Conectar as redes locais ao Azure usando gateways VPN ponto a ponto
Uma rede privada virtual (VPN) é um tipo de rede privada interconectada. As VPNs usam um túnel criptografado dentro de outra rede. Normalmente, são implementados para ligar duas ou mais redes privadas fidedignas entre si através de uma rede não fidedigna (normalmente a Internet pública). O tráfego é encriptado durante a viagem através da rede não fidedigna para evitar escutas ou outros ataques.
Para o prestador de cuidados de saúde no nosso cenário, as VPNs podem ajudar os profissionais de saúde a partilhar informações confidenciais entre locais. Por exemplo, digamos que um paciente necessite de cirurgia em uma instalação especializada. A equipe cirúrgica precisa ser capaz de ver os detalhes do histórico médico do paciente. Esses dados médicos são armazenados em um sistema no Azure. Uma VPN que conecta a instalação ao Azure permite que a equipe cirúrgica acesse essas informações com segurança.
Gateways de VPN do Azure
Um gateway VPN é um tipo de Gateway de Rede Virtual. Os gateways VPN são implantados em redes virtuais do Azure e habilitam a seguinte conectividade:
- Conecte datacenters locais a redes virtuais do Azure por meio de uma conexão site a site.
- Conecte dispositivos individuais a redes virtuais do Azure através de uma conexão ponto-a-site .
- Conecte redes virtuais do Azure a outras redes virtuais do Azure por meio de uma conexão rede a rede.
Todos os dados transferidos são encriptados num túnel privado à medida que atravessam a Internet. Você pode implantar apenas um gateway VPN em cada rede virtual, mas pode usar um gateway para se conectar a vários locais, incluindo outras redes virtuais do Azure ou datacenters locais.
Ao implantar um gateway VPN, você especifica o tipo de VPN: baseado em política ou em rota. A principal diferença entre esses dois tipos de VPN é como o tráfego criptografado é especificado.
VPNs baseadas em políticas
Os gateways VPN baseados em políticas especificam estaticamente o endereço IP dos pacotes que devem ser criptografados através de cada túnel. Esse tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel através do qual esse pacote será enviado. Os gateways VPN baseados em políticas são limitados nos recursos e conexões que podem suportar. Os principais recursos dos gateways VPN baseados em políticas no Azure incluem:
- Suporte apenas para IKEv1.
- Uso de roteamento estático, onde combinações de prefixos de endereço de ambas as redes controlam como o tráfego é criptografado e descriptografado através do túnel VPN. A origem e o destino das redes encapsuladas são declarados na política e não precisam ser declarados nas tabelas de roteamento.
- As VPNs baseadas em políticas devem ser usadas em cenários específicos que as exigem, como para compatibilidade com dispositivos VPN locais herdados.
VPNs baseadas em rota
Se definir quais endereços IP estão por trás de cada túnel for muito complicado para sua situação, ou se você precisar de recursos e conexões que os gateways baseados em políticas não suportam, você deve usar gateways baseados em rota. Com gateways baseados em rota, os túneis IPSec são modelados como uma interface de rede ou VTI (interface de túnel virtual). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina através de qual das interfaces de túnel enviar cada pacote. As VPNs baseadas em rota são o método de conexão preferido para dispositivos locais porque são mais resilientes a alterações de topologia, como a criação de novas sub-redes, por exemplo. Use um gateway VPN baseado em rota se precisar de qualquer um dos seguintes tipos de conectividade:
- Conexões entre redes virtuais
- Conexões ponto a site
- Conexões multissite
- Coexistência com um gateway do Azure ExpressRoute
Os principais recursos dos gateways VPN baseados em rota no Azure incluem:
- Suporta IKEv2.
- Usa seletores de tráfego de qualquer a qualquer (wildcard).
- Pode usar protocolos de roteamento dinâmico, onde tabelas de roteamento/encaminhamento direcionam o tráfego para diferentes túneis IPSec. Nesse caso, as redes de origem e destino não são definidas estaticamente, pois estão em VPNs baseadas em políticas ou mesmo em VPNs baseadas em rota com roteamento estático. Em vez disso, os pacotes de dados são criptografados, com base em tabelas de roteamento de rede que são criadas dinamicamente usando protocolos de roteamento, como BGP (Border Gateway Protocol).
Ambos os tipos de gateways de VPN (baseados em rota e em políticas) no Azure usam chave pré-compartilhada como o único método de autenticação. Ambos os tipos também dependem do Internet Key Exchange (IKE) na versão 1 ou versão 2 e do Internet Protocol Security (IPSec). O IKE é usado para estabelecer uma associação de segurança (um acordo de encriptação) entre dois endereços de extremidade. Essa associação é então passada para o pacote IPSec, que criptografa e descriptografa pacotes de dados encapsulados no túnel VPN.
Tamanhos de gateway VPN
A SKU ou o tamanho que você implanta determina os recursos do seu gateway de VPN. Esta tabela mostra um exemplo de algumas das SKUs de gateway. Os números nesta tabela estão sujeitos a alterações a qualquer momento. Para obter as informações mais recentes, consulte SKUs de Gateway na documentação do Azure VPN Gateway. A SKU Básica do gateway só deve ser usada para cargas de trabalho de Desenvolvimento/Teste. Além disso, não há suporte para migrar do Basic para qualquer sku VpnGw#/Az posteriormente, sem ter que remover o gateway e reimplantá-lo.
| VPN Porta de entrada Geração |
SKU |
S2S/VNet-to-VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | redundante de zona | número suportado de VMs na rede virtual |
|---|---|---|---|---|---|---|---|---|
| Geração 1 | Básico | Máx. 10 | Máx. 128 | Não suportado | 100 Mbps | Não suportado | Não | 200 |
| Geração 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Não | 450 |
| Geração 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Não | 1300 |
| Geração 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Não | 4000 |
| Geração 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Sim | 1000 |
| Geração 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Sim | 2000 |
| Geração 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Sim | 5000 |
| Geração 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Não | 685 |
| Geração 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Não | 2240 |
| Geração 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Não | 5300 |
| Geração 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Não | 6700 |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Sim | 2000 |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Sim | 3300 |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Sim | 4400 |
| Geração 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Sim | 9000 |
Despachar portais VPN
Antes de implantar um gateway de VPN, você precisa de alguns recursos do Azure e locais.
Recursos necessários do Azure
Você precisa destes recursos do Azure antes de implantar um gateway VPN operacional:
- Rede virtual: implante uma rede virtual do Azure com espaço de endereço suficiente para uma sub-rede extra necessária ao gateway de VPN. O espaço de endereço para essa rede virtual não deve se sobrepor à rede local à qual você está se conectando. Lembre-se de que você pode implantar apenas um gateway VPN em uma rede virtual.
-
GatewaySubnet: Implante uma sub-rede chamada
GatewaySubnetpara o gateway VPN. Use pelo menos uma máscara de endereço de /27 para garantir que existam endereços IP suficientes disponíveis na sub-rede para crescimento futuro. Não é possível usar essa sub-rede para outros serviços. - Endereço IP público: crie um endereço IP público dinâmico Basic-SKU se estiver usando um gateway sem reconhecimento de zona. Esse endereço fornece um endereço IP roteável publicamente como o destino para seu dispositivo VPN local. Esse endereço IP é dinâmico, mas não muda, a menos que você exclua e recrie o gateway VPN.
- Gateway de rede local: Crie um gateway de rede local para definir a configuração da rede local. Especificamente, onde o gateway VPN se conecta e com o que se conecta. Essa configuração inclui o endereço IPv4 público do dispositivo VPN local e as redes roteáveis locais. Essas informações são usadas pelo gateway VPN para rotear pacotes destinados a redes locais por meio do túnel IPSec.
- Gateway de rede virtual: Crie o gateway de rede virtual para rotear o tráfego entre a rede virtual e o datacenter local ou outras redes virtuais. A porta de entrada de rede virtual pode ser configurada como uma porta de entrada VPN ou uma porta de entrada ExpressRoute, mas este módulo apenas lida com portas de entrada de VPN para rede virtual.
-
Conexão: Crie um recurso de conexão para estabelecer uma conexão lógica entre o gateway VPN e o gateway de rede local. Você pode criar várias conexões com o mesmo gateway.
- A conexão é feita com o endereço IPv4 do dispositivo VPN local, conforme definido pelo gateway de rede local.
- A conexão é feita a partir do gateway de rede virtual e seu endereço IP público associado.
O diagrama a seguir mostra essa combinação de recursos e seus relacionamentos para ajudá-lo a entender melhor o que é necessário para implantar um gateway VPN:
Recursos locais necessários
Para conectar seu datacenter a um gateway VPN, você precisa destes recursos locais:
- Um dispositivo VPN que suporta gateways VPN baseados em política ou rota
- Um endereço IPv4 voltado para o público (roteável pela Internet)
Cenários de alta disponibilidade
Há várias maneiras de garantir que você tenha uma configuração tolerante a falhas.
Ativo/em espera
Por padrão, os gateways de VPN são implantados como duas instâncias numa configuração de ativa/em espera, mesmo que se veja apenas um recurso de gateway VPN no Azure. Quando a manutenção planejada ou a interrupção não planejada afetam a instância ativa, a instância em espera assume automaticamente a responsabilidade pelas conexões sem qualquer intervenção do usuário. As conexões são interrompidas durante esse failover, mas normalmente são restauradas em poucos segundos para manutenção planejada e em 90 segundos para interrupções não planejadas.
Ativo/ativo
Com a introdução do suporte para o protocolo de encaminhamento BGP, é também possível implementar gateways VPN numa configuração de ativa/ativa. Nessa configuração, você atribui um endereço IP público exclusivo a cada instância. Em seguida, você cria túneis separados do dispositivo local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN localmente.
Failover da Rota Expressa
Outra opção de alta disponibilidade é configurar um gateway VPN como um caminho de contingência seguro para conexões ExpressRoute. Os circuitos de Rota Expressa têm resiliência integrada, mas não são imunes a problemas físicos que afetam os cabos que fornecem conectividade ou interrupções que afetam a localização completa da Rota Expressa. Em cenários de alta disponibilidade, onde há risco associado a uma interrupção de um circuito de Rota Expressa, você também pode configurar um gateway VPN que usa a Internet como um método alternativo de conectividade, garantindo assim que sempre haja uma conexão com as redes virtuais do Azure.
Gateways com redundância de zona
Nas regiões que suportam zonas de disponibilidade, pode-se implantar gateways VPN e ExpressRoute numa configuração com redundância de zona. Essa configuração traz resiliência, escalabilidade e maior disponibilidade para gateways de rede virtual. A implantação de gateways nas Zonas de Disponibilidade do Azure separa física e logicamente os gateways dentro de uma região enquanto protege sua conectividade de rede local com o Azure de falhas no nível da zona. Eles exigem SKUs de gateway diferentes e usam endereços IP públicos padrão em vez de endereços IP públicos básicos.