топология и проектирование VPN-шлюз
Существует множество различных вариантов для подключений к виртуальной сети. Чтобы помочь выбрать топологию подключения VPN-шлюза, которая соответствует вашим требованиям, используйте схемы и описания в следующих разделах. На схемах показаны основные базовые топологии. Руководствуясь этими схемами, можно создавать и более сложные конфигурации.
VPN типа "сеть-сеть"
Подключение типа сеть — сеть (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2). Подключения типа "сеть — сеть" можно использовать для распределенных и гибридных конфигураций. Для подключения типа "сеть — сеть" требуется VPN-устройство, расположенное в локальной среде с общедоступным IP-адресом, назначенным ему.
В шлюзе виртуальной сети можно создать несколько VPN-подключений, как правило, к разным локальным сайтам. При работе с несколькими подключениями необходимо использовать тип VPN RouteBased. Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения. Этот тип дизайна подключения иногда называется несколькими сайтами.
Если вы хотите создать дизайн для подключения к шлюзу с высоким уровнем доступности, можно настроить шлюз в режиме "активный— активный". Этот режим позволяет настроить два активных туннеля (один из каждого экземпляра виртуальной машины шлюза) на одно и то же VPN-устройство для создания высокодоступного подключения. Помимо разработки высокодоступного подключения, еще одним преимуществом активного режима является то, что клиенты испытывают более высокую пропускную способность.
- Дополнительные сведения о выборе VPN-устройства см. в этом разделе.
- Сведения о высокодоступных подключениях см. в разделе "Проектирование высокодоступных подключений".
- Сведения о активно-активном режиме см. в разделе "Сведения о шлюзах активно-активного режима".
Методы развертывания для S2S
| Authentication method | Статья |
|---|---|
| общий ключ | Портал PowerShell CLI |
| Сертификат | Портал |
VPN типа "точка-сеть"
Подключение "точка — сеть" (P2S) к VPN-шлюзу позволяет установить безопасное соединение с вашей виртуальной сетью на индивидуальном клиентском компьютере. Подключение типа "точка — сеть" устанавливается путем запуска его с клиентского компьютера. Это эффективное решение для сотрудников, которым нужно подключаться к службе "Виртуальные сети Azure" из удаленного расположения, например из дома или в случае конференции. VPN типа "точка — сеть" также является полезным решением для использования вместо VPN типа "сеть — сеть", если у вас есть только несколько клиентов, которым требуется подключиться к виртуальной сети.
В отличие от подключений типа "сеть — сеть", подключения типа "точка — сеть" не требуют локального общедоступного IP-адреса или VPN-устройства. Подключения типа "точка — сеть" можно использовать с подключениями типа "сеть — сеть" через один и тот же VPN-шлюз, если все требования к конфигурации для обоих подключений совместимы. Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о VPN типа "точка — сеть".
Методы развертывания для P2S
| метод проверки подлинности | Статья |
|---|---|
| Сертификат | Портал PowerShell |
| Microsoft Entra ID | Идентификатор клиентского приложения, зарегистрированного корпорацией Майкрософт Идентификатор клиентского приложения вручную |
| RADIUS | Портал PowerShell |
Конфигурация VPN-клиента P2S
| Authentication method | Тип туннеля | ОС клиента | VPN-клиент |
|---|---|---|---|
| Сертификат | |||
| IKEv2, SSTP | Windows | Собственный VPN-клиент | |
| IKEv2 | macOS | Собственный VPN-клиент | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | VPN-клиент Azure Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x |
|
| OpenVPN | macOS | Клиент OpenVPN | |
| OpenVPN | iOS | Клиент OpenVPN | |
| OpenVPN | Linux | VPN-клиент Azure Клиент OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | VPN-клиент Azure | |
| OpenVPN | macOS | VPN-клиент Azure | |
| OpenVPN | Linux | VPN-клиент Azure |
Подключение между виртуальными сетями (через VPN-туннель IPsec/IKE)
Подключение одной виртуальной сети к другой похоже на подключение виртуальной сети к локальному сайту. В обоих типах подключений используется VPN-шлюз для создания защищенного туннеля, использующего IPsec/IKE. Можно даже комбинировать подключение между виртуальными сетями с конфигурациями многосайтовых подключений. Это позволяет настраивать топологии сети, совмещающие распределенные подключения с подключениями между виртуальными сетями.
Виртуальные сети, которые вы подключаетесь, могут быть:
- к одному или разным регионам;
- к одной или разным подпискам;
Методы развертывания для виртуальной сети —виртуальной сети
| Connection | Статья |
|---|---|
| Подключение типа "виртуальная сеть — виртуальная сеть" | Портал + PowerShell CLI |
(+) Указывает, что этот метод развертывания доступен только для виртуальных сетей в той же подписке.
В некоторых случаях может потребоваться использовать пиринг между виртуальными сетями вместо виртуальной сети для подключения виртуальных сетей. Пиринг между виртуальными сетями не использует шлюз виртуальной сети. Дополнительные сведения см. в статье Пиринг между виртуальными сетями.
Параллельные подключения типа "сеть — сеть" и ExpressRoute
ExpressRoute — это прямое частное подключение из глобальной сети (не через общедоступный Интернет) к службам Майкрософт, включая Azure. VPN-трафик типа "сеть — сеть", зашифрованный через общедоступный Интернет. Возможность настроить VPN-подключение типа "сеть — сеть" и "ExpressRoute" для одной виртуальной сети имеет несколько преимуществ.
Vpn типа "сеть — сеть" можно настроить как безопасный путь отработки отказа для ExpressRoute или использовать vpn типа "сеть — сеть" для подключения к сайтам, которые не являются частью сети, но подключены через ExpressRoute. Обратите внимание, что для этой конфигурации требуется два шлюза виртуальной сети для одной виртуальной сети, один из них использует vpn типа шлюза, а другой — тип ExpressRoute шлюза.
Методы развертывания для соединений S2S и ExpressRoute
| Connection | Статья |
|---|---|
| Параллельные подключения | Портал PowerShell |
Высокодоступные подключения
Сведения о планировании и проектировании высокодоступных подключений, включая конфигурации режима "активный— активный" см. в статье "Проектирование высокодоступных подключений шлюза" для подключений между локальными и виртуальными сетями.
Следующие шаги
Дополнительные сведения см. в статье VPN-шлюз: вопросы и ответы.
Подробные сведения см. в статье Сведения о параметрах конфигурации VPN-шлюза.
Рекомендации по BGP для VPN-шлюза см. в статье о BGP.
Дополнительные сведения о пиринге виртуальной сети см. в разделе "Пиринг между виртуальными сетями".
См. дополнительные сведения об ограничениях подписки и службы.
Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.