描述 Azure 虛擬私人網路

已完成

虛擬私人網路 (VPN) 會使用另一個網路內的加密通道。 通常會將 VPN 部署為透過不受信任的網路 (通常是公用網際網路),讓兩個以上的受信任私人網路相互連線。 流量會在於不受信任的網路上移動時加密,以防止竊聽或其他攻擊。 VPN 可讓網路安全地共用敏感性資訊。

VPN 閘道

VPN 閘道是一種虛擬網路閘道。 Azure VPN 閘道執行個體部署於虛擬網路的專用子網路中,並會啟用下列連線能力:

  • 透過「站對站」連線,將內部部署資料中心連線至虛擬網路。
  • 透過點對站連線,將個別裝置連線至虛擬網路。
  • 透過網路對網路連線,將虛擬網路連線至其他虛擬網路。

所有資料傳輸都會在通過網際網路時,於私人通道內加密。 您只能在每個虛擬網路中部署一個 VPN 閘道。 不過,您可以使用一個閘道來連線至多個位置,包括其他虛擬網路或內部部署資料中心。

設定 VPN 閘道時,您必須指定下列 VPN 類型:「原則型」或「路由型」。 這兩種類型之間的主要區別,在於其如何判斷哪些流量需要加密。 在 Azure 中,不論 VPN 類型為何,採用的驗證方法都是預先共用的金鑰。

  • 原則型 VPN 閘道會以靜態方式指定應透過每個通道所加密封包的 IP 位址。 此類型的裝置會針對那些 IP 位址集合評估每個資料封包,以選擇要透過哪個通道傳送封包。
  • 在路由型閘道中,IPSec 通道會模型化為網路介面或虛擬通道介面。 IP 路由 (靜態路由或動態路由通訊協定) 會決定要使用這其中哪一個通道介面來傳送每個封包。 路由型 VPN 是適用於內部部署裝置的慣用連線方法。 其對於拓撲變更而言更具復原性,例如,建立新的子網路。

如果您需要下列任何類型的連線能力,請使用路由型 VPN 閘道:

  • 虛擬網路之間的連線
  • 點對站連線
  • 多站台連線
  • 與 Azure ExpressRoute 閘道並存

高可用性案例

如果您要設定 VPN 以確保資訊安全,則也會想要確定其為高可用性和容錯 VPN 設定。 有幾種方式可將 VPN 閘道的復原最大化。

使用中/待命

VPN 閘道預設會以「使用中/待命」設定來部署為兩個執行個體,即使您只在 Azure 中看到一個 VPN 閘道資源也是一樣。 當計劃性維護或非計劃性中斷影響到使用中的執行個體時,待命執行個體就會自動負責連線工作,而不需要使用者介入。 連線會在此容錯移轉期間中斷,但對計劃性維護來說,通常可在幾秒內還原,而對非計劃性中斷來說,則會在 90 秒內還原。

主動/主動

隨著引進對 BGP 路由傳送通訊協定的支援,您也能以「主動/主動」設定來部署 VPN 閘道。 在此設定中,您會為每個執行個體指派唯一的公用 IP 位址。 接著,您會建立從內部部署裝置到每個 IP 位址的個別通道。 您可以在內部部署環境中部署額外的 VPN 裝置來擴充高可用性。

ExpressRoute 容錯移轉

另一個高可用性選項是,將 VPN 閘道設定為 ExpressRoute 連線的安全容錯移轉路徑。 ExpressRoute 線路內建復原功能。 不過,其在發生影響纜線傳遞連線能力的實體問題,或影響完整 ExpressRoute 位置的中斷問題時,也無法倖免。 在高可用性案例中,如果有與 ExpressRoute 線路中斷相關的風險,您也可以佈建 VPN 閘道,以使用網際網路作為連線替代方法。 如此一來,您就能確保一律會連線至虛擬網路。

區域備援閘道

在支援可用性區域的區域中,您能以區域備援設定來部署 VPN 閘道與 ExpressRoute 閘道。 此設定可為虛擬網路閘道帶來復原功能、可擴縮性和更高的可用性。 在 Azure 可用性區域中部署閘道,能夠實際上和邏輯上分隔區域內的閘道,同時還能在發生區域層級的失敗時,保護您內部部署環境與 Azure 的網路連線。 這些閘道需要不同的閘道庫存單位 (SKU),並使用標準公用 IP 位址,而非基本公用 IP 位址。