Connettere le reti locali ad Azure usando i gateway VPN da sito a sito
Una rete privata virtuale (VPN) è un tipo di rete privata interconnessa. Le VPN usano un tunnel crittografato all'interno di un'altra rete. Vengono in genere distribuite per connettere due o più reti private attendibili in una rete non attendibile, in genere la rete Internet pubblica. Il traffico sulla rete non attendibile viene crittografato per evitare intercettazioni o altri attacchi.
Per l'operatore sanitario di questo scenario le reti VPN possono consentire ai professionisti di condividere le informazioni riservate tra le sedi. Si supponga ad esempio che un paziente debba sottoporsi a un intervento presso una struttura specialistica. Il team di chirurgia deve poter visualizzare i dettagli dell'anamnesi del paziente. I dati clinici vengono archiviati in un sistema in Azure. Una VPN che connette la struttura ad Azure consente al team di chirurgia di accedere in modo sicuro a queste informazioni.
Gateway VPN di Azure
Un gateway VPN è un tipo di gateway di rete virtuale, distribuito in una rete virtuale di Azure, che supporta la connettività seguente:
- Connettere i data center locali a reti virtuali di Azure attraverso una connessione da sito a sito.
- Connettere i singoli dispositivi alle reti virtuali di Azure attraverso una connessione da punto a sito.
- Connettere le reti virtuali di Azure ad altre reti virtuali di Azure attraverso una connessione da rete a rete.
Tutti i dati trasferiti vengono crittografati in un tunnel privato mentre attraversano Internet. È possibile distribuire solo un gateway VPN in ogni rete virtuale, ma è possibile usare un solo gateway per connettersi a più posizioni, tra cui altre reti virtuali di Azure o data center locali.
Quando si distribuisce un gateway VPN, specificare il tipo di rete VPN, che può essere basata su criteri o basata su route. La differenza principale tra questi due tipi di VPN è il modo in cui viene specificato il traffico crittografato.
Reti VPN basate su criteri
I gateway VPN basati su criteri specificano staticamente l'indirizzo IP dei pacchetti che devono essere crittografati in ogni tunnel. Questo tipo di dispositivo valuta ogni pacchetto dati in base ai set di indirizzi IP per scegliere il tunnel in cui inviare il pacchetto. I gateway VPN basati su criteri sono limitati nelle funzionalità e nelle connessioni supportate. Le funzionalità principali dei gateway VPN basati su criteri in Azure includono:
- Supporto solo per IKEv1.
- Uso del routing statico, in cui combinazioni di prefissi di indirizzi da entrambe le reti controllano il modo in cui il traffico viene crittografato e decrittografato attraverso il tunnel VPN. L'origine e la destinazione delle reti con tunnel vengono dichiarate nei criteri e non è necessario dichiararle nelle tabelle di routing.
- Le reti VPN basate su criteri devono essere usate in scenari specifici che le richiedono, ad esempio per la compatibilità con i dispositivi VPN locali legacy.
Reti VPN basate su route
Se la definizione degli indirizzi IP per ogni tunnel risulta troppo complessa per la situazione. In alternativa, sono necessarie funzionalità e connessioni che i gateway basati su criteri non supportano. È consigliabile usare i gateway basati su route. Con i gateway basati su route, i tunnel IPSec vengono modellati come interfaccia di rete o VTI (interfaccia del tunnel virtuale). Il routing IP (route statiche o protocolli di routing dinamico) consente di determinare a quali interfacce del tunnel inviare ogni pacchetto. Le VPN basate su route sono il metodo di connessione preferito per i dispositivi locali poiché sono più resilienti alle modifiche della topologia, ad esempio la creazione di nuove subnet. Usare un gateway VPN basato su route se è necessario uno dei tipi seguenti di connettività:
- Connessioni tra reti virtuali
- Connessioni da punto a sito
- Connessioni multisito
- Coesistenza con un gateway di Azure ExpressRoute
Le funzionalità principali dei gateway VPN basati su route in Azure includono:
- Supporto per IKEv2.
- Uso dei selettori di traffico any-to-any (jolly).
- Uso dei protocolli di routing dinamico in cui le tabelle di routing e inoltro indirizzano il traffico a tunnel IPSec diversi. In questo caso le reti di origine e di destinazione non sono definite in modo statico, poiché si trovano in VPN basate su criteri o anche in VPN basate su route con routing statico. I pacchetti dati vengono invece crittografati in base alle tabelle di routing di rete create dinamicamente usando protocolli di routing come BGP (Border Gateway Protocol).
Entrambi i tipi di gateway VPN (basato su route e basato su criteri) in Azure usano la chiave precondivisa come unico metodo di autenticazione. Entrambi i tipi si basano inoltre su Internet Key Exchange (IKE), nella versione 1 o 2, e su Internet Protocol Security (IPSec). IKE si usa per configurare un'associazione di sicurezza (un contratto di crittografia) tra due endpoint. Questa associazione viene quindi passata al gruppo di IPSec, che crittografa e decrittografa i pacchetti di dati incapsulati nel tunnel VPN.
Dimensioni dei gateway VPN
Lo SKU o le dimensioni distribuite determina le funzionalità del gateway VPN. Questa tabella mostra un esempio di alcuni SKU del gateway. I numeri in questa tabella sono soggetti a modifiche in qualsiasi momento. Per le informazioni più recenti, vedere SKU del gateway nella documentazione di Gateway VPN di Azure. Lo SKU del gateway Basic deve essere usato solo per carichi di lavoro Sviluppo/test. Non è inoltre consentito eseguire la migrazione dagli SKU Basic a qualsiasi SKU VpnGw#/Az in un secondo momento senza rimuovere il gateway e ridistribuire.
VPN Gateway Generazione |
SKU | S2S/Da rete virtuale a rete virtuale Tunnel |
P2S Connessione SSTP |
P2S IKEv2/OpenVPN Connessione ions |
Aggregazione Benchmark velocità effettiva |
BGP | Zone-redundant | Numero supportato di macchine virtuali nella Rete virtuale |
---|---|---|---|---|---|---|---|---|
Generation1 | Base | Massimo. 10 | Massimo. 128 | Non supportato | 100 Mbps | Non supportato | No | 200 |
Generation1 | VpnGw1 | Massimo. 30 | Massimo. 128 | Massimo. 250 | 650 Mbps | Supportata | No | 450 |
Generation1 | VpnGw2 | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1 Gbps | Supportata | No | 1300 |
Generation1 | VpnGw3 | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 1,25 Gbps | Supportata | No | 4000 |
Generation1 | VpnGw1AZ | Massimo. 30 | Massimo. 128 | Massimo. 250 | 650 Mbps | Supportata | Sì | 1000 |
Generation1 | VpnGw2AZ | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1 Gbps | Supportata | Sì | 2000 |
Generation1 | VpnGw3AZ | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 1,25 Gbps | Supportata | Sì | 5000 |
Generation2 | VpnGw2 | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1,25 Gbps | Supportata | No | 685 |
Generation2 | VpnGw3 | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 2,5 Gbps | Supportata | No | 2240 |
Generation2 | VpnGw4 | Massimo. 100* | Massimo. 128 | Massimo. 5000 | 5 Gbps | Supportata | No | 5300 |
Generation2 | VpnGw5 | Massimo. 100* | Massimo. 128 | Massimo. 10000 | 10 Gbps | Supportata | No | 6700 |
Generation2 | VpnGw2AZ | Massimo. 30 | Massimo. 128 | Massimo. 500 | 1,25 Gbps | Supportata | Sì | 2000 |
Generation2 | VpnGw3AZ | Massimo. 30 | Massimo. 128 | Massimo. 1000 | 2,5 Gbps | Supportata | Sì | 3300 |
Generation2 | VpnGw4AZ | Massimo. 100* | Massimo. 128 | Massimo. 5000 | 5 Gbps | Supportata | Sì | 4400 |
Generation2 | VpnGw5AZ | Massimo. 100* | Massimo. 128 | Massimo. 10000 | 10 Gbps | Supportata | Sì | 9000 |
Distribuire gateway VPN
Per distribuire un gateway VPN, sono necessarie alcune risorse di Azure e locali.
Risorse di Azure richieste
Per poter distribuire un gateway VPN operativo, sono necessarie queste risorse di Azure:
- Rete virtuale. Distribuire una rete virtuale di Azure con uno spazio indirizzi sufficiente per la subnet aggiuntiva necessaria per il gateway VPN. Lo spazio indirizzi per la rete virtuale non deve sovrapporsi alla rete locale a cui si intende connettersi. Tenere presente che è possibile distribuire solo un singolo gateway VPN in una rete virtuale.
- GatewaySubnet. Distribuire una subnet denominata
GatewaySubnet
per il gateway VPN. Usare almeno una maschera di indirizzo /27 per assicurarsi di avere nella subnet abbastanza indirizzi IP per la crescita futura. Non è possibile usare questa subnet per altri servizi. - Indirizzo IP pubblico. Se si usa un gateway non in grado di riconoscere la zona, creare un indirizzo IP pubblico dinamico con uno SKU Basic. Questo indirizzo consente di specificare un indirizzo IP pubblico instradabile come destinazione per il dispositivo VPN locale. Questo indirizzo IP è dinamico, ma non cambia, a meno che non si elimini e si ricrei il gateway VPN.
- Gateway di rete locale. Creare un gateway di rete locale per definire la configurazione della rete locale. In particolare, dove si connette il gateway VPN e a che cosa si connette. Questa configurazione include l'indirizzo IPv4 pubblico del dispositivo VPN locale e le reti instradabili locali. Queste informazioni vengono usate dal gateway VPN per instradare i pacchetti destinati alle reti locali attraverso il tunnel IPSec.
- Gateway di rete virtuale. Creare il gateway di rete virtuale per instradare il traffico tra la rete virtuale e il data center locale o altre reti virtuali. Il gateway di rete virtuale può essere configurato come gateway VPN o ExpressRoute, ma in questo modulo vengono trattati solo i gateway di rete virtuale VPN.
- Connessione. Creare una risorsa connessione per creare una connessione logica tra il gateway VPN e il gateway di rete locale. È possibile creare più connessioni allo stesso gateway.
- La connessione viene stabilita all'indirizzo IPv4 del dispositivo VPN locale definito dal gateway di rete locale.
- La connessione viene stabilita dal gateway di rete virtuale e dall'indirizzo IP pubblico associato.
Il diagramma seguente illustra questa combinazione di risorse e le relazioni tra le stesse per aiutare l'utente a capire meglio ciò che è necessario per la distribuzione di un gateway VPN:
Risorse locali necessarie
Per connettere il data center a un gateway VPN, sono necessarie queste risorse locali:
- Un dispositivo VPN che supporta i gateway VPN basati su criteri o basati su route
- Un indirizzo IPv4 pubblico (instradabile su Internet)
Scenari di disponibilità elevata
È possibile ottenere una configurazione a tolleranza di errore in diversi modi.
Attivo/Standby
Per impostazione predefinita, i gateway VPN vengono distribuiti come due istanze in una configurazione attiva/in standby, anche se in Azure è visibile una sola risorsa gateway VPN. Se la manutenzione pianificata o un'interruzione imprevista influisce sull'istanza attiva, l'istanza in standby assume automaticamente la responsabilità delle connessioni senza alcun intervento da parte dell'utente. Le connessioni vengono interrotte durante questo failover, ma in genere vengono ripristinate entro pochi secondi per la manutenzione pianificata ed entro 90 secondi per le interruzioni impreviste.
Attivo/Attivo
Con l'introduzione del supporto per il protocollo di routing BGP è ora possibile distribuire i gateway VPN in una configurazione di tipo Attivo/attivo. In questa configurazione si assegna un indirizzo IP pubblico univoco a ogni istanza. Si creano tunnel separati dal dispositivo locale a ogni indirizzo IP. È possibile estendere la disponibilità elevata distribuendo un altro dispositivo VPN locale.
Failover di ExpressRoute
Un'altra opzione di disponibilità elevata consiste nel configurare un gateway VPN come percorso di failover protetto per le connessioni ExpressRoute. I circuiti ExpressRoute hanno la resilienza incorporata, ma non sono immuni da problemi fisici riguardanti i cavi per le connessioni o interruzioni che riguardano l'intera località di ExpressRoute. Negli scenari a disponibilità elevata con rischio associato a un'interruzione di un circuito ExpressRoute, è anche possibile configurare un gateway VPN che usa Internet come metodo di connettività alternativo garantendo sempre la disponibilità di una connessione alle reti virtuali di Azure.
Gateway con ridondanza della zona
Nelle aree che supportano le zone di disponibilità, i gateway VPN ed ExpressRoute possono essere distribuiti in una configurazione con ridondanza della zona. Con questa configurazione i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Queste richiedono SKU del gateway diversi e usano gli indirizzi IP pubblici standard anziché gli indirizzi IP pubblici base.