Descrever as redes virtuais privadas do Azure

  • 5 minutos

Uma rede virtual privada (VPN) usa um túnel criptografado dentro de outra rede. As VPNs são normalmente implantadas para conectar duas ou mais redes privadas confiáveis uma à outra através de uma rede não confiável (normalmente a Internet pública). O tráfego é encriptado enquanto viaja pela rede não fidedigna, para evitar escutas ou outros ataques. As VPNs podem permitir que as redes compartilhem informações confidenciais com segurança.

Gateways de VPN

Um gateway de VPN é um tipo de gateway de rede virtual. As instâncias do Gateway de VPN do Azure são implantadas em uma sub-rede dedicada da rede virtual e habilitam a seguinte conectividade:

  • Ligar datacenters no local a redes virtuais através de uma ligação site a site.
  • Ligar dispositivos individuais a redes virtuais através de uma ligação ponto a site.
  • Ligar redes virtuais a outras redes virtuais através de uma ligação rede a rede.

Toda a transferência de dados é encriptada dentro de um túnel privado à medida que atravessa a Internet. Você pode implantar apenas um gateway VPN em cada rede virtual. No entanto, você pode usar um gateway para se conectar a vários locais, o que inclui outras redes virtuais ou datacenters locais.

Ao configurar um gateway VPN, você deve especificar o tipo de VPN - baseada em política ou em rota. A principal distinção entre esses dois tipos é como eles determinam qual tráfego precisa de criptografia. No Azure, independentemente do tipo de VPN, o método de autenticação empregado é uma chave pré-compartilhada.

  • Os gateways de VPNs baseadas em políticas especificam estaticamente o endereço IP dos pacotes que devem ser encriptados através de cada túnel. Este tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel por onde o pacote será enviado.
  • Em gateways baseados em rota, os túneis IPSec são modelados como uma interface de rede ou interface de túnel virtual. O encaminhamento de endereços IP (rotas estáticas ou protocolos de encaminhamento dinâmico) decide quais destas interfaces de túnel utilizar ao enviar cada pacote. As VPNs baseadas em rotas são o método de ligação preferencial para dispositivos no local. Estas são mais resilientes a alterações de topologia, por exemplo, a criação de novas sub-redes.

Utilize um gateway de VPN baseada em rotas, se precisar de qualquer um dos seguintes tipos de conectividade:

  • Ligações entre redes virtuais
  • Ligações ponto a site
  • Ligações de múltiplos locais
  • Coexistência com um gateway do Azure ExpressRoute

Cenários de elevada disponibilidade

Se você estiver configurando uma VPN para manter suas informações seguras, também quer ter certeza de que é uma configuração VPN altamente disponível e tolerante a falhas. Existem algumas maneiras de maximizar a resiliência do seu gateway VPN.

Ativo/Inativo

Por predefinição, os gateways de VPN são implementados como duas instâncias numa configuração ativa/inativa, mesmo que consiga ver apenas um recurso de gateway de VPN no Azure. Quando a manutenção planeada ou uma interrupção não planeada afetam a instância ativa, a instância inativa assume automaticamente a responsabilidade pelas ligações sem qualquer intervenção do utilizador. As conexões são interrompidas durante esse failover, mas normalmente são restauradas em poucos segundos para manutenção planejada e em 90 segundos para interrupções não planejadas.

Ativo/Ativo

Com a introdução do suporte do protocolo de encaminhamento BGP, também pode implementar gateways de VPN numa configuração ativa/ativa. Nesta configuração, atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis separados do dispositivo no local para cada endereço IP. Pode estender a elevada disponibilidade ao implementar um dispositivo VPN adicional no local.

Ativação pós-falha do ExpressRoute

Outra opção de elevada disponibilidade é configurar um gateway de VPN como um caminho de ativação pós-falha seguro para as ligações do ExpressRoute. Os circuitos do ExpressRoute têm resiliência incorporada. No entanto, eles não estão imunes a problemas físicos que afetam os cabos que fornecem conectividade ou interrupções que afetam a localização completa da Rota Expressa. Em cenários de elevada disponibilidade, em que há risco associado a uma interrupção de um circuito do ExpressRoute, também pode aprovisionar um gateway de VPN que utiliza a Internet como um método alternativo de conectividade. Desta forma, pode garantir que existe sempre uma ligação às redes virtuais.

Gateways com redundância entre zonas

Em regiões que suportam as zonas de disponibilidade, os gateways de VPN e do ExpressRoute podem ser implementados numa configuração com redundância entre zonas. Esta configuração traz resiliência, escalabilidade e uma maior disponibilidade para os gateways de redes virtuais. Implementar gateways nas zonas de disponibilidade do Azure separa física e logicamente os gateways numa região, enquanto protege a conectividade da rede no local para o Azure contra falhas ao nível das zonas. Esses gateways exigem diferentes unidades de manutenção de estoque de gateway (SKUs) e usam endereços IP públicos padrão em vez de endereços IP públicos básicos.