Implementace možností Azure VPN

  • 13 min

Datacentra společnosti Contoso podporují vzdálené připojení, aby uživatelé mohli pracovat vzdáleně. Některé pobočky jsou také připojené k hlavnímu kancelářskému datacentru prostřednictvím sítí VPN typu site-to-site. Jako vedoucí systémový inženýr musíte implementovat řešení VPN, které umožňuje průběžnou podporu aktuálních scénářů použití.

Návrh brány VPN

Pomocí brány Azure můžete implementovat následující typy připojení VPN k řešení potřeb vaší organizace:

  • S2S
  • Připojení typu multi-site (pro více lokalit)
  • P2S
  • Připojení vnet-to-vnet (mezi virtuálními sítěmi)

Site-to-Site

Implementujete připojení S2S přes protokol IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Připojení S2S se používají k podpoře napříč místními a hybridními konfiguracemi. Pokud chcete implementovat připojení S2S, musíte mít zařízení VPN s veřejnou IP adresou, jak je uvedeno v následujícím diagramu.

Diagram typické konfigurace S2S VPN Virtuální síť (IP adresa: 10.10.0.0/16) označená jako VNet1 se připojuje přes zařízení VPN Gateway (IP adresa: 131.1.1.) prostřednictvím tunelu VPN IPsec/IKE k zařízení VPN (IP: 33.2.1.5) v lokalitě LocalSite1 v ústředí.

Připojení typu multi-site (pro více lokalit)

Připojení s více lokalitami je varianta připojení S2S. Pomocí tohoto typu připojení vytvoříte z brány virtuální sítě více než jedno připojení VPN. Při implementaci připojení s více lokalitami je nutné použít typ sítě VPN Typu RouteBased.

Jak název napovídá, obvykle tento typ připojení používáte pro připojení k několika místním lokalitám, jak je uvedeno v následujícím diagramu.

Diagram typické konfigurace sítě VPN s více lokalitami Síť VNet1 v oblasti USA – západ se připojuje přes bránu VPN Gateway (IP adresa: 131.1.1.1). Brána má dva tunely VPN IPsec/IKE. Jeden se připojuje k LocalSite1(IP: 128.8.8.8.8) a druhý k LocalSite2 (IP adresa: 139.9.9.9).9).

Tip

Virtuální síť může mít jenom jednu bránu VPN, takže všechna připojení sdílejí šířku pásma.

Připojení typu point-to-site

Připojení P2S VPN umožňuje uživatelům připojit se k vaší organizaci ze vzdálené sítě, například z domova nebo z veřejného hotspotu Wi-Fi. Uživatelé obvykle inicialují připojení P2S, jak je znázorněno v následujícím diagramu. V diagramu dva uživatelé inicializuje připojení SSTP (Secure Socket Tunneling Protocol), zatímco třetí používá protokol IKEv2. Na rozdíl od připojení S2S nepotřebujete k implementaci připojení P2S místní veřejnou IP adresu ani zařízení VPN.

Diagram typické konfigurace P2S Virtuální síť VNet1 v oblasti USA – východ se připojuje k bráně VPN (IP adresa: 131.1.1.1). Tři tunely VPN jsou připojené jako příchozí připojení k bráně VPN. Dvě jsou typu SSTP, zatímco třetí je IKEv2. Klienti a zařízení se zobrazují na vzdálené straně tunelu, z nichž každá má přidělenou privátní IP adresu z fondu.

Tip

Připojení P2S můžete použít společně s připojeními S2S prostřednictvím stejné brány VPN.

Připojení vnet-to-vnet (mezi virtuálními sítěmi)

Implementace připojení typu VNet-to-VNet se některým způsobem podobá připojení jedné virtuální sítě k místnímu umístění lokality (S2S). V obou scénářích použijete k implementaci tunelu IPsec/IKE bránu VPN Gateway.

Poznámka:

Když implementujete připojení typu VNet-to-VNet prostřednictvím služby VPN Gateway, virtuální sítě nemusí být ve stejné oblasti Nebo předplatném Azure.

Tip

Partnerský vztah můžete použít také k připojení virtuálních sítí bez ohledu na umístění nebo předplatné. Tento přístup může být rychlejší a efektivnější.

Diagram typického připojení typu VNet-to-VNet Síť VNet1 v oblasti USA – východ se připojuje přes bránu VPN Gateway (IP adresa: 131.1.1.1). Tunel IPsec/IKE se připojuje ke službě VPN Gateway (IP adresa: 151.2.2.2), která se nachází na okraji virtuální sítě VNet4, oblasti USA – západ.

Připojení ExpressRoute

Pomocí připojení Azure ExpressRoute můžete usnadnit privátní připojení z místních sítí ke cloudu Microsoftu nebo k jiným webům ve vaší organizaci. Vzhledem k tomu, že je síťové připojení privátní, je bezpečnější a může také nabízet významné výhody výkonu. Připojení ExpressRoute nakonfigurujete pomocí brány virtuální sítě. S připojením ExpressRoute ale nakonfigurujete bránu virtuální sítě s typem brány ExpressRoute, nikoli vpn.

Tip

I když provoz přes okruh ExpressRoute není ve výchozím nastavení šifrovaný, můžete nakonfigurovat připojení tak, aby odesílalo šifrovaný provoz.

Je také možné kombinovat připojení ExpressRoute a S2S, jak je znázorněno v následujícím diagramu. Můžete například nakonfigurovat síť VPN S2S:

  • Jako zabezpečená cesta převzetí služeb při selhání pro ExpressRoute.
  • Pokud se chcete připojit k webům, které nejsou součástí vaší sítě, ale jsou připojené přes ExpressRoute.

Diagram duálního připojení z virtuální sítě VNet1, USA – východ přes bránu ExpressRoute i bránu VPN Gateway (IP adresa: 131.1.1.1.1). Připojení ExpressRoute poskytuje privátní připojení k místní lokalitě HQ (IP adresa: 141.4.4.4.4). Lokalita HQ má také tunel IPsec/IKE, který se připojuje k virtuální síti VNet1. A konečně virtuální síť VNet1 používá bránu VPN Gateway k připojení k LocalSite2 prostřednictvím tunelu IPsec/IKE.

Implementace brány VPN

Při konfiguraci brány VPN musíte vybrat a nakonfigurovat řadu nastavení. Nejprve se musíte rozhodnout, jestli chcete implementovat konfiguraci založenou na zásadách nebo směrování.

Zásadové

Pokud se rozhodnete implementovat brány založené na zásadách (které jsou založené na statickém směrování), musíte definovat sady IP adres, které brána používá k určení cílů paketů. Brána vyhodnocuje všechny pakety s těmito sadami IP adres, aby určila, přes který tunel se paket šifruje a směruje.

Trasové

Brány založené na směrování můžete použít, abyste se vyhnuli úsilí definovat, které IP adresy jsou za každým tunelem. U bran založených na trasách určuje směrování PROTOKOLU IP, ve kterém z vašich tunelových rozhraní se má každý paket odesílat.

Tip

Pro místní zařízení byste měli vybrat sítě VPN založené na směrování, protože jsou odolnější vůči změnám topologie – například když ve virtuální síti vytvoříte nové podsítě.

Vždy byste měli zvolit bránu VPN založenou na směrování pro následující typy připojení:

  • Připojení mezi virtuálními sítěmi
  • Připojení P2S
  • Připojení typu multi-site
  • Koexistence s bránou Azure ExpressRoute

Další nastavení

Kromě toho musíte také definovat následující nastavení pro implementaci brány VPN:

  • VPN nebo ExpressRoute. Zvolte základní typ připojení.
  • Rozsah adres podsítě brány Určuje rozsah privátních IP adres přidružený k bráně VPN.
  • Veřejná IP adresa: Určuje objekt veřejné IP adresy, který se přidružuje k bráně VPN.

Vytvoření virtuální sítě

Pokud chcete implementovat vpn Gateway, musíte mít virtuální síť. Můžete ho vytvořit před konfigurací služby VPN Gateway nebo během této konfigurace. Nejprve vytvoříme jednu. Uděláte to tak, že otevřete Azure Portal a provedete následující postup:

  1. Vyberte Vytvořit prostředek a pak vyhledejte a vyberte Virtuální síť.

  2. V okně Virtuální síť vyberte Vytvořit.

  3. Vytvořte virtuální síť zadáním odpovídajících vlastností: Předplatné, skupina prostředků, název a oblast.

    Snímek obrazovky se stránkou Vytvořit virtuální síť Správce definoval předplatné a vybral skupinu ContosoResourceGroup. Název virtuální sítě je ContosoVPN1 v oblasti USA – východ.

  4. Vyberte Další: IP adresy >.

  5. Nakonfigurujte podsíť, kterou chcete přidružit k virtuální síti, tím, že přijmete výchozí nastavení nebo nakonfigurujete vlastní.

  6. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Vytvoření brány

Po vytvoření příslušné virtuální sítě teď musíte vytvořit bránu VPN. Pokud například chcete vytvořit bránu VPN založenou na směrování pomocí webu Azure Portal, použijte následující postup:

  1. Na webu Azure Portal vyhledejte a vyberte bránu virtuální sítě.

  2. V okně Brána virtuální sítě vyberte Vytvořit.

  3. V okně Vytvořit bránu virtuální sítě vytvořte bránu zadáním příslušných vlastností: Předplatné, Název a Oblast.

  4. Pak zvolte, jestli implementujete připojení VPN nebo ExpressRoute .

  5. Pro síť VPN vyberte trasu nebo založenou na zásadách.

    Snímek obrazovky se stránkou Vytvořit bránu virtuální sítě Správce definoval předplatné. Název je ContosoVPNGateway v oblasti USA – východ. Typ brány je VPN a typ sítě VPN je založený na směrování.

  6. Vyberte virtuální síť, kterou jste vytvořili dříve.

  7. Nakonfigurujte rozsah adres podsítě brány a nastavení veřejné IP adresy.

    Snímek obrazovky se stránkou Vytvořit bránu virtuální sítě Správce vybral rozsah adres podsítě brány (10.3.1.0/24) a rozhodl se vytvořit novou veřejnou IP adresu s názvem ContosoVPNPublic. Ostatní možnosti jsou zakázané..

  8. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Vyzkoušejte si to.

Pokud chcete pracovat s Azure VPN, vyzkoušejte tato cvičení v testovacím prostředí. Cvičení jsou založená na prostředí sandboxu a nevyžadují dokončení předplatného Azure: