On-premises netwerken verbinden met Azure met behulp van site-naar-site-VPN-gateways
Een virtueel particulier netwerk (VPN) is een type particulier onderling verbonden netwerk. VPN's maken gebruik van een versleutelde tunnel binnen een ander netwerk. Ze worden doorgaans geïmplementeerd om twee of meer vertrouwde privénetwerken met elkaar te verbinden via een niet-vertrouwd netwerk (meestal het openbare internet). Verkeer wordt versleuteld tijdens het reizen via het niet-vertrouwde netwerk om afluisteren of andere aanvallen te voorkomen.
Voor de zorgverlener in ons scenario kunnen VPN's gezondheidsprofessionals helpen gevoelige informatie tussen locaties te delen. Stel dat een patiënt een operatie vereist bij een gespecialiseerde faciliteit. Het chirurgische team moet de details van de medische geschiedenis van de patiënt kunnen zien. Deze medische gegevens worden opgeslagen in een systeem in Azure. Met een VPN dat de faciliteit verbindt met Azure, kan het chirurgische team veilig toegang krijgen tot deze informatie.
Azure VPN-gateways
Een VPN-gateway is een type virtuele netwerkgateway. VPN-gateways worden geïmplementeerd in virtuele Azure-netwerken en maken de volgende connectiviteit mogelijk:
- On-premises datacenters verbinden met virtuele Azure-netwerken via een site-naar-site--verbinding.
- Afzonderlijke apparaten verbinden met virtuele Azure-netwerken via een punt-naar-site-verbinding.
- Virtuele Azure-netwerken verbinden met andere virtuele Azure-netwerken via een netwerk-naar-netwerk--verbinding.
Alle overgedragen gegevens worden versleuteld in een privétunnel terwijl deze het internet kruist. U kunt slechts één VPN-gateway implementeren in elk virtueel netwerk, maar u kunt één gateway gebruiken om verbinding te maken met meerdere locaties, waaronder andere virtuele Azure-netwerken of on-premises datacenters.
Wanneer u een VPN-gateway implementeert, geeft u het VPN-type op: op beleid of op route gebaseerd. Het belangrijkste verschil tussen deze twee typen VPN is hoe het versleutelde verkeer wordt opgegeven.
Op beleid gebaseerde VPN's
Op beleid gebaseerde VPN-gateways geven statisch het IP-adres op van pakketten die via elke tunnel moeten worden versleuteld. Dit type apparaat evalueert elk gegevenspakket op basis van die sets IP-adressen om de tunnel te kiezen waarmee dat pakket wordt verzonden. Op beleid gebaseerde VPN-gateways zijn beperkt in de functies en verbindingen die ze kunnen ondersteunen. Belangrijke functies van op beleid gebaseerde VPN-gateways in Azure zijn:
- Alleen ondersteuning voor IKEv1.
- Gebruik van statische routering, waarbij combinaties van adresvoorvoegsels van beide netwerken bepalen hoe verkeer wordt versleuteld en ontsleuteld via de VPN-tunnel. De bron en het doel van de getunnelde netwerken worden gedeclareerd in het beleid en hoeven niet te worden gedeclareerd in routeringstabellen.
- Op beleid gebaseerde VPN's moeten worden gebruikt in specifieke scenario's waarvoor ze nodig zijn, zoals voor compatibiliteit met verouderde on-premises VPN-apparaten.
Op route gebaseerde VPN's
Als u definieert welke IP-adressen zich achter elke tunnel bevinden, is dit te lastig voor uw situatie, of als u functies en verbindingen nodig hebt die op beleid gebaseerde gateways niet ondersteunen, moet u op route gebaseerde gateways gebruiken. Met op route gebaseerde gateways worden IPSec-tunnels gemodelleerd als een netwerkinterface of VTI (virtuele tunnelinterface). IP-routering (statische routes of dynamische routeringsprotocollen) bepaalt via welke tunnelinterface elk pakket wordt verzonden. Op route gebaseerde VPN's zijn de voorkeursmethode voor verbindingen voor on-premises apparaten, omdat ze toleranter zijn voor wijzigingen in de topologie, zoals het maken van nieuwe subnetten. Gebruik een op route gebaseerde VPN-gateway als u een van de volgende typen connectiviteit nodig hebt:
- Verbindingen tussen virtuele netwerken
- Punt-naar-site-verbindingen
- Verbindingen met meerdere locaties
- Co-existentie met een Azure ExpressRoute-gateway
Belangrijke functies van op route gebaseerde VPN-gateways in Azure zijn onder andere:
- Ondersteunt IKEv2.
- Maakt gebruik van any-to-any -verkeerkiezers (jokertekens).
- Kan dynamische routeringsprotocollengebruiken, waarbij routerings-/doorstuurtabellen verkeer naar verschillende IPSec-tunnels leiden. In dit geval worden de bron- en doelnetwerken niet statisch gedefinieerd zoals in op beleid gebaseerde VPN's of zelfs in VPN's die statische routering gebruiken. In plaats daarvan worden gegevenspakketten versleuteld op basis van netwerkrouteringstabellen die dynamisch worden gemaakt met behulp van routeringsprotocollen zoals BGP (Border Gateway Protocol).
Beide typen VPN-gateways (op route gebaseerd en op beleid gebaseerd) in Azure gebruiken vooraf gedeelde sleutels als enige verificatiemethode. Beide typen zijn ook afhankelijk van Internet Key Exchange (IKE) in versie 1 of versie 2 en IpSec (Internet Protocol Security). IKE wordt gebruikt voor het instellen van een beveiligingskoppeling (een overeenkomst van de versleuteling) tussen twee eindpunten. Deze koppeling wordt vervolgens doorgegeven aan de IPSec-suite, die gegevenspakketten versleutelt en ontsleutelt die zijn ingekapseld in de VPN-tunnel.
VPN-gatewaygrootten
De SKU of grootte die u implementeert, bepaalt de mogelijkheden van uw VPN-gateway. In deze tabel ziet u een voorbeeld van een aantal gateway-SKU's. De getallen in deze tabel kunnen op elk gewenst moment worden gewijzigd. Zie Gateway-SKU's in de documentatie van Azure VPN Gateway voor de meest recente informatie. De Basic-gateway-SKU mag alleen worden gebruikt voor Dev/Test-workloads. Bovendien wordt het op een later moment niet ondersteund om te migreren van Basic naar een VpnGw#/Az-sku zonder de gateway te verwijderen en opnieuw te implementeren.
|
VPN toegangspoort Generatie |
SKU |
S2S/VNet-naar-VNet Tunnels |
P2S SSTP-verbindingen |
P2S IKEv2/OpenVPN-verbindingen |
aggregaat Doorvoerbenchmark |
BGP | zone-redundante | ondersteund aantal vm's in het virtuele netwerk |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Max. 10 | Max. 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee | 200 |
| Generatie1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Nee | 450 |
| Generation1 | VpnGw2- | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Nee | 1300 |
| Generation1 | VpnGw3- | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Nee | 4000 |
| Generatie1 | VpnGw1AZ- | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Ja | 1000 |
| Generatie1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Ja | 2000 |
| Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Ja | 5000 |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Nee | 685 |
| Generatie2 | VpnGw3- | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Nee | 2240 |
| Generatie2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Nee | 5300 |
| Generatie2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Ondersteund | Nee | 6700 |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Ja | 2000 |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Ja | 3300 |
| Generation2 | VpnGw4AZ- | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Ja | 4400 |
| Generatie2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Ondersteund | Ja | 9000 |
VPN-gateways implementeren
Voordat u een VPN-gateway kunt implementeren, hebt u enkele Azure- en on-premises resources nodig.
Vereiste Azure-resources
U hebt deze Azure-resources nodig voordat u een operationele VPN-gateway kunt implementeren:
- virtueel netwerk: Implementeer een virtueel Azure-netwerk met voldoende adresruimte voor het extra subnet dat u nodig hebt voor de VPN-gateway. De adresruimte voor dit virtuele netwerk mag niet overlappen met het on-premises netwerk waarmee u verbinding maakt. Houd er rekening mee dat u slechts één VPN-gateway binnen een virtueel netwerk kunt implementeren.
-
GatewaySubnet: Implementeer een subnet met de naam
GatewaySubnetvoor de VPN-gateway. Gebruik ten minste een /27-adresmasker om ervoor te zorgen dat u voldoende IP-adressen in het subnet hebt voor toekomstige groei. U kunt dit subnet niet gebruiken voor andere services. - openbaar IP-adres: maak een Basic-SKU dynamisch openbaar IP-adres als u een niet-zonebewuste gateway gebruikt. Dit adres biedt een openbaar routeerbaar IP-adres als doel voor uw on-premises VPN-apparaat. Dit IP-adres is dynamisch, maar wordt niet gewijzigd, tenzij u de VPN-gateway verwijdert en opnieuw maakt.
- lokale netwerkgateway: maak een lokale netwerkgateway om de configuratie van het on-premises netwerk te definiëren. Met name waar de VPN-gateway verbinding maakt en waarmee deze verbinding maakt. Deze configuratie omvat het openbare IPv4-adres van het on-premises VPN-apparaat en de on-premises routeerbare netwerken. Deze informatie wordt door de VPN-gateway gebruikt om pakketten te routeren die zijn bestemd voor on-premises netwerken via de IPSec-tunnel.
- virtuele netwerkgateway: maak de virtuele netwerkgateway om verkeer tussen het virtuele netwerk en het on-premises datacenter of andere virtuele netwerken te routeren. De virtuele netwerkgateway kan worden geconfigureerd als een VPN-gateway of een ExpressRoute-gateway, maar deze module behandelt alleen vpn-gateways voor virtuele netwerkgateways.
-
verbinding: maak een verbindingsresource om een logische verbinding te maken tussen de VPN-gateway en de lokale netwerkgateway. U kunt meerdere verbindingen met dezelfde gateway maken.
- De verbinding wordt gemaakt met het IPv4-adres van het on-premises VPN-apparaat, zoals gedefinieerd door de lokale netwerkgateway.
- De verbinding wordt gemaakt vanaf de gateway van het virtuele netwerk en het bijbehorende openbare IP-adres.
In het volgende diagram ziet u deze combinatie van resources en de bijbehorende relaties, zodat u beter begrijpt wat er nodig is om een VPN-gateway te implementeren:
Vereiste lokale middelen
Als u uw datacenter wilt verbinden met een VPN-gateway, hebt u deze on-premises resources nodig:
- Een VPN-apparaat dat beleids- of routegebaseerde VPN-gateways ondersteunt
- Een openbaar (internetrouteerbaar) IPv4-adres
Scenario's met hoge beschikbaarheid
Er zijn verschillende manieren om ervoor te zorgen dat u een fouttolerante configuratie hebt.
Actief/stand-by
VPN-gateways worden standaard geïmplementeerd als twee exemplaren in een actieve/stand-by- configuratie, zelfs als u slechts één VPN-gatewayresource in Azure ziet. Wanneer gepland onderhoud of ongeplande onderbreking van invloed is op het actieve exemplaar, neemt het stand-by-exemplaar automatisch verantwoordelijkheid voor verbindingen zonder tussenkomst van de gebruiker. Verbindingen worden onderbroken tijdens deze failover, maar ze worden doorgaans binnen een paar seconden hersteld voor gepland onderhoud en binnen 90 seconden voor ongeplande onderbrekingen.
Actief/actief
Met de introductie van ondersteuning voor het BGP-routeringsprotocol kunt u ook VPN-gateways implementeren in een actief/actief configuratie. In deze configuratie wijst u een uniek openbaar IP-adres toe aan elk exemplaar. Vervolgens maakt u afzonderlijke tunnels van het on-premises apparaat naar elk IP-adres. U kunt de hoge beschikbaarheid uitbreiden door een ander VPN-apparaat on-premises te implementeren.
ExpressRoute-failover
Een andere optie voor hoge beschikbaarheid is het configureren van een VPN-gateway als een beveiligd failoverpad voor ExpressRoute-verbindingen. ExpressRoute-circuits hebben ingebouwde tolerantie, maar zijn niet immuun voor fysieke problemen die van invloed zijn op de kabels die connectiviteit of storingen leveren die van invloed zijn op de volledige ExpressRoute-locatie. In scenario's met hoge beschikbaarheid, waarbij er risico's zijn verbonden aan een storing van een ExpressRoute-circuit, kunt u ook een VPN-gateway configureren die gebruikmaakt van internet als een alternatieve verbindingsmethode, zodat er altijd een verbinding is met de virtuele Azure-netwerken.
Zone-redundante poorten
In regio's die beschikbaarheidszones ondersteunen, kunt u VPN- en ExpressRoute-gateways implementeren in een zone-redundante configuratie. Deze configuratie biedt tolerantie, schaalbaarheid en hogere beschikbaarheid voor virtuele netwerkgateways. Door gateways in Azure-beschikbaarheidszones fysiek en logisch te implementeren, worden gateways binnen een regio gescheiden terwijl uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen fouten op zoneniveau. Hiervoor zijn verschillende gateway-SKU's vereist en worden standaard openbare IP-adressen gebruikt in plaats van openbare Basic IP-adressen.