Подключение локальных сетей к Azure с помощью VPN-шлюзов типа "сеть — сеть"
Виртуальная частная сеть (VPN) — это тип частной связанной сети. VPN используют зашифрованный туннель в другой сети. Обычно они развертываются для подключения двух или более доверенных частных сетей друг к другу через недоверенную сеть (обычно общедоступный Интернет). Трафик шифруется при перемещении по ненадежной сети, чтобы предотвратить перехват или другие атаки.
Для поставщика услуг здравоохранения в нашем сценарии виртуальные сети могут помочь специалистам здравоохранения предоставлять конфиденциальную информацию между расположениями. Например, предположим, что пациенту требуется операция на специализированном объекте. Хирургическая команда должна иметь возможность видеть подробности медицинской истории пациента. Эти медицинские данные хранятся в системе в Azure. VPN, который подключает объект к Azure, позволяет хирургической команде безопасно получить доступ к этой информации.
VPN-шлюзы Azure
VPN-шлюз — это тип шлюза виртуальной сети. VPN-шлюзы развертываются в виртуальных сетях Azure и обеспечивают следующее подключение:
- Подключите локальные центры обработки данных к виртуальным сетям Azure через подключение типа "сеть — сеть".
- Подключайте отдельные устройства к виртуальным сетям Azure через подключение типа "точка-сайт".
- Подключите виртуальные сети Azure к другим виртуальным сетям Azure с помощью подключения сети-к-сети.
Все передаваемые данные шифруются в частном туннеле, так как он пересекает Интернет. Вы можете развернуть только один VPN-шлюз в каждой виртуальной сети, но можно использовать один шлюз для подключения к нескольким расположениям, включая другие виртуальные сети Azure или локальные центры обработки данных.
При развертывании VPN-шлюза укажите тип VPN: на основе политики или на основе маршрутов. Основное различие между этими двумя типами VPN заключается в том, как указан зашифрованный трафик.
VPN на основе политики
VPN-шлюзы на основе политик статически указывают IP-адрес пакетов, которые должны быть зашифрованы через каждый туннель. Этот тип устройства оценивает каждый пакет данных по этим наборам IP-адресов, чтобы выбрать туннель, через который будет отправляться этот пакет. VPN-шлюзы на основе политик ограничены функциями и подключениями, которые они могут поддерживать. Основные функции VPN-шлюзов на основе политик в Azure:
- Поддержка только IKEv1.
- Использование статической маршрутизации, где сочетания префиксов адресов из обеих сетей управляют шифрованием и расшифровкой трафика через VPN-туннель. Источник и назначение туннелированных сетей объявляются в политике и не нужно объявлять в таблицах маршрутизации.
- Vpn на основе политик необходимо использовать в определенных сценариях, требующих их, например для совместимости с устаревшими локальными VPN-устройствами.
Vpn на основе маршрутов
Если определить, какие IP-адреса находятся за каждым туннелем, слишком сложно для вашей ситуации, или если вам нужны функции и подключения, которые не поддерживаются политико-ориентированными шлюзами, следует использовать маршрутизированные шлюзы. При использовании шлюзов на основе маршрутов туннели IPSec моделиируются как сетевой интерфейс или VTI (интерфейс виртуального туннеля). IP-маршрутизация (статические маршруты или динамические протоколы маршрутизации) определяет, через какой из интерфейсов туннеля отправляется каждый пакет. Vpn на основе маршрутов — это предпочтительный метод подключения для локальных устройств, так как они более устойчивы к изменениям топологии, таким как создание новых подсетей, например. Используйте VPN-шлюз на основе маршрутов, если вам нужен любой из следующих типов подключения:
- Подключения между виртуальными сетями
- Подключения типа "точка — сеть"
- Многосайтовые подключения
- Сосуществование с шлюзом Azure ExpressRoute
Ключевыми функциями VPN-шлюзов на основе маршрутов в Azure являются:
- Поддерживает IKEv2.
- Использует селекторы трафика any-to-any (подстановочный знак).
- Можно использовать протоколы динамической маршрутизации, в которых таблицы маршрутизации и пересылки направляют трафик в разные туннели IPSec. В этом случае исходные и целевые сети не задаются статически, как это происходит в VPN, основанных на политике, или даже в маршрутизируемых VPN со статической маршрутизацией. Вместо этого пакеты данных шифруются на основе таблиц маршрутизации сети, которые создаются динамически с помощью протоколов маршрутизации, таких как BGP (протокол пограничного шлюза).
Оба типа VPN-шлюзов (на основе маршрутов и политик) в Azure используют предварительный ключ в качестве единственного метода проверки подлинности. Оба типа также полагаются на Обмен ключами Интернета (IKE) в версии 1 или версии 2 и ipSec. IKE используется для настройки связи безопасности (соглашения о шифровании) между двумя конечными точками. Затем эта связь передается в набор IPSec, который шифрует и расшифровывает пакеты данных, инкапсулированные в VPN-туннель.
Размеры VPN-шлюза
Номер SKU или размер, который вы развертываете, определяет возможности VPN-шлюза. В этой таблице показан пример некоторых из артикулов шлюза. Числа в этой таблице могут изменяться в любое время. Для получения последней информации см. раздел SKU шлюзов в документации по VPN-шлюзу Azure. Номер SKU шлюза "Базовый" должен использоваться только для рабочих нагрузок разработки и тестирования. Кроме того, миграция с уровня Basic на любой из уровней VpnGw#/Az sku в дальнейшем не поддерживается без удаления шлюза и повторного развертывания.
|
VPN Шлюз Создание |
SKU |
S2S/VNet-to-VNet Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
агрегат Тест пропускной способности |
BGP | избыточность зон | Поддерживаемое количество виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Поколение 1 | базовый | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет | 200 |
| Поколение 1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет | 450 |
| поколения 1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддержан | Нет | 1300 |
| поколения 1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддержанный | Нет | 4000 |
| Поколение 1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| поколение 1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддержанный | Да | 2000 |
| Первое поколение | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5000 |
| второе поколение | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддержанный | Нет | 685 |
| поколения 2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддержанный | Нет | 2240 |
| поколение 2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Нет | 5300 |
| поколение 2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддержанный | Нет | 6700 |
| Поколение 2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Generation2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Generation2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| поколения 2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддержанный | Да | 9000 |
Развертывание VPN-шлюзов
Прежде чем развернуть VPN-шлюз, вам потребуется несколько ресурсов Azure и локальных ресурсов.
Обязательные ресурсы Azure
Прежде чем развернуть операционный VPN-шлюз, вам потребуются следующие ресурсы Azure:
- Виртуальной сети: Разверните виртуальную сеть Azure с достаточным адресным пространством для дополнительной подсети, необходимой для VPN-шлюза. Адресное пространство для этой виртуальной сети не должно перекрываться с локальной сетью, к которой вы подключаетесь. Помните, что вы можете развернуть только один VPN-шлюз в виртуальной сети.
-
GatewaySubnet: разверните подсеть с именем
GatewaySubnetдля VPN-шлюза. Используйте по крайней мере маску адресов /27, чтобы убедиться, что в подсети достаточно IP-адресов для будущего роста. Эту подсеть нельзя использовать для других служб. - общедоступный IP-адрес: создайте Basic-SKU динамический общедоступный IP-адрес, если используется шлюз, не распознающий зоны. Этот адрес предоставляет общедоступный маршрутизируемый IP-адрес в качестве цели для вашего локального VPN-устройства. Этот IP-адрес является динамическим, но он не изменяется, если вы не удалите и повторно создадите VPN-шлюз.
- шлюз локальной сети. Создайте локальный сетевой шлюз для определения конфигурации локальной сети. В частности, где VPN-шлюз подключается и к чему он подключается. Эта конфигурация включает общедоступный IPv4-адрес локального VPN-устройства и локальные маршрутизируемые сети. Эта информация используется VPN-шлюзом для маршрутизации пакетов, предназначенных для локальных сетей через туннель IPSec.
- шлюз виртуальной сети. Создайте шлюз виртуальной сети для маршрутизации трафика между виртуальной сетью и локальным центром обработки данных или другими виртуальными сетями. Шлюз виртуальной сети можно настроить как VPN-шлюз или шлюз ExpressRoute, но этот модуль относится только к шлюзам виртуальной сети VPN.
-
подключение. Создайте ресурс подключения для логического соединения VPN-шлюза с шлюзом локальной сети. Вы можете создать несколько подключений к одному шлюзу.
- Подключение осуществляется к адресу IPv4 локального VPN-устройства, определенному шлюзом локальной сети.
- Подключение выполняется из шлюза виртуальной сети и связанного с ним общедоступного IP-адреса.
На следующей схеме показаны эти сочетания ресурсов и их связей, которые помогут лучше понять, что необходимо для развертывания VPN-шлюза:
Обязательные локальные ресурсы
Чтобы подключить центр обработки данных к VPN-шлюзу, вам потребуются следующие локальные ресурсы:
- Устройство VPN, поддерживающее VPN-шлюзы на основе политик или маршрутов
- Общедоступный (маршрутизируемый в интернете) IPv4-адрес
Сценарии высокой доступности
Существует несколько способов обеспечения отказоустойчивой конфигурации.
Активный или резервный
По умолчанию VPN-шлюзы развертываются как два экземпляра в активной/резервной конфигурации , даже если в Azure отображается только один ресурс VPN-шлюза. Когда запланированное обслуживание или незапланированное нарушение влияет на активный экземпляр, резервный экземпляр автоматически берет на себя ответственность за подключения без вмешательства пользователя. Соединения прерываются во время переключения на резервный источник, но обычно восстанавливаются в течение нескольких секунд при плановом обслуживании и в течение 90 секунд при незапланированных сбоях.
Активный или активный
При внедрении поддержки протокола маршрутизации BGP можно также развернуть VPN шлюзы в конфигурации активная/активная. В этой конфигурации вы назначаете уникальный общедоступный IP-адрес каждому экземпляру. Затем вы создаете отдельные туннели от локального устройства к каждому IP-адресу. Вы можете расширить высокий уровень доступности, развернув другое VPN-устройство локально.
Отработка отказа ExpressRoute
Другим вариантом для высокой доступности является настройка VPN-шлюза в качестве безопасного резервного пути для подключений ExpressRoute. Каналы ExpressRoute обладают встроенной устойчивостью, но это не гарантирует защиту от физических повреждений, влияющих на кабели и подключение, или от сбоев, затрагивающих весь объект ExpressRoute. В сценариях высокой доступности, когда возникает риск сбоя канала ExpressRoute, можно также настроить VPN-шлюз, использующий Интернет в качестве альтернативного метода подключения, таким образом обеспечивая постоянное подключение к виртуальным сетям Azure.
Межзонные избыточные шлюзы
В регионах, поддерживающих зоны доступности, вы можете развернуть VPN-шлюзы и шлюзы ExpressRoute в зоне-резервной конфигурации. Эта конфигурация обеспечивает устойчивость, масштабируемость и более высокую доступность шлюзов виртуальной сети. Развертывание шлюзов в зонах доступности Azure физически и логически отделяет шлюзы в пределах региона при защите локального сетевого подключения к Azure от сбоев уровня зоны. Для них требуются разные номера SKU шлюза и используются общедоступные IP-адреса уровня "Стандартный" вместо общедоступных IP-адресов уровня "Базовый".