Popis virtuálních privátních sítí Azure

  • 5 min

Virtuální privátní síť (VPN) používá šifrovaný tunel v jiné síti. Sítě VPN se obvykle nasazují pro připojení dvou nebo více důvěryhodných privátních sítí k sobě přes nedůvěryhodnou síť (obvykle veřejný internet). Provoz se při průchodu přes nedůvěryhodnou síť šifruje, aby se zabránilo odposlouchávání nebo jiným útokům. Sítě VPN můžou sítím umožnit bezpečné a bezpečné sdílení citlivých informací.

VPN Gateway

Brána VPN je typem brány virtuální sítě. Instance služby Azure VPN Gateway se nasazují ve vyhrazené podsíti virtuální sítě a umožňují následující připojení:

  • Připojení místních datových center k virtuálním sítím prostřednictvím připojení typu site-to-site
  • Připojení jednotlivých zařízení k virtuálním sítím prostřednictvím připojení typu point-to-site
  • Připojení virtuálních sítí k jiným virtuálním sítím prostřednictvím připojení typu network-to-network

Veškerý přenos dat se šifruje uvnitř privátního tunelu, protože protíná internet. V každé virtuální síti můžete nasadit jenom jednu bránu VPN. Jednu bránu ale můžete použít k připojení k více umístěním, která zahrnují jiné virtuální sítě nebo místní datová centra.

Při nastavování brány VPN je nutné zadat typ sítě VPN , a to buď na základě zásad, nebo na směrování. Hlavním rozdílem mezi těmito dvěma typy je způsob, jakým určují, který provoz potřebuje šifrování. V Azure bez ohledu na typ sítě VPN je metoda ověřování použitá jako předsdílený klíč.

  • Brány VPN založené na zásadách určují staticky IP adresu paketů, které mají být při průchodu jednotlivými tunely šifrované. Tento typ zařízení vyhodnotí každý datový paket proti těmto sadám IP adres a zvolí tunel, kterým se tento paket odešle.
  • V branách založených na směrování se tunely IPSec modelují jako síťové rozhraní nebo virtuální tunelové rozhraní. O tom, přes které z těchto tunelových rozhraní se mají jednotlivé pakety odesílat, rozhoduje směrování IP (buď statické trasy nebo protokoly dynamického směrování). Sítě VPN založené na směrování jsou upřednostňovaným způsobem připojení místních zařízení. Jsou odolnější vůči změnám topologie, jako je vytváření nových podsítí.

Bránu sítě VPN založené na směrování použijte, pokud potřebujete některé z následujících typů připojení:

  • Připojení mezi virtuálními sítěmi
  • Připojení typu point-to-site
  • Připojení typu multi-site
  • Koexistence s bránou Azure ExpressRoute

Scénáře s vysokou dostupností

Pokud konfigurujete síť VPN tak, aby byla vaše informace v bezpečí, měli byste mít také jistotu, že se jedná o vysoce dostupnou konfiguraci sítě VPN odolnou proti chybám. Existuje několik způsobů, jak maximalizovat odolnost brány VPN.

Aktivní/pohotovostní

Ve výchozím nastavení jsou brány VPN nasazené jako dvě instance v konfiguraci aktivní/pohotovostní, i když se v Azure zobrazuje jenom jeden prostředek brány VPN. Pokud aktivní instanci ovlivní plánovaná údržba nebo neplánovaný výpadek, zodpovědnost za připojení převezme automaticky bez zásahu uživatele pohotovostní instance. Během tohoto převzetí služeb při selhání se připojení přeruší, ale obvykle se obnoví během několika sekund pro plánovanou údržbu a během 90 sekund v případě neplánovaných přerušení.

Aktivní/aktivní

Se zavedením podpory směrovacího protokolu BGP můžete brány VPN nasazovat také v konfiguraci aktivní/aktivní. V této konfiguraci přiřadíte každé instanci jedinečnou veřejnou IP adresu. Pak vytvoříte samostatné tunely z místního zařízení ke každé IP adrese. Vysokou dostupnost můžete rozšířit nasazením dalšího místního zařízení VPN.

Převzetí služeb při selhání pro ExpressRoute

Další možností zajištění vysoké dostupnosti je konfigurace VPN Gateway jako zabezpečené cesty převzetí služeb při selhání pro připojení ExpressRoute. Okruhy ExpressRoute mají integrovanou odolnost. Nejsou ale imunní vůči fyzickým problémům, které ovlivňují kabely s připojením nebo výpadky, které ovlivňují kompletní umístění ExpressRoute. U scénářů s vysokou dostupností, kde hrozí riziko spojené s výpadkem okruhu ExpressRoute, můžete také zřídit bránu VPN, která jako alternativní metodu připojení používá internet. Tímto způsobem můžete zajistit, aby vždy existovalo připojení k virtuálním sítím.

Zónově redundantní brány

V oblastech, které podporují zóny dostupnosti, je možné brány VPN a ExpressRoute nasadit v zónově redundantní konfiguraci. Tato konfigurace přináší odolnost proti chybám, škálovatelnost a vyšší dostupnost bran virtuálních sítí. Nasazování bran v rámci Zón dostupnosti Azure fyzicky a logicky odděluje brány v rámci oblasti, přičemž zároveň chrání připojení vaší místní sítě k Azure před výpadky na úrovni zóny. Tyto brány vyžadují jiné skladové jednotky (SKU) brány a místo veřejných IP adres úrovně Basic používají standardní veřejné IP adresy.