Beskriva virtuella privata Azure-nätverk

  • 5 minuter

Ett virtuellt privat nätverk (VPN) använder en krypterad tunnel i ett annat nätverk. VPN-nätverk distribueras vanligtvis för att ansluta två eller flera betrodda privata nätverk till varandra via ett ej betrott nätverk (vanligtvis det offentliga Internet). Trafiken krypteras när den går genom ett nätverk som inte är betrott för att förhindra avlyssning eller andra attacker. VPN:er kan göra det möjligt för nätverk att på ett säkert sätt dela känslig information.

VPN-gateways

En VPN-gateway är en typ av virtuell nätverksgateway. Azure VPN Gateway-instanser distribueras i ett dedikerat undernät i det virtuella nätverket och aktiverar följande anslutning:

  • Ansluta lokala datacenter till virtuella nätverk via en plats-till-plats-anslutning.
  • Ansluta enskilda enheter till virtuella nätverk via en punkt-till-plats-anslutning.
  • Anslut virtuella nätverk till andra virtuella nätverk via en nätverk-till-nätverk-anslutning.

All dataöverföring krypteras i en privat tunnel när den passerar internet. Du kan bara distribuera en VPN-gateway i varje virtuellt nätverk. Du kan dock använda en gateway för att ansluta till flera platser, vilket inkluderar andra virtuella nätverk eller lokala datacenter.

När du konfigurerar en VPN-gateway måste du ange typen av VPN – antingen principbaserad eller routningsbaserad. Den primära skillnaden mellan dessa två typer är hur de avgör vilken trafik som behöver kryptering. I Azure, oavsett VPN-typ, är den autentiseringsmetod som används en i förväg delad nyckel.

  • Principbaserade VPN-gatewayer anger IP-adressen statiskt för de paket som ska krypteras genom varje tunnel. Den här typen av enhet utvärderar varje datapaket mot dessa uppsättningar IP-adresser för att välja den tunnel genom vilken paketet ska skickas.
  • I Routningsbaserade gatewayer modelleras IPSec-tunnlar som ett nätverksgränssnitt eller ett virtuellt tunnelgränssnitt. IP-routningen (antingen statisk routning eller protokoll för dynamisk routning) bestämmer genom vilket av dessa tunnelgränssnitt varje paket ska skickas. Routningsbaserade VPN-nätverk är den föredragna anslutningsmetoden för att ansluta lokala enheter. De är mer motståndskraftiga mot förändringar i topologin, till exempel skapandet av nya undernät.

Använd en routningsbaserad VPN-gateway om du behöver någon av följande typer av anslutningar:

  • Anslutningar mellan virtuella nätverk
  • Punkt-till-plats-anslutningar
  • Anslutningar för flera platser
  • Samexistens med en Azure ExpressRoute-gateway

Scenarier för hög tillgänglighet

Om du konfigurerar ett VPN för att skydda din information vill du också vara säker på att det är en högtillgänglig och feltolerant VPN-konfiguration. Det finns några sätt att maximera återhämtning för vpn-gatewayen.

Aktivt/vänteläge

Som standard distribueras VPN-gatewayer som två instanser i en aktiv/vänteläge-konfiguration, även om du endast ser en VPN-gatewayresurs i Azure. När planerat underhåll eller ett oplanerat avbrott påverkar den aktiva instansen tar väntelägesinstansen automatiskt hand om anslutningarna utan att användarna behöver ingripa. Anslutningar avbryts under den här redundansväxlingen, men de återställs vanligtvis inom några sekunder för planerat underhåll och inom 90 sekunder för oplanerade störningar.

Aktiv/aktiv

I och med introduktionen av stöd för BGP-routningsprotokollet kan du även distribuera VPN-gatewayer i aktiv/aktiv-konfigurationer. I en sådan konfigurationen tilldelar du en unik offentlig IP-adress till varje instans. Därefter skapar du separata tunnlar från den lokala enheten till varje IP-adress. För ännu högre tillgänglighet kan du distribuera ytterligare en VPN-enhet lokalt.

ExpressRoute-redundans

Ett annat alternativ för hög tillgänglighet är att konfigurera en VPN-gateway som en säker redundanssökväg för ExpressRoute-anslutningar. ExpressRoute-kretsar har inbyggd motståndskraft. De är dock inte immuna mot fysiska problem som påverkar kablarna som levererar anslutningar eller avbrott som påverkar hela ExpressRoute-platsen. I scenarier med hög tillgänglighet, där ett avbrott i en ExpressRoute-krets innebär en risk, kan du även etablera en VPN-gateway som använder Internet som en alternativ anslutningsmetod. På så sätt kan du se till att det alltid finns en anslutning till de virtuella nätverken.

Zonredundant gateway

I regioner där tillgänglighetszoner kan användas kan VPN-gatewayer och ExpressRoute-gatewayer distribueras i en zonredundant konfiguration. Den här konfigurationen ger motståndskraft, skalbarhet och högre tillgänglighet för virtuella nätverksgatewayer. Distribution av gatewayer i Azure-tillgänglighetszoner skiljer gatewayerna åt fysiskt och logiskt i en region, samtidigt som din lokala nätverksanslutning till Azure skyddas mot fel på zonnivå. Dessa gatewayer kräver olika gatewaylagerhållningsenheter (SKU:er) och använder offentliga IP-standardadresser i stället för grundläggande offentliga IP-adresser.