Łączenie sieci lokalnych z platformą Azure za pomocą bram międzylokacyjnej sieci VPN
Wirtualna sieć prywatna (VPN) to typ połączonej sieci prywatnej. Sieci VPN używają szyfrowanego tunelu w innej sieci. Są one zazwyczaj wdrażane w celu połączenia co najmniej dwóch zaufanych sieci prywatnych ze sobą za pośrednictwem sieci niezaufanej (zazwyczaj jest to publiczny Internet). Ruch jest szyfrowany podczas poruszania się po niezaufanej sieci, aby zapobiec podsłuchiwaniu lub innym atakom.
W przypadku placówki ochrony zdrowia w naszym scenariuszu sieci VPN mogą umożliwić pracownikom służby zdrowia udostępnianie poufnych informacji między lokalizacjami. Załóżmy na przykład, że pacjenta wymaga zabiegu w specjalistycznej placówce. Zespół wykonujący zabieg musi mieć możliwość zapoznania się ze szczegółami historii medycznej pacjenta. Te medyczne dane są przechowywane w systemie na platformie Azure. Sieć VPN łącząca daną placówkę z platformą Azure umożliwia zespołowi chirurgicznemu bezpieczne uzyskanie dostępu do tych informacji.
Bramy sieci VPN platformy Azure
Brama sieci VPN to typ bramy sieci wirtualnej. Bramy sieci VPN są wdrażane w sieciach wirtualnych platformy Azure i umożliwiają następującą łączność:
- Łączenie lokalnych centrów danych z sieciami wirtualnymi platformy Azure za pośrednictwem połączenia lokacja-lokacja.
- Łączenie poszczególnych urządzeń z sieciami wirtualnymi platformy Azure za pośrednictwem połączenia punkt-lokacja.
- Łączenie sieci wirtualnych platformy Azure z innymi sieciami wirtualnymi platformy Azure za pośrednictwem połączenia sieć-sieć.
Wszystkie transferowane dane są szyfrowane w prywatnym tunelu podczas przechodzenia przez Internet. Można wdrożyć tylko jedną bramę sieci VPN w każdej sieci wirtualnej, ale jedna brama umożliwia łączenie z wieloma lokalizacjami, w tym z innymi sieciami wirtualnymi platformy Azure lub lokalnymi centrami danych.
Podczas wdrażania bramy sieci VPN należy określić typ sieci VPN: oparta na zasadach lub oparta na trasach. Główną różnicą między tymi dwoma typami sieci VPN jest sposób określenia zaszyfrowanego ruchu.
Sieci VPN oparte na zasadach
Bramy sieci VPN oparte na zasadach określają statyczny adres IP pakietów, które powinny być szyfrowane za pośrednictwem każdego tunelu. Ten typ urządzenia ocenia każdy pakiet danych względem tych zestawów adresów IP w celu wybrania tunelu, przez który ma zostać wysłany pakiet. Bramy sieci VPN oparte na zasadach są ograniczone w funkcjach i połączeniach, które mogą być obsługiwane. Kluczowe funkcje bram sieci VPN opartych na zasadach na platformie Azure to:
- Obsługa tylko protokołu IKEv1.
- Korzystanie z routingu statycznego, gdzie kombinacje prefiksów adresów z obu sieci kontrolują sposób szyfrowania i odszyfrowania ruchu za pośrednictwem tunelu sieci VPN. Źródło i obiekt docelowy tunelowanych sieci są deklarowane w zasadach i nie muszą być zadeklarowane w tabelach routingu.
- Sieci VPN oparte na zasadach muszą być używane w określonych scenariuszach, które ich wymagają, np. w celu zapewnienia zgodności ze starszymi lokalnymi urządzeniami sieci VPN.
Sieci VPN oparte na trasach
W przypadku definiowania, które adresy IP znajdują się za każdym tunelem, jest zbyt uciążliwe w danej sytuacji. Możesz też potrzebować funkcji i połączeń, które bramy oparte na zasadach nie obsługują. Należy użyć bram opartych na trasach. W przypadku bram opartych na trasach tunele IPSec są modelowane jako interfejs sieciowy lub wirtualny interfejs tunelu. Routing IP (trasy statyczne lub protokoły routingu dynamicznego) określa, które interfejsy tunelu mają wysyłać poszczególne pakiety. Sieci VPN oparte na trasach są preferowaną metodą połączenia dla urządzeń lokalnych, ponieważ są bardziej odporne na zmiany topologii, takie jak tworzenie nowych podsieci, na przykład. Użyj bramy sieci VPN opartej na trasach, jeśli potrzebujesz któregoś z następujących typów łączności:
- Połączenia między sieciami wirtualnymi
- Połączenia typu punkt-lokacja
- Połączenia z obsługą wielu lokacji
- Współistnienie z bramą usługi Azure ExpressRoute
Kluczowe funkcje bram sieci VPN opartych na trasach na platformie Azure to:
- Obsługa protokołu IKEv2.
- Korzystanie z selektorów ruchu typu dowolne-dowolne (symbol wieloznaczny).
- Możliwość korzystania z protokołów routingu dynamicznego, gdzie tabele routingu/przesyłania kierują ruch do różnych tuneli IPSec. W takim przypadku sieci źródłowe i docelowe nie są zdefiniowane statycznie, tak jak w przypadku sieci VPN opartych na zasadach, a nawet w przypadku sieci VPN opartych na trasach z routingiem statycznym. Zamiast tego pakiety danych są szyfrowane na podstawie tabel routingu sieciowego tworzonych dynamicznie przy użyciu protokołów routingu, takich jak BGP (Border Gateway Protocol).
Oba typy bram sieci VPN (oparte na trasach i oparte na zasadach) na platformie Azure używają klucza wstępnego jako jedynej metody uwierzytelniania. Oba typy polegają również na protokole IKE (Internet Key Exchange) w wersji 1 lub w wersji 2 oraz protokole IPSec (Internet Protocol Security). Protokół IKE służy do konfigurowania skojarzenia zabezpieczeń (umowa dotycząca szyfrowania) między dwoma punktami końcowymi. To skojarzenie jest następnie przekazywane do zestawu protokołu IPSec, który szyfruje i odszyfrowuje pakiety danych, zhermetyzowane w tunelu sieci VPN.
Rozmiary bramy sieci VPN
Wdrażana jednostka SKU lub rozmiar określa możliwości bramy sieci VPN. W tej tabeli przedstawiono przykład niektórych jednostek SKU bramy. Liczby w tej tabeli mogą ulec zmianie w dowolnym momencie. Aby uzyskać najnowsze informacje, zobacz Jednostki SKU bramy w dokumentacji usługi Azure VPN Gateway. Podstawowa jednostka SKU bramy powinna być używana tylko w przypadku obciążeń tworzenia i testowania. Ponadto nie jest obsługiwane migrowanie z warstwy Podstawowa do dowolnej jednostki SKU VpnGw#/Az w późniejszym czasie bez konieczności usuwania bramy i ponownego wdrażania.
| VPN Brama Generacji |
SKU | Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna Tunele |
P2S Połączenie protokołu SSTP |
P2S Połączenie IKEv2/OpenVPN |
Agregacji Test porównawczy przepływności |
BGP | Strefowo nadmiarowy | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej |
|---|---|---|---|---|---|---|---|---|
| Generacja1 | Podstawowa | Maks. 10 | Maks. 128 | Nieobsługiwany | 100 Mb/s | Nieobsługiwany | Nie. | 200 |
| Generacja1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Nie. | 450 |
| Generacja1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Nie. | 1300 |
| Generacja1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Nie. | 4000 |
| Generacja1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Tak | 1000 |
| Generacja1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
| Generacja 2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Nie. | 685 |
| Generacja 2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Nie. | 2240 |
| Generacja 2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Nie. | 5300 |
| Generacja 2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Nie. | 6700 |
| Generacja 2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Tak | 2000 |
| Generacja 2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
| Generacja 2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
| Generacja 2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Tak | 9000 |
Wdrażanie bram sieci VPN
Przed wdrożeniem bramy sieci VPN potrzebujesz niektórych zasobów platformy Azure i zasobów lokalnych.
Wymagane zasoby platformy Azure
Te zasoby platformy Azure są potrzebne przed wdrożeniem operacyjnej bramy sieci VPN:
- Sieć wirtualna. Wdróż sieć wirtualną platformy Azure z wystarczającą przestrzenią adresową dla dodatkowej podsieci potrzebnej dla bramy sieci VPN. Przestrzeń adresowa dla tej sieci wirtualnej nie może nakładać się na sieć lokalną, z którą nawiązujesz połączenie. Należy pamiętać, że można wdrożyć tylko jedną bramę sieci VPN w sieci wirtualnej.
- GatewaySubnet. Wdróż podsieć o nazwie
GatewaySubnetna potrzeby bramy sieci VPN. Użyj co najmniej maski adresów /27, aby zapewnić wystarczającą liczbę adresów IP w podsieci dla przyszłego rozwoju. Nie można użyć tej podsieci dla innych usług. - Publiczny adres IP. Utwórz dynamiczny publiczny adres IP jednostki SKU w warstwie Podstawowa, jeśli używasz strefy nieobsługującej bramy. Ten adres udostępnia routowalny publiczny adres IP jako docelowy dla lokalnego urządzenia sieci VPN. Ten adres IP jest dynamiczny, ale nie zmienia się, chyba że usuniesz i ponownie utworzysz bramę sieci VPN.
- Brama sieci lokalnej. Utwórz bramę sieci lokalnej, aby zdefiniować konfigurację sieci lokalnej. W szczególności, gdzie brama sieci VPN łączy się i z czym nawiązuje połączenie. Ta konfiguracja zawiera publiczny adres IPv4 urządzenia lokalnej sieci VPN oraz routowalne sieci lokalne. Te informacje są używane przez bramę sieci VPN do kierowania przez tunel protokołu IPSec pakietów, które są przeznaczone dla sieci lokalnych.
- Brama sieci wirtualnej. Utwórz bramę sieci wirtualnej, aby kierować ruchem między siecią wirtualną a lokalnym centrum danych lub innymi sieciami wirtualnymi. Bramę sieci wirtualnej można skonfigurować jako bramę sieci VPN lub bramę usługi ExpressRoute, ale ten moduł dotyczy tylko bram sieci wirtualnej sieci VPN.
- Połączenie. Utwórz zasób połączenia, aby utworzyć połączenie logiczne między bramą sieci VPN a bramą sieci lokalnej. Możesz utworzyć wiele połączeń z tą samą bramą.
- Połączenie jest nawiązywane z adresem IPv4 urządzenia lokalnej sieci VPN, zgodnie z definicją bramy sieci lokalnej.
- Połączenie jest nawiązywane z poziomu bramy sieci wirtualnej i ze skojarzonego z nią publicznego adresu IP.
Na poniższym diagramie przedstawiono kombinację zasobów i ich relacje, aby umożliwić lepsze zrozumienie, co jest wymagane do wdrożenia bramy sieci VPN:
Wymagane zasoby lokalne
Aby połączyć centrum danych z bramą sieci VPN, potrzebne są następujące zasoby lokalne:
- Urządzenie sieci VPN, które obsługuje bramy sieci VPN oparte na zasadach lub oparte na trasach
- Publiczny (routowalny, internetowy) adres IPv4
Scenariusze wysokiej dostępności
Dostępnych jest kilka sposobów zapewniających konfigurację odporną na błędy.
Aktywne/w gotowości
Domyślnie bramy VPN są wdrażane jako dwa wystąpienia działające w konfiguracji aktywne/w gotowości, nawet jeśli na platformie Azure widzisz tylko jeden zasób bramy sieci VPN. W przypadku gdy planowana konserwacja lub nieplanowane zakłócenia wpłyną na aktywne wystąpienie, rezerwowe wystąpienie automatycznie przejmuje odpowiedzialność za połączenia bez interwencji użytkownika. Podczas pracy w trybie failover połączenia są przerywane, ale zazwyczaj są przywracane w ciągu kilku sekund w ramach zaplanowanej konserwacji i w ciągu 90 sekund w ramach nieplanowanych zakłóceń.
Aktywne/aktywne
Wraz z wprowadzeniem obsługi protokołu routingu BGP można także wdrożyć bramy sieci VPN w konfiguracji Aktywne/aktywne. W tej konfiguracji przypisujesz unikatowy publiczny adres IP do każdego wystąpienia. Następnie tworzysz oddzielne tunele z poziomu urządzenia lokalnego do poszczególnych adresów IP. Wysoką dostępność można rozszerzyć, wdrażając inne urządzenie sieci VPN lokalnie.
Tryb failover usługi ExpressRoute
Inną opcją wysokiej dostępności jest konfiguracja bramy sieci VPN jako bezpiecznej ścieżki pracy w trybie failover na potrzeby połączeń usługi ExpressRoute. Obwody usługi ExpressRoute mają wbudowaną odporność, ale nie są odporne na fizyczne problemy wpływające na kable zapewniające łączność lub awarie wpływające na pełną lokalizację usługi ExpressRoute. W scenariuszach wysokiej dostępności, w których występuje ryzyko związane z awarią obwodu usługi ExpressRoute, można również skonfigurować bramę sieci VPN korzystającą z Internetu jako alternatywną metodę łączności, dzięki czemu zawsze istnieje połączenie z sieciami wirtualnymi platformy Azure.
Bramy strefowo nadmiarowe
W regionach obsługujących strefy dostępności bramy sieci VPN i usługi ExpressRoute można wdrożyć w konfiguracji strefowo nadmiarowej. Ta konfiguracja zapewni elastyczność, skalowalność i większą dostępność bram sieci wirtualnej. Wdrażanie bram w strefach dostępności platformy Azure fizycznie i logicznie dzieli bramy w danym regionie, chroniąc jednocześnie lokalną łączność sieci z platformą Azure przed błędami na poziomie strefy. Wymagają one różnych jednostek SKU bramy i używają publicznych adresów IP w warstwie Standardowa zamiast publicznych adresów IP w warstwie Podstawowa.