Conectividade VPN segura, incluindo ponto a site e site a site

  • 7 minutos

É importante saber que há configurações diferentes disponíveis para conexões de gateway de VPN. Você precisa determinar qual configuração melhor atende às suas necessidades. Nas seções abaixo, você pode exibir informações de design e diagramas de topologia sobre as seguintes conexões de gateway de VPN. Use os diagramas e descrições para ajudar a selecionar a topologia de conexão para corresponder aos seus requisitos. Os diagramas mostram as topologias de linha de base principais, mas é possível criar configurações mais complexas usando os diagramas como diretrizes.

VPN site-a-site

Uma conexão de gateway de VPN site a site (S2S) é uma conexão por meio de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). As conexões S2S podem ser usadas para configurações entre locais e híbridas. Uma conexão S2S requer um dispositivo VPN localizado localmente que tenha um endereço IP público atribuído a ele.

Diagrama mostrando um exemplo de uma conexão de gateway de rede virtual privada site a site por meio de um túnel seguro de protocolo de Internet.

O Gateway de VPN pode ser configurado no modo ativo-passivo usando um IP público ou no modo ativo-ativo usando dois IPs públicos. No modo ativo-em espera, um túnel IPsec está ativo e o outro túnel está em espera. Nessa configuração, o tráfego flui pelo túnel ativo e, se ocorrer algum problema com esse túnel, o tráfego mudará para o túnel em espera. É recomendável configurar o Gateway de VPN no modo ativo-ativo no qual ambos os túneis IPsec estão ativos simultaneamente, com os dados fluindo por ambos os túneis ao mesmo tempo. Uma vantagem adicional do modo ativo-ativo é que os clientes experimentam taxas de transferência mais altas.

Você pode criar mais de uma conexão VPN do seu gateway de rede virtual, normalmente conectando-se a vários sites on-premises. Ao trabalhar com várias conexões, você deve usar um tipo de VPN RouteBased (conhecido como um gateway dinâmico ao trabalhar com VNets clássicas). Como cada rede virtual só pode ter um gateway de VPN, todas as conexões por meio do gateway compartilham a largura de banda disponível. Esse tipo de conexão às vezes é conhecido como uma conexão de "vários sites".

Diagrama que mostra um exemplo de conexão de rede virtual privada de um ponto para vários sites.

Rede Privada Virtual (VPN) de Ponto a Site

Uma conexão de gateway de VPN P2S (ponto a site) permite que você crie uma conexão segura com sua rede virtual de um único computador cliente. Uma conexão P2S é estabelecida iniciando-a no computador cliente. Essa solução é útil para os telecommuters que desejam se conectar às VNets do Azure de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez de VPN S2S quando você tem apenas alguns clientes que precisam se conectar a uma VNet.

Ao contrário das conexões S2S, as conexões P2S não exigem um endereço IP voltado para o público local ou um dispositivo VPN. As conexões P2S podem ser usadas com conexões S2S por meio do mesmo gateway de VPN, desde que todos os requisitos de configuração para ambas as conexões sejam compatíveis.

Diagrama mostrando um exemplo de uma conexão de rede virtual privada ponto a site.

Conexões VNet-to-VNet (Túnel VPN (Rede Privada Virtual) de Protocolo de Internet Seguro/Troca de Chave de Internet)

Conectar uma rede virtual a outra rede virtual (conexão VNet-para-VNet) é semelhante à conexão de uma VNet a um local físico em uma instalação no local. Ambos os tipos de conectividade usam um gateway de VPN para fornecer um túnel seguro usando IPsec/IKE. Você pode até combinar a comunicação VNet para VNet com configurações de conexão de vários sites. Isso permite estabelecer topologias de rede que combinam conectividade entre locais com conectividade entre redes virtuais.

As VNets que você conecta podem ser:

  • nas mesmas regiões ou em regiões diferentes
  • nas mesmas assinaturas ou em assinaturas diferentes
  • nos mesmos modelos de implantação ou em modelos de implantação diferentes

Diagrama mostrando como conectar uma rede virtual a outra rede virtual é semelhante a conectar uma rede virtual a um local local.

Conexões entre modelos de implantação

Atualmente, o Azure tem dois modelos de implantação: clássico e Resource Manager. Se você usa o Azure há algum tempo, provavelmente tem VMs do Azure e funções de instância em execução em uma VNet clássica. Suas VMs e instâncias de função mais recentes podem estar em execução em uma VNet criada no Resource Manager. Você pode criar uma conexão entre as VNets para permitir que os recursos em uma VNet se comuniquem diretamente com recursos em outra.

Emparelhamento de VNet

Você pode usar o emparelhamento VNet para criar sua conexão, desde que sua rede virtual atenda a determinados requisitos. O emparelhamento VNet não usa um gateway de rede virtual.

Conexões coexistentes entre site a site e ExpressRoute

O ExpressRoute é uma conexão direta e privada da WAN (não pela Internet pública) com os Serviços da Microsoft, incluindo o Azure. O tráfego vpn site a site viaja criptografado pela Internet pública. Ser capaz de configurar conexões VPN site a site e ExpressRoute para a mesma rede virtual tem várias vantagens.

Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute ou usar VPNs site a site para se conectar a sites que não fazem parte da sua rede, mas que estão conectados por meio do ExpressRoute. Observe que essa configuração requer dois gateways de rede virtual para a mesma rede virtual, um usando o tipo de gateway 'Vpn' e outro usando o tipo de gateway ExpressRoute.