Bezpieczna łączność sieci VPN, w tym punkt-lokacja i lokacja-lokacja
Dostępne są różne konfiguracje połączeń bramy sieci VPN. Należy określić, która konfiguracja najlepiej odpowiada Twoim wymaganiom. W poniższych sekcjach można wyświetlić informacje o projekcie i diagramy topologii dotyczące następujących połączeń bramy sieci VPN. Przedstawione diagramy i opisy mogą ułatwić wybór topologii połączenia dostosowanej do potrzeb użytkownika. Diagramy przedstawiają główne topologie punktów odniesienia, ale istnieje możliwość utworzenia bardziej złożonych konfiguracji przy użyciu diagramów jako wytycznych.
Sieć VPN typu lokacja-lokacja
Połączenie bramy sieci VPN typu lokacja-lokacja (S2S) to połączenie za pośrednictwem tunelu sieci VPN protokołu IPsec/IKE (IKEv1 lub IKEv2). Z połączeń typu lokacja-lokacja (S2S) można korzystać w ramach konfiguracji hybrydowych i obejmujących wiele lokalizacji. Połączenie typu lokacja-lokacja wymaga lokalnego urządzenia sieci VPN z przypisanym publicznym adresem IP.
Bramę vpn Gateway można skonfigurować w trybie aktywny-rezerwowy przy użyciu jednego publicznego adresu IP lub w trybie aktywny-aktywny przy użyciu dwóch publicznych adresów IP. W trybie aktywny-rezerwowy jeden tunel IPsec jest aktywny, a drugi tunel jest w stanie wstrzymania. W tej konfiguracji ruch przepływa przez aktywny tunel, a jeśli wystąpi jakiś problem z tym tunelem, ruch przechodzi do tunelu rezerwowego. Zaleca się skonfigurowanie bramy VPN Gateway w trybie aktywny-aktywny, w którym oba tunele IPsec są jednocześnie aktywne, a dane przepływają przez oba tunele jednocześnie. Dodatkową zaletą trybu aktywne-aktywne jest to, że klienci mają większą przepływność.
Z bramy sieci wirtualnej można utworzyć więcej niż jedno połączenie sieci VPN, zazwyczaj łączące się z wieloma lokacjami lokalnymi. Podczas pracy z wieloma połączeniami musisz użyć sieci VPN typu RouteBased (nazywanego dynamiczną bramą w przypadku pracy z klasycznymi sieciami wirtualnymi). Ze względu na to, że każda sieć wirtualna może mieć tylko jedną bramę sieci VPN, wszystkie połączenia za pośrednictwem bramy współużytkują dostępną przepustowość. Ten typ połączenia jest czasami określany jako "połączenie obejmujące wiele lokacji".
Wirtualna sieć prywatna typu punkt-lokacja
Połączenie bramy sieci VPN typu punkt-lokacja (P2S) umożliwia utworzenie bezpiecznego połączenia z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. To rozwiązanie jest przydatne dla osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure z lokalizacji zdalnej, na przykład z domu lub sali konferencyjnej. Połączenie sieci VPN typu punkt-lokacja jest również przydatne zamiast połączenia sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną.
W przeciwieństwie do połączeń typu lokacja-lokacja połączenia typu punkt-lokacja nie wymagają lokalnego publicznego adresu IP ani urządzenia sieci VPN. Połączenia typu punkt-lokacja mogą być używane z połączeniami typu lokacja-lokacja z użyciem tej samej bramy sieci VPN, pod warunkiem że wszystkie wymagania dotyczące konfiguracji dla obu połączeń są zgodne.
Połączenia między sieciami wirtualnymi (protokół internetowy Secure/Internet Key Exchange Virtual Private Network Tunnel)
Proces nawiązywania połączenia między dwiema sieciami wirtualnymi przebiega podobnie do procesu łączenia sieci wirtualnej z lokacją lokalną. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE. Można także łączyć połączenia między sieciami wirtualnymi z konfiguracjami połączeń obejmujących wiele lokacji. Pozwala to tworzyć topologie sieci, które łączą wdrożenia obejmujące wiele lokalizacji z połączeniami między sieciami wirtualnymi.
Sieci wirtualne, między którymi tworzone jest połączenie, mogą:
- znajdować się w tym samym lub różnych regionach,
- należeć do tej samej lub różnych subskrypcji,
- korzystać z tego samego lub różnych modeli wdrażania.
Połączenia między modelami wdrażania
Platforma Azure ma obecnie dwa modele wdrażania: klasyczny model wdrażania oraz model wdrażania przy użyciu usługi Resource Manager. Jeśli korzystasz z platformy Azure od pewnego czasu, prawdopodobnie masz maszyny wirtualne i wystąpienia roli platformy Azure działające w klasycznej sieci wirtualnej. Nowsze maszyny wirtualne i wystąpienia roli mogą działać w sieci wirtualnej utworzonej w usłudze Resource Manager. Możesz utworzyć połączenie między tymi sieciami wirtualnymi, aby umożliwić zasobom w jednej sieci wirtualnej bezpośrednie komunikowanie się z zasobami w innej sieci.
Komunikacja równorzędna sieci wirtualnych
Można utworzyć połączenie przy użyciu komunikacji równorzędnej sieci wirtualnych pod warunkiem, że sieć wirtualna spełnia określone wymagania. Komunikacja równorzędna sieci wirtualnych nie używa bramy sieci wirtualnej.
Współistniejące połączenia typu lokacja-lokacja i ExpressRoute
ExpressRoute to bezpośrednie, prywatne połączenie z usługami firmy Microsoft, w tym z platformą Azure, nawiązane z poziomu sieci WAN użytkownika, a nie z publicznego Internetu. Ruch sieci VPN typu lokacja-lokacja jest szyfrowany za pośrednictwem publicznego Internetu. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i połączeń usługi ExpressRoute dla tej samej sieci wirtualnej ma kilka zalet.
Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja, aby połączyć się z lokacjami, które nie są częścią sieci, ale są połączone za pośrednictwem usługi ExpressRoute. Należy zauważyć, że ta konfiguracja wymaga dwóch bram sieci wirtualnych dla tej samej sieci wirtualnej, jednej z nich przy użyciu typu bramy "Vpn", a drugiego przy użyciu typu bramy ExpressRoute.