Implementar opções de VPN do Azure

Concluído

Os datacenters da Contoso oferecem suporte à conectividade remota para que os usuários possam trabalhar remotamente. Além disso, algumas filiais estão conectadas ao datacenter da sede por meio de VPNs site a site. Como engenheiro de sistema líder, você deve implementar uma solução VPN que permita suporte contínuo para os cenários de uso atuais.

Design de gateway VPN

Usando um gateway do Azure, você pode implementar os seguintes vários tipos de conexões VPN para atender às suas necessidades organizacionais:

  • S2S
  • Múltiplos sites
  • P2S
  • VNet a VNet

Site a Site

Implementar uma conexão S2S sobre IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Você usa conexões S2S para oferecer suporte a configurações híbridas e entre locais. Para implementar uma conexão S2S, você deve ter um dispositivo VPN com um endereço IP público, conforme indicado no diagrama a seguir.

Um diagrama de uma configuração típica de VPN S2S. Uma VNet (IP: 10.10.0.0/16) rotulada como VNet1 se conecta por meio de um dispositivo VPN Gateway (IP: 131.1.1.) através de um túnel VPN IPsec/IKE a um dispositivo VPN (IP: 33.2.1.5) em LocalSite1 na sede.

Múltiplos sites

Uma conexão multissite é uma variação da conexão S2S. Usando esse tipo de conexão, você cria mais de uma conexão VPN a partir do gateway VNet. Ao implementar conexões multissite, você deve usar um tipo de VPN RouteBased.

Como o nome sugere, você normalmente usa esse tipo de conexão para se conectar a vários sites locais, conforme indicado no diagrama a seguir.

Um diagrama de uma configuração típica de VPN multissite. VNet1 no oeste dos EUA se conecta através de um gateway VPN (IP: 131.1.1.1). O gateway tem dois túneis VPN IPsec/IKE. Um se conecta ao LocalSite1 (IP: 128.8.8.8) e o outro ao LocalSite2 (IP: 139.9.9.9).

Gorjeta

Uma VNet pode ter apenas um gateway VPN, portanto, todas as conexões compartilham a largura de banda.

Ponto a site

Uma conexão VPN P2S permite que os usuários se conectem à sua organização a partir de uma rede remota, como sua casa ou um hotspot Wi-Fi público. Os usuários normalmente iniciam conexões P2S, como no diagrama a seguir. No diagrama, dois usuários iniciam uma conexão SSTP (Secure Socket Tunneling Protocol), enquanto um terceiro usa IKEv2. Ao contrário das conexões S2S, você não precisa de um endereço IP público local ou de um dispositivo VPN para implementar conexões P2S.

Um diagrama de uma configuração P2S típica. A VNet1 no Leste dos EUA se conecta a um gateway VPN (IP: 131.1.1.1). Três túneis VPN são conectados de entrada ao gateway VPN. Dois são do tipo SSTP enquanto o terceiro é IKEv2. Clientes usuários e dispositivos são exibidos no lado oposto do túnel, cada um com um endereço IP privado alocado de um pool.

Gorjeta

Você pode usar conexões P2S junto com conexões S2S através do mesmo gateway VPN.

VNet a VNet

De certa forma, implementar conexões VNet-to-VNet é semelhante a conectar uma única VNet a um local de site local (S2S). Em ambos os cenários, você usa um gateway VPN para implementar um túnel IPsec/IKE.

Nota

Quando você implementa uma conexão VNet-to-VNet por meio do Gateway VPN, as VNets não precisam estar na mesma região ou assinatura do Azure.

Gorjeta

Você também pode usar o emparelhamento para conectar redes virtuais independentemente do local ou da assinatura. Esta abordagem pode ser mais rápida e mais eficiente em termos de recursos.

Um diagrama de uma conexão Vnet-to-Vnet típica. A VNet1 no leste dos EUA se conecta através de um gateway VPN (IP: 131.1.1.1). Um túnel IPsec/IKE se conecta a um gateway VPN (IP: 151.2.2.2) que reside na borda da VNet4, região oeste dos EUA.

Ligações ExpressRoute

Você pode usar conexões do Azure ExpressRoute para facilitar uma conexão privada de suas redes locais com o Microsoft Cloud ou com outros sites dentro de sua organização. Como a conexão de rede é privada, ela é mais segura e também pode oferecer benefícios significativos de desempenho. Configurar uma conexão de Rota Expressa usando um gateway VNet. No entanto, com uma conexão ExpressRoute, você configura o gateway VNet com o tipo de gateway ExpressRoute, em vez de VPN.

Gorjeta

Embora o tráfego que viaja por um circuito de Rota Expressa não seja criptografado por padrão, você pode configurar a conexão para enviar tráfego criptografado.

Também é possível combinar conexões ExpressRoute e S2S, conforme indicado no diagrama a seguir. Por exemplo, você pode configurar uma VPN S2S:

  • Como um caminho de failover seguro para a Rota Expressa.
  • Para se conectar a sites que não fazem parte da sua rede, mas que estão conectados por meio da Rota Expressa.

Um diagrama de uma conexão dupla da VNet1, Leste dos EUA, por meio de um gateway ExpressRoute e um gateway VPN (IP: 131.1.1.1). A conexão ExpressRoute fornece conectividade privada ao site da sede local (IP: 141.4.4.4). O site da sede também tem um túnel IPsec/IKE que se conecta à VNet1. Finalmente, a VNet1 usa o Gateway VPN para se conectar ao LocalSite2 por meio de um túnel IPsec/IKE.

Implementar gateway VPN

Ao configurar seu gateway de VPN, você deve selecionar e definir várias configurações. Primeiro, você deve decidir se deseja implementar uma configuração baseada em política ou em rota.

Baseado em políticas

Se você optar por implementar gateways baseados em políticas (que são baseados em roteamento estático), deverá definir conjuntos de endereços IP que o gateway usa para determinar destinos de pacotes. O gateway avalia cada pacote em relação a esses conjuntos de endereços IP para determinar através de qual túnel um pacote é criptografado e roteado.

Baseado na rota

Você pode usar gateways baseados em rota para evitar o esforço de ter que definir quais endereços IP estão por trás de cada túnel. Com gateways baseados em rota, o roteamento IP determina em qual das interfaces de túnel enviar cada pacote.

Gorjeta

Você deve selecionar VPNs baseadas em rota para dispositivos locais, porque elas são mais resilientes a alterações de topologia — por exemplo, se você criar novas sub-redes em sua rede virtual.

Você sempre deve escolher um gateway VPN baseado em rota para os seguintes tipos de conectividade:

  • Ligações entre redes virtuais
  • Ligações P2S
  • Ligações de múltiplos sites
  • Coexistência com um gateway do Azure ExpressRoute

Definições adicionais

Além disso, você também deve definir as seguintes configurações para implementar o gateway VPN:

  • VPN ou ExpressRoute. Escolha o tipo fundamental de conexão.
  • Intervalo de endereços de sub-rede do gateway. Especifica o intervalo de endereços IP privados associados ao gateway VPN.
  • Endereço IP público. Especifica o objeto de endereço IP público que fica associado ao gateway VPN.

Criar uma VNet

Para implementar um gateway VPN, você deve ter uma rede virtual. Você pode criar isso antes ou durante a configuração do Gateway VPN. Vamos criar um primeiro. Para fazer isso, abra o portal do Azure e conclua o seguinte procedimento:

  1. Selecione Criar um recurso e, em seguida, procure e selecione Rede Virtual.

  2. Na folha Rede Virtual, selecione Criar.

  3. Crie uma VNet especificando as propriedades apropriadas: Assinatura, Grupo de recursos, Nome e Região.

    Uma captura de tela da página Criar uma rede virtual. O administrador definiu a assinatura e selecionou o ContosoResourceGroup. O nome da rede virtual é ContosoVPN1 na região Leste dos EUA.

  4. Selecione Next: Endereços >IP .

  5. Configure a sub-rede que você deseja associar à VNet aceitando as configurações padrão ou configurando as suas.

  6. Selecione Rever + criar e, em seguida, selecione Criar.

Criar o gateway

Depois de criar a rede virtual apropriada, você deve criar o gateway VPN. Por exemplo, para criar um gateway VPN baseado em rota usando o portal do Azure, use o seguinte procedimento:

  1. No portal do Azure, procure e selecione Gateway de rede virtual.

  2. Na folha Gateway de rede virtual, selecione Criar.

  3. Na folha Criar gateway de rede virtual, crie o gateway especificando as propriedades apropriadas: Assinatura, Nome e Região.

  4. Em seguida, escolha se você está implementando uma conexão VPN ou ExpressRoute .

  5. Para uma VPN, selecione Baseado em rota ou Baseado em política.

    Uma captura de tela da página Criar um gateway de rede virtual. O administrador definiu a assinatura. O nome é ContosoVPNGateway, na região Leste dos EUA. O tipo de gateway é VPN e o tipo de VPN é baseado em rota.

  6. Selecione a rede virtual que você criou anteriormente.

  7. Configure o intervalo de endereços de sub-rede do Gateway e as configurações de endereço IP público.

    Uma captura de tela da página Criar um gateway de rede virtual. O administrador selecionou o intervalo de endereços de sub-rede do Gateway (10.3.1.0/24) e optou por criar um novo endereço IP público chamado ContosoVPNPublic. Outras opções estão desativadas..

  8. Selecione Rever + criar e, em seguida, selecione Criar.

Experimente

Se você gostaria de trabalhar com a VPN do Azure, experimente estes exercícios de laboratório. Os exercícios são baseados em um ambiente de área restrita e não exigem uma assinatura do Azure para serem concluídos: