Ansluta lokala nätverk till Azure med VPN-gatewayer för plats-till-plats
Ett virtuellt privat nätverk (VPN) är en typ av privat sammankopplat nätverk. Virtuella privata nätverk använder en krypterad tunnel i ett annat nätverk. De distribueras vanligen för att ansluta två eller flera betrodda privata nätverk till varandra över ett nätverk som inte är betrott (vanligtvis offentligt Internet). Trafiken krypteras när den går genom ett nätverk som inte är betrott för att förhindra avlyssning eller andra attacker.
För vårdgivarna i vårt scenario kan VPN-nätverk göra det möjligt för hälsopersonal att dela känslig information mellan platser. Anta exempelvis att en patient behöver opereras på ett specialistsjukhus. Kirurgiteamet behöver få tillgång till patientens journal. Dessa medicinska data lagras i ett system i Azure. Med ett VPN-nätverk som ansluter kliniken till Azure kan kirurgteamet komma åt informationen på ett säkert sätt.
Azure VPN Gateway
En VPN-gateway är en typ av virtuell nätverksgateway. VPN-gatewayer distribueras i virtuella Azure-nätverk och gör att du kan:
- Ansluta lokala datacenter till virtuella Azure-nätverk via en plats-till-plats-anslutning.
- Ansluta enskilda enheter till virtuella Azure-nätverk via en punkt-till-plats-anslutning.
- Anslut virtuella Azure-nätverk till andra virtuella Azure-nätverk via en nätverk-till-nätverk-anslutning.
Alla data som överförs krypteras i en privat tunnel när de passerar via internet. Du kan bara distribuera en VPN-gateway i varje virtuellt nätverk, men du kan använda en gateway för att ansluta till flera platser, inklusive andra virtuella Azure-nätverk eller lokala datacenter.
När du distribuerar en VPN-gateway anger du VPN-typen, antingen principbaserad eller routningsbaserad. Den största skillnaden mellan dessa två typer av VPN är hur den krypterade trafiken anges.
Principbaserade VPN-nätverk
Principbaserade VPN-gatewayer anger IP-adressen statiskt för de paket som ska krypteras genom varje tunnel. Den här typen av enhet utvärderar varje datapaket mot dessa uppsättningar IP-adresser för att välja den tunnel genom vilken paketet ska skickas. Principbaserade VPN-gatewayer är begränsade i de funktioner och anslutningar som kan stödjas. Exempel på viktiga funktioner i principbaserade VPN-gatewayer i Azure:
- Endast stöd för IKEv1.
- Använder statisk routning, där kombinationerna av adressprefix från båda nätverken styr hur trafiken krypteras och dekrypteras genom VPN-tunneln. Källan och målet för de tunnelstyrda nätverken deklareras i principen och behöver inte deklareras i routningstabeller.
- Principbaserade VPN-nätverk måste användas i specifika scenarier där de krävs, till exempel för kompatibilitet med äldre lokala VPN-enheter.
Routningsbaserade virtuella privata nätverk
Om det är för besvärligt för din situation att definiera vilka IP-adresser som finns bakom varje tunnel. Eller så behöver du funktioner och anslutningar som principbaserade gatewayer inte stöder. Routningsbaserade gatewayer ska användas. Med vägbaserade gatewayer modelleras IPSec-tunnlar som ett nätverksgränssnitt eller VTI (gränssnitt för virtuella tunnlar). IP-routning (statiska vägar eller protokoll för dynamisk routning) avgör vilket av tunnelgränssnitten som varje paket ska skickas över. Routningsbaserade VPN är den föredragna anslutningsmetoden för lokala enheter, eftersom de är mer motståndskraftiga mot topologiändringar, till exempel skapandet av nya undernät. Använd en routningsbaserad VPN-gateway om du behöver någon av följande typer av anslutningar:
- Anslutningar mellan virtuella nätverk
- Punkt-till-plats-anslutningar
- Anslutningar för flera platser
- Samexistens med en Azure ExpressRoute-gateway
Exempel på viktiga funktioner i vägbaserade VPN-gatewayer i Azure:
- Stöd för IKEv2.
- Använder trafikväljare för alla-till-alla (med jokertecken).
- Kan använda protokoll för dynamisk routning, där tabeller för routning/vidarebefordran dirigerar trafik till olika IPsec-tunnlar. I det här fallet definieras inte käll- och målnätverk statiskt som i principbaserade virtuella privata nätverk eller i routningsbaserade virtuella privata nätverk med statisk routning. I stället krypteras datapaket baserat på nätverksroutningstabeller som skapas dynamiskt med hjälp av routningsprotokoll som BGP (Border Gateway Protocol).
Båda typerna av VPN-gatewayer (routningsbaserade och principbaserade) i Azure använder i förväg delad nyckel som den enda autentiseringsmetoden. Båda typerna använder dessutom version 1 eller 2 av Exchange IKE (Internet Key) och Internet Protocol Security (IPSec). IKE används för att skapa en säkerhetsassociation (ett krypteringsavtal) mellan två slutpunkter. Den här associationen skickas sedan till IPSec-sviten, som krypterar och dekrypterar datapaket som är inkapslade i VPN-tunneln.
VPN-gatewaystorlekar
Den SKU eller storlek som du distribuerar avgör funktionerna i din VPN-gateway. Den här tabellen visar ett exempel på några av gateway-SKU:erna. Talen i den här tabellen kan ändras när som helst. Den senaste informationen finns i Gateway-SKU:er i Azure VPN Gateway-dokumentationen. SKU:n för Grundläggande gateway ska endast användas för Dev/Test-arbetsbelastningar. Dessutom stöds det inte att migrera från Basic till vpnGw#/Az sku vid ett senare tillfälle utan att behöva ta bort gatewayen och distribuera om.
| VPN Gateway Generation |
SKU | S2S/VNet-till-VNet Tunnlar |
P2S SSTP-Anslut ions |
P2S IKEv2/OpenVPN Anslut ions |
Sammanlagda Prestandamått för dataflöde |
BGP | Zonredundant | Antal virtuella datorer som stöds i det virtuella nätverket |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Grundläggande | Max. 10 | Max. 128 | Stöds inte | 100 Mbit/s | Stöds inte | Nej | 200 |
| Generation1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Nej | 450 |
| Generation1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Nej | 1300 |
| Generation1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Nej | 4000 |
| Generation1 | VPNGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbit/s | Stöds | Ja | 1000 |
| Generation1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbit/s | Stöds | Ja | 2000 |
| Generation1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbit/s | Stöds | Ja | 5000 |
| Generation2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Nej | 685 |
| Generation2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Nej | 2240 |
| Generation2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Nej | 5300 |
| Generation2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Nej | 6700 |
| Generation2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbit/s | Stöds | Ja | 2000 |
| Generation2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbit/s | Stöds | Ja | 3300 |
| Generation2 | VPNGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbit/s | Stöds | Ja | 4400 |
| Generation2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbit/s | Stöds | Ja | 9 000 |
Distribuera VPN-gatewayer
Innan du kan distribuera en VPN-gateway behöver du vissa Azure-resurser och lokala resurser.
Azure-resurser som krävs
Du behöver dessa Azure-resurser innan du kan distribuera en driftbaserad VPN-gateway:
- Virtuellt nätverk. Distribuera ett virtuellt Azure-nätverk med tillräckligt med adressutrymme för det extra undernät som du behöver för VPN-gatewayen. Adressutrymmet för det här virtuella nätverket får inte överlappa det lokala nätverk som du ansluter till. Kom ihåg att du endast kan distribuera en enda VPN-gateway i ett virtuellt nätverk.
- GatewaySubnet. Distribuera ett undernät med namnet
GatewaySubnetför VPN-gatewayen. Använd minst en /27-adressmask för att säkerställa att du har tillräckligt med IP-adresser i undernätet för framtida tillväxt. Du kan inte använda det här undernätet för andra tjänster. - Offentlig IP-adress. Skapa en dynamisk offentlig IP-adress för Basic-SKU om du använder en gateway som inte identifierar zoner. Den här adressen innehåller en offentlig routningsbar IP-adress som mål för den lokala VPN-enheten. Den här IP-adressen är dynamisk, men den ändras inte om du inte tar bort och återskapar VPN-gatewayen.
- Lokal nätverksgateway. Skapa en lokal nätverksgateway för att definiera det lokala nätverkets konfiguration. Mer specifikt, var VPN-gatewayen ansluter och vad den ansluter till. Den här konfigurationen omfattar den lokala VPN-enhetens offentliga IPv4-adress och de lokala routningsbara nätverken. Den här informationen används av VPN-gatewayen för att skicka paket som ska till lokala nätverk via IPSec-tunneln.
- Virtuell nätverksgateway. Skapa den virtuella nätverksgatewayen för att dirigera trafik mellan det virtuella nätverket och det lokala datacentret eller andra virtuella nätverk. Den virtuella nätverksgatewayen kan antingen konfigureras som en VPN-gateway eller en ExpressRoute-gateway, men den här modulen hanterar endast virtuella VPN-nätverksgatewayer.
- Anslutning. Skapa en anslutningsresurs för att upprätta en logisk anslutning mellan VPN-gatewayen och den lokala nätverksgatewayen. Du kan skapa flera anslutningar till samma gateway.
- Anslutningen upprättas till den lokala VPN-enhetens IPv4-adress, baserat på konfigurationen av den lokala nätverksgatewayen.
- Anslutningen görs från den virtuella nätverksgatewayen och dess associerade offentliga IP-adress.
Följande diagram visar den här kombinationen av resurser och deras relationer så att du ser vad som krävs för att distribuera en VPN-gateway:
Lokala resurser som krävs
För att ansluta ditt datacenter till en VPN-gateway behöver du följande lokala resurser:
- En VPN-enhet som har stöd för principbaserade eller routningsbaserade VPN-gatewayer
- En offentlig (routningsbar via Internet) IPv4-adress
Scenarier för hög tillgänglighet
Du kan kontrollera att din konfiguration är feltolerant på flera olika sätt.
Aktivt/vänteläge
Som standard distribueras VPN-gatewayer som två instanser i en aktiv/vänteläge-konfiguration, även om du endast ser en VPN-gatewayresurs i Azure. När planerat underhåll eller ett oplanerat avbrott påverkar den aktiva instansen tar väntelägesinstansen automatiskt hand om anslutningarna utan att användarna behöver ingripa. Under den här redundansen avbryts anslutningarna, men de återställs vanligtvis inom några sekunder vid planerat underhåll och inom 90 sekunder vid ett oplanerat avbrott.
Aktiv/aktiv
I och med introduktionen av stöd för BGP-routningsprotokollet kan du även distribuera VPN-gatewayer i aktiv/aktiv-konfigurationer. I en sådan konfigurationen tilldelar du en unik offentlig IP-adress till varje instans. Därefter skapar du separata tunnlar från den lokala enheten till varje IP-adress. Du kan utöka den höga tillgängligheten genom att distribuera en annan VPN-enhet lokalt.
ExpressRoute-redundans
Ett annat alternativ för hög tillgänglighet är att konfigurera en VPN-gateway som en säker redundanssökväg för ExpressRoute-anslutningar. ExpressRoute-kretsar har inbyggd återhämtning, men är inte immuna mot fysiska problem som påverkar anslutningskablarna eller avbrott som påverkar ExpressRoute-platsen. I scenarier med hög tillgänglighet, där det finns risk för avbrott i en ExpressRoute-krets, kan du också konfigurera en VPN-gateway som använder Internet som en alternativ anslutningsmetod, vilket säkerställer att det alltid finns en anslutning till de virtuella Azure-nätverken.
Zonredundant gateway
I regioner där tillgänglighetszoner kan användas kan VPN- och ExpressRoute-gatewayer distribueras i en zonredundant konfiguration. Den här konfigurationen ger motståndskraft, skalbarhet och högre tillgänglighet för virtuella nätverksgatewayer. Distribution av gatewayer i Azure-tillgänglighetszoner skiljer gatewayerna åt fysiskt och logiskt i en region, samtidigt som din lokala nätverksanslutning till Azure skyddas mot fel på zonnivå. Dessa kräver olika gateway-SKU:er och använder offentliga IP-standardadresser i stället för grundläggande offentliga IP-adresser.