Łączenie sieci lokalnych z platformą Azure przy użyciu bram sieci VPN typu lokacja-lokacja

Ukończone

Wirtualna sieć prywatna (VPN) to typ prywatnej sieci połączonej. Sieci VPN używają szyfrowanego tunelu w innej sieci. Są one zwykle wdrażane w celu połączenia dwóch lub większej liczby zaufanych sieci prywatnych ze sobą za pośrednictwem niezaufanej sieci (zazwyczaj publicznego Internetu). Ruch jest szyfrowany podczas podróży przez niezaufaną sieć, aby zapobiec podsłuchom lub innym atakom.

W przypadku dostawcy opieki zdrowotnej w naszym scenariuszu sieci VPN mogą pomóc pracownikom służby zdrowia udostępniać poufne informacje między lokalizacjami. Załóżmy na przykład, że pacjent wymaga operacji w specjalistycznym ośrodku. Zespół chirurgiczny musi być w stanie zobaczyć szczegóły historii medycznej pacjenta. Te dane medyczne są przechowywane w systemie na platformie Azure. Sieć VPN, która łączy obiekt z platformą Azure, umożliwia zespołowi chirurgiczne bezpieczne uzyskiwanie dostępu do tych informacji.

Bramy sieci VPN platformy Azure

Brama sieci VPN to typ bramy sieci wirtualnej. Bramy sieci VPN są wdrażane w sieciach wirtualnych platformy Azure i umożliwiają następującą łączność:

  • Połącz lokalne centra danych z sieciami wirtualnymi platformy Azure przez połączenie typu site-to-site.
  • Połącz poszczególne urządzenia z sieciami wirtualnymi platformy Azure za pośrednictwem połączenia punkt-sieć .
  • Połącz sieci wirtualne Azure z innymi sieciami wirtualnymi za pomocą połączenia typu sieć-sieć .

wizualizacja diagramu połączenia sieci VPN z platformą Azure.

Wszystkie przesyłane dane są szyfrowane w prywatnym tunelu podczas przekraczania Internetu. W każdej sieci wirtualnej można wdrożyć tylko jedną bramę sieci VPN, ale można użyć jednej bramy do łączenia się z wieloma lokalizacjami, w tym z innymi sieciami wirtualnymi platformy Azure lub lokalnymi centrami danych.

Podczas wdrażania bramy sieci VPN należy określić typ sieci VPN: oparty na zasadach lub oparty na trasach. Główną różnicą między tymi dwoma typami sieci VPN jest sposób określenia zaszyfrowanego ruchu.

Sieci VPN oparte na zasadach

Bramy sieci VPN oparte na zasadach statycznie określają adres IP pakietów, które powinny być szyfrowane za pośrednictwem każdego tunelu. Ten typ urządzenia ocenia każdy pakiet danych względem tych zestawów adresów IP, aby wybrać tunel, przez który pakiet ma zostać wysłany. Bramy sieci VPN oparte na zasadach są ograniczone w funkcjach i połączeniach, które mogą obsługiwać. Najważniejsze funkcje bram sieci VPN opartej na zasadach na platformie Azure obejmują:

  • Obsługa tylko protokołu IKEv1.
  • Użycie routingu statycznego, gdzie kombinacje prefiksów adresów z obu sieci kontrolują sposób szyfrowania i odszyfrowywania ruchu przez tunel VPN. Źródło i miejsce docelowe tunelowanych sieci są deklarowane w zasadach i nie muszą być deklarowane w tabelach routingu.
  • Sieci VPN oparte na zasadach muszą być używane w określonych scenariuszach, które ich wymagają, na przykład w celu zapewnienia zgodności ze starszymi lokalnymi urządzeniami sieci VPN.

VPN oparte na routingu

Jeśli zdefiniowanie adresów IP znajdujących się za każdym tunelem jest zbyt uciążliwe w danej sytuacji lub potrzebujesz funkcji i połączeń, które bramy oparte na zasadach nie obsługują, należy użyć bram opartych na trasach. W przypadku bram opartych na trasach tunele IPSec są modelowane jako interfejs sieciowy lub VTI (interfejs tunelu wirtualnego). Routing IP (trasy statyczne lub protokoły routingu dynamicznego) określa, które interfejsy tunelu mają wysyłać poszczególne pakiety. Sieci VPN oparte na trasach są preferowaną metodą połączenia dla urządzeń lokalnych, ponieważ są bardziej odporne na zmiany topologii, takie jak tworzenie nowych podsieci, na przykład. Użyj bramy sieci VPN opartej na trasach, jeśli potrzebujesz dowolnego z następujących typów łączności:

  • Połączenia między sieciami wirtualnymi
  • Połączenia typu punkt-lokacja
  • Połączenia obejmujące wiele lokacji
  • Współistnienie z bramą usługi Azure ExpressRoute

Najważniejsze funkcje bram sieci VPN opartej na trasach na platformie Azure obejmują:

  • Obsługuje protokół IKEv2.
  • Używa selektorów ruchu dowolny-dowolny (symbol wieloznaczny).
  • Może używać protokołów routingu dynamicznego, gdzie tabele routingu/przesyłania kierują ruch do różnych tuneli IPSec. W takim przypadku sieci źródłowe i docelowe nie są definiowane statycznie, ponieważ znajdują się w sieciACH VPN opartych na zasadach, a nawet w sieciACH VPN opartych na trasach z routingiem statycznym. Zamiast tego pakiety danych są szyfrowane na podstawie tabel routingu sieciowego tworzonych dynamicznie przy użyciu protokołów routingu, takich jak BGP (Border Gateway Protocol).

Oba typy bram sieci VPN (oparte na trasach i oparte na zasadach) na platformie Azure używają klucza współdzielonego jako jedynej metody uwierzytelniania. Oba typy bazują również na protokole Internet Key Exchange (IKE) w wersji 1 lub 2 oraz zabezpieczenia protokołu internetowego (IPSec). Protokół IKE służy do konfigurowania skojarzenia zabezpieczeń (umowy szyfrowania) między dwoma punktami końcowymi. To skojarzenie jest następnie przekazywane do pakietu IPSec, który szyfruje i odszyfrowuje pakiety danych hermetyzowane w tunelu sieci VPN.

Rozmiary bramy sieci VPN

Wdrażana jednostka SKU lub rozmiar określa możliwości bramy sieci VPN. W tej tabeli przedstawiono przykład niektórych SKU modeli bram. Liczby w tej tabeli mogą ulec zmianie w dowolnym momencie. Aby uzyskać najnowsze informacje, zobacz Jednostki SKU bramy w dokumentacji usługi Azure VPN Gateway. Podstawowa jednostka SKU bramy powinna być używana tylko w przypadku obciążeń deweloperskich/testowych. Ponadto nie jest obsługiwane migrowanie z warstwy Podstawowa do dowolnej jednostki SKU VpnGw#/Az w późniejszym czasie bez konieczności usuwania bramy i ponownego wdrażania.

sieć VPN
Brama
Generacja
SKU S2S/Sieć-w-sieć wirtualna-do-sieci wirtualnej
Tunele
P2S
Połączenia SSTP
P2S
Połączenia IKEv2/OpenVPN
agregacja
Test porównawczy przepływności
BGP strefowa nadmiarowość Obsługiwana liczba maszyn wirtualnych w Sieci Wirtualnej
generacja 1 Podstawowa Max. 10 Max. 128 Nieobsługiwane 100 Mb/s Nieobsługiwane Nie 200
Generacja 1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mb/s Obsługiwane Nie 450
generacja 1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gb/s Obsługiwane Nie 1300
generacji 1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gb/s Obsługiwane Nie 4000
generacji 1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mb/s Obsługiwane Tak 1000
Generacja 1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbps Obsługiwane Tak 2000
Generacja 1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gb/s Obsługiwane Tak 5000
Generacja2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gb/s Obsługiwane Nie 685
Generacja 2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Obsługiwane Nie 2240
Generacja2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gb/s Obsługiwane Nie 5300
2. generacji VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbps Obsługiwane Nie 6700
Generacja 2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gb/s Obsługiwane Tak 2000
Generacja 2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gb/s Obsługiwane Tak 3300
Generacja2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gb/s Obsługiwane Tak 4400
Generacja 2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbps Obsługiwane Tak 9000

Wdrażanie bram sieci VPN

Przed wdrożeniem bramy sieci VPN potrzebujesz niektórych zasobów platformy Azure i zasobów lokalnych.

Wymagane zasoby platformy Azure

Te zasoby platformy Azure są potrzebne przed wdrożeniem operacyjnej bramy sieci VPN:

  • sieć wirtualna: wdróż sieć wirtualną platformy Azure z wystarczającą przestrzenią adresową dla dodatkowej podsieci potrzebnej dla bramy sieci VPN. Przestrzeń adresowa dla tej sieci wirtualnej nie może nakładać się na sieć lokalną, z którą nawiązujesz połączenie. Pamiętaj, że w sieci wirtualnej można wdrożyć tylko jedną bramę sieci VPN.
  • GatewaySubnet: wdróż podsieć o nazwie GatewaySubnet dla bramy sieci VPN. Użyj co najmniej maski adresów /27, aby upewnić się, że masz wystarczające adresy IP w podsieci na potrzeby przyszłego wzrostu. Nie można używać tej podsieci dla innych usług.
  • publiczny adres IP: utwórz dynamiczny publiczny adres IP Basic-SKU w przypadku korzystania z bramy bez stref. Ten adres zapewnia publiczny adres IP routingu jako miejsce docelowe dla lokalnego urządzenia sieci VPN. Ten adres IP jest dynamiczny, ale nie zmienia się, chyba że usuniesz i ponownie utworzysz bramę sieci VPN.
  • Brama sieci lokalnej: utwórz bramę sieci lokalnej w celu zdefiniowania konfiguracji sieci lokalnej. W szczególności, gdzie brama sieci VPN łączy się i z czym nawiązuje połączenie. Ta konfiguracja obejmuje publiczny adres IPv4 lokalnego urządzenia sieci VPN oraz lokalne sieci routingowe. Te informacje są używane przez bramę sieci VPN do kierowania pakietów przeznaczonych dla sieci lokalnych za pośrednictwem tunelu IPSec.
  • brama sieci wirtualnej: utwórz bramę sieci wirtualnej w celu kierowania ruchu między siecią wirtualną a lokalnym centrum danych lub innymi sieciami wirtualnymi. Bramę sieci wirtualnej można skonfigurować jako bramę sieci VPN lub bramę usługi ExpressRoute, ale ten moduł dotyczy tylko bram sieci wirtualnej sieci VPN.
  • Połączenie: utwórz zasób połączenia, aby utworzyć połączenie logiczne między bramą sieci VPN a bramą sieci lokalnej. Możesz utworzyć wiele połączeń z tą samą bramą.
    • Połączenie jest nawiązywane z adresem IPv4 lokalnego urządzenia sieci VPN zdefiniowanym przez bramę sieci lokalnej.
    • Połączenie jest wykonywane z bramy sieci wirtualnej i skojarzonego z nim publicznego adresu IP.

Na poniższym diagramie przedstawiono kombinację zasobów i ich relacji, aby lepiej zrozumieć, co jest wymagane do wdrożenia bramy sieci VPN:

Diagram wymagań dotyczących zasobów dla bramy sieci VPN.

Wymagane zasoby lokalne

Aby połączyć centrum danych z bramą sieci VPN, potrzebne są następujące zasoby lokalne:

  • Urządzenie VPN obsługujące bramy VPN oparte na zasadach lub trasach
  • Publiczny adres IPv4, możliwy do trasowania przez internet

Scenariusze wysokiej dostępności

Istnieje kilka sposobów zapewnienia, że masz konfigurację odporną na uszkodzenia.

Aktywne/pasywne

Domyślnie bramy sieci VPN są wdrażane jako dwa wystąpienia w konfiguracji aktywne/ rezerwowe, nawet jeśli na platformie Azure jest widoczny tylko jeden zasób bramy sieci VPN. Gdy planowana konserwacja lub nieplanowane zakłócenia wpływają na aktywne wystąpienie, wystąpienie rezerwowe automatycznie przejmuje odpowiedzialność za połączenia bez żadnej interwencji użytkownika. Połączenia są przerywane podczas pracy w trybie failover, ale zazwyczaj są przywracane w ciągu kilku sekund w przypadku planowanej konserwacji i w ciągu 90 sekund w przypadku nieplanowanych zakłóceń.

Diagram bramy sieci wirtualnej aktywnej/rezerwowej.

Aktywne/aktywne

Wraz z wprowadzeniem obsługi protokołu routingu BGP można również wdrożyć bramy sieci VPN w konfiguracji aktywne/aktywne. W tej konfiguracji przypiszesz unikatowy publiczny adres IP do każdego wystąpienia. Następnie utworzysz oddzielne tunele od urządzenia lokalnego do każdego adresu IP. Wysoką dostępność można rozszerzyć, wdrażając inne urządzenie sieci VPN lokalnie.

Diagram bramy aktywnej/aktywnej sieci wirtualnej.

Awaria zapasowa ExpressRoute

Inną opcją wysokiej dostępności jest skonfigurowanie bramy sieci VPN jako bezpiecznej ścieżki awaryjnego przełączania dla połączeń usługi ExpressRoute. Obwody usługi ExpressRoute mają wbudowaną odporność, ale nie są odporne na fizyczne problemy, które wpływają na kable zapewniające łączność, ani na awarie wpływające na całą lokalizację usługi ExpressRoute. W scenariuszach wysokiej dostępności, w których występuje ryzyko związane z awarią obwodu usługi ExpressRoute, można również skonfigurować bramę sieci VPN korzystającą z Internetu jako alternatywną metodę łączności, dzięki czemu zawsze istnieje połączenie z sieciami wirtualnymi platformy Azure.

Nadmiarowe bramy strefowe

W regionach obsługujących strefy dostępności można wdrożyć bramy sieci VPN i usługi ExpressRoute w konfiguracji strefowo nadmiarowej. Ta konfiguracja zapewnia odporność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie oddziela bramy w regionie, jednocześnie chroniąc lokalną łączność sieciową z platformą Azure przed awariami na poziomie strefy. Wymagają one różnych SKU dla bram i używają standardowych publicznych adresów IP zamiast podstawowych publicznych adresów IP.