Conectividade VPN segura, incluindo ponto a site e site a site

  • 7 minutos

É importante saber que existem configurações diferentes disponíveis para as ligações de gateway VPN. Deve determinar qual das configurações se adequa melhor às suas necessidades. Nas seções abaixo, você pode exibir informações de design e diagramas de topologia sobre as seguintes conexões de gateway VPN. Utilize os diagramas e as descrições para ajudar a selecionar a topologia de ligação para corresponder aos requisitos. Os diagramas mostram as topologias de linha de base principais, mas é possível construir configurações mais complexas usando os diagramas como diretrizes.

VPN site a site

Uma conexão de gateway VPN Site a Site (S2S) é uma conexão através do túnel VPN IPsec/IKE (IKEv1 ou IKEv2). As ligações S2S podem ser utilizadas para configurações em vários locais e híbridas. Uma conexão S2S requer um dispositivo VPN localizado no local que tenha um endereço IP público atribuído a ele.

Diagrama mostrando um exemplo de uma conexão de gateway de rede virtual privada site a site através de um túnel seguro de protocolo Internet.

O Gateway VPN pode ser configurado no modo de espera ativa usando um IP público ou no modo ativo-ativo usando dois IPs públicos. No modo de espera ativa, um túnel IPsec está ativo e o outro túnel está em espera. Nessa configuração, o tráfego flui através do túnel ativo e, se algum problema acontecer com esse túnel, o tráfego muda para o túnel de espera. A configuração do Gateway VPN no modo ativo-ativo é recomendada na qual ambos os túneis IPsec estão simultaneamente ativos, com dados fluindo pelos dois túneis ao mesmo tempo. Uma vantagem adicional do modo ativo-ativo é que os clientes experimentam taxas de transferência mais altas.

Você pode criar mais de uma conexão VPN a partir do seu gateway de rede virtual, normalmente conectando-se a vários sites locais. Quando trabalha com várias ligações, tem de utilizar um tipo de VPN RouteBased (conhecido como gateway dinâmico ao trabalhar com VNets clássicas). Uma vez que cada rede virtual só pode ter um gateway de VPN, todas as ligações através do mesmo partilham a largura de banda disponível. Este tipo de ligação é por vezes referido como uma ligação "multi-site".

Diagrama mostrando um exemplo de um ponto para vários sites conexão de rede virtual privada.

Rede Privada Virtual Ponto a Site

Uma ligação de gateway de VPN ponto a site (P2S) permite criar uma ligação segura para a sua rede virtual a partir de um computador cliente individual. É estabelecida uma ligação P2S ao iniciá-la a partir do computador cliente. Esta solução é útil para as pessoas que trabalham à distância que queiram ligar às VNets do Azure a partir de uma localização remota, como, por exemplo, a partir de casa ou de uma conferência. Uma VPN P2S também é uma solução útil para utilizar em vez de uma VPN S2S, quando são poucos os clientes que precisam de ligar a uma VNet.

Ao contrário das conexões S2S, as conexões P2S não exigem um endereço IP público local ou um dispositivo VPN. As ligações P2S podem ser utilizadas com as ligações S2S através do mesmo gateway de VPN, desde que todos os requisitos de configuração para ambas as ligações sejam compatíveis.

Diagrama mostrando um exemplo de uma conexão de rede virtual privada ponto a site.

Conexões VNet-to-VNet (Internet Protocol Secure/Internet Key Exchange Virtual Private Network Tunnel)

A ligação de uma rede virtual a outra rede virtual (VNet a VNet) é semelhante à ligação de uma VNet a uma localização do site no local. Ambos os tipos de conetividade utilizam um gateway de VPN para fornecer um túnel seguro através de IPsec/IKE. Pode, inclusive, combinar uma comunicação VNet a VNet com configurações de ligação multilocal. Este procedimento permite-lhe estabelecer topologias de rede que combinam uma conetividade em vários locais com uma conetividade de rede intervirtual.

As VNets que liga podem estar:

  • nas mesmas regiões ou em diferentes
  • nas mesmas subscrições ou em diferentes
  • nos mesmos modelos de implementação ou em diferentes

Diagrama mostrando como conectar uma rede virtual a outra rede virtual é semelhante a conectar uma rede virtual a um local de site local.

Ligações entre modelos de implementação

Atualmente, o Azure tem dois modelos de implementação: clássico e Resource Manager. Se tem utilizado o Azure durante algum tempo, provavelmente as VMs do Azure e as funções de instância estão em execução numa VNet clássica. As VMs mais recentes e as instâncias da função poderão estar em execução numa VNet criada no Resource Manager. Pode criar uma ligação entre as VNets para permitir que os recursos numa VNet comuniquem diretamente com recursos de outra.

VNet peering

Poderá utilizar o VNet peering para criar a ligação, desde que a rede virtual cumpra determinados requisitos. O emparelhamento de VNet não usa um gateway de rede virtual.

Ligações Site a site e ExpressRoute coexistentes

O ExpressRoute é uma ligação privada direta a partir da WAN (e não através da Internet pública) para os Serviços Microsoft, incluindo o Azure. O tráfego de VPN site a site viaja criptografado pela Internet pública. Ser capaz de configurar conexões VPN site a site e ExpressRoute para a mesma rede virtual tem várias vantagens.

Você pode configurar uma VPN site a site como um caminho de failover seguro para a Rota Expressa ou usar VPNs site a site para se conectar a sites que não fazem parte da sua rede, mas que estão conectados por meio da Rota Expressa. Observe que essa configuração requer dois gateways de rede virtual para a mesma rede virtual, um usando o tipo de gateway 'Vpn' e o outro usando o tipo de gateway ExpressRoute.