Så här fungerar Azure VPN Gateway
Du kan bara distribuera en VPN-gateway i varje virtuellt Azure-nätverk. Även om du är begränsad till en enda VPN-gateway kan du konfigurera den här gatewayen så att den ansluter till flera platser, inklusive andra virtuella Azure-nätverk eller lokala datacenter.
Kommentar
En virtuell nätverksgateway består av två eller flera särskilda virtuella datorer som distribueras till ett specifikt undernät som kallas gatewayundernätet. Virtuella nätverksgateway-vm:er är värdar för routningstabeller och kör specifika gatewaytjänster. Dessa virtuella datorer som utgör gatewayen skapas när du skapar den virtuella nätverksgatewayen och hanteras automatiskt av Azure och kräver inte administrativ uppmärksamhet.
VPN-gatewaytyper
När du konfigurerar en virtuell nätverksgateway väljer du en inställning som anger gatewaytypen. Gatewaytypen avgör hur den virtuella nätverksgatewayen ska användas och vilka åtgärder som gatewayen ska vidta. Gatewaytypen Vpn anger att den typ av virtuell nätverksgateway som skapas är en VPN gateway. Detta skiljer den från en ExpressRoute-gateway, som använder en annan gatewaytyp. Ett virtuellt Azure-nätverk kan ha två virtuella nätverksgatewayer: en VPN-gateway och en ExpressRoute-gateway.
Det finns två typer av Azure VPN-gatewayer:
- Principbaserad VPN-gateway
- Routningsbaserad VPN-gateway
Principbaserade VPN-gatewayer
Principbaserade VPN-gatewayer kräver att du anger en fast uppsättning IP-adresser för paket som ska krypteras genom varje tunnel. Den här typen av enhet utvärderar varje datapaket mot de fasta uppsättningarna MED IP-adresser och väljer sedan den tunnel genom vilken den ska skicka trafiken.
Exempel på viktiga funktioner i principbaserade VPN-gatewayer i Azure:
- Endast stöd för IKEv1
- Användning av statisk routning
Källan och målet för tunnelnätverken deklareras i VPN-principen och behöver inte deklareras i routningstabeller. Använd endast principbaserade VPN i specifika scenarier som kräver dem, till exempel för kompatibilitet med äldre lokala VPN-enheter.
Routningsbaserade VPN-gatewayer
Med routningsbaserade Azure VPN-gatewayer fungerar en IPsec-tunnel som ett nätverksgränssnitt eller virtuellt tunnelgränssnitt (VTI). IP-routning (statiska vägar eller protokoll för dynamisk routning) avgör vilka tunnelgränssnitt som ska överföra varje paket. Routningsbaserade VPN är den föredragna anslutningsmetoden för lokala enheter eftersom de är mer motståndskraftiga mot topologiändringar, till exempel skapandet av nya undernät. Ett routningsbaserat VPN är mycket mer lämpligt för Adatum, eftersom det gör att anslutningar kan göras till Azure IaaS-resurser i virtuella nätverk om nya undernät läggs till utan att du behöver konfigurera om Azure VPN-gatewayen.
Använd en routningsbaserad VPN-gateway om du behöver någon av följande typer av anslutningar:
- Anslutningar mellan virtuella nätverk
- Punkt-till-plats-anslutningar
- Anslutningar för flera platser
- Samexistens med en Azure ExpressRoute-gateway
Exempel på viktiga funktioner i vägbaserade VPN-gatewayer i Azure:
- Stöd för IKEv2
- Använder trafikväljare för alla-till-alla (med jokertecken)
- Kan använda dynamiska routningsprotokoll, där routnings-/vidarebefordranstabeller dirigerar trafik till olika IPsec-tunnlar
När de konfigureras för att använda dynamisk routning definieras inte käll- och målnätverken statiskt eftersom de finns i principbaserade VPN:er, eller ens i routningsbaserade VPN:er med statisk routning. I stället krypteras datapaket baserat på nätverksroutningstabeller som skapas dynamiskt med hjälp av routningsprotokoll såsom Border Gateway Protocol (BGP).
Azure VPN-gatewayer stöder endast användning av i förväg delad nyckelmetod för autentisering. Både routningsbaserade och principbaserade typer förlitar sig också på Internet Key Exchange (IKE) i version 1 eller version 2 och Internet Protocol Security (IPsec). IKE används för att skapa en säkerhetsassociation (ett krypteringsavtal) mellan två slutpunkter. Den här associationen skickas sedan till IPsec-sviten, som krypterar och dekrypterar datapaket som kapslas in i VPN-tunneln.
Storlekar på Azure VPN Gateway
När du skapar en virtuell nätverksgateway måste du ange en gateway-SKU. Du bör välja en SKU som uppfyller dina krav baserat på typerna av arbetsbelastningar, dataflöde, funktioner och serviceavtal.
| Gateway-SKU:er – Generation1 | Maximalt antal VPN-tunnlar för plats-till-plats | Aggregerat dataflöde | BGP-stöd |
|---|---|---|---|
| Grundläggande | 10 | 100 Mbit/s | Stöds inte |
| VpnGw1/Az | 30 | 650 Mbit/s | Stöds |
| VpnGw2/Az | 30 | 1 Gbit/s | Stöds |
| VpnGw3/Az | 30 | 1,25 Gbit/s | Stöds |
I den här tabellen visas SKU:er för Generation1. När du arbetar med SKU:er för generation1 kan du migrera mellan VPNGw1, VpnGw2 och VpnGw3 SKU:er efter behov. Du kan inte migrera från Basic SKU utan att ta bort och distribuera om VPN-gatewayen. Du kan också skapa VPN-gatewayer med hjälp av SKU:er för generation 2. Den senaste informationen om SKU:er, dataflöde och funktioner som stöds finns i länkarna i avsnittet Sammanfattning i den här modulen.
Krav för VPN-gateway
Följande Azure-resurser måste finnas innan du kan distribuera en operativ VPN-gateway:
- Virtuellt nätverk: Ett virtuellt Azure-nätverk med tillräckligt med adressutrymme för det ytterligare undernät som du behöver för VPN-gatewayen. Adressutrymmet för det här virtuella nätverket får inte överlappa det lokala nätverk som du ska ansluta till.
- GatewaySubnet: Ett undernät med namnet GatewaySubnet för VPN-gatewayen. Kräver minst en /27-adressmask. Det här undernätet kan inte användas för andra tjänster.
- Offentlig IP-adress: En dynamisk offentlig IP-adress för Basic-SKU om du använder en gateway som inte är zonmedveten. Den här adressen innehåller en offentlig routningsbar IP-adress som mål för den lokala VPN-enheten. Den här IP-adressen är dynamisk men ändras inte såvida du inte tar bort och återskapar VPN-gatewayen.
- Lokal nätverksgateway: Skapa en lokal nätverksgateway för att definiera det lokala nätverkets konfiguration: var VPN-gatewayen ska ansluta och till vad den ska ansluta till. Den här konfigurationen omfattar den lokala VPN-enhetens offentliga IPv4-adress och de lokala routningsbara nätverken. Den här informationen används av VPN-gatewayen för att dirigera paket som är avsedda för lokala nätverk via IPsec-tunneln.
När dessa nödvändiga komponenter finns kan du skapa den virtuella nätverksgatewayen för att dirigera trafik mellan det virtuella nätverket och det lokala datacentret eller andra virtuella nätverk. När den virtuella nätverksgatewayen har distribuerats kan du skapa en anslutningsresurs för att skapa en logisk anslutning mellan VPN-gatewayen och den lokala nätverksgatewayen:
- Anslutningen upprättas till den lokala VPN-enhetens IPv4-adress, baserat på konfigurationen av den lokala nätverksgatewayen.
- Anslutningen görs från den virtuella nätverksgatewayen och dess associerade offentliga IP-adress.
Du kan konfigurera flera anslutningar, upp till den gräns som definierats av SKU:n, för varje Azure VPN-gateway.
Hög tillgänglighet
Även om du bara ser en VPN-gatewayresurs i Azure distribueras VPN-gatewayer som två instanser av hanterade virtuella datorer i en aktiv/väntelägeskonfiguration. När planerat underhåll eller oplanerade avbrott påverkar den aktiva instansen, tar standby-instansen automatiskt ansvar för anslutningar utan någon åtgärd från användaren eller administratören. Under den här redundansen avbryts anslutningarna, men de återställs vanligtvis inom några sekunder vid planerat underhåll och inom 90 sekunder vid ett oplanerat avbrott.
Azure VPN-gatewayer stöder BGP-routningsprotokollet, vilket gör att du även kan distribuera VPN-gatewayer i en aktiv/aktiv konfiguration. I en sådan konfigurationen tilldelar du en unik offentlig IP-adress till varje instans. Därefter skapar du separata tunnlar från den lokala enheten till varje IP-adress. Du kan utöka den höga tillgängligheten genom att distribuera en annan VPN-enhet lokalt.
Kommentar
Många organisationer som har ExpressRoute-anslutningar har också distribuerat VPN-anslutningar från plats till plats för ytterligare ett lager av redundans.