当前位置: 首页 > Microsoft Azure > 正文

Microsoft Azure VPN介绍

企业业务迁移到云端之后,很多时候仍然需要和本地网络互联,以实现数据交互,这个时候就需要利用VPN或者专线服务。Microsoft Azure提供了平台级VPN以及专线服务。

什么是VPN网关?VPN网关是特定类型的虚拟网关,用于跨公共Internet在Azure虚拟网络和本地位置之间发送加密的流量。也可使用VPN网关在基于Microsoft网络的 Azure虚拟网络之间发送加密流量。每个虚拟网络只能有一个VPN网关。 但是,可以创建连接到相同VPN网关的多个连接。与同一个VPN网关建立多个连接时,所有VPN隧道共享可用的网关带宽。

什么是虚拟网关?虚拟网关由两个或更多虚拟机组成,这些虚拟机会部署到所创建的名为”网关子网”的特定子网。创建虚拟网关时,将创建位于网关子网中的 VM。 虚拟网络网关VM配置为包含特定于该网关的路由表和网关服务。 无法直接配置属于虚拟网关的VM,且绝不应该将其他资源部署到网关子网。

创建虚拟网关可能需要多达45分钟才能完成。创建虚拟网关时,会将网关 VM部署到网关子网,并使用指定的设置进行配置。配置的设置之一是网关类型。 网关类型”vpn”指定创建的虚拟网关类型为VPN网关。 在创建VPN网关以后,即在一个VPN网关和另一个VPN网关之间(VNet 到 VNet)创建 IPsec/IKEVPN隧道连接,或者VPN网关和本地VPN设备(站点到站点)之间创建跨界 IPsec/IKEVPN隧道连接。也可创建点到站点VPN连接(基于IKEv2或SSTP的 VPN),以便从远程位置(例如从会议或家)连接到虚拟网络。

在Azure平台中,我们可以部署点到站点、站点到站点以及虚拟网络到虚拟网络VPN,以下是其SKU信息。

SKU

S2S/VNetVNet隧道

P2S连接

最大带宽吞吐量

VpnGw1

最大 30

最大 128

650 Mbps

VpnGw2

最大 30

最大 128

1 Gbps

VpnGw3

最大 30

最大 128

1.25 Gbps

基本

最大 10个

最大 128

100 Mbps

站点到站点(IPsec/IKE VPN隧道)

站点到站点 (S2S) VPN 网关连接是通过IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道建立的连接。S2S连接可用于跨界和混合配置。S2S连接要求位于本地的VPN 设备分配有一个公共IP地址,并且不位于NAT后面


多站点(IPsec/IKE VPN隧道)

此类型的连接是站点到站点连接的变体。从虚拟网络网关创建多个VPN连接,通常情况下连接到多个本地站点。使用多个连接时,必须使用RouteBased VPN 类型(使用经典 VNet 时称为动态网关)。由于每个虚拟网络只能有一个 VPN 网关,因此通过该网关的所有连接都共享可用带宽。 此类连接通常称为”多站点″连接。


点到站点(基于 IKEv2或SSTP的VPN)

点到站点 (P2S) VPN 网关连接用于创建从单个客户端计算机到虚拟网络的安全连接。可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure VNet 的远程工作者,此解决方案很有用。如果只有一些客户端需要连接到 VNet,则还可以使用 P2S VPN这一解决方案来代替 S2S VPN。

与 S2S 连接不同,P2S 连接不需要本地面向公众的IP地址或VPN设备。 可以通过同一 VPN 网关将 P2S 连接与 S2S 连接结合使用,前提是这两种连接的所有配置要求都兼容。


VNet到VNet连接(IPsec/IKE VPN隧道)

将一个虚拟网络连接到另一个虚拟网络(VNet 到 VNet)类似于将 VNet 连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样,便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。

连接的 VNet 可以:

  • 在相同或不同的区域中
  • 在相同或不同订阅中
  • 在相同或不同部署模型中


ExpressRoute(专用连接)

使用 ExpressRoute可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Azure 云。使用 ExpressRoute可与Azure云服务建立连接。可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在共置设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。

ExpressRoute 连接不通过公共 Internet。与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性。

ExpressRoute连接使用虚拟网关作为其所需配置的一部分。在 ExpressRoute 连接中,虚拟网络网关的网关类型配置为”ExpressRoute”而不是”Vpn”。 虽然经 ExpressRoute 线路传送的流量默认不加密,但可以创建一项解决方案,通过 ExpressRoute 线路来发送加密的流量。

站点到站点和ExpressRoute共存连接

ExpressRoute是从WAN(不通过公共 Internet)到Microsoft服务(包括 Azure)的直接专用连接。站点到站点VPN流量以加密方式通过公共 Internet 传输。 能够为同一个虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接可带来诸多好处。

可以将站点到站点VPN配置为ExpressRoute的安全故障转移路径,或者使用站点到站点VPN 连接到不属于网络但却已通过 ExpressRoute 进行连接的站点。 请注意,对于同一虚拟网络,此配置需要两个虚拟网络网关,一个使用”Vpn”网关类型,另一个使用”ExpressRoute”网关类型。



企业生产环境使用哪种网络连接方式可以参考下表对比


下面章节将介绍具体如何实现Azure VPN服务

本文固定链接: http://365vcloud.net/2018/08/18/microsoft-azure-vpn-overview/ | Eric的学习之路

该日志由 TingXu 于2018年08月18日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Microsoft Azure VPN介绍 | Eric的学习之路
关键字: ,