Como funciona o Gateway de VPN do Azure
Você pode implantar apenas um gateway de VPN em cada rede virtual do Azure. Embora esteja limitado a apenas um gateway de VPN, você pode configurar esse gateway para se conectar a vários locais, incluindo outras redes virtuais do Azure ou datacenters locais.
Observação
Um gateway de rede virtual é composto por duas ou mais VMs especiais implantadas em uma sub-rede específica chamada sub-rede de gateway. As VMs do gateway de rede virtual hospedam tabelas de roteamento e executem serviços de gateway específicos. Essas VMs que constituem o gateway são criadas quando você cria o gateway de rede virtual e são gerenciadas automaticamente pelo Azure e não exigem atenção administrativa.
Tipos de gateway de VPN
Ao configurar um gateway de rede virtual, você seleciona uma configuração que especifica o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual será usado e as ações que ele realizará. O tipo de gateway Vpn
especifica que o tipo de gateway de rede virtual criado é um VPN gateway
. Isso o distingue de um gateway de ExpressRoute, que usa um tipo de gateway diferente. Uma rede virtual do Azure pode ter dois gateways de rede virtual: um gateway de VPN e um gateway do ExpressRoute.
Há dois tipos de gateways de VPN do Azure:
- Gateways de VPN baseados em políticas
- Gateway VPN baseado em rota
Gateways de VPN baseados em políticas
Os gateways de VPN baseados em política exigem que você especifique um conjunto fixo de endereços IP de pacotes que devem ser criptografados por meio de cada túnel. Esse tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos fixos de endereços IP e escolhe o túnel por meio do qual enviará esse tráfego.
Os principais recursos dos gateways de VPN baseados em políticas no Azure incluem:
- Suporte apenas para IKEv1
- Uso de roteamento estático
A origem e o destino das redes por túnel são declarados na política de VPN e não precisam ser declarados em tabelas de roteamento. Use VPNs baseadas em políticas somente em cenários específicos que as exigem, como para compatibilidade com dispositivos VPN locais herdados.
Gateways de VPN baseados em rota
Com os Gateways de VPN do Azure baseados em rota, um túnel IPsec funciona como uma interface de rede ou uma VTI (interface de túnel virtual). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina quais interfaces de túnel transmitirão cada pacote. As VPNs baseadas em rota são o método de conexão preferencial para dispositivos locais, uma vez que são mais resilientes a alterações de topologia, como a criação de sub-redes. Uma VPN baseada em rota é muito mais adequada para a Adatum porque permitirá que as conexões sejam feitas aos recursos de IaaS do Azure em redes virtuais se novas sub-redes forem adicionadas sem a necessidade de reconfigurar o Gateway de VPN do Azure.
Use um gateway de VPN baseado em rota se precisar de qualquer um dos seguintes tipos de conectividade:
- Conexões entre redes virtuais
- Conexões ponto a site
- Conexões multissite
- Coexistência com um gateway do Azure ExpressRoute
Os principais recursos de gateways de VPN baseados em rota no Azure incluem:
- Dá suporte ao IKEv2
- Usa seletores de tráfego any-to-any (curinga)
- É possível usar protocolos de roteamento dinâmico, em que as tabelas de roteamento/encaminhamento direcionam o tráfego a diferentes túneis IPsec
Quando configuradas para usar o roteamento dinâmico, as redes de origem e destino não são definidas estaticamente porque estão em VPNs baseadas em políticas ou até mesmo em VPNs baseadas em rota com roteamento estático. Em vez disso, os pacotes de dados são criptografados com base em tabelas de roteamento de rede que são criadas dinamicamente usando protocolos de roteamento como o BGP (Border Gateway Protocol).
Os Gateways de VPN do Azure só dão suporte ao uso do método de autenticação com chave pré-compartilhada. Ambos os tipos, baseados em rota e baseados em políticas, também dependem do IKE (Protocolo IKE) na versão 1 ou versão 2 e do IPsec (Internet Protocol Security). O IKE é usado para configurar uma associação de segurança (um contrato da criptografia) entre dois pontos de extremidade. Essa associação é passada para o conjunto do IPsec, que criptografa e descriptografa os pacotes de dados encapsulados no túnel VPN.
Tamanhos de Gateway de VPN do Azure
Ao criar um gateway de rede virtual, você precisa especificar um SKU do gateway. Você deve selecionar uma SKU que atenda aos seus requisitos com base nos tipos de cargas de trabalho, taxa de transferência, recursos e SLAs.
SKUs de gateway – Geração 1 | Máximo de túneis VPN site a site | Taxa de transferência agregada | Suporte a BGP |
---|---|---|---|
Basic | 10 | 100 Mbps | Sem suporte |
VpnGw1/Az | 30 | 650 Mbps | Com suporte |
VpnGw2/Az | 30 | 1 Gbps | Com suporte |
VpnGw3/Az | 30 | 1,25 Gbps | Com suporte |
Esta tabela mostra as SKUs Geração 1. Ao trabalhar com SKUs Geração 1, você pode migrar entre os SKUs VpnGw1, VpnGw2 e VpnGw3, conforme necessário. Não é possível migrar do SKU básico sem remover e reimplantar o gateway de VPN. Você também pode criar gateways de VPN usando SKUs Geração 2. Para obter as informações mais recentes sobre SKUs, taxa de transferência e recursos com suporte, confira os links na seção Resumo deste módulo.
Requisitos do gateway de VPN
Os seguintes recursos do Azure precisam estar presentes para que você possa implantar um Gateway de VPN operacional:
- Rede virtual: uma rede virtual do Azure com espaço de endereço suficiente para a sub-rede adicional que será necessária para o gateway de VPN. O espaço de endereço dessa rede virtual não deve se sobrepor à rede local à qual você se conectará.
- Sub-rede de gateway: uma sub-rede chamada GatewaySubnet para o gateway de VPN. Requer pelo menos uma máscara de endereço /27. Essa sub-rede não pode ser usada para nenhum outro serviço.
- Endereço IP público: um endereço IP público dinâmico do SKU Básico se estiver usando um gateway sem reconhecimento de zona. Esse endereço fornece um endereço IP roteável público como o destino do dispositivo VPN local. Embora esse endereço IP seja dinâmico, ele não será alterado a menos que você exclua e recrie o gateway de VPN.
- Gateway de rede local: crie um gateway de rede local para definir a configuração da rede local: onde o gateway de VPN se conectará e a que ele se conectará. Essa configuração inclui o endereço IPv4 público do dispositivo VPN local e as redes roteáveis locais. Essas informações são usadas pelo gateway de VPN para rotear, por meio do túnel IPsec, pacotes destinados a redes locais.
Quando esses componentes de pré-requisito estiverem presentes, você poderá criar o gateway de rede virtual para rotear o tráfego entre a rede virtual e o datacenter local ou outras redes virtuais. Depois que o gateway de rede virtual for implantado, você poderá criar um recurso de conexão para criar uma conexão lógica entre o Gateway de VPN e o gateway de rede local:
- A conexão é realizada com o endereço IPv4 do dispositivo VPN local conforme definido pelo gateway de rede local.
- A conexão é realizada do gateway de rede virtual e seu endereço IP público associado.
Você pode configurar várias conexões, até o limite definido pelo SKU, para cada gateway de VPN do Azure.
Alta disponibilidade
Embora você só veja um recurso de gateway de VPN no Azure, os gateways de VPN são implantados como duas instâncias de máquinas virtuais gerenciadas em uma configuração ativa/em espera. Quando a manutenção planejada ou a interrupção não planejada afeta a instância ativa, a instância em espera assume automaticamente a responsabilidade por conexões sem qualquer intervenção do usuário ou do administrador. Durante esse failover, as conexões são interrompidas, mas normalmente são restauradas em alguns segundos para manutenção planejada e dentro de 90 segundos em caso de interrupções não planejadas.
Os gateways de VPN do Azure dão suporte ao protocolo BGP Routing, que permite que você também implante gateways de VPN em uma configuração ativa/ativa. Nessa configuração, você atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis do dispositivo local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN local.
Observação
Muitas organizações que têm conexões de ExpressRoute também implantaram conexões VPN site a site para uma camada adicional de redundância.