Explorar o Gateway de VPN do Azure
Para integrar seu ambiente local ao Azure, você precisa poder criar uma conexão criptografada. É possível se conectar pela Internet ou por um link dedicado. Aqui, examinaremos o Gateway de VPN do Azure, que fornece um ponto de extremidade para conexões de entrada de ambientes locais.
Você configurou uma rede virtual do Azure e precisa garantir que as transferências de dados do Azure para seu site e entre redes virtuais do Azure sejam criptografadas. Você também precisa saber como conectar redes virtuais entre regiões e assinaturas.
O que é um Gateway de VPN?
Um gateway de rede virtual do Azure fornece um ponto de extremidade para conexões de entrada locais para o Azure pela Internet. Um Gateway de VPN é um tipo específico de gateway de rede virtual que pode ser um ponto de extremidade para conexões criptografadas. Ele também pode enviar tráfego criptografado entre redes virtuais do Azure pela rede dedicada da Microsoft que vincula os datacenters do Azure em regiões diferentes. Essa configuração permite que você vincule máquinas virtuais e serviços em regiões diferentes com segurança.
Uma rede virtual pode ter apenas um gateway de VPN. Todas as conexões com esse Gateway de VPN compartilham a largura de banda de rede disponível.
Dentro de cada gateway de rede virtual, há duas ou mais VMs (máquinas virtuais). Essas VMs foram implantadas em uma sub-rede especial que você especifica, chamada sub-rede de gateway. Elas contêm tabelas de roteamento para conexões com outras redes, juntamente com serviços de gateway específicos. Essas VMs e a sub-rede de gateway são semelhantes a um dispositivo de rede protegida. Você não precisa configurar essas VMs diretamente nem deve implantar recursos adicionais na sub-rede de gateway.
A criação de um gateway de rede virtual pode levar algum tempo para ser concluída e, portanto, é vital que você se planeje adequadamente. Quando você cria um gateway de rede virtual, o processo de provisionamento gera VMs de gateway e as implanta na sub-rede de gateway. Essas VMs terão as configurações que você configurar no gateway.
Uma configuração de chave é o tipo de gateway. O tipo de gateway determina a maneira como o gateway funciona. Para um Gateway de VPN, o tipo de gateway é "vpn". As opções para gateways de VPN incluem:
Conexões rede a rede por IPsec/Tunel VPN IKE, vinculando gateways de VPN a outros gateways de VPN.
Túnel VPN IKE/IPsec entre locais, para conexão de redes locais com o Azure por meio de dispositivos VPN dedicados para criar conexões site a site.
Conexões ponto a site por IKEv2 ou SSTP, para vincular computadores cliente aos recursos no Azure.
Agora, vamos examinar os fatores que você precisa considerar para planejar seu gateway de VPN.
Planejar um gateway de VPN
Ao planejar um gateway de VPN, há três arquiteturas que precisamos considerar:
- Ponto a site pela Internet
- Site a site pela Internet
- Site a site em uma rede dedicada, como o Azure ExpressRoute
Fatores de planejamento
Os fatores que você precisa abordar durante o processo de planejamento incluem:
- Taxa de transferência: Mbps ou Gbps
- Backbone: Internet ou privado?
- Disponibilidade de um endereço IP público (estático)
- Compatibilidade do dispositivo VPN
- Várias conexões de cliente ou um link site a site?
- Tipo de Gateway de VPN
- SKU do Gateway de VPN do Azure
A tabela a seguir resume alguns desses problemas de planejamento. Os problemas restantes serão descritos mais adiante.
| Ponto a site | Site a Site | ExpressRoute | |
|---|---|---|---|
| Serviços com suporte no Azure | Serviços de nuvem e VMs | Serviços de nuvem e VMs | Todos os serviços compatíveis |
| Largura de banda típica | Depende do SKU do Gateway de VPN | Depende do SKU do Gateway de VPN | Confira Opções de largura de banda do ExpressRoute |
| Protocolos compatíveis | SSTP e IPsec | IPsec | Conexão direta, VLANs |
| Roteamento | RouteBased (dinâmico) | PolicyBased (estático) e RouteBased | BGP |
| Resiliência de conexão | Ativo-passivo | Ativo-passivo ou ativo-ativo | Ativo-ativo |
| Caso de uso | Testes e protótipos | Desenvolvimento, teste e produção em pequena escala | Enterprise/crítico |
SKUs de gateway
É importante que você escolha o SKU certo. Se você tiver configurado seu gateway de VPN com o SKU errado, precisará desativá-lo e recompilar o gateway, o que pode demorar. Para obter as informações mais recentes sobre os SKUs de gateway, incluindo a taxa de transferência, confira O que é o Gateway de VPN? – SKUs de gateway.
Fluxo de trabalho
Ao projetar uma estratégia de conectividade de nuvem usando a rede virtual privada no Azure, aplique o seguinte fluxo de trabalho:
Projete a topologia de conectividade listando os espaços de endereço para todas as redes de conexão.
Crie uma rede virtual do Azure.
Crie um gateway de VPN para a rede virtual.
Crie e configure as conexões com redes locais ou outras redes virtuais, conforme a necessidade.
Se necessário, crie e configure uma conexão ponto a site para o gateway de VPN do Azure.
Considerações sobre o design
Quando você projeta seus gateways de VPN para conectar redes virtuais, deve considerar os seguintes fatores:
As sub-redes não podem se sobrepor
É essencial que uma sub-rede em uma localização não contenha o mesmo espaço de endereço de outra localização.
Os nomes de orçamento devem ser exclusivos
Não é possível ter dois hosts com o mesmo endereço IP em diferentes localizações, pois será impossível rotear o tráfego entre os dois hosts e a conexão de rede a rede falhará.
Gateways de VPN precisam de uma sub-rede de gateway chamada GatewaySubnet
Ele precisa ter esse nome para que o gateway funcione e não deve conter nenhum outro recurso.
Criar uma rede virtual do Azure
Antes de criar um gateway de VPN, você precisa criar a rede virtual do Azure.
Criar um gateway de VPN
O tipo de gateway de VPN criado dependerá da sua arquitetura. As opções são:
RouteBased
Os dispositivos VPN com base em rotas usam seletores de tráfego de qualquer a qualquer (curinga) e permitem que tabelas de roteamento/encaminhamento direcionem o para diferentes túneis IPsec. As conexões baseadas em rotas são normalmente criadas em plataformas de roteador, em que cada túnel IPsec é modelado como um adaptador de rede ou VTI (interface do túnel virtual).
PolicyBased
Os dispositivos VPN com base em políticas usam as combinações de prefixos de ambas as redes para definir como o tráfego será criptografado/descriptografado por meio de túneis IPsec. A conexão baseada em política é normalmente criada em dispositivos de firewall que executam a filtragem de pacotes. A criptografia e descriptografia de túnel IPsec são adicionadas à filtragem de pacote e ao mecanismo de processamento.
Configurar um gateway de VPN
As etapas que você precisará seguir dependerão do tipo de gateway de VPN que está sendo instalado. Por exemplo, para criar um gateway de VPN ponto a site usando o portal do Azure, execute estas etapas:
Crie uma rede virtual.
Adicione uma sub-rede de gateway.
Especifique um servidor DNS (opcional).
Crie um gateway de rede virtual.
Gere certificados.
Adicione o pool de endereços de cliente.
Configure o tipo de túnel.
Configure o tipo de autenticação.
Carregue os dados de certificado público do certificado raiz.
Instale um certificado do cliente exportado.
Gere e instale o pacote de configuração de cliente VPN.
Conecte-se ao Azure.
Como há vários roteiros de configuração com os gateways de VPN do Azure, cada um com várias opções, não é possível abordar todas as configurações neste curso. Para saber mais, consulte a seção Recursos adicionais.
Configurar o gateway
Depois de criar seu gateway, será necessário configurá-lo. Há várias definições de configuração que você precisará fornecer, como o nome, local, servidor DNS e outras. Vamos explorar essas configurações mais detalhadamente no exercício.
Os gateways de VPN do Azure são um componente nas redes virtuais do Azure que habilitam conexões ponto a site, site a site ou rede a rede. Os gateways de VPN do Azure permitem que computadores cliente individuais se conectem aos recursos no Azure, estendam redes locais para o Azure ou facilitem conexões entre redes virtuais em diferentes regiões e assinaturas.