Informace o nastavení konfigurace služby VPN Gateway

Architektura připojení brány VPN spoléhá na konfiguraci více prostředků, z nichž každá obsahuje konfigurovatelná nastavení. Oddíly v tomto článku diskutují o prostředcích a nastaveních, které se týkají brány VPN pro virtuální síť. Popisy a diagramy topologie pro každé řešení připojení najdete v článku o topologii a návrhu služby VPN Gateway.

Hodnoty v tomto článku se konkrétně vztahují na brány VPN (brány virtuální sítě, které používají -GatewayType Vpn). Pokud hledáte informace o následujících typech bran, projděte si následující články:

Brány a typy bran

Brána virtuální sítě se skládá ze dvou nebo více virtuálních počítačů spravovaných Azure, které jsou automaticky nakonfigurované a nasazené do konkrétní podsítě, kterou vytvoříte, která se nazývá podsíť brány. Virtuální počítače brány obsahují směrovací tabulky a spouštějí konkrétní služby brány. Když vytvoříte bránu virtuální sítě, virtuální počítače brány se automaticky nasadí do podsítě brány (vždy s názvem GatewaySubnet) a nakonfigurují se podle vámi zadaných nastavení. Dokončení procesu může trvat 45 minut nebo déle v závislosti na vybrané skladové po straně brány.

Jedním z nastavení, která zadáte při vytváření brány virtuální sítě, je typ brány. Typ brány určuje, jak se brána virtuální sítě používá, a akce, které brána provede. Virtuální síť může mít dvě brány virtuální sítě; jednu bránu VPN a jednu bránu ExpressRoute. Parametr -GatewayType Vpn určuje, že typ vytvořené brány virtuální sítě je brána VPN. Tím se liší od brány ExpressRoute.

Skladové položky brány a výkon

Nejnovější informace o SKU brány, výkonu a podporovaných funkcích najdete v článku o skladových pocích brány.

Typy sítě VPN

podpora Azure dva různé typy SÍTĚ VPN pro brány VPN: založené na zásadách a směrování. Brány VPN založené na směrování jsou založené na jiné platformě než brány VPN založené na zásadách. Výsledkem jsou různé specifikace brány. Následující tabulka ukazuje skladové položky brány, které podporují jednotlivé typy VPN a přidružené podporované verze protokolu IKE.

Typ sítě VPN brány Skladová položka brány Podporované verze IKE
Brána založená na zásadách Basic IKEv1
Brána založená na směrování Basic IKEv2
Brána založená na směrování VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 a IKEv2
Brána založená na směrování VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 a IKEv2

Ve většině případů vytvoříte bránu VPN založenou na směrování. Starší skladové položky brány dříve nepodporují IKEv1 pro brány založené na trasách. Většina aktuálních skladových položek brány teď podporuje IKEv1 i IKEv2.

  • Od 1. října 2023 je možné brány založené na zásadách nakonfigurovat jenom pomocí PowerShellu nebo rozhraní příkazového řádku a nejsou dostupné na webu Azure Portal. Pokud chcete vytvořit bránu založenou na zásadách, přečtěte si téma Vytvoření základní brány VPN SKU pomocí PowerShellu.

  • Pokud už máte bránu založenou na zásadách, nemusíte bránu měnit na směrování, pokud nechcete použít konfiguraci, která vyžaduje bránu založenou na směrování, například point-to-site.

  • Bránu založenou na zásadách nemůžete převést na směrování. Musíte odstranit existující bránu a pak vytvořit novou bránu jako založenou na směrování.

Brány v režimu aktivní-aktivní

Brány Azure VPN je možné nakonfigurovat jako aktivní-pohotovostní nebo aktivní-aktivní. V konfiguraci aktivní-aktivní navazují obě instance virtuálních počítačů brány tunely VPN typu site-to-site k místnímu zařízení VPN. Brány v režimu aktivní-aktivní jsou klíčovou součástí návrhu připojení brány s vysokou dostupností. Další informace najdete v následujících článcích:

Privátní IP adresy brány

Toto nastavení se používá pro určité konfigurace privátního partnerského vztahu ExpressRoute. Další informace najdete v tématu Konfigurace připojení VPN typu Site-to-Site přes privátní partnerský vztah ExpressRoute.

Typy připojení

Každé připojení vyžaduje konkrétní typ připojení brány virtuální sítě. Dostupné hodnoty PowerShellu pro New-AzVirtualNetworkGatewayConnection -Connection Type jsou: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Režimy připojení

Vlastnost Režim připojení se vztahuje pouze na brány VPN založené na směrování, které používají připojení IKEv2. Režimy připojení definují směr inicializace připojení a vztahují se pouze na počáteční navázání připojení IKE. Každá strana může zahájit opětovné klíče a další zprávy. IniciátorOnly znamená, že připojení musí iniciovat Azure. ResponderOnly znamená, že připojení musí být inicializováno místním zařízením. Výchozí chování je přijmout a vytočit, podle toho, co se připojí jako první.

Podsíť brány

Před vytvořením brány VPN musíte vytvořit podsíť brány. Podsíť brány obsahuje IP adresy, které používají virtuální počítače a služby brány virtuální sítě. Při vytváření brány virtuální sítě se virtuální počítače brány nasadí do podsítě brány a nakonfigurují se s požadovaným nastavením brány VPN. Nikdy do podsítě brány nenasazujte nic jiného (například více virtuálních počítačů). Aby podsíť brány správně fungovala, musí mít název GatewaySubnet. Pojmenování podsítě brány GatewaySubnet informuje Azure, že se jedná o podsíť, do které by měla nasadit virtuální počítače a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. IP adresy v podsíti brány se přidělují virtuálním počítačům brány a službám brány. Některé konfigurace vyžadují víc IP adres než jiné.

Při plánování velikosti podsítě brány si projděte dokumentaci ke konfiguraci, kterou plánujete vytvořit. Například existující konfigurace ExpressRoute/VPN Gateway vyžaduje větší podsíť brány než většina ostatních konfigurací. I když je možné vytvořit podsíť brány tak malou jako /29 (platí jenom pro skladovou položku Basic), všechny ostatní skladové položky vyžadují podsíť brány s velikostí /27 nebo větší (/27, /26, /25 atd.). Můžete chtít vytvořit podsíť brány větší než /27, aby podsíť byla dostatek IP adres, aby vyhovovala možným budoucím konfiguracím.

Následující příklad PowerShellu ukazuje podsíť brány s názvem GatewaySubnet. Zápis CIDR určuje /27, což umožňuje dostatek IP adres pro většinu aktuálně existujících konfigurací.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Požadavky:

  • Trasy definované uživatelem s cílem 0.0.0.0/0 a skupinami zabezpečení sítě v podsítě GatewaySubnet se nepodporují. Vytváření bran s touto konfigurací je blokováno. Brány ke správnému fungování vyžadují přístup k řadičům pro správu. Šíření tras protokolu BGP by mělo být v podsítě brány nastaveno na Povoleno, aby se zajistila dostupnost brány. Pokud je šíření tras protokolu BGP v nastavení zakázáno, brána nebude fungovat.

  • Pokud se trasa definovaná uživatelem překrývá s rozsahem podsítě brány nebo rozsahem veřejných IP adres brány, může to mít vliv na diagnostiku, cestu k datům a cestu správy.

Brány místní sítě

Brána místní sítě se liší od brány virtuální sítě. Při práci s architekturou site-to-site brány VPN představuje brána místní sítě obvykle vaši místní síť a odpovídající zařízení VPN.

Při konfiguraci brány místní sítě zadáte název, veřejnou IP adresu nebo plně kvalifikovaný název domény (FQDN) místního zařízení VPN a předpony adres, které se nacházejí v místním umístění. Azure se podívá na předpony cílových adres pro síťový provoz, zkontroluje konfiguraci, kterou jste zadali pro bránu místní sítě, a odpovídajícím způsobem směruje pakety. Pokud na zařízení VPN používáte protokol BGP (Border Gateway Protocol), zadáte IP adresu partnerského uzlu protokolu BGP vašeho zařízení VPN a číslo autonomního systému (ASN) místní sítě. Také zadáte brány místní sítě pro konfigurace typu VNet-to-VNet, které používají připojení brány VPN.

Následující příklad PowerShellu vytvoří novou bránu místní sítě:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Někdy potřebujete upravit nastavení brány místní sítě. Když například přidáte nebo upravíte rozsah adres nebo když se ZMĚNÍ IP adresa zařízení VPN. Další informace najdete v tématu Úprava nastavení brány místní sítě.

Rozhraní REST API, rutiny PowerShellu a rozhraní příkazového řádku

Technické prostředky a specifické požadavky na syntaxi při používání rozhraní REST API, rutin PowerShellu nebo Azure CLI pro konfigurace služby VPN Gateway najdete na následujících stránkách:

Další kroky

Další informace o dostupných konfiguracích připojení najdete v tématu o službě VPN Gateway.