Compartilhar via


Topologia e design do Gateway de VPN

Há muitas opções diferentes disponíveis para conexões de rede virtual. Para ajudar a selecionar uma topologia de conexão de gateway de VPN que atenda aos seus requisitos, use os diagramas e as descrições nas seções a seguir. Os diagramas mostram as principais topologias de linha de base, mas é possível criar topologias mais complexas usando os diagramas como diretrizes.

VPN site a site

Uma conexão de gateway de VPN site a site (S2S) é uma conexão pelo túnel VPN IPsec/IKE (IKEv1 ou IKEv2). As conexões site a site podem ser usadas para configurações entre instalações e híbridas. Uma conexão site a site requer um dispositivo VPN localizado localmente que tenha um endereço IP público atribuído a ele.

Diagrama de conexão de Gateway de VPN site a site entre locais.

Você pode criar mais de uma conexão de VPN em seu gateway de rede virtual, normalmente se conectando a vários sites locais. Ao trabalhar com várias conexões, você deve usar um tipo de VPN RouteBased. Como cada rede virtual pode ter apenas um gateway de VPN, todas as conexões por meio do gateway compartilham a largura de banda disponível. Esse tipo de design de conectividade às vezes é chamado de vários sites.

Diagrama das conexões entre locais do Gateway de VPN site a site com vários sites.

Se você quiser criar um design para conectividade de gateway altamente disponível, poderá configurar seu gateway para estar no modo ativo-ativo. Esse modo permite configurar dois túneis ativos (um de cada instância de máquina virtual de gateway) para o mesmo dispositivo VPN para criar conectividade altamente disponível. Além de ser um design de conectividade altamente disponível, outra vantagem do modo ativo-ativo é que os clientes experimentam taxas de transferência mais altas.

Modelos e métodos de implantação para S2S

Modelo de implantação Azure portal PowerShell CLI do Azure
Gerenciador de Recursos Tutorial Tutorial Tutorial

VPN ponto a site

Uma conexão de gateway VPN P2S (ponto a site) permite que você crie uma conexão segura na sua rede virtual de um computador cliente individual. Uma conexão ponto a site é estabelecida iniciando-a no computador cliente. Essa solução é útil para pessoas que trabalham remotamente e querem se conectar às Redes Virtuais do Azure de um local remoto, como de casa ou de uma conferência. A VPN ponto a site também é uma solução útil para usar em vez de VPN site a site quando você tem apenas alguns clientes que precisam se conectar a uma rede virtual.

Ao contrário das conexões site a site, as conexões ponto a site não exigem um endereço IP voltado para o público local ou um dispositivo VPN. As conexões ponto a site podem ser usadas com conexões site a site por meio do mesmo gateway de VPN, desde que todos os requisitos de configuração para ambas as conexões sejam compatíveis. Para obter mais informações sobre conexões ponto a site, confira Sobre a VPN ponto a site.

Diagrama das conexões ponto a site.

Modelos e métodos de implantação para P2S

Método de autenticação Artigo
Certificado Tutorial
Como fazer
Microsoft Entra ID Como fazer
RAIO Como fazer

Configuração do cliente VPN P2S

Autenticação Tipo de túnel Sistema operacional cliente Cliente VPN
Certificado
IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux strongSwan
OpenVPN Windows Cliente VPN do Azure
Cliente OpenVPN versão 2.x
Cliente OpenVPN versão 3.x
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Cliente VPN do Azure
Cliente OpenVPN
Microsoft Entra ID
OpenVPN Windows Cliente VPN do Azure
OpenVPN macOS Cliente VPN do Azure
OpenVPN Linux Cliente VPN do Azure

Conexões de VNet para VNet (túnel VPN IPsec/IKE)

Conectar uma rede virtual a outra rede virtual (rede virtual a rede virtual) é semelhante a conectar uma rede virtual a um site local. Os dois tipos de conectividade usam um gateway de VPN para fornecer um túnel seguro usando IPsec/IKE. Você pode até combinar a comunicação VNet a VNet com as configurações de conexão de vários sites. Isso permite estabelecer topologias de rede que combinam conectividade entre instalações a conectividade de rede intervirtual.

As redes virtuais conectadas por você podem ser:

  • na mesma região ou em regiões diferentes
  • na mesma assinatura ou em assinaturas diferentes
  • nos mesmos modelos de implantação ou em modelos diferentes

Diagrama de conexões de VNet para VNet.

Modelos de implantação e métodos para VNet a VNet

Modelo de implantação Azure portal PowerShell CLI do Azure
Gerenciador de Recursos Tutorial+ Tutorial Tutorial

(+) Indica que esse método de implantação está disponível apenas para VNets na mesma assinatura.

Em alguns casos, talvez você queira usar o emparelhamento de rede virtual em vez de VNet para VNet para conectar suas redes virtuais. O emparelhamento de rede virtual não usa um gateway de rede virtual. Para obter mais informações, consulte Emparelhamento de rede virtual do Azure.

Conexões coexistentes site a site e de ExpressRoute

ExpressRoute é uma conexão direta e privada de sua WAN (não pela Internet pública) para os serviços da Microsoft, incluindo o Azure. O tráfego de VPN site a site viaja criptografado pela Internet pública. Poder configurar conexões VPN site a site e do ExpressRoute para a mesma rede virtual oferece várias vantagens.

Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute ou usar VPNs site a site para se conectar a sites que não fazem parte de sua rede, mas que estão conectados por meio do ExpressRoute. Observe que essa configuração requer dois gateways de rede virtual para a mesma rede virtual, um usando o tipo de gateway Vpne outro usando o tipo de gateway ExpressRoute.

Diagrama de conexões coexistentes do ExpressRoute e do Gateway de VPN.

Modelos e métodos de implantação para conexões coexistentes S2S e ExpressRoute

Modelo de implantação Azure portal PowerShell
Gerenciador de Recursos Tutorial Tutorial

Conexões de alta disponibilidade

Para planejar e projetar conexões altamente disponíveis, incluindo configurações de modo ativo-ativo, consulte Design conectividade de gateway altamente disponível para conexões entre instalações e VNet para VNet.

Próximas etapas