Conectar redes locais ao Azure usando gateways de VPN site a site
Uma VPN (rede virtual privada) é um tipo de rede interconectada privada. As VPNs usam um túnel criptografado em outra rede. Eles normalmente são implantados para conectar duas ou mais redes privadas confiáveis umas às outras por uma rede não confiável (normalmente a Internet pública). O tráfego é criptografado ao viajar pela rede não confiável para evitar interceptação ou outros ataques.
Para o provedor de serviços de saúde em nosso cenário, as VPNs podem ajudar os profissionais de saúde a compartilhar informações confidenciais entre os locais. Por exemplo, digamos que um paciente precise de cirurgia em uma instalação especializada. A equipe cirúrgica precisa ser capaz de ver os detalhes do histórico médico do paciente. Esses dados médicos são armazenados em um sistema no Azure. Uma VPN que conecta a instalação ao Azure permite que a equipe cirúrgica acesse essas informações com segurança.
Gateways de VPN do Azure
Um gateway de VPN é um tipo de Gateway de Rede Virtual. Os gateways de VPN são implantados em redes virtuais do Azure e habilitam a seguinte conectividade:
- Conecte datacenters locais a redes virtuais do Azure por meio de uma conexão site a site .
- Conecte dispositivos individuais a redes virtuais do Azure por meio de uma conexão ponto a site .
- Conecte redes virtuais do Azure a outras redes virtuais do Azure por meio de uma conexão rede a rede .
Todos os dados transferidos são criptografados em um túnel privado à medida que cruzam a Internet. Você pode implantar apenas um gateway de VPN em cada rede virtual, mas pode usar um gateway para se conectar a vários locais, incluindo outras redes virtuais do Azure ou datacenters locais.
Ao implantar um gateway de VPN, especifique o tipo VPN: baseado em política ou em rota. A principal diferença entre esses dois tipos de VPN é como o tráfego criptografado é especificado.
VPNs baseadas em política
Gateways de VPN baseados em política especificam estaticamente o endereço IP de pacotes que devem ser criptografados por meio de cada túnel. Esse tipo de dispositivo avalia cada pacote de dados em relação a esses conjuntos de endereços IP para escolher o túnel pelo qual esse pacote será enviado. Os gateways de VPN baseados em política são limitados nos recursos e conexões que podem dar suporte. Os principais recursos dos gateways de VPN baseados em políticas no Azure incluem:
- Suporte apenas para IKEv1.
- Uso de roteamento estático, em que combinações de prefixos de endereço de ambas as redes controlam como o tráfego é criptografado e descriptografado por meio do túnel VPN. A origem e o destino das redes túnel são declaradas na política e não precisam ser declaradas em tabelas de roteamento.
- As VPNs baseadas em política devem ser usadas em cenários específicos que as exijam, como para compatibilidade com dispositivos VPN locais herdados.
VPNs baseadas em rotas
Se a definição de quais endereços IP estão por trás de cada túnel for muito complicada para sua situação ou se você precisar de recursos e conexões que os gateways baseados em política não dão suporte, você deverá usar gateways baseados em rota. Com gateways baseados em rota, os túneis IPSec são modelados como um adaptador de rede ou um VTI (interface de túnel virtual). O roteamento IP (rotas estáticas ou protocolos de roteamento dinâmico) determina através de qual interface de túnel enviar cada pacote. As VPNs baseadas em rota são o método de conexão preferencial para dispositivos locais porque são mais resilientes a alterações de topologia, como a criação de novas sub-redes, por exemplo. Use um gateway de VPN baseado em rota se precisar de qualquer um dos seguintes tipos de conectividade:
- Conexões entre redes virtuais
- Conexões ponto a site
- Conexões multissite
- Coexistência com um gateway do Azure ExpressRoute
Os principais recursos de gateways de VPN baseados em rota no Azure incluem:
- Compatibilidade com IKEv2.
- Usa seletores de tráfego de qualquer ponto a qualquer ponto (curinga).
- Pode usar protocolos de roteamento dinâmico, em que tabelas de roteamento/encaminhamento direcionam o tráfego para diferentes túneis IPSec. Nesse caso, as redes de origem e de destino não são definidas estaticamente, pois estão em VPNs baseadas em política ou até mesmo em VPNs baseadas em rota com roteamento estático. Em vez disso, os pacotes de dados são criptografados, com base em tabelas de roteamento de rede criadas dinamicamente usando protocolos de roteamento, como BGP (Border Gateway Protocol).
Ambos os tipos de gateways de VPN (baseados em rota e baseados em política) no Azure usam a chave pré-compartilhada como o único método de autenticação. Ambos os tipos também dependem do IKE (Internet Key Exchange) na versão 1 ou versão 2 e no IPSec (Internet Protocol Security). O IKE é usado para configurar uma associação de segurança (um contrato da criptografia) entre dois pontos de extremidade. Essa associação é então passada para o pacote IPSec, que criptografa e descriptografa pacotes de dados encapsulados no túnel VPN.
Tamanhos de gateway de VPN
A SKU ou o tamanho que você escolher implantar determina os recursos do gateway de VPN. Esta tabela mostra um exemplo de alguns dos SKUs de gateway. Os números nesta tabela estão sujeitos a alterações a qualquer momento. Para obter as informações mais recentes, consulte SKUs de Gateway na documentação do Gateway de VPN do Azure. O SKU de gateway básico só deve ser usado para cargas de trabalho de Desenvolvimento/Teste. Além disso, não há suporte para a migração do SKU Básico para um SKU VpnGw#/Az posteriormente sem precisar remover e reimplantar o gateway.
|
VPN Porta de entrada Geração |
SKU |
S2S/VNet para VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregar Parâmetro de comparação de taxa de transferência |
BGP | Com redundância de zona | Número de VMs com suporte na Rede Virtual |
|---|---|---|---|---|---|---|---|---|
| Geração1 | Básico | Max. 10 | Max. 128 | Sem suporte | 100 Mbps | Sem suporte | Não | 200 |
| Geração1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Suportado | Não | 450 |
| Geração1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Suportado | Não | 1.300 |
| Geração1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Suportado | Não | 4000 |
| Geração1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Suportado | Yes | 1000 |
| Geração1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Suportado | Yes | 2000 |
| Geração1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Suportado | Yes | Cinco mil |
| Geração2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Suportado | Não | 685 |
| Geração2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Suportado | Não | 2240 |
| Geração2 | VpnGw4 | Max. 100* | Max. 128 | Max. Cinco mil | 5 Gbps | Suportado | Não | 5300 |
| Geração2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Suportado | Não | 6700 |
| Geração2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Suportado | Yes | 2000 |
| Geração2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Suportado | Yes | 3.300 |
| Geração2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. Cinco mil | 5 Gbps | Suportado | Yes | 4400 |
| Geração2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10.000 | 10 Gbps | Suportado | Yes | 9.000 |
Implantar gateways de VPN
Antes de implantar um gateway de VPN, você precisa de alguns recursos locais e do Azure.
Recursos necessários do Azure
Você precisa desses recursos do Azure antes de implantar um gateway de VPN operacional:
- Rede virtual: implante uma rede virtual do Azure com espaço de endereço suficiente para a sub-rede extra necessária para o gateway de VPN. O espaço de endereço dessa rede virtual não deve se sobrepor à rede local à qual você está se conectando. Lembre-se de que você pode implantar apenas um gateway de VPN em uma rede virtual.
-
GatewaySubnet: implantar uma sub-rede chamada
GatewaySubnetpara o gateway de VPN. Use pelo menos uma máscara de endereço /27 para garantir que você tenha endereços IP suficientes na sub-rede para crescimento futuro. Você não pode usar essa sub-rede para outros serviços. - Endereço IP público: crie um endereço IP público Basic-SKU dinâmico se estiver usando um gateway sem reconhecimento de zona. Esse endereço fornece um endereço IP roteável público como o destino do dispositivo VPN local. Esse endereço IP é dinâmico, mas não é alterado, a menos que você exclua e crie novamente o gateway de VPN.
- Gateway de rede local: crie um gateway de rede local para definir a configuração da rede local. Especificamente, onde o gateway de VPN se conecta e ao que ele se conecta. Essa configuração inclui o endereço IPv4 público do dispositivo VPN local e as redes roteáveis locais. Essas informações são usadas pelo gateway de VPN para rotear pacotes destinados a redes locais por meio do túnel IPSec.
- Gateway de rede virtual: crie o gateway de rede virtual para rotear o tráfego entre a rede virtual e o datacenter local ou outras redes virtuais. O gateway de rede virtual pode ser configurado como um gateway de VPN ou um gateway do ExpressRoute, mas este módulo lida apenas com gateways de rede virtual VPN.
-
Conexão: crie um recurso de conexão para criar uma conexão lógica entre o gateway de VPN e o gateway de rede local. Você pode criar várias conexões com o mesmo gateway.
- A conexão é realizada com o endereço IPv4 do dispositivo VPN local conforme definido pelo gateway de rede local.
- A conexão é realizada do gateway de rede virtual e seu endereço IP público associado.
O diagrama a seguir mostra essa combinação de recursos e suas relações para ajudá-lo a entender melhor o que é necessário para implantar um gateway de VPN:
Recursos locais necessários
Para conectar seu datacenter a um gateway de VPN, você precisa desses recursos locais:
- Um dispositivo VPN que dá suporte a gateways de VPN baseada em política ou em rota
- Um endereço IPv4 voltado para o público (roteável pela Internet)
Cenários de alta disponibilidade
Há várias maneiras de garantir que você tenha uma configuração tolerante a falhas.
Ativo/em espera
Por padrão, os gateways de VPN são implantados como duas instâncias em uma configuração ativa/em espera , mesmo que você veja apenas um recurso de gateway de VPN no Azure. Quando a manutenção planejada ou a interrupção não planejada afeta a instância ativa, a instância de modo de espera assume automaticamente a responsabilidade pelas conexões sem nenhuma intervenção do usuário. Durante esse failover, as conexões são interrompidas, mas normalmente são restauradas em alguns segundos para manutenção planejada e dentro de 90 segundos em caso de interrupções não planejadas.
Ativo/ativo
Com a introdução do suporte para o protocolo de roteamento BGP, você também pode implantar gateways de VPN em uma configuração ativa/ativa . Nessa configuração, você atribui um endereço IP público exclusivo a cada instância. Em seguida, cria túneis do dispositivo local para cada endereço IP. Você pode estender a alta disponibilidade implantando outro dispositivo VPN local.
Failover do ExpressRoute
Outra opção de alta disponibilidade é configurar um gateway de VPN como um caminho de failover seguro para conexões ExpressRoute. Os circuitos do ExpressRoute têm resiliência interna, mas não são imunes a problemas físicos que afetam os cabos que fornecem conectividade ou interrupções que afetam a localização completa do ExpressRoute. Em cenários de alta disponibilidade, em que há risco associado a uma interrupção de um circuito do ExpressRoute, você também pode configurar um gateway de VPN que usa a Internet como um método alternativo de conectividade, garantindo que sempre haja uma conexão com as redes virtuais do Azure.
Gateways com redundância de zona
Em regiões que dão suporte a zonas de disponibilidade, você pode implantar gateways VPN e ExpressRoute em uma configuração com redundância de zona. Essa configuração oferece resiliência, escalabilidade e maior disponibilidade para os gateways de rede virtual. A implantação de gateways em Zonas de Disponibilidade do Azure separa fisicamente e logicamente os gateways em uma região, protegendo sua conectividade de rede local com o Azure contra falhas no nível da zona. Eles exigem SKUs de gateway diferentes e usam endereços IP públicos padrão ao invés de endereços IP públicos básicos.