Esplorare Gateway VPN di Azure
Per integrare l'ambiente locale con Azure, è necessario poter creare una connessione crittografata. È possibile connettersi via Internet o usando un collegamento dedicato. Di seguito verrà illustrato il gateway VPN di Azure, che fornisce un endpoint per le connessioni in ingresso dagli ambienti locali.
È stata configurata una rete virtuale di Azure ed è necessario assicurarsi che i trasferimenti di dati da Azure al sito e tra le reti virtuali di Azure siano crittografati. È anche necessario conoscere in che modo connettere le reti virtuali tra aree e sottoscrizioni.
Che cos'è un Gateway VPN?
Un gateway di rete virtuale di Azure offre un endpoint per le connessioni in ingresso dall'ambiente locale ad Azure tramite Internet. Un gateway VPN è un tipo specifico di gateway di rete virtuale che può essere usato per le connessioni crittografate. Può anche inviare traffico crittografato tra reti virtuali di Azure tramite la rete dedicata di Microsoft, che collega i data center di Azure di aree diverse. Questa configurazione consente di collegare in modo sicuro macchine virtuali e servizi in aree diverse.
Ogni rete virtuale può avere un solo gateway VPN e tutte le connessioni al gateway VPN condividono la larghezza di banda di rete disponibile.
In ogni gateway di rete virtuale sono presenti due o più macchine virtuali. Le macchine virtuali sono state distribuite in una subnet speciale definita dall'utente e denominata subnet del gateway. Contengono le tabelle di routing per le connessioni ad altre reti, nonché servizi gateway specifici. Le macchine virtuali e la subnet del gateway sono simili a un dispositivo di rete con protezione avanzata. Non è necessario configurare direttamente le macchine virtuali né distribuire risorse aggiuntive nella subnet del gateway.
La creazione di un gateway di rete virtuale può richiedere diverso tempo, ed è quindi importante pianificare le attività in modo appropriato. Quando si crea un gateway di rete virtuale, il processo di provisioning genera le macchine virtuali del gateway e le distribuisce nella subnet del gateway. Le impostazioni delle macchine virtuali saranno quelle configurate nel gateway.
Un'impostazione chiave è il tipo di gateway. Il tipo di gateway determina il modo in cui funziona il gateway. Per un gateway VPN, il tipo di gateway è "vpn". Le opzioni per i gateway VPN includono:
Connessioni da rete a rete tramite tunneling VPN IPsec/IKE, che collega i gateway VPN ad altri gateway VPN.
Tunneling VPN IPsec/IKE cross-premise, per la connessione di reti locali ad Azure tramite dispositivi VPN dedicati per la creazione di connessioni da sito a sito.
Connessioni da punto a sito tramite IKEv2 o SSTP, per collegare i computer client alle risorse in Azure.
Verranno esaminati i fattori da considerare per la pianificazione di un gateway VPN.
Pianificare un gateway VPN
Quando si pianifica un gateway VPN, è opportuno valutare tre architetture:
- Da punto a sito tramite Internet
- Da sito a sito tramite Internet
- Da sito a sito tramite una rete dedicata, ad esempio Azure ExpressRoute
Fattori per la pianificazione
I fattori da tenere in considerazione durante il processo di pianificazione sono i seguenti.
- Velocità effettiva: Mbps o Gbps
- Backbone: Internet o privato?
- Disponibilità di un indirizzo IP (statico) pubblico
- Compatibilità del dispositivo VPN
- Più connessioni client o collegamento da sito a sito?
- Tipo di gateway VPN
- SKU del gateway VPN di Azure
La tabella seguente mostra un riepilogo delle problematiche di pianificazione. I problemi rimanenti vengono descritti più avanti.
| Da punto a sito | Da sito a sito | ExpressRoute | |
|---|---|---|---|
| Servizi supportati di Azure | Servizi cloud e macchine virtuali | Servizi cloud e macchine virtuali | Tutti i servizi supportati |
| Larghezza di banda tipica | A seconda dello SKU del gateway VPN | A seconda dello SKU del gateway VPN | Vedere Opzioni per la larghezza di banda ExpressRoute |
| Protocolli supportati | SSTP e IPSec | IPsec | Connessione diretta, reti VLAN |
| Routing | RouteBased (dinamico) | PolicyBased (statico) e RouteBased | BGP |
| Resilienza della connessione | Attivo-passivo | Modalità attiva-passiva o attiva-attiva | Attivo/attivo |
| Caso d'uso | Testing e creazione prototipi | Sviluppo, test e produzione su scala ridotta | Business critical/cruciale |
SKU del gateway
È importante scegliere lo SKU corretto. Se il gateway VPN è stato configurato con uno SKU errato, sarà necessario eliminarlo e creare di nuovo il gateway, con una perdita di tempo significativa. Per le ultime informazioni sugli SKU del gateway, inclusa la velocità effettiva, vedere Che cos'è un gateway VPN? - SKU del gateway.
Workflow
Quando si progetta una strategia di connettività cloud con le reti private virtuali in Azure, è consigliabile adottare il flusso di lavoro seguente:
Progettare la topologia di connettività, elencando gli spazi indirizzi per tutte le reti da connettere.
Creare una rete virtuale di Azure.
Creare un gateway VPN per la rete virtuale.
Creare e configurare le connessioni a reti locali o altre reti virtuali, in base alle esigenze.
Se necessario, creare e configurare una connessione da punto a sito per il gateway VPN di Azure.
Considerazioni relative alla progettazione
Quando si progettano i gateway VPN per connettere reti virtuali, è necessario tenere in considerazione i fattori seguenti:
Le subnet non possono sovrapporsi
È fondamentale che una subnet in una posizione non contenga lo stesso spazio indirizzi di una subnet in un'altra posizione.
Gli indirizzi IP devono essere univoci
Non possono essere presenti due host con lo stesso indirizzo IP in posizioni diverse, perché non sarebbe possibile indirizzare il traffico tra questi due host e la connessione da rete a rete avrebbe esito negativo.
I gateway VPN necessitano di una subnet del gateway denominata GatewaySubnet
Per il funzionamento del gateway, è necessario che la subnet abbia questo nome e non contenga altre risorse.
Creare una rete virtuale di Azure
Prima di creare un gateway VPN, è necessario creare la rete virtuale di Azure.
Creare un gateway VPN
Il tipo di gateway VPN che verrà creato dipende dall'architettura corrente. Le opzioni sono:
RouteBased
I dispositivi VPN basati su route usano selettori di traffico any-to-any (jolly) e consentono alle tabelle di routing/inoltro di indirizzare il traffico a tunnel IPsec diversi. Le connessioni basate su route vengono in genere create su piattaforme router in cui ogni tunnel IPsec è modellato come interfaccia di rete o interfaccia di tunnel virtuale.
PolicyBased
I dispositivi VPN basati su criteri usano le combinazioni di prefissi di entrambe le reti per definire le modalità di crittografia/decrittografia del traffico nei tunnel IPsec. Una connessione basata su criteri viene in genere creata su dispositivi firewall con filtro dei pacchetti. La crittografia e la decrittografia dei tunnel IPsec vengono aggiunte al filtro dei pacchetti e al motore di elaborazione.
Configurare un gateway VPN
La procedura da eseguire dipende dal tipo di gateway VPN che viene installato. Per creare un gateway VPN da punto a sito usando il portale di Azure, ad esempio, è necessario seguire questa procedura:
Crea una rete virtuale.
Aggiungere una subnet del gateway.
Specificare un server DNS (facoltativo).
Creare un gateway di rete virtuale.
Generare i certificati.
Aggiungere il pool di indirizzi client.
Configurare il tipo di tunnel.
Configurare il tipo di autenticazione.
Caricare i dati del certificato pubblico per il certificato radice.
Installare un certificato client esportato.
Generare e installare il pacchetto di configurazione del client VPN.
Connettersi ad Azure.
Dato che sono disponibili numerosi percorsi di configurazione per i gateway VPN di Azure, ognuno con più opzioni, in questo corso non è possibile illustrare ogni configurazione. Per altre informazioni, vedere la sezione Risorse aggiuntive.
Configurare il gateway
Dopo aver creato il gateway, è necessario configurarlo. Sarà necessario specificare numerose impostazioni di configurazione, ad esempio nome, posizione, server DNS e così via. Queste impostazioni verranno esaminate più in dettaglio nell'esercizio.
I gateway VPN di Azure sono un componente delle reti virtuali di Azure che abilita le connessioni da punto a sito, da sito a sito o da rete a rete. I gateway VPN di Azure consentono ai singoli computer client di connettersi alle risorse in Azure, di estendere le reti locali in Azure o di agevolare le connessioni tra reti virtuali in aree e sottoscrizioni diverse.