Łączenie sieci lokalnych z platformą Azure przy użyciu bram sieci VPN typu lokacja-lokacja
Wirtualna sieć prywatna (VPN) to typ prywatnej sieci połączonej. Sieci VPN używają szyfrowanego tunelu w innej sieci. Są one zwykle wdrażane w celu połączenia dwóch lub większej liczby zaufanych sieci prywatnych ze sobą za pośrednictwem niezaufanej sieci (zazwyczaj publicznego Internetu). Ruch jest szyfrowany podczas podróży przez niezaufaną sieć, aby zapobiec podsłuchom lub innym atakom.
W przypadku dostawcy opieki zdrowotnej w naszym scenariuszu sieci VPN mogą pomóc pracownikom służby zdrowia udostępniać poufne informacje między lokalizacjami. Załóżmy na przykład, że pacjent wymaga operacji w specjalistycznym ośrodku. Zespół chirurgiczny musi być w stanie zobaczyć szczegóły historii medycznej pacjenta. Te dane medyczne są przechowywane w systemie na platformie Azure. Sieć VPN, która łączy obiekt z platformą Azure, umożliwia zespołowi chirurgiczne bezpieczne uzyskiwanie dostępu do tych informacji.
Bramy sieci VPN platformy Azure
Brama sieci VPN to typ bramy sieci wirtualnej. Bramy sieci VPN są wdrażane w sieciach wirtualnych platformy Azure i umożliwiają następującą łączność:
- Połącz lokalne centra danych z sieciami wirtualnymi platformy Azure przez połączenie typu site-to-site.
- Połącz poszczególne urządzenia z sieciami wirtualnymi platformy Azure za pośrednictwem połączenia punkt-sieć .
- Połącz sieci wirtualne Azure z innymi sieciami wirtualnymi za pomocą połączenia typu sieć-sieć .
Wszystkie przesyłane dane są szyfrowane w prywatnym tunelu podczas przekraczania Internetu. W każdej sieci wirtualnej można wdrożyć tylko jedną bramę sieci VPN, ale można użyć jednej bramy do łączenia się z wieloma lokalizacjami, w tym z innymi sieciami wirtualnymi platformy Azure lub lokalnymi centrami danych.
Podczas wdrażania bramy sieci VPN należy określić typ sieci VPN: oparty na zasadach lub oparty na trasach. Główną różnicą między tymi dwoma typami sieci VPN jest sposób określenia zaszyfrowanego ruchu.
Sieci VPN oparte na zasadach
Bramy sieci VPN oparte na zasadach statycznie określają adres IP pakietów, które powinny być szyfrowane za pośrednictwem każdego tunelu. Ten typ urządzenia ocenia każdy pakiet danych względem tych zestawów adresów IP, aby wybrać tunel, przez który pakiet ma zostać wysłany. Bramy sieci VPN oparte na zasadach są ograniczone w funkcjach i połączeniach, które mogą obsługiwać. Najważniejsze funkcje bram sieci VPN opartej na zasadach na platformie Azure obejmują:
- Obsługa tylko protokołu IKEv1.
- Użycie routingu statycznego, gdzie kombinacje prefiksów adresów z obu sieci kontrolują sposób szyfrowania i odszyfrowywania ruchu przez tunel VPN. Źródło i miejsce docelowe tunelowanych sieci są deklarowane w zasadach i nie muszą być deklarowane w tabelach routingu.
- Sieci VPN oparte na zasadach muszą być używane w określonych scenariuszach, które ich wymagają, na przykład w celu zapewnienia zgodności ze starszymi lokalnymi urządzeniami sieci VPN.
VPN oparte na routingu
Jeśli zdefiniowanie adresów IP znajdujących się za każdym tunelem jest zbyt uciążliwe w danej sytuacji lub potrzebujesz funkcji i połączeń, które bramy oparte na zasadach nie obsługują, należy użyć bram opartych na trasach. W przypadku bram opartych na trasach tunele IPSec są modelowane jako interfejs sieciowy lub VTI (interfejs tunelu wirtualnego). Routing IP (trasy statyczne lub protokoły routingu dynamicznego) określa, które interfejsy tunelu mają wysyłać poszczególne pakiety. Sieci VPN oparte na trasach są preferowaną metodą połączenia dla urządzeń lokalnych, ponieważ są bardziej odporne na zmiany topologii, takie jak tworzenie nowych podsieci, na przykład. Użyj bramy sieci VPN opartej na trasach, jeśli potrzebujesz dowolnego z następujących typów łączności:
- Połączenia między sieciami wirtualnymi
- Połączenia typu punkt-lokacja
- Połączenia obejmujące wiele lokacji
- Współistnienie z bramą usługi Azure ExpressRoute
Najważniejsze funkcje bram sieci VPN opartej na trasach na platformie Azure obejmują:
- Obsługuje protokół IKEv2.
- Używa selektorów ruchu dowolny-dowolny (symbol wieloznaczny).
- Może używać protokołów routingu dynamicznego, gdzie tabele routingu/przesyłania kierują ruch do różnych tuneli IPSec. W takim przypadku sieci źródłowe i docelowe nie są definiowane statycznie, ponieważ znajdują się w sieciACH VPN opartych na zasadach, a nawet w sieciACH VPN opartych na trasach z routingiem statycznym. Zamiast tego pakiety danych są szyfrowane na podstawie tabel routingu sieciowego tworzonych dynamicznie przy użyciu protokołów routingu, takich jak BGP (Border Gateway Protocol).
Oba typy bram sieci VPN (oparte na trasach i oparte na zasadach) na platformie Azure używają klucza współdzielonego jako jedynej metody uwierzytelniania. Oba typy bazują również na protokole Internet Key Exchange (IKE) w wersji 1 lub 2 oraz zabezpieczenia protokołu internetowego (IPSec). Protokół IKE służy do konfigurowania skojarzenia zabezpieczeń (umowy szyfrowania) między dwoma punktami końcowymi. To skojarzenie jest następnie przekazywane do pakietu IPSec, który szyfruje i odszyfrowuje pakiety danych hermetyzowane w tunelu sieci VPN.
Rozmiary bramy sieci VPN
Wdrażana jednostka SKU lub rozmiar określa możliwości bramy sieci VPN. W tej tabeli przedstawiono przykład niektórych SKU modeli bram. Liczby w tej tabeli mogą ulec zmianie w dowolnym momencie. Aby uzyskać najnowsze informacje, zobacz Jednostki SKU bramy w dokumentacji usługi Azure VPN Gateway. Podstawowa jednostka SKU bramy powinna być używana tylko w przypadku obciążeń deweloperskich/testowych. Ponadto nie jest obsługiwane migrowanie z warstwy Podstawowa do dowolnej jednostki SKU VpnGw#/Az w późniejszym czasie bez konieczności usuwania bramy i ponownego wdrażania.
sieć VPN Brama Generacja |
SKU |
S2S/Sieć-w-sieć wirtualna-do-sieci wirtualnej Tunele |
P2S Połączenia SSTP |
P2S Połączenia IKEv2/OpenVPN |
agregacja Test porównawczy przepływności |
BGP | strefowa nadmiarowość | Obsługiwana liczba maszyn wirtualnych w Sieci Wirtualnej |
---|---|---|---|---|---|---|---|---|
generacja 1 | Podstawowa | Max. 10 | Max. 128 | Nieobsługiwane | 100 Mb/s | Nieobsługiwane | Nie | 200 |
Generacja 1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Obsługiwane | Nie | 450 |
generacja 1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gb/s | Obsługiwane | Nie | 1300 |
generacji 1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Obsługiwane | Nie | 4000 |
generacji 1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mb/s | Obsługiwane | Tak | 1000 |
Generacja 1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Obsługiwane | Tak | 2000 |
Generacja 1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
Generacja2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Obsługiwane | Nie | 685 |
Generacja 2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Obsługiwane | Nie | 2240 |
Generacja2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Obsługiwane | Nie | 5300 |
2. generacji | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Obsługiwane | Nie | 6700 |
Generacja 2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gb/s | Obsługiwane | Tak | 2000 |
Generacja 2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
Generacja2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
Generacja 2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Obsługiwane | Tak | 9000 |
Wdrażanie bram sieci VPN
Przed wdrożeniem bramy sieci VPN potrzebujesz niektórych zasobów platformy Azure i zasobów lokalnych.
Wymagane zasoby platformy Azure
Te zasoby platformy Azure są potrzebne przed wdrożeniem operacyjnej bramy sieci VPN:
- sieć wirtualna: wdróż sieć wirtualną platformy Azure z wystarczającą przestrzenią adresową dla dodatkowej podsieci potrzebnej dla bramy sieci VPN. Przestrzeń adresowa dla tej sieci wirtualnej nie może nakładać się na sieć lokalną, z którą nawiązujesz połączenie. Pamiętaj, że w sieci wirtualnej można wdrożyć tylko jedną bramę sieci VPN.
-
GatewaySubnet: wdróż podsieć o nazwie
GatewaySubnet
dla bramy sieci VPN. Użyj co najmniej maski adresów /27, aby upewnić się, że masz wystarczające adresy IP w podsieci na potrzeby przyszłego wzrostu. Nie można używać tej podsieci dla innych usług. - publiczny adres IP: utwórz dynamiczny publiczny adres IP Basic-SKU w przypadku korzystania z bramy bez stref. Ten adres zapewnia publiczny adres IP routingu jako miejsce docelowe dla lokalnego urządzenia sieci VPN. Ten adres IP jest dynamiczny, ale nie zmienia się, chyba że usuniesz i ponownie utworzysz bramę sieci VPN.
- Brama sieci lokalnej: utwórz bramę sieci lokalnej w celu zdefiniowania konfiguracji sieci lokalnej. W szczególności, gdzie brama sieci VPN łączy się i z czym nawiązuje połączenie. Ta konfiguracja obejmuje publiczny adres IPv4 lokalnego urządzenia sieci VPN oraz lokalne sieci routingowe. Te informacje są używane przez bramę sieci VPN do kierowania pakietów przeznaczonych dla sieci lokalnych za pośrednictwem tunelu IPSec.
- brama sieci wirtualnej: utwórz bramę sieci wirtualnej w celu kierowania ruchu między siecią wirtualną a lokalnym centrum danych lub innymi sieciami wirtualnymi. Bramę sieci wirtualnej można skonfigurować jako bramę sieci VPN lub bramę usługi ExpressRoute, ale ten moduł dotyczy tylko bram sieci wirtualnej sieci VPN.
-
Połączenie: utwórz zasób połączenia, aby utworzyć połączenie logiczne między bramą sieci VPN a bramą sieci lokalnej. Możesz utworzyć wiele połączeń z tą samą bramą.
- Połączenie jest nawiązywane z adresem IPv4 lokalnego urządzenia sieci VPN zdefiniowanym przez bramę sieci lokalnej.
- Połączenie jest wykonywane z bramy sieci wirtualnej i skojarzonego z nim publicznego adresu IP.
Na poniższym diagramie przedstawiono kombinację zasobów i ich relacji, aby lepiej zrozumieć, co jest wymagane do wdrożenia bramy sieci VPN:
Wymagane zasoby lokalne
Aby połączyć centrum danych z bramą sieci VPN, potrzebne są następujące zasoby lokalne:
- Urządzenie VPN obsługujące bramy VPN oparte na zasadach lub trasach
- Publiczny adres IPv4, możliwy do trasowania przez internet
Scenariusze wysokiej dostępności
Istnieje kilka sposobów zapewnienia, że masz konfigurację odporną na uszkodzenia.
Aktywne/pasywne
Domyślnie bramy sieci VPN są wdrażane jako dwa wystąpienia w konfiguracji aktywne/ rezerwowe, nawet jeśli na platformie Azure jest widoczny tylko jeden zasób bramy sieci VPN. Gdy planowana konserwacja lub nieplanowane zakłócenia wpływają na aktywne wystąpienie, wystąpienie rezerwowe automatycznie przejmuje odpowiedzialność za połączenia bez żadnej interwencji użytkownika. Połączenia są przerywane podczas pracy w trybie failover, ale zazwyczaj są przywracane w ciągu kilku sekund w przypadku planowanej konserwacji i w ciągu 90 sekund w przypadku nieplanowanych zakłóceń.
Aktywne/aktywne
Wraz z wprowadzeniem obsługi protokołu routingu BGP można również wdrożyć bramy sieci VPN w konfiguracji aktywne/aktywne. W tej konfiguracji przypiszesz unikatowy publiczny adres IP do każdego wystąpienia. Następnie utworzysz oddzielne tunele od urządzenia lokalnego do każdego adresu IP. Wysoką dostępność można rozszerzyć, wdrażając inne urządzenie sieci VPN lokalnie.
Awaria zapasowa ExpressRoute
Inną opcją wysokiej dostępności jest skonfigurowanie bramy sieci VPN jako bezpiecznej ścieżki awaryjnego przełączania dla połączeń usługi ExpressRoute. Obwody usługi ExpressRoute mają wbudowaną odporność, ale nie są odporne na fizyczne problemy, które wpływają na kable zapewniające łączność, ani na awarie wpływające na całą lokalizację usługi ExpressRoute. W scenariuszach wysokiej dostępności, w których występuje ryzyko związane z awarią obwodu usługi ExpressRoute, można również skonfigurować bramę sieci VPN korzystającą z Internetu jako alternatywną metodę łączności, dzięki czemu zawsze istnieje połączenie z sieciami wirtualnymi platformy Azure.
Nadmiarowe bramy strefowe
W regionach obsługujących strefy dostępności można wdrożyć bramy sieci VPN i usługi ExpressRoute w konfiguracji strefowo nadmiarowej. Ta konfiguracja zapewnia odporność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie oddziela bramy w regionie, jednocześnie chroniąc lokalną łączność sieciową z platformą Azure przed awariami na poziomie strefy. Wymagają one różnych SKU dla bram i używają standardowych publicznych adresów IP zamiast podstawowych publicznych adresów IP.