti, je možné brány VPN a ExpressRoute nasadit v zónově redundantní konfiguraci. Tato konfigurace přináší odolnost proti chybám, škálovatelnost a vyšší dostupnost bran virtuálních sítí. Nasazování bran v rámci Zón dostupnosti Azure fyzicky a logicky odděluje brány v rámci oblasti, přičemž zároveň chrání připojení vaší místní sítě k Azure před výpadky na úrovni zóny. Vyžadují různé skladové položky brány a místo veřejných IP adres úrovně Basic používají standardní veřejné IP adresy.