Como funciona o Gateway de VPN do Azure
Você pode implantar apenas um gateway VPN em cada rede virtual do Azure. Embora esteja limitado a um único gateway VPN, você pode configurar esse gateway para se conectar a vários locais, incluindo outras redes virtuais do Azure ou datacenters locais.
Nota
Um gateway de rede virtual é composto por duas ou mais VMs especiais que são implantadas em uma sub-rede específica chamada sub-rede de gateway. As VMs de gateway de rede virtual hospedam tabelas de roteamento e executam serviços de gateway específicos. Essas VMs que constituem o gateway são criadas quando você cria o gateway de rede virtual e são gerenciadas automaticamente pelo Azure e não exigem atenção administrativa.
Tipos de gateway VPN
Ao configurar um gateway de rede virtual, você seleciona uma configuração que especifica o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual será usado e as ações que o gateway executará. O tipo Vpn
de gateway especifica que o tipo de gateway de rede virtual criado é um VPN gateway
arquivo . Isso o distingue de um gateway de Rota Expressa, que usa um tipo de gateway diferente. Uma rede virtual do Azure pode ter dois gateways de rede virtual: um gateway VPN e um gateway ExpressRoute.
Há dois tipos de gateways de VPN do Azure:
- Gateway VPN baseado em políticas
- Gateway VPN baseado em rota
Gateways VPN baseados em políticas
Os gateways VPN baseados em políticas exigem que você especifique um conjunto fixo de endereços IP de pacotes que devem ser criptografados através de cada túnel. Este tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos fixos de endereços IP e, em seguida, escolhe o túnel através do qual enviará esse tráfego.
As principais funcionalidades dos gateways de VPNs baseadas em políticas no Azure incluem:
- Suporte apenas para IKEv1
- Uso de roteamento estático
A origem e o destino das redes encapsuladas são declarados na política VPN e não precisam ser declarados nas tabelas de roteamento. Use VPNs baseadas em políticas somente em cenários específicos que as exijam, como para compatibilidade com dispositivos VPN locais herdados.
Gateways VPN baseados em rota
Com gateways de VPN do Azure baseados em rota, um túnel IPsec funciona como uma interface de rede ou interface de túnel virtual (VTI). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina quais interfaces de túnel transmitirão cada pacote. As VPNs baseadas em rota são o método de conexão preferido para dispositivos locais porque são mais resilientes a alterações de topologia, como a criação de novas sub-redes. Uma VPN baseada em rota é muito mais adequada para o Adatum, porque permitirá que conexões sejam feitas com recursos IaaS do Azure em redes virtuais se novas sub-redes forem adicionadas sem a necessidade de reconfigurar o gateway de VPN do Azure.
Utilize um gateway de VPN baseada em rotas, se precisar de qualquer um dos seguintes tipos de conectividade:
- Ligações entre redes virtuais
- Ligações ponto a site
- Ligações de múltiplos locais
- Coexistência com um gateway do Azure ExpressRoute
As principais funcionalidades dos gateways de VPN baseados em rotas no Azure incluem:
- Suporte para IKEv2
- Utiliza seletores de tráfego qualquer a qualquer (caráter universal)
- Pode usar protocolos de roteamento dinâmico, onde tabelas de roteamento/encaminhamento direcionam o tráfego para diferentes túneis IPsec
Quando configuradas para usar roteamento dinâmico, as redes de origem e destino não são definidas estaticamente porque estão em VPNs baseadas em políticas ou mesmo em VPNs baseadas em rota com roteamento estático. Em vez disso, os pacotes de dados são encriptados com base em tabelas de encaminhamento de rede que são criadas dinamicamente com os protocolos de encaminhamento, como o Protocolo BGP.
Os gateways de VPN do Azure dão suporte apenas ao método de autenticação de chave pré-compartilhada. Ambos os tipos baseados em rota e em política também dependem do Internet Key Exchange (IKE) na versão 1 ou versão 2 e do IPsec (Internet Protocol Security). O IKE é utilizado para configurar uma associação de segurança (um contrato da encriptação) entre dois pontos finais. Essa associação é então passada para o pacote IPsec, que criptografa e descriptografa pacotes de dados encapsulados no túnel VPN.
Tamanhos do gateway de VPN do Azure
Ao criar um gateway de rede virtual, você precisa especificar uma SKU de gateway. Você deve selecionar uma SKU que satisfaça seus requisitos com base nos tipos de cargas de trabalho, taxa de transferência, recursos e SLAs.
SKUs de gateway - Geração1 | Máximo de túneis VPN site a site | Taxa de transferência agregada | Suporte BGP |
---|---|---|---|
Básica | 10 | 100 Mbps | Não suportado |
VpnGw1/Az | 30 | 650 Mbps | Suportado |
VpnGw2/Az | 30 | 1 Gbps | Suportado |
VpnGw3/Az | 30 | 1,25 Gbps | Suportado |
Esta tabela mostra SKUs de Geração1. Ao trabalhar com SKUs Generation1, você pode migrar entre as SKUs VpnGw1, VpnGw2 e VpnGw3 conforme necessário. Não é possível migrar da SKU Básica sem remover e reimplantar o gateway VPN. Você também pode criar gateways VPN usando SKUs de Geração 2. Para obter as informações mais recentes sobre SKUs, taxa de transferência e recursos suportados, consulte os links na seção Resumo deste módulo.
Requisitos do gateway VPN
Os seguintes recursos do Azure precisam estar presentes antes que você possa implantar um gateway VPN operacional:
- Rede virtual: uma rede virtual do Azure com espaço de endereço suficiente para a sub-rede adicional que você precisará para o gateway VPN. O espaço de endereço para essa rede virtual não deve se sobrepor à rede local à qual você estará se conectando.
- GatewaySubnet: Uma sub-rede chamada GatewaySubnet para o gateway VPN. Requer pelo menos uma máscara de endereço /27. Esta sub-rede não pode ser utilizada para quaisquer outros serviços.
- Endereço IP público: um endereço IP público dinâmico Basic-SKU se estiver usando um gateway sem reconhecimento de zona. Este endereço fornece um endereço IP encaminhável público como o destino para o dispositivo VPN no local. Este endereço IP é dinâmico, mas não será alterado a menos que elimine e recrie o gateway de VPN.
- Gateway de rede local: crie um gateway de rede local para definir a configuração da rede local: onde o gateway VPN se conectará e ao que ele se conectará. Esta configuração inclui o endereço IPv4 público do dispositivo VPN no local e as redes encaminháveis no local. Essas informações são usadas pelo gateway VPN para rotear pacotes destinados a redes locais por meio do túnel IPsec.
Quando esses componentes de pré-requisito estiverem presentes, você poderá criar o gateway de rede virtual para rotear o tráfego entre a rede virtual e o datacenter local ou outras redes virtuais. Depois que o gateway de rede virtual for implantado, você poderá criar um recurso de conexão para criar uma conexão lógica entre o gateway VPN e o gateway de rede local:
- A ligação é efetuada para o endereço IPv4 do dispositivo VPN no local conforme definido pelo gateway de rede local.
- A ligação é efetuada a partir do gateway de rede virtual e o respetivo endereço IP público associado.
Você pode configurar várias conexões, até o limite definido pela SKU, para cada gateway de VPN do Azure.
Elevada disponibilidade
Embora você veja apenas um recurso de gateway VPN no Azure, os gateways VPN são implantados como duas instâncias de máquinas virtuais gerenciadas em uma configuração ativa/em espera. Quando a manutenção planejada ou a interrupção não planejada afetam a instância ativa, a instância em espera assume automaticamente a responsabilidade pelas conexões sem qualquer intervenção do usuário ou administrador. As ligações são interrompidas durante esta ativação pós-falha, mas normalmente são restauradas dentro de alguns segundos para a manutenção planeada e dentro de 90 segundos para interrupções não planeadas.
Os gateways de VPN do Azure dão suporte ao protocolo de roteamento BGP, que permite que você também implante gateways VPN em uma configuração ativa/ativa. Nesta configuração, atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis separados do dispositivo no local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN localmente.
Nota
Muitas organizações que têm conexões ExpressRoute também implantaram conexões VPN site a site para uma camada adicional de redundância.