Conectar redes locais ao Azure usando gateways de VPN site a site
Uma VPN (rede virtual privada) é um tipo de rede interconectada privada. VPNs usam um túnel criptografado dentro de outra rede. Normalmente, elas são implantadas para conectar duas ou mais redes privadas confiáveis entre si em uma rede não confiável (normalmente a Internet pública). O tráfego é criptografado ao viajar pela rede não confiável para evitar interceptação ou outros ataques.
Para o prestador de serviços de saúde em nosso cenário, as VPNs podem permitir que os profissionais de saúde compartilhem informações confidenciais entre locais. Por exemplo, digamos que um paciente requer cirurgia em uma instalação de especialista. A equipe cirúrgica precisa ser capaz de ver os detalhes do histórico médico de um paciente. Esses dados médicos são armazenados em um sistema no Azure. Uma VPN que conecta a instalação ao Azure permite que a equipe cirúrgica acesse essas informações com segurança.
Gateways de VPN do Azure
Um gateway de VPN é um tipo de gateway de rede virtual. Gateways de VPN são implantados em redes virtuais do Azure e habilitam a conectividade a seguir:
- Conectam datacenters locais a redes virtuais do Azure por meio de uma conexão site a site.
- Conectam dispositivos individuais a redes virtuais do Azure por meio de uma conexão ponto a site.
- Conectam redes virtuais do Azure a outras redes virtuais do Azure por meio de uma conexão rede a rede.
Todos os dados transferidos são criptografados em um túnel privado à medida que atravessam a Internet. Você só poderá implantar um gateway de VPN em cada rede virtual, mas poderá usar um gateway para conectar-se a vários locais, incluindo outras redes virtuais do Azure ou datacenters locais.
Ao implantar um gateway de VPN, você especifica o tipo de VPN, que pode ser baseada em política ou em rota. A principal diferença entre esses dois tipos de VPN é como o tráfego criptografado é especificado.
VPNs baseadas em política
Gateways de VPN baseados em política especificam estaticamente o endereço IP dos pacotes que devem ser criptografados por meio de cada túnel. Esse tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel para o qual o pacote será enviado. Os gateways de VPN baseados em política são limitados nos recursos e conexões aos quais podem dar suporte. Os principais recursos dos gateways de VPN baseados em políticas no Azure incluem:
- Suporte apenas para IKEv1.
- O uso do roteamento estático, em que as combinações de prefixos de endereço de ambas as redes controlam o modo como o tráfego é criptografado e descriptografado por meio do túnel VPN. A origem e o destino das redes por túnel são declarados na política e não precisam ser declarados em tabelas de roteamento.
- As VPNs baseadas em política devem ser usadas em cenários específicos que as exigem, por exemplo, para compatibilidade com os dispositivos VPN locais herdados.
VPNs baseadas em rota
Se definir quais endereços IP estão por trás de cada túnel é algo muito complicado. Ou você precisa de recursos e conexões aos quais os gateways baseados em política não dão suporte. Os gateways baseados em rota devem ser usados. Com gateways baseados em rota, os túneis IPSec são modelados como um adaptador de rede ou um VTI (interface de túnel virtual). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina por qual das interfaces de túnel enviar cada pacote. As VPNs baseadas em rota são o método de conexão preferencial para dispositivos locais, pois são mais resilientes a alterações de topologia, como a criação de novas sub-redes. Use um gateway de VPN baseado em rota se precisar de qualquer um dos seguintes tipos de conectividade:
- Conexões entre redes virtuais
- Conexões ponto a site
- Conexões multissite
- Coexistência com um gateway do Azure ExpressRoute
Os principais recursos de gateways de VPN baseados em rota no Azure incluem:
- Compatibilidade com IKEv2.
- Usa seletores de tráfego de qualquer ponto a qualquer ponto (curinga).
- Pode usar protocolos de roteamento dinâmico, em que as tabelas de roteamento/encaminhamento direcionam o tráfego a diferentes túneis IPsec. Nesse caso, as redes de origem e de destino não são definidas estaticamente, pois estão em VPNs baseadas em políticas ou em VPNs baseadas em rota com roteamento estático. Em vez disso, os pacotes de dados são criptografados com base em tabelas de roteamento de rede que são criadas dinamicamente usando protocolos de roteamento como o BGP (Border Gateway Protocol).
Os dois tipos de gateways de VPN (baseados em rota e baseados em política) no Azure usam a chave pré-compartilhada como o único método de autenticação. Ambos os tipos também dependem do protocolo IKE na versão 1 ou na versão 2 e do protocolo IPsec. O IKE é usado para configurar uma associação de segurança (um contrato da criptografia) entre dois pontos de extremidade. Essa associação é passada para o conjunto do IPsec, que criptografa e descriptografa os pacotes de dados encapsulados no túnel VPN.
Tamanhos do gateway de VPN
O SKU ou o tamanho que você implanta determina as funcionalidades do gateway de VPN. Esta tabela mostra um exemplo de alguns dos SKUs de gateway. Os números nesta tabela estão sujeitos a alterações a qualquer momento. Para obter as informações mais recentes, veja SKUs de Gateway na documentação do Gateway de VPN do Azure. Um SKU de Gateway Básico deve ser usado apenas para cargas de trabalho de Desenvolvimento/Teste. Além disso, não há suporte para a migração do SKU Básico para um SKU VpnGw#/Az posteriormente sem precisar remover e reimplantar o gateway.
VPN Gateway Geração |
SKU | S2S/VNet para VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Com redundância de zona | Número de VMs com suporte na Rede Virtual |
---|---|---|---|---|---|---|---|---|
Geração1 | Basic | Máx. 10 | Máx. 128 | Sem suporte | 100 Mbps | Sem suporte | Não | 200 |
Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Não | 450 |
Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Não | 1300 |
Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Não | 4000 |
Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Sim | 1000 |
Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Sim | 2000 |
Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Sim | 5000 |
Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Não | 685 |
Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Não | 2240 |
Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Não | 5300 |
Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Não | 6700 |
Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Sim | 2000 |
Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Sim | 3.300 |
Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Sim | 4400 |
Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Sim | 9000 |
Implantar gateways de VPN
Para implantar um gateway de VPN, serão necessários alguns recursos locais e do Azure.
Recursos do Azure necessários
Serão necessários os seguintes recursos do Azure para implantar um gateway de VPN operacional:
- Rede virtual. Implante uma rede virtual do Azure com espaço de endereço suficiente para a sub-rede adicional que será necessária para o gateway de VPN. O espaço de endereço dessa rede virtual não pode se sobrepor à rede local à qual você se conectará. Lembre-se de que você só pode implantar um único gateway de VPN em uma rede virtual.
- GatewaySubnet. Implante uma sub-rede chamada
GatewaySubnet
para o gateway de VPN. Use uma máscara de endereço de pelo menos /27 para garantir que você tenha endereços IP suficientes na sub-rede para crescimento futuro. Não é possível usar essa sub-rede para nenhum outro serviço. - Endereço IP público. Crie um endereço IP público dinâmico do SKU Básico se estiver usando um gateway sem reconhecimento de zona. Esse endereço fornece um endereço IP roteável público como o destino do dispositivo VPN local. Esse endereço IP é dinâmico, mas não será alterado a menos que você exclua o gateway de VPN e recrie-o.
- Gateway de rede local. Crie um gateway de rede local para definir a configuração da rede local. Especificamente, onde o gateway de VPN se conecta e ao que ele se conecta. Essa configuração inclui o endereço IPv4 público do dispositivo VPN local e as redes roteáveis locais. Essas informações são usadas pelo gateway de VPN para rotear, por meio do túnel IPsec, pacotes destinados a redes locais.
- Gateway de rede virtual. Crie o gateway de rede virtual para rotear tráfego entre a rede virtual e o datacenter local ou outras redes virtuais. O gateway de rede virtual pode ser configurado como um gateway de VPN ou um gateway do ExpressRoute, mas esse módulo lida apenas com gateways de rede virtual de VPN.
- Conexão. Crie um recurso de Conexão para criar uma conexão lógica entre o gateway de VPN e o gateway de rede local. Você pode criar várias conexões com o mesmo gateway.
- A conexão é realizada com o endereço IPv4 do dispositivo VPN local conforme definido pelo gateway de rede local.
- A conexão é realizada do gateway de rede virtual e seu endereço IP público associado.
O diagrama a seguir mostra essa combinação e recursos e suas relações para ajudar você a entender melhor o que é necessário para implantar um gateway de VPN:
Recursos locais necessários
Para conectar o datacenter a um gateway de VPN, serão necessários os seguintes recursos locais:
- Um dispositivo VPN que dá suporte a gateways de VPN baseada em política ou em rota
- Um endereço IPv4 (roteável pela Internet) voltado para o público
Cenários de alta disponibilidade
Há várias maneiras de verificar se você tem uma configuração tolerante a falhas.
Ativo/em espera
Por padrão, gateways de VPN são implantados como duas instâncias em uma configuração ativa/em espera, mesmo se você vê apenas um recurso de gateway de VPN no Azure. Quando a manutenção planejada ou a interrupção não planejada afeta a instância ativa, a instância de modo de espera assume automaticamente a responsabilidade pelas conexões sem nenhuma intervenção do usuário. Durante esse failover, as conexões são interrompidas, mas normalmente são restauradas em alguns segundos para manutenção planejada e dentro de 90 segundos em caso de interrupções não planejadas.
Ativo/ativo
Com a introdução da compatibilidade com o protocolo de roteamento BGP, você também pode implantar os gateways de VPN em uma configuração ativo/ativo. Nessa configuração, você atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis do dispositivo local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN local.
Failover do ExpressRoute
Outra opção de alta disponibilidade é configurar um gateway de VPN como um caminho de failover seguro para conexões ExpressRoute. Os circuitos do ExpressRoute têm resiliência interna, mas não são imunes a problemas físicos que afetam os cabos que fornecem conectividade ou interrupções que afetam todo o local do ExpressRoute. Em cenários de alta disponibilidade, nos quais há risco associado à interrupção de um circuito do ExpressRoute, você também pode configurar um gateway de VPN que usa a Internet como método alternativo de conectividade, garantindo assim que sempre haja uma conexão com as redes virtuais do Azure.
Gateways com redundância de zona
Nas regiões que dão suporte a zonas de disponibilidade, os gateways de VPN e os do ExpressRoute podem ser implantados em uma configuração com redundância de zona. Essa configuração oferece resiliência, escalabilidade e maior disponibilidade para os gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa de forma física e lógica os gateways em uma região, enquanto protege a conectividade de rede local com o Azure contra falhas no nível da zona. Eles exigem SKUs de gateway diferentes e usam endereços IP públicos Standard em vez dos Básicos.