你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
VPN 网关拓扑和设计
虚拟网络连接有多种不同的选项。 要帮助选择满足你的要求的 VPN 网关连接拓扑,使用以下部分中的关系图和说明。 这些示意图显示了主要的基准拓扑。但是,你也可以使用这些示意图作为指导来构建更复杂的配置。
站点到站点 VPN
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道建立的连接。 站点到站点连接可以用于跨界和混合配置。 站点到站点连接要求位于本地的 VPN 设备分配有一个公共 IP 地址。
你可以从虚拟网络网关创建多个 VPN 连接,通常情况下连接到多个本地站点。 使用多个连接时,必须使用 RouteBased VPN 类型。 由于每个虚拟网络只能有一个 VPN 网关,因此通过该网关的所有连接都共享可用带宽。 这种连接设计有时称为“多站点”。
如果你要创建高可用性网关连接的设计,可以将网关配置为主动-主动模式。 此模式允许你配置连往同一个 VPN 设备的两个活动隧道(每个网关虚拟机实例各一个),以创建高可用性连接。 除了高可用性连接设计之外,主动-主动模式的另一个优势是客户可以体验到更高的吞吐量。
- 若要了解如何选择 VPN 设备,请参阅 VPN 网关常见问题解答 - VPN 设备。
- 有关高可用性连接的信息,请参阅设计高可用性连接。
- 有关主动-主动模式的信息,请参阅关于主动-主动模式网关。
适用于 S2S 的部署模型和方法
部署模型 | Azure 门户 | PowerShell | Azure CLI |
---|---|---|---|
资源管理器 | 教程 | 教程 | 教程 |
点到站点 VPN
通过点到站点 (P2S) VPN 网关连接,可以创建从单个客户端计算机到虚拟网络的安全连接。 通过从客户端计算机启动来建立点到站点连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure 虚拟网络的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到虚拟网络,则可使用站点到站点 VPN 这种解决方案来代替站点到站点 VPN。
与站点到站点连接不同,点到站点连接不需要本地面向公众的 IP 地址或 VPN 设备。 可以通过同一 VPN 网关将点到站点连接与站点到站点连接结合使用,前提是这两种连接的所有配置要求都兼容。 有关点到站点连接的详细信息,请参阅关于点到站点 VPN。
适用于 P2S 的部署模型和方法
身份验证方法 | 文章 |
---|---|
证书 | 教程 操作方法 |
Microsoft Entra ID | 操作方法 |
RADIUS | 操作方法 |
P2S VPN 客户端配置
身份验证 | 隧道类型 | 客户端 OS | VPN 客户端 |
---|---|---|---|
证书 | |||
IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
IKEv2 | macOS | 本机 VPN 客户端 | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN 客户端 OpenVPN 客户端版本 2.x OpenVPN 客户端版本 3.x |
|
OpenVPN | macOS | OpenVPN 客户端 | |
OpenVPN | iOS | OpenVPN 客户端 | |
OpenVPN | Linux | Azure VPN 客户端 OpenVPN 客户端 |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN 客户端 | |
OpenVPN | macOS | Azure VPN 客户端 | |
OpenVPN | Linux | Azure VPN 客户端 |
VNet 到 VNet 连接(IPsec/IKE VPN 隧道)
将虚拟网络连接到虚拟网络(VNet 到 VNet)类似于将虚拟网络连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样,便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。
你连接的虚拟网络可以是:
- 在相同或不同的区域中
- 在相同或不同订阅中
- 在相同或不同部署模型中
适用于 VNet 到 VNet 的部署模型和方法
部署模型 | Azure 门户 | PowerShell | Azure CLI |
---|---|---|---|
资源管理器 | 教程 + | 教程 | 教程 |
(+) 表示这种部署方法仅适用于同一订阅中的 VNet。
在某些情况下,可能需要使用虚拟网络对等互连而不是 VNet 到 VNet 来连接虚拟网络。 虚拟网络对等互连不使用虚拟网络网关。 有关详细信息,请参阅虚拟网络对等互连。
站点到站点和 ExpressRoute 的共存连接
ExpressRoute 是从 WAN(不通过公共 Internet)到 Microsoft 服务(包括 Azure)的直接专用连接。 站点到站点 VPN 流量以加密方式通过公共 Internet 传输。 能够为同一个虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接可带来诸多好处。
可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径,或者使用站点到站点 VPN 连接到不属于网络但却已通过 ExpressRoute 进行连接的站点。 请注意,此配置要求对同一虚拟网络使用两个虚拟网络网关,一个网关使用网关类型“Vpn”,另一个网关使用网关类型“ExpressRoute”。
适用于 S2S 和 ExpressRoute 共存连接的部署模型和方法
部署模型 | Azure 门户 | PowerShell |
---|---|---|
资源管理器 | 教程 | 教程 |
高可用连接
若要规划和设计高可用性连接(包括主动-主动模式配置),请参阅为跨界连接和 VNet 到 VNet 连接设计高可用性网关连接。
后续步骤
有关更多信息,请查看 VPN 网关常见问题。
详细了解 VPN 网关配置设置。
有关 VPN 网关 BGP 的注意事项,请参阅关于 BGP。
有关虚拟网络对等互连的信息,请参阅虚拟网络对等互连。
查看订阅和服务限制。
了解 Azure 的一些其他关键网络功能。