Шлюз vpn что это такое
Сведения о VPN-шлюзе
VPN-шлюз — это особый тип шлюза виртуальной сети, используемый для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. Каждая виртуальная сеть может иметь только один VPN-шлюз. Однако к одному VPN-шлюзу можно создать несколько подключений. При создании нескольких подключений к одному VPN-шлюзу все VPN-туннели совместно используют доступную для этого шлюза пропускную способность.
Что такое шлюз виртуальной сети
Шлюз виртуальной сети состоит из двух или более виртуальных машин, развернутых в определенной создаваемой подсети, которая называется подсетью шлюза. Виртуальные машины шлюза виртуальной сети содержат таблицы маршрутизации и запускают определенные службы шлюза. Эти виртуальные машины создаются при создании шлюза виртуальной сети. Вы не можете напрямую настраивать виртуальные машины, которые являются частью шлюза виртуальной сети.
Настраивая шлюз виртуальной сети, вы настраиваете параметр, указывающий тип шлюза. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети и какие действия он будет предпринимать. VPN-шлюз — это созданный шлюз виртуальной сети типа VPN. Этим он отличается от шлюза ExpressRoute, который использует другой тип шлюза. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute. Дополнительные сведения см. в разделе Типы шлюзов.
Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. При создании шлюза виртуальной сети связанные виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые указанные параметры. Создав VPN-шлюз, вы можете создать подключение VPN-туннеля IPsec/IKE между этим и другим VPN-шлюзом (подключение «виртуальная сеть — виртуальная сеть») или создать распределенное подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством (подключение «сеть — сеть»). Вы также можете создать VPN-подключение типа «точка — сеть» (VPN-подключение по протоколу OpenVPN, IKEv2 или SSTP), которое позволяет подключиться к виртуальной сети из удаленного расположения, например во время конференции или из дома.
Настройка VPN-шлюза
При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. Большинство этих ресурсов можно настроить по отдельности, однако некоторые из них следует настраивать в определенном порядке.
Конструирование
Важно знать, что существуют различные конфигурации подключения к VPN-шлюзу. Вам нужно определить, какая из конфигураций наилучшим образом соответствует вашим требованиям. Например, для подключений «точка — сеть», «сеть — сеть» и параллельных подключений ExpressRoute и «сеть — сеть» используются различные инструкции и требования к конфигурации. Сведения о макетах и схемах топологии подключения см.в разделе Конструктор.
Таблица планирования
Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения.
Как выбрать корпоративный VPN-шлюз
Для чего нужны VPN-шлюзы, есть ли будущее у этого класса решений и какие параметры необходимо учитывать, выбирая средство криптографической защиты каналов связи — объясняют представители вендоров, сервис-провайдеров, системных интеграторов и заказчиков, действующих на отечественном рынке.
Введение
Отечественный рынок криптошлюзов растёт во многом благодаря активной политике регуляторов, обязывающих компании защищать каналы связи. С другой стороны, многие организации испытывают актуальную потребность в реальной, а не «бумажной» безопасности передаваемых данных, и массовый переход на удалённую работу лишь усилил эту тенденцию. Что же определяет выбор корпоративного VPN-шлюза — его функциональные возможности, цена или же наличие необходимых сертификатов? Об этом шла речь на очередном прямом эфире проекта AM Live, где встретились сразу девять экспертов, работающих в этом секторе рынка. Представляем вам наиболее интересные тезисы их беседы.
В студии Anti-Malware.ru собрались:
Ведущим и модератором дискуссии выступил Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».
Как может быть реализован VPN-шлюз
В первой части прямого эфира мы предложили спикерам рассказать о типовых сценариях применения криптошлюзов и кратко охарактеризовать ключевые параметры, которые влияют на выбор того или иного варианта реализации.
Павел Луцик:
— Технически существуют два сценария применения криптошлюзов: «site-to-site» (объединение площадок) и «client-to-site» (remote VPN). Что же касается практических вариантов применения криптошлюзов, то в последнее время востребованны защита каналов видеосвязи, телемедицина, защищённый доступ к порталу Госуслуг.
Сергей Халяпин:
— В общем случае можно говорить о сценарии доступа пользователя к своим ресурсам. Это может быть защищённый канал связи с IDM-системой, облачной площадкой или единой точкой входа, через которую уже будет осуществляться маршрутизация на остальные ресурсы.
Павел Коростелев:
— Сценарий «site-to-site» предусматривает два набора требований. Первый — это территориально распределённая сеть или КСПД (корпоративная сеть передачи данных): например, десяток филиалов, объединённых в общую VPN-сеть. Второй вариант — это защищённый канал между двумя центрами обработки данных.
Андрей Шпаков:
— Задачи защиты КСПД можно разделить на VPN на основе политик и VPN на основе маршрутизации. Последний вариант становится актуальным, когда число площадок возрастает до нескольких тысяч устройств. Если же говорить о защите магистральных каналов, то обычно там используются низкоуровневые решения и топология «точка-точка».
Сергей Кузнецов:
— С моей точки зрения, говоря о защите высоконагруженных каналов, нельзя ограничиваться архитектурой «точка-точка». На российском рынке практически нет решений архитектуры «точка-многоточка», однако на мировом рынке они весьма востребованны. Мы выступаем за защиту канала на уровне L2, поскольку только такой подход может гарантировать отсутствие задержек.
Илья Шарапов:
— Не следует забывать, что защита по сценарию «site-to-site» может быть реализована на уровне как программного обеспечения, так и аппаратного. В этом случае заказчик может выбирать вариант реализации с точки зрения, например, скоростных характеристик защищённого канала.
Александр Веселов:
— В период пандемии появилось большое количество виртуальных шлюзов, которые можно просто загрузить и быстро реализовать удалённый доступ к ним. Такой подход стал промежуточным решением между шифрованием от западных поставщиков оборудования — по сути, «из коробки» — и собственной, сертифицированной по ГОСТ, фермой, которую необходимо развернуть в центре обработки данных.
Алексей Данилов:
— Хочу отметить, что с ростом числа сотрудников работающих удалённо выросла потребность в сценариях «client-to-client», то есть в организации VPN-соединения напрямую между пользователями. Такие каналы используются для быстрых коммуникаций, видеоконференций, телефонии и других задач.
Как объяснили наши эксперты, при реализации связи типа «точка-точка» (например, между двумя центрами обработки данных) существенных изменений в спросе и технологических решениях не произошло. Там используются поточные шифраторы, в том числе и отечественной разработки, обеспечивающие хорошую скорость соединения. С другой стороны, спикеры отметили рост потребности в создании более производительных каналов связи между ЦОДами. В ряде случаев речь идёт о соединениях с пропускной способностью более 100 ГБ, требующих целого кластера VPN-шлюзов.
В свою очередь сценарий организации удалённого доступа пользователя к своему ресурсу в период пандемии продемонстрировал значительный рост, и основные проблемы с масштабируемостью произошли именно в этом секторе. При этом изменились не только масштабы и технологические решения, такие как использование специализированных балансировщиков для распределения нагрузки между десятками тысяч VPN-подключений, но и сроки реализации проектов: они стали гораздо короче.
Более половины зрителей прямого эфира используют VPN-шлюзы как для защиты удалённого доступа, так и для организации канала «site-to-site» — за этот вариант высказались 57 % участников опроса. Применяют криптошлюз только для обеспечения безопасности удалённого доступа 27 % респондентов, а ещё 16 % заботятся только о шифровании соединений между интернет-ресурсами.
Рисунок 1. Для решения каких задач используется решение с модулем криптографии или криптошлюз в вашей организации?
Рассуждая на тему того, как сценарии использования криптошлюза связаны с необходимым уровнем сертификации, эксперты отметили, что в этом вопросе первична модель угроз. При этом класс защиты может быть явно указан в нормативной документации или самостоятельно определён организацией. Важно понимать, что класс защиты СКЗИ определяет защищённость самого СКЗИ, а не диктуется сценарием применения криптошлюза. Если в законодательстве не прописаны чёткие требования к уровню защиты, специалисты рекомендуют применять самый низкий класс сертификации.
Технические особенности выбора VPN-шлюза
Вторая часть беседы была посвящена вопросам реализации конкретных моделей использования криптографических шлюзов и ключевым параметрам, которые необходимо учитывать при выборе решений этого класса. В частности, мы предложили экспертам рассказать, чем отличаются и когда используются различные уровни шифрования VPN-шлюзов.
По мнению гостей онлайн-конференции, уровень защиты во многом диктуется моделью использования шлюзов. Так, для КСПД существуют разнообразные технические средства реализации уровня защиты L3, однако проектирование работающей L2-сети в этом случае затруднено, хоть и принципиально возможно. Что же касается уровня L4, то он фактически становится стандартом для доступа как к публичным интернет-ресурсам, так и к корпоративным площадкам. Спикеры прямого эфира отметили также, что для решения разных задач могут быть эффективны решения с разным уровнем защиты.
Отвечая на вопрос о том, какой сетевой уровень шифрования им необходим, 55 % зрителей прямого эфира выбрали вариант «L3». За «L2» проголосовали 23 %, а «L1» и «L4» набрали 9 % и 13 % голосов респондентов соответственно.
Рисунок 2. Шифрование на каком сетевом уровне вам необходимо?
Важными критериями выбора VPN-шлюза являются возможность резервирования данных и отказоустойчивость решения. Собранные AM Live эксперты напомнили, что необходимо принимать во внимание отказоустойчивость каналов связи, оборудования и систем управления. Важными параметрами также являются скорость переключения на рабочий кластер в случае нештатной ситуации и скорость восстановления системы до нормального состояния.
Спикеры конференции также обратили внимание, что нередко аппаратное обеспечение не имеет того уровня наработки на отказ, который заявляется поставщиком. Поэтому для оборудования используемого на магистральных каналах важно не забывать о базовых средствах отказоустойчивости, таких как двойное питание или резервные системы охлаждения.
По мнению зрителей онлайн-конференции наиболее важным фактором при выборе VPN-шлюза является совокупность его функциональных возможностей. Такой точки зрения придерживаются 32 % опрошенных. Важность сертификации отметили 19 % респондентов, а удобство эксплуатации — 18 %. В первую очередь обращают внимание на стоимость решения 14 % участников опроса. Ещё 17 % зрителей затруднились с ответом.
Рисунок 3. Что является наиболее важным фактором выбора криптошлюза?
Альтернативные варианты решений для защиты каналов связи
Ещё одна тема, поднятая модератором дискуссии, касалась возможных альтернатив VPN-шлюзам, а также способов интеграции решений для криптографической защиты канала с другими средствами безопасности — например, межсетевыми экранами.
Помимо криптошлюзов для защиты каналов могут быть использованы аппаратные шифраторы, обладающие высокой производительностью, а также их виртуальные аналоги, которые обладают достаточной гибкостью для работы практически на всех уровнях модели OSI. Помимо этого, существуют небольшие, одноплатные решения в форм-факторе трансивера и модули, которые могут быть встроены в IoT-устройства.
Эксперты отметили, что если за рубежом решения по безопасности нередко являются частью экосистемы определённого вендора, то в России рынок VPN-шлюзов — закрытый: на нём действуют компании сертифицированные регуляторами. Производители решений класса UTM (Unified Threat Management) практически лишены шанса получить необходимую сертификацию. В таких условиях существуют два пути развития:
В последнем случае необходимо решить ряд вопросов связанных с разработкой единой среды управления решением, а также наладить процесс дальнейшего развития и поддержки продукта. Специалисты дали прогноз, что отдельные криптошлюзы как устройства постепенно уйдут с отечественного рынка, уступив место интегрированным системам, точно так же, как это произошло на глобальном уровне. Есть и другая точка зрения: как правило, универсальные системы стоят дешевле, однако их эффективность по сравнению со специализированными решениями ниже.
Эксперты отметили, что успешная интеграция может быть осуществлена в облаке — на уровне сервис-провайдера. В этом случае вопросы совместимости решает поставщик услуг, а клиент получает универсальное решение с необходимыми функциональными возможностями.
Прогнозы и перспективы рынка
В заключительном блоке онлайн-конференции Лев Палей предложил спикерам поделиться своим видением будущего корпоративных VPN-шлюзов и рассказать о тенденциях, которые будут определять рынок в ближайшие годы.
По мнению наших экспертов, существует большая потребность в росте скорости криптошлюзов и решения этого класса будут развиваться, чтобы удовлетворить этот запрос. На рынке будут действовать интеграционные процессы, однако результат такого движения пока неясен. Драйверами индустрии VPN-шлюзов будут устройства интернета вещей, технологии 5G, а также дальнейший рост популярности удалённой работы. Новыми нишами для средств криптографической защиты могут стать АСУ ТП и предприятия добывающей промышленности.
Поскольку поддержка защищённых VPN-каналов в масштабе предприятия требует высокого уровня экспертизы, заказчики будут всё чаще менять модель использования таких ИБ-решений, отдавая организацию криптошлюзов сервис-провайдерам. Эксперты также отметили постепенный переход на платформы отечественных производителей, которые по своим возможностям будут всё ближе к зарубежным аналогам. Важным трендом станет увеличение внимания к UX-составляющей криптошлюзов, повышению удобства работы с ними.
Спикеры прямого эфира отметили, что чем более проприетарными будут технологии средств криптозащиты, тем более безопасными они окажутся. В нынешних условиях заказчик вынужден решать одновременно две задачи: защищать данные и соблюдать требования законодательства. И не всегда существует одно решение, которое может быть использовано для удовлетворения сразу обеих этих потребностей. С регуляторикой связан и ещё один тренд: некоторое ослабление требований контролирующих органов по мере всё большего охвата ими различных отраслей деятельности.
Другая точка зрения, высказанная экспертами, — рынок криптошлюзов обречён и в ближайшие пять лет такие решения превратятся в нишевый продукт. Их место займут универсальные решения и локализованное оборудование. Тем не менее класс TLS-шлюзов будет развиваться для решения задач удалённого доступа и доступа к государственным порталам. Это приведёт к тому, что в отечественном сегменте интернета стандартом «де-факто» станет TLS с поддержкой алгоритмов ГОСТ.
По традиции мы спросили зрителей конференции AM Live о том, каким стало их мнение о корпоративных средствах криптозащиты после эфира. Почти треть опрошенных — 32 % — выбрали вариант «Мы уже достаточно настрадались». С другой стороны, 27 % зрителей после просмотра дискуссии убедились в правильности выбранного ранее решения, а 17 % заинтересовались темой и будут тестировать один из криптошлюзов. Заявили о том, что отдельные криптошлюзы им не интересны, 9 % респондентов. Ещё 2 % будут менять используемое решение. Не поняли, о чём шла речь, 13 % участников опроса.
Рисунок 4. Каково ваше мнение по итогам эфира?
Выводы
При выборе средств криптографической защиты каналов связи необходимо учитывать не только функциональные возможности того или иного решения, но и его соответствие требованиям регуляторов. Рассматривая различные варианты VPN-шлюзов, стоит задуматься о сценариях их использования, а также решить вопросы интеграции с другими ИБ-системами. В ряде случаев специализированная система будет лучше обеспечивать безопасность канала, однако универсальные, многофункциональные решения чаще всего обладают лучшей экономической эффективностью.
Шлюз vpn что это такое
Сведения о VPN-шлюзе
VPN-шлюз — это особый тип шлюза виртуальной сети, используемый для отправки зашифрованного трафика между виртуальной сетью Azure и локальным расположением через общедоступный Интернет. Его также можно использовать для обмена зашифрованным трафиком между виртуальными сетями Azure через сеть Майкрософт. Каждая виртуальная сеть может иметь только один VPN-шлюз. Однако к одному VPN-шлюзу можно создать несколько подключений. При создании нескольких подключений к одному VPN-шлюзу все VPN-туннели совместно используют доступную для этого шлюза пропускную способность.
Что такое шлюз виртуальной сети
Шлюз виртуальной сети состоит из двух или более виртуальных машин, развернутых в определенной создаваемой подсети, которая называется подсетью шлюза. Виртуальные машины шлюза виртуальной сети содержат таблицы маршрутизации и запускают определенные службы шлюза. Эти виртуальные машины создаются при создании шлюза виртуальной сети. Вы не можете напрямую настраивать виртуальные машины, которые являются частью шлюза виртуальной сети.
Настраивая шлюз виртуальной сети, вы настраиваете параметр, указывающий тип шлюза. Тип шлюза определяет, как будет использоваться шлюз виртуальной сети и какие действия он будет предпринимать. VPN-шлюз — это созданный шлюз виртуальной сети типа VPN. Этим он отличается от шлюза ExpressRoute, который использует другой тип шлюза. Виртуальная сеть может иметь два шлюза виртуальной сети: один VPN-шлюз и один шлюз ExpressRoute. Дополнительные сведения см. в разделе Типы шлюзов.
Создание шлюза виртуальной сети может длиться до 45 минут. При создании шлюза виртуальной сети связанные виртуальные машины развертываются в подсети шлюза и на них настраиваются необходимые указанные параметры. Создав VPN-шлюз, вы можете создать подключение VPN-туннеля IPsec/IKE между этим и другим VPN-шлюзом (подключение «виртуальная сеть — виртуальная сеть») или создать распределенное подключение VPN-туннеля IPsec/IKE между VPN-шлюзом и локальным VPN-устройством (подключение «сеть — сеть»). Вы также можете создать VPN-подключение типа «точка — сеть» (VPN-подключение по протоколу OpenVPN, IKEv2 или SSTP), которое позволяет подключиться к виртуальной сети из удаленного расположения, например во время конференции или из дома.
При подключении через VPN-шлюз используется ряд ресурсов, настроенных с определенными параметрами. Большинство этих ресурсов можно настроить по отдельности, однако некоторые из них следует настраивать в определенном порядке.
Важно знать, что существуют различные конфигурации подключения к VPN-шлюзу. Вам нужно определить, какая из конфигураций наилучшим образом соответствует вашим требованиям. Например, для подключений «точка — сеть», «сеть — сеть» и параллельных подключений ExpressRoute и «сеть — сеть» используются различные инструкции и требования к конфигурации. Сведения о макетах и схемах топологии подключения см.в разделе Конструктор.
Приведенная ниже таблица поможет вам подобрать наилучший вариант подключения для решения.
Правильный выбор параметров каждого ресурса критически важен для успешного создания подключения. Сведения об отдельных ресурсах и параметрах для VPN-шлюза см. в статье Сведения о параметрах VPN-шлюза. Эта статья содержит сведения о типах шлюзов, SKU шлюзов, типах VPN, типах подключения, подсетях шлюзов, локальных сетевых шлюзах и других интересующих параметрах ресурсов.
Создать и настроить ресурсы можно с помощью одного средства настройки, например портала Azure. Затем с помощью другого средства, например PowerShell, можно настроить дополнительные ресурсы или при необходимости внести изменения в имеющееся ресурсы. Сейчас на портале Azure можно настроить не все ресурсы и их параметры. В статьях с инструкциями по топологии каждого подключения указывается, нужно ли использовать определенное средство настройки.
Во время создания шлюза виртуальной сети укажите номер SKU шлюза, который вы хотите использовать. Выберите номер SKU, который соответствует требованиям, в зависимости от типов рабочих нагрузок, пропускной способности, функций и соглашений об уровне обслуживания.
Номера SKU шлюзов в зависимости от количества туннелей и подключений, и пропускной способности шлюзов
VPN-шлюзы можно развернуть в Зонах доступности Azure. В результате шлюзы виртуальной сети смогут работать на более высоких уровнях отказоустойчивости, масштабируемости и доступности. При развертывании в зонах доступности Azure происходит физическое и логическое разделение шлюзов в пределах региона с одновременной защитой локального сетевого подключения к Azure от сбоев на уровне зоны. Ознакомьтесь с разделом Избыточные между зонами шлюзы виртуальной сети в Зонах доступности Azure.
Часто задаваемые вопросы
Подпишитесь на RSS-канал и просматривайте последние обновления компонентов для VPN-шлюза на странице Обновления Azure.
Структура VPN-шлюза
Важно знать, что существуют различные конфигурации подключения к VPN-шлюзу. Вам нужно определить, какая из конфигураций наилучшим образом соответствует вашим требованиям. Далее приводятся сведения о структуре и схемы топологии для следующих типов подключения VPN-шлюза. Представленные здесь схемы и описания помогут вам выбрать топологию подключения в соответствии со своими требованиями. На схемах показаны основные базовые топологии. Руководствуясь этими схемами, можно создавать и более сложные конфигурации.
Подключение типа «сеть — сеть» и многосайтовое подключение (через VPN-туннель IPsec/IKE)
Подключение типа «сеть — сеть»
Подключение типа «сеть — сеть» (S2S) через VPN-шлюз — это подключение через туннель VPN по протоколу IPsec/IKE (IKEv1 или IKEv2). Подключения типа «сеть — сеть» можно использовать для распределенных и гибридных конфигураций. Для подключения типа «сеть — сеть» требуется локальное VPN-устройство, которому назначен общедоступный IP-адрес. Дополнительные сведения о выборе VPN-устройства см. в этом разделе.
VPN-шлюз можно настроить в режиме «активный — резервный» с одним общедоступным IP-адресом или в режиме «активный — активный» с двумя общедоступными IP-адресами. В режиме «активный — резервный» всегда активен один туннель IPsec, а другой находится в режиме ожидания. В этом варианте трафик проходит через активный туннель и переключается на резервный только в том случае, если возникла проблема с основным туннелем. Мы рекомендуем настраивать для VPN-шлюза режим «активный — активный», в котором оба туннеля IPsec одновременно активны и данные передаются через оба туннеля. Дополнительное преимущество режима «активный — активный» заключается в том, что клиенты получают более высокую пропускную способность.
Многосайтовые подключения
Такой тип подключения является вариантом подключения типа «сеть — сеть». В шлюзе виртуальной сети создается несколько VPN-подключений, как правило, к разным локальным сайтам. При работе с несколькими подключениями следует использовать тип VPN «RouteBased» (динамический шлюз для работы с классическими виртуальными сетями). Так как каждая виртуальная сеть может иметь только один VPN-шлюз, доступную пропускную способность шлюза используют все подключения. Этот тип подключения часто называется многосайтовым.
Модели и методы развертывания для подключений «сеть — сеть» и многосайтовых подключений
| Модель и метод развертывания | Портал Azure | PowerShell | Azure CLI |
|---|---|---|---|
| Resource Manager | Руководство Руководство+ | Руководство | Руководство |
| Классический | Руководство** | Руководство+ | Не поддерживается |
( ** ) говорится, что этот метод содержит действия, необходимые для работы PowerShell.
«+» означает, что данная инструкции в данной статье предназначены для подключения нескольких сайтов.
VPN-подключение типа «точка — сеть»
Подключение типа «точка — сеть» через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение типа «точка — сеть» сначала устанавливается на клиентском компьютере. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции. Такую конфигурацию также удобно использовать вместо VPN-подключения типа «сеть — сеть» при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети.
В отличие от подключений типа «сеть — сеть», для подключений типа «точка — сеть» локальный общедоступный IP-адрес или VPN-устройство не требуются. Подключения типа «точка — сеть» можно использовать с подключениями «сеть — сеть» через один и тот же VPN-шлюз при условии совместимости всех требований к конфигурации для обоих типов подключений. См. дополнительные сведения о подключениях типа «точка — сеть».
Модели и методы развертывания для типа подключения «точка — сеть»
Собственная проверка подлинности Azure на основе сертификата
| Модель и метод развертывания | Портал Azure | PowerShell |
|---|---|---|
| Resource Manager | Руководство | Руководство |
| Классический | Руководство | Поддерживается |
Проверка подлинности RADIUS
| Модель и метод развертывания | Портал Azure | PowerShell |
|---|---|---|
| Resource Manager | Поддерживается | Руководство |
| Классический | Не поддерживается | Не поддерживается |
Подключение между виртуальными сетями (через VPN-туннель IPsec/IKE)
Подключение типа «виртуальная сеть — виртуальная сеть» похоже на подключение виртуальной сети к локальному сайту. В обоих типах подключений используется VPN-шлюз для создания защищенного туннеля, использующего IPsec/IKE. Можно даже комбинировать подключение между виртуальными сетями с конфигурациями многосайтовых подключений. Это позволяет настраивать топологии сети, совмещающие распределенные подключения с подключениями между виртуальными сетями.
Подключаемые виртуальные сети могут относиться:
Подключения между моделями развертывания
Сейчас в Azure доступны два режима развертывания: классический и Resource Manager. Если вы использовали Azure какое-то время, вероятно, у вас есть виртуальные машины и роли экземпляров Azure, выполняемые в классической виртуальной сети. А более новые виртуальные машины и экземпляры ролей могут выполняться в виртуальной сети, созданной Resource Manager. Вы можете создать подключение между виртуальными сетями, чтобы ресурсы в одной виртуальной сети непосредственно взаимодействовали с ресурсами в другой.
Пиринговая связь между виртуальными сетями
Для создания подключения можно использовать пиринговую связь между виртуальными сетями, если виртуальная сеть соответствует определенным требованиям. При пиринговой связи между виртуальными сетями шлюз виртуальной сети не используется. Дополнительную информацию см. в статье Пиринговая связь между виртуальными сетями.
Модели и методы развертывания для подключения между виртуальными сетями
| Модель и метод развертывания | Портал Azure | PowerShell | Azure CLI |
|---|---|---|---|
| Классический | Руководство* | Поддерживается | Не поддерживается |
| Resource Manager | Руководство+ | Руководство | Руководство |
| Подключения между разными моделями развертывания | Руководство* | Руководство | Не поддерживается |
«+» означает, что этот метод развертывания доступен только для виртуальных сетей в одной подписке.
( * ) означает, что для этого метода развертывания также требуется PowerShell.
ExpressRoute (частное подключение)
ExpressRoute позволяет переносить локальные сети в Microsoft Cloud по частному подключению, которое обеспечивается поставщиком услуг подключения. ExpressRoute позволяет устанавливать подключения к облачным службам Майкрософт, таким как Microsoft Azure, Microsoft 365 и CRM Online. Это может быть подключение типа «любой к любому» (IP VPN), подключение Ethernet типа «точка-точка» или виртуальное кросс-подключение через поставщика услуг подключения на совместно используемом сервере.
Подключения ExpressRoute не проходят через общедоступный Интернет. Это обеспечивает повышенный уровень безопасности, надежности и быстродействия подключений ExpressRoute и более низкий уровень задержки по сравнению с типовыми подключениями через Интернет.
При подключениях с помощью ExpressRoute используется шлюз виртуальной сети, который является частью его базовой конфигурации. В подключении ExpressRoute для шлюза виртуальной сети задается тип шлюза «ExpressRoute», а не «Vpn». Хотя трафик, который передается по каналу ExpressRoute, не зашифрован по умолчанию, вы можете создать решение, которое позволяет отправить зашифрованный трафик по каналу ExpressRoute. Дополнительные сведения об ExpressRoute см. в техническом обзоре ExpressRoute.
Параллельные подключения «сеть — сеть» и ExpressRoute
ExpressRoute — это прямое частное подключение из глобальной сети (а не через общедоступное подключение к Интернету) к службам Майкрософт, включая Azure. Трафик подключения VPN типа «сеть — сеть» проходит через общедоступный Интернет в зашифрованном виде. Возможность настраивать VPN-подключения типа «сеть — сеть» и ExpressRoute для одной виртуальной сети дает целый ряд преимуществ.
VPN типа «сеть — сеть» можно настроить как защищенный путь отработки отказа для ExpressRoute или использовать для подключения к сайтам, которые не входят в вашу сеть, но подключены через ExpressRoute. Обратите внимание, что в рамках такой конфигурации для одной виртуальной сети требуются два шлюза виртуальной сети: с типом «VPN» и типом «ExpressRoute».
Модели и методы развертывания для параллельных подключений «сеть — сеть» и ExpressRoute
| Модель и метод развертывания | Портал Azure | PowerShell |
|---|---|---|
| Resource Manager | Поддерживается | Руководство |
| Классический | Не поддерживается | Руководство |
Высокодоступные подключения
Сведения о планировании и проектировании высокодоступных подключений см. в этой статье.
Дальнейшие действия
Дополнительные сведения см. в статье VPN-шлюз: вопросы и ответы.
Рекомендации по BGP для VPN-шлюза см. в статье о BGP.
Дополнительные сведения о некоторых других ключевых сетевых возможностях Azure.