Implementar opções de VPN do Azure
Os datacenters da Contoso oferecem suporte à conectividade remota para que os usuários possam trabalhar remotamente. Além disso, algumas filiais estão conectadas ao datacenter da sede por meio de VPNs site a site. Como engenheiro de sistema líder, você deve implementar uma solução VPN que permita suporte contínuo para os cenários de uso atuais.
Design de gateway VPN
Usando um gateway do Azure, você pode implementar os seguintes vários tipos de conexões VPN para atender às suas necessidades organizacionais:
- S2S
- Múltiplos sites
- P2S
- VNet a VNet
Site a Site
Implementar uma conexão S2S sobre IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Você usa conexões S2S para oferecer suporte a configurações híbridas e entre locais. Para implementar uma conexão S2S, você deve ter um dispositivo VPN com um endereço IP público, conforme indicado no diagrama a seguir.
Múltiplos sites
Uma conexão multissite é uma variação da conexão S2S. Usando esse tipo de conexão, você cria mais de uma conexão VPN a partir do gateway VNet. Ao implementar conexões multissite, você deve usar um tipo de VPN RouteBased.
Como o nome sugere, você normalmente usa esse tipo de conexão para se conectar a vários sites locais, conforme indicado no diagrama a seguir.
Gorjeta
Uma VNet pode ter apenas um gateway VPN, portanto, todas as conexões compartilham a largura de banda.
Ponto a site
Uma conexão VPN P2S permite que os usuários se conectem à sua organização a partir de uma rede remota, como sua casa ou um hotspot Wi-Fi público. Os usuários normalmente iniciam conexões P2S, como no diagrama a seguir. No diagrama, dois usuários iniciam uma conexão SSTP (Secure Socket Tunneling Protocol), enquanto um terceiro usa IKEv2. Ao contrário das conexões S2S, você não precisa de um endereço IP público local ou de um dispositivo VPN para implementar conexões P2S.
Gorjeta
Você pode usar conexões P2S junto com conexões S2S através do mesmo gateway VPN.
VNet a VNet
De certa forma, implementar conexões VNet-to-VNet é semelhante a conectar uma única VNet a um local de site local (S2S). Em ambos os cenários, você usa um gateway VPN para implementar um túnel IPsec/IKE.
Nota
Quando você implementa uma conexão VNet-to-VNet por meio do Gateway VPN, as VNets não precisam estar na mesma região ou assinatura do Azure.
Gorjeta
Você também pode usar o emparelhamento para conectar redes virtuais independentemente do local ou da assinatura. Esta abordagem pode ser mais rápida e mais eficiente em termos de recursos.
Ligações ExpressRoute
Você pode usar conexões do Azure ExpressRoute para facilitar uma conexão privada de suas redes locais com o Microsoft Cloud ou com outros sites dentro de sua organização. Como a conexão de rede é privada, ela é mais segura e também pode oferecer benefícios significativos de desempenho. Configurar uma conexão de Rota Expressa usando um gateway VNet. No entanto, com uma conexão ExpressRoute, você configura o gateway VNet com o tipo de gateway ExpressRoute, em vez de VPN.
Gorjeta
Embora o tráfego que viaja por um circuito de Rota Expressa não seja criptografado por padrão, você pode configurar a conexão para enviar tráfego criptografado.
Também é possível combinar conexões ExpressRoute e S2S, conforme indicado no diagrama a seguir. Por exemplo, você pode configurar uma VPN S2S:
- Como um caminho de failover seguro para a Rota Expressa.
- Para se conectar a sites que não fazem parte da sua rede, mas que estão conectados por meio da Rota Expressa.
Implementar gateway VPN
Ao configurar seu gateway de VPN, você deve selecionar e definir várias configurações. Primeiro, você deve decidir se deseja implementar uma configuração baseada em política ou em rota.
Baseado em políticas
Se você optar por implementar gateways baseados em políticas (que são baseados em roteamento estático), deverá definir conjuntos de endereços IP que o gateway usa para determinar destinos de pacotes. O gateway avalia cada pacote em relação a esses conjuntos de endereços IP para determinar através de qual túnel um pacote é criptografado e roteado.
Baseado na rota
Você pode usar gateways baseados em rota para evitar o esforço de ter que definir quais endereços IP estão por trás de cada túnel. Com gateways baseados em rota, o roteamento IP determina em qual das interfaces de túnel enviar cada pacote.
Gorjeta
Você deve selecionar VPNs baseadas em rota para dispositivos locais, porque elas são mais resilientes a alterações de topologia — por exemplo, se você criar novas sub-redes em sua rede virtual.
Você sempre deve escolher um gateway VPN baseado em rota para os seguintes tipos de conectividade:
- Ligações entre redes virtuais
- Ligações P2S
- Ligações de múltiplos sites
- Coexistência com um gateway do Azure ExpressRoute
Definições adicionais
Além disso, você também deve definir as seguintes configurações para implementar o gateway VPN:
- VPN ou ExpressRoute. Escolha o tipo fundamental de conexão.
- Intervalo de endereços de sub-rede do gateway. Especifica o intervalo de endereços IP privados associados ao gateway VPN.
- Endereço IP público. Especifica o objeto de endereço IP público que fica associado ao gateway VPN.
Criar uma VNet
Para implementar um gateway VPN, você deve ter uma rede virtual. Você pode criar isso antes ou durante a configuração do Gateway VPN. Vamos criar um primeiro. Para fazer isso, abra o portal do Azure e conclua o seguinte procedimento:
Selecione Criar um recurso e, em seguida, procure e selecione Rede Virtual.
Na folha Rede Virtual, selecione Criar.
Crie uma VNet especificando as propriedades apropriadas: Assinatura, Grupo de recursos, Nome e Região.
Selecione Next: Endereços >IP .
Configure a sub-rede que você deseja associar à VNet aceitando as configurações padrão ou configurando as suas.
Selecione Rever + criar e, em seguida, selecione Criar.
Criar o gateway
Depois de criar a rede virtual apropriada, você deve criar o gateway VPN. Por exemplo, para criar um gateway VPN baseado em rota usando o portal do Azure, use o seguinte procedimento:
No portal do Azure, procure e selecione Gateway de rede virtual.
Na folha Gateway de rede virtual, selecione Criar.
Na folha Criar gateway de rede virtual, crie o gateway especificando as propriedades apropriadas: Assinatura, Nome e Região.
Em seguida, escolha se você está implementando uma conexão VPN ou ExpressRoute .
Para uma VPN, selecione Baseado em rota ou Baseado em política.
Selecione a rede virtual que você criou anteriormente.
Configure o intervalo de endereços de sub-rede do Gateway e as configurações de endereço IP público.
Selecione Rever + criar e, em seguida, selecione Criar.
Experimente
Se você gostaria de trabalhar com a VPN do Azure, experimente estes exercícios de laboratório. Os exercícios são baseados em um ambiente de área restrita e não exigem uma assinatura do Azure para serem concluídos:
- Exercício - Preparar redes virtuais do Azure e locais usando comandos da CLI do Azure
- Exercício - Criar um gateway VPN site a site usando comandos da CLI do Azure