Azure VPN网关
作者:互联网
同一资源组和订阅中的Azure资源可以通过Azure虚拟网络进行相互连接,但是位于不同资源组和订阅中的Azure资源之间就需要使用Azure VPN网关进行连接。
关于虚拟网关:
每个虚拟网络只能由一个VPN网关,并且连接到该网关上的连接共享一个可用的宽带。
每个虚拟网关中至少配置两个虚拟机(VMs)。
这些VM需要部署到名为“gateway subnet(网关子网)”的特殊子网上,并包含连接到其他网络所需的路由表,以及特定的网关服务。这些VM和网关类似于强化的网络设备,无需配置这些VM(在创建虚拟网关时会自动配置),也不得将任何其他资源部署到"gateway subnet(网关子网)"。
完成虚拟网关的创建需要一些时间,因此必须进行适当的计划。
密钥设置代表网关类型,网关类型确定网关的工作方式。对于VPN网关,网关类型为“VPN”。
VPN网关选项包括:
基于 IPsec/IKE VPN 隧道的网络到网络连接,将 VPN 网关连接到其他 VPN 网关。(站点到站点)
跨界 IPsec/IKE VPN 隧道,用于通过专用 VPN 设备将本地网络连接到 Azure,以便创建站点到站点连接。(点到站点,基于IPsec/IKE VPN隧道)
基于 IKEv2 或 SSTP 的点到站点连接,用于将客户端计算机链接到 Azure 中的资源。(点到站点,基于IKEv2或SSTP)
规划Azure网关,需要考虑的因素包括:
吞吐量-Mbps或Gbps
主干-Internet或专用
公用(静态)IP地址的可用性
VPN设备兼容性
多个客户端连接或一个站点到站点连接
VPN网关类型
Azure VPN网关SKU
下表汇总了这些规划问题的其中一部分。 其余的将稍后进行介绍。
| 点到站点 | 站点到站点 | ExpressRoute | |
|---|---|---|---|
| Azure 支持的服务 | 云服务和 VM | 云服务和 VM | 所有支持的服务 |
| 典型带宽 | 取决于 VPN 网关 SKU | 取决于 VPN 网关 SKU | 请参阅 ExpressRoute 带宽选项 |
| 支持的协议 | SSTP 和 IPsec | IPsec | 直接连接、VLAN |
| 路由 | RouteBased(动态) | PolicyBased(静态)和 RouteBased | BGP |
| 连接复原 | 主动-被动 | 主动-被动或主动-主动 | 主动-主动 |
| 用例 | 测试和原型设计 | 开发、测试和小规模生产 | 企业/任务关键型 |
工作流程:
使用Azure上的虚拟专用网络设计云连接策略时,应该应用以下工作流程:
1.设计连接拓扑,列出所有连接网络的地址空间
2.创建Azure虚拟网络
3.为虚拟网络创建VPN网关
4.根据需要创建并配置与本地网络或其他虚拟网络的连接
5.根据需要船舰并配置Azure网关的店到站点连接
Azure网关设计注意事项:
设计用于连接虚拟网络的VPN网关时,必须考虑以下因素:
子网不能重复 必须确保一个位置的子网不包含另一位置的地址空间。
IP 地址必须独一无二 不能让不同位置的两个主机具有相同的 IP 地址,因为不可能在这两个主机之间路由流量,网络到网络的连接会失败。
VPN 网关需要名为 GatewaySubnet 的网关子网 必须使用此名称才能让网关运行,且不应包含任何其他资源。
RouteBased
基于路由的 VPN 设备使用任意到任意(通配符)流量选择器,并让路由/转发表将流量直接导向不同的 IPsec 隧道。 基于路由的连接通常基于路由器平台,其中每个 IPsec 隧道都被建模为网络接口或虚拟隧道接口 (VTI)。
PolicyBased
基于策略的 VPN 设备结合使用两个网络的前缀组合来定义流量通过 IPsec 隧道加密/解密的方式。 基于策略的连接通常基于执行数据包筛选的防火墙设备。 数据包筛选和处理引擎添加了 IPsec 隧道加密和解密。
设置VPN网关
1.创建虚拟网络
2.添加网关子网
3.指定DNS服务器
4.创建虚拟网络网关
5.生成证书
6.添加客户端地址池
7.配置隧道类型
8.配置身份验证类型
9.上传根证书的公共证书数据
10.安装已导出的客户端证书
11.生成和安装VPN客户端配置包
12.连接到Azure
由于Azure VPN网关有多个配置路径,每个路径有多个选项。
配置网关
创建网关以后,需要对其进行配置,名称、位置、DNS服务器等。
标签:网关,站点,虚拟,Azure,VPN,连接 来源: https://blog.csdn.net/qq_42261580/article/details/118596515