Connettere le reti locali ad Azure usando i gateway VPN da sito a sito

Completato

Una rete privata virtuale (VPN) è un tipo di rete privata interconnessa. Le VPN usano un tunnel crittografato all'interno di un'altra rete. Vengono in genere distribuite per connettere due o più reti private attendibili in una rete non attendibile, in genere la rete Internet pubblica. Il traffico sulla rete non attendibile viene crittografato per evitare intercettazioni o altri attacchi.

Per l'operatore sanitario di questo scenario le reti VPN possono consentire ai professionisti di condividere le informazioni riservate tra le sedi. Si supponga ad esempio che un paziente debba sottoporsi a un intervento presso una struttura specialistica. Il team di chirurgia deve poter visualizzare i dettagli dell'anamnesi del paziente. I dati clinici vengono archiviati in un sistema in Azure. Una VPN che connette la struttura ad Azure consente al team di chirurgia di accedere in modo sicuro a queste informazioni.

Gateway VPN di Azure

Un gateway VPN è un tipo di gateway di rete virtuale, distribuito in una rete virtuale di Azure, che supporta la connettività seguente:

  • Connettere i data center locali a reti virtuali di Azure attraverso una connessione da sito a sito.
  • Connettere i singoli dispositivi alle reti virtuali di Azure attraverso una connessione da punto a sito.
  • Connettere le reti virtuali di Azure ad altre reti virtuali di Azure attraverso una connessione da rete a rete.

Diagram visualization of a VPN connection to Azure.

Tutti i dati trasferiti vengono crittografati in un tunnel privato mentre attraversano Internet. È possibile distribuire solo un gateway VPN in ogni rete virtuale, ma è possibile usare un solo gateway per connettersi a più posizioni, tra cui altre reti virtuali di Azure o data center locali.

Quando si distribuisce un gateway VPN, specificare il tipo di rete VPN, che può essere basata su criteri o basata su route. La differenza principale tra questi due tipi di VPN è il modo in cui viene specificato il traffico crittografato.

Reti VPN basate su criteri

I gateway VPN basati su criteri specificano staticamente l'indirizzo IP dei pacchetti che devono essere crittografati in ogni tunnel. Questo tipo di dispositivo valuta ogni pacchetto dati in base ai set di indirizzi IP per scegliere il tunnel in cui inviare il pacchetto. I gateway VPN basati su criteri sono limitati nelle funzionalità e nelle connessioni supportate. Le funzionalità principali dei gateway VPN basati su criteri in Azure includono:

  • Supporto solo per IKEv1.
  • Uso del routing statico, in cui combinazioni di prefissi di indirizzi da entrambe le reti controllano il modo in cui il traffico viene crittografato e decrittografato attraverso il tunnel VPN. L'origine e la destinazione delle reti con tunnel vengono dichiarate nei criteri e non è necessario dichiararle nelle tabelle di routing.
  • Le reti VPN basate su criteri devono essere usate in scenari specifici che le richiedono, ad esempio per la compatibilità con i dispositivi VPN locali legacy.

Reti VPN basate su route

Se la definizione degli indirizzi IP per ogni tunnel risulta troppo complessa per la situazione. In alternativa, sono necessarie funzionalità e connessioni che i gateway basati su criteri non supportano. È consigliabile usare i gateway basati su route. Con i gateway basati su route, i tunnel IPSec vengono modellati come interfaccia di rete o VTI (interfaccia del tunnel virtuale). Il routing IP (route statiche o protocolli di routing dinamico) consente di determinare a quali interfacce del tunnel inviare ogni pacchetto. Le VPN basate su route sono il metodo di connessione preferito per i dispositivi locali poiché sono più resilienti alle modifiche della topologia, ad esempio la creazione di nuove subnet. Usare un gateway VPN basato su route se è necessario uno dei tipi seguenti di connettività:

  • Connessioni tra reti virtuali
  • Connessioni da punto a sito
  • Connessioni multisito
  • Coesistenza con un gateway di Azure ExpressRoute

Le funzionalità principali dei gateway VPN basati su route in Azure includono:

  • Supporto per IKEv2.
  • Uso dei selettori di traffico any-to-any (jolly).
  • Uso dei protocolli di routing dinamico in cui le tabelle di routing e inoltro indirizzano il traffico a tunnel IPSec diversi. In questo caso le reti di origine e di destinazione non sono definite in modo statico, poiché si trovano in VPN basate su criteri o anche in VPN basate su route con routing statico. I pacchetti dati vengono invece crittografati in base alle tabelle di routing di rete create dinamicamente usando protocolli di routing come BGP (Border Gateway Protocol).

Entrambi i tipi di gateway VPN (basato su route e basato su criteri) in Azure usano la chiave precondivisa come unico metodo di autenticazione. Entrambi i tipi si basano inoltre su Internet Key Exchange (IKE), nella versione 1 o 2, e su Internet Protocol Security (IPSec). IKE si usa per configurare un'associazione di sicurezza (un contratto di crittografia) tra due endpoint. Questa associazione viene quindi passata al gruppo di IPSec, che crittografa e decrittografa i pacchetti di dati incapsulati nel tunnel VPN.

Dimensioni dei gateway VPN

Lo SKU o le dimensioni distribuite determina le funzionalità del gateway VPN. Questa tabella mostra un esempio di alcuni SKU del gateway. I numeri in questa tabella sono soggetti a modifiche in qualsiasi momento. Per le informazioni più recenti, vedere SKU del gateway nella documentazione di Gateway VPN di Azure. Lo SKU del gateway Basic deve essere usato solo per carichi di lavoro Sviluppo/test. Non è inoltre consentito eseguire la migrazione dagli SKU Basic a qualsiasi SKU VpnGw#/Az in un secondo momento senza rimuovere il gateway e ridistribuire.

VPN
Gateway
Generazione
SKU S2S/Da rete virtuale a rete virtuale
Tunnel
P2S
Connessione SSTP
P2S
IKEv2/OpenVPN Connessione ions
Aggregazione
Benchmark velocità effettiva
BGP Zone-redundant Numero supportato di macchine virtuali nella Rete virtuale
Generation1 Base Massimo. 10 Massimo. 128 Non supportato 100 Mbps Non supportato No 200
Generation1 VpnGw1 Massimo. 30 Massimo. 128 Massimo. 250 650 Mbps Supportata No 450
Generation1 VpnGw2 Massimo. 30 Massimo. 128 Massimo. 500 1 Gbps Supportata No 1300
Generation1 VpnGw3 Massimo. 30 Massimo. 128 Massimo. 1000 1,25 Gbps Supportata No 4000
Generation1 VpnGw1AZ Massimo. 30 Massimo. 128 Massimo. 250 650 Mbps Supportata 1000
Generation1 VpnGw2AZ Massimo. 30 Massimo. 128 Massimo. 500 1 Gbps Supportata 2000
Generation1 VpnGw3AZ Massimo. 30 Massimo. 128 Massimo. 1000 1,25 Gbps Supportata 5000
Generation2 VpnGw2 Massimo. 30 Massimo. 128 Massimo. 500 1,25 Gbps Supportata No 685
Generation2 VpnGw3 Massimo. 30 Massimo. 128 Massimo. 1000 2,5 Gbps Supportata No 2240
Generation2 VpnGw4 Massimo. 100* Massimo. 128 Massimo. 5000 5 Gbps Supportata No 5300
Generation2 VpnGw5 Massimo. 100* Massimo. 128 Massimo. 10000 10 Gbps Supportata No 6700
Generation2 VpnGw2AZ Massimo. 30 Massimo. 128 Massimo. 500 1,25 Gbps Supportata 2000
Generation2 VpnGw3AZ Massimo. 30 Massimo. 128 Massimo. 1000 2,5 Gbps Supportata 3300
Generation2 VpnGw4AZ Massimo. 100* Massimo. 128 Massimo. 5000 5 Gbps Supportata 4400
Generation2 VpnGw5AZ Massimo. 100* Massimo. 128 Massimo. 10000 10 Gbps Supportata 9000

Distribuire gateway VPN

Per distribuire un gateway VPN, sono necessarie alcune risorse di Azure e locali.

Risorse di Azure richieste

Per poter distribuire un gateway VPN operativo, sono necessarie queste risorse di Azure:

  • Rete virtuale. Distribuire una rete virtuale di Azure con uno spazio indirizzi sufficiente per la subnet aggiuntiva necessaria per il gateway VPN. Lo spazio indirizzi per la rete virtuale non deve sovrapporsi alla rete locale a cui si intende connettersi. Tenere presente che è possibile distribuire solo un singolo gateway VPN in una rete virtuale.
  • GatewaySubnet. Distribuire una subnet denominata GatewaySubnet per il gateway VPN. Usare almeno una maschera di indirizzo /27 per assicurarsi di avere nella subnet abbastanza indirizzi IP per la crescita futura. Non è possibile usare questa subnet per altri servizi.
  • Indirizzo IP pubblico. Se si usa un gateway non in grado di riconoscere la zona, creare un indirizzo IP pubblico dinamico con uno SKU Basic. Questo indirizzo consente di specificare un indirizzo IP pubblico instradabile come destinazione per il dispositivo VPN locale. Questo indirizzo IP è dinamico, ma non cambia, a meno che non si elimini e si ricrei il gateway VPN.
  • Gateway di rete locale. Creare un gateway di rete locale per definire la configurazione della rete locale. In particolare, dove si connette il gateway VPN e a che cosa si connette. Questa configurazione include l'indirizzo IPv4 pubblico del dispositivo VPN locale e le reti instradabili locali. Queste informazioni vengono usate dal gateway VPN per instradare i pacchetti destinati alle reti locali attraverso il tunnel IPSec.
  • Gateway di rete virtuale. Creare il gateway di rete virtuale per instradare il traffico tra la rete virtuale e il data center locale o altre reti virtuali. Il gateway di rete virtuale può essere configurato come gateway VPN o ExpressRoute, ma in questo modulo vengono trattati solo i gateway di rete virtuale VPN.
  • Connessione. Creare una risorsa connessione per creare una connessione logica tra il gateway VPN e il gateway di rete locale. È possibile creare più connessioni allo stesso gateway.
    • La connessione viene stabilita all'indirizzo IPv4 del dispositivo VPN locale definito dal gateway di rete locale.
    • La connessione viene stabilita dal gateway di rete virtuale e dall'indirizzo IP pubblico associato.

Il diagramma seguente illustra questa combinazione di risorse e le relazioni tra le stesse per aiutare l'utente a capire meglio ciò che è necessario per la distribuzione di un gateway VPN:

Resource requirements for a VPN gateway.

Risorse locali necessarie

Per connettere il data center a un gateway VPN, sono necessarie queste risorse locali:

  • Un dispositivo VPN che supporta i gateway VPN basati su criteri o basati su route
  • Un indirizzo IPv4 pubblico (instradabile su Internet)

Scenari di disponibilità elevata

È possibile ottenere una configurazione a tolleranza di errore in diversi modi.

Attivo/Standby

Per impostazione predefinita, i gateway VPN vengono distribuiti come due istanze in una configurazione attiva/in standby, anche se in Azure è visibile una sola risorsa gateway VPN. Se la manutenzione pianificata o un'interruzione imprevista influisce sull'istanza attiva, l'istanza in standby assume automaticamente la responsabilità delle connessioni senza alcun intervento da parte dell'utente. Le connessioni vengono interrotte durante questo failover, ma in genere vengono ripristinate entro pochi secondi per la manutenzione pianificata ed entro 90 secondi per le interruzioni impreviste.

Active/standby virtual network gateway.

Attivo/Attivo

Con l'introduzione del supporto per il protocollo di routing BGP è ora possibile distribuire i gateway VPN in una configurazione di tipo Attivo/attivo. In questa configurazione si assegna un indirizzo IP pubblico univoco a ogni istanza. Si creano tunnel separati dal dispositivo locale a ogni indirizzo IP. È possibile estendere la disponibilità elevata distribuendo un altro dispositivo VPN locale.

Active/active virtual network Gateway.

Failover di ExpressRoute

Un'altra opzione di disponibilità elevata consiste nel configurare un gateway VPN come percorso di failover protetto per le connessioni ExpressRoute. I circuiti ExpressRoute hanno la resilienza incorporata, ma non sono immuni da problemi fisici riguardanti i cavi per le connessioni o interruzioni che riguardano l'intera località di ExpressRoute. Negli scenari a disponibilità elevata con rischio associato a un'interruzione di un circuito ExpressRoute, è anche possibile configurare un gateway VPN che usa Internet come metodo di connettività alternativo garantendo sempre la disponibilità di una connessione alle reti virtuali di Azure.

Gateway con ridondanza della zona

Nelle aree che supportano le zone di disponibilità, i gateway VPN ed ExpressRoute possono essere distribuiti in una configurazione con ridondanza della zona. Con questa configurazione i gateway di rete virtuale ottengono maggiore disponibilità, scalabilità e resilienza. La distribuzione di gateway in zone di disponibilità di Azure separa fisicamente e logicamente i gateway all'interno di un'area e consente, al contempo, di proteggere la connettività di rete locale ad Azure da errori a livello di zona. Queste richiedono SKU del gateway diversi e usano gli indirizzi IP pubblici standard anziché gli indirizzi IP pubblici base.