Azure Stack Hub için VPN Gateway ayarlarını yapılandırma

VPN ağ geçidi, Azure Stack Hub'daki sanal ağınız ile uzak VPN ağ geçidi arasında şifrelenmiş trafik gönderen bir sanal ağ geçidi türüdür. Uzak VPN ağ geçidi Azure'da, veri merkezinizdeki bir cihazda veya başka bir sitedeki bir cihazda olabilir. İki uç nokta arasında ağ bağlantısı varsa, iki ağ arasında güvenli bir Siteden Siteye (S2S) VPN bağlantısı kurabilirsiniz.

VPN ağ geçidi, her biri yapılandırılabilir ayarlar içeren birden çok kaynağın yapılandırmasına dayanır. Bu makalede, Resource Manager dağıtım modelinde oluşturduğunuz bir sanal ağ için VPN ağ geçidiyle ilgili kaynaklar ve ayarlar açıklanmaktadır. Her bağlantı çözümü için açıklamaları ve topoloji diyagramlarını Azure Stack Hub için VPN ağ geçitleri oluşturma bölümünde bulabilirsiniz.

VPN ağ geçidi ayarları

Ağ geçidi türleri

Her Azure Stack Hub sanal ağı, Vpn türünde olması gereken tek bir sanal ağ geçidini destekler. Bu destek, ek türleri destekleyen Azure'dan farklıdır.

Bir sanal ağ geçidi oluşturduğunuzda, ağ geçidi türünün yapılandırmanız için doğru olduğundan emin olmanız gerekir. VPN ağ geçidi bayrağı -GatewayType Vpn gerektirir; örneğin:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
   -VpnType RouteBased

VPN Hızlı Yolu Etkin Olmayan Ağ Geçidi SKU'ları

Bir sanal ağ geçidi oluşturduğunuzda, kullanmak istediğiniz SKU'yu belirtmeniz gerekir. İş yükü türlerine, aktarım hızına, özelliklere ve SLA'lara göre gereksinimlerinizi karşılayan SKU'ları seçin.

Maksimum kapasiteye ulaşmadan önce 10 yüksek performanslı ağ geçidiniz veya 20 temel ve standart ağ geçidiniz olabilir.

Azure Stack Hub aşağıdaki tabloda gösterilen VPN ağ geçidi SKU'larını sunar:

SKU En Fazla VPN Bağlantısı aktarım hızı Etkin GW VM başına en fazla bağlantı sayısı Damga pulu başına en fazla VPN Bağlantısı sayısı
Temel 100 Mb/sn Tx/Rx 10 20
Standart 100 Mb/sn Tx/Rx 10 20
Yüksek Performans 200 Mb/sn Tx/Rx 5 10

VPN Hızlı Yolu Etkin Ağ Geçidi SKU'ları

VPN Hızlı Yol genel önizleme sürümünün yayımlanmasıyla birlikte Azure Stack Hub, daha yüksek aktarım hızına sahip üç yeni SKU'yu destekler.

Azure Stack damganızda VPN Hızlı Yolu etkinleştirildikten sonra yeni sınırlar ve aktarım hızı etkinleştirilir.

Azure Stack Hub aşağıdaki tabloda gösterilen VPN ağ geçidi SKU'larını sunar:

SKU En Fazla VPN Bağlantısı aktarım hızı Etkin GW VM başına en fazla bağlantı sayısı Damga pulu başına en fazla VPN Bağlantısı sayısı
Temel 100 Mb/sn Tx/Rx 25 50
Standart 100 Mb/sn Tx/Rx 25 50
Yüksek Performans 200 Mb/sn Tx/Rx 12 24
VPNGw1 650 Mb/sn Tx/Rx 3 6
VPNGw2 1000 Mb/sn Tx/Rx 2 4
VPNGw3 1250 Mb/sn Tx/Rx 2 4

Sanal ağ geçitleri SKU'larını yeniden boyutlandırma

Azure Stack Hub, desteklenen eski bir SKU'dan (Temel, Standart ve Yüksek Performans) Azure tarafından desteklenen daha yeni bir SKU'ya (VpnGw1, VpnGw2 ve VpnGw3) yeniden boyutlandırmayı desteklemez.

VPN Hızlı Yolu tarafından etkinleştirilen yeni SKU'ları kullanmak için yeni sanal ağ geçitleri ve bağlantılar oluşturulmalıdır.

Sanal ağ geçidi SKU'su yapılandırma

Azure Stack Hub portalı

Sanal ağ geçidi oluşturmak için Azure Stack Hub portalını kullanırsanız, açılan liste kullanılarak SKU seçilebilir. Yeni VPN Hızlı Yol SKU'ları (VpnGw1, VpnGw2, VpnGw3) yalnızca URL'ye "?azurestacknewvpnskus=true" sorgu parametresi eklendikten ve yenilendikten sonra görünür.

Aşağıdaki URL örneği, yeni sanal ağ geçidi SKU'larını Azure Stack Hub kullanıcı portalında görünür hale getirir:

https://portal.local.azurestack.local/?azurestacknewvpnskus=true

Bu kaynakları oluşturmadan önce operatörün Azure Stack Hub damgasında VPN Hızlı Yolu'nu etkinleştirmiş olması gerekir. Daha fazla bilgi için bkz . operatörler için VPN Hızlı Yolu.

Azure VNG yeni SKU'ları

PowerShell

Aşağıdaki PowerShell örneği parametresini -GatewaySku Standart olarak belirtir:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
   -GatewayType Vpn -VpnType RouteBased

Bağlantı türleri

Resource Manager dağıtım modelinde her yapılandırma belirli bir sanal ağ geçidi bağlantı türü gerektirir. için -ConnectionType kullanılabilir Resource Manager PowerShell değerleri IPsec'tir.

Aşağıdaki PowerShell örneğinde, IPsec bağlantı türünü gerektiren bir S2S bağlantısı oluşturulur:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
   -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

VPN türleri

Vpn ağ geçidi yapılandırması için sanal ağ geçidi oluştururken bir VPN türü belirtmeniz gerekir. Seçtiğiniz VPN türü, oluşturmak istediğiniz bağlantı topolojisine bağlıdır. VPN türü, kullandığınız donanıma da bağlı olabilir. S2S yapılandırmaları bir VPN cihazı gerektirir. Bazı VPN cihazları yalnızca belirli bir VPN türünü destekler.

Önemli

Şu anda Azure Stack Hub yalnızca yol tabanlı VPN türünü destekler. Cihazınız yalnızca ilke tabanlı VPN'leri destekliyorsa, Azure Stack Hub'dan bu cihazlara yönelik bağlantılar desteklenmez.

Buna ek olarak, Azure Stack Hub şu anda rota tabanlı ağ geçitleri için ilke tabanlı trafik seçicileri kullanmayı desteklemez, çünkü Azure Stack Hub ilke tabanlı trafik seçicilerini desteklemez, ancak bunlar Azure'da desteklenir.

  • PolicyBased: İlke tabanlı VPN'ler, şirket içi ağınızla Azure Stack Hub sanal ağı arasındaki adres ön eklerinin birleşimleriyle yapılandırılan IPsec ilkelerine göre paketleri IPsec tünelleri aracılığıyla şifreler ve yönlendirir. İlke veya trafik seçicisi genellikle VPN cihazı yapılandırmasındaki bir erişim listesidir.

    Not

    PolicyBased Azure'da desteklenir ancak Azure Stack Hub'da desteklenmez.

  • RouteBased: Rota tabanlı VPN'ler, paketleri ilgili tünel arabirimlerine yönlendirmek için IP iletme veya yönlendirme tablosunda yapılandırılan yolları kullanır. Bundan sonra tünel arabirimleri, paketleri tünellerin içinde veya dışında şifreler veya şifrelerini çözer. RouteBased VPN'leri için ilke veya trafik seçici herhangi bir noktadan herhangi birine olarak yapılandırılır (veya joker karakterler kullanır). Varsayılan olarak, değiştirilemezler. RouteBased VPN türünün değeri RouteBased'dir.

Aşağıdaki PowerShell örneği, RouteBased olarak belirtir-VpnType. Bir ağ geçidi oluşturduğunuzda, öğesinin -VpnType yapılandırmanız için doğru olduğundan emin olmanız gerekir.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
   -Location 'West US' -IpConfigurations $gwipconfig `
   -GatewayType Vpn -VpnType RouteBased

VPN Hızlı Yolu etkin olmadığında sanal ağ geçitleri tarafından desteklenen yapılandırmalar

SKU VPN Türü Connection type Etkin Yönlendirme desteği (BGP) Uzak uç nokta NAT-T Etkin
Temel VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenmiyor Gerekli değil
Standart VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Gerekli değil
Yüksek Performanslı VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Gerekli değil

VPN Hızlı Yolu etkinleştirildiğinde desteklenen sanal ağ geçitleri yapılandırmaları

SKU VPN Türü Connection type Etkin yönlendirme desteği (BGP) Uzak uç nokta NAT-T Etkin
Temel VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenmiyor Zorunlu
Standart VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Zorunlu
Yüksek Performanslı VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Zorunlu
VPNGw1 VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Zorunlu
VPNGw2 VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Zorunlu
VPNGw2 VNG SKU'su Rota tabanlı VPN IPSec Önceden paylaşılan anahtar Desteklenen, en çok 150 yol Zorunlu

Ağ geçidi alt ağı

VPN ağ geçidi oluşturmadan önce bir ağ geçidi alt ağı oluşturmanız gerekir. Ağ geçidi alt ağı, sanal ağ geçidi VM'lerinin ve hizmetlerinin kullandığı IP adreslerine sahiptir. Sanal ağ geçidinizi ve bağlantıyı oluşturduğunuzda, bağlantıya sahip olan Ağ Geçidi SANAL Makinesi ağ geçidi alt ağına bağlanır ve gerekli VPN ağ geçidi ayarlarıyla yapılandırılır. Ağ geçidi alt asına başka bir şey (örneğin, ek VM'ler) dağıtmayın.

Önemli

Ağ geçidi alt ağı düzgün çalışması için GatewaySubnet şeklinde adlandırılmalıdır. Azure Stack Hub, sanal ağ geçidi VM'lerinin ve hizmetlerinin dağıtılacağı alt ağı belirlemek için bu adı kullanır.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Ağ geçidi alt ağındaki IP adresleri, ağ geçidi VM'lerine ve ağ geçidi hizmetlerine ayrılır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir. Oluşturmak istediğiniz yapılandırma yönergelerine bakın ve oluşturmak istediğiniz ağ geçidi alt ağından bu gereksinimleri karşıladığını doğrulayın.

Ayrıca, ağ geçidi alt ağınızın gelecekteki ek yapılandırmaları işlemek için yeterli IP adresine sahip olduğundan emin olmanız gerekir. /29 kadar küçük bir ağ geçidi alt ağı oluşturabilirsiniz ancak /28 veya daha büyük (/28, /27, /26 vb.) ağ geçidi alt ağı oluşturmanızı öneririz. Bu şekilde, gelecekte işlevsellik eklerseniz ağ geçidinizi silmeniz ve daha fazla IP adresi sağlamak için ağ geçidi alt akını silip yeniden oluşturmanız gerekmez.

Aşağıdaki Resource Manager PowerShell örneğinde GatewaySubnet adlı bir ağ geçidi alt ağı gösterilmektedir. CIDR gösteriminin /27 değerini belirttiğini görebilirsiniz. Bu, şu anda mevcut olan yapılandırmaların çoğu için yeterli IP adresi sağlar.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Önemli

Ağ geçidi alt ağlarıyla çalışırken, ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi VPN ağ geçidinizin beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz . Ağ güvenlik grubu nedir?.

Yerel ağ geçidi geçitleri

Azure'da VPN ağ geçidi yapılandırması oluştururken yerel ağ geçidi genellikle şirket içi konumunuzu temsil eder. Azure Stack Hub'da, Azure Stack Hub dışında bulunan tüm uzak VPN cihazlarını temsil eder. Bu cihaz, veri merkezinizdeki bir VPN cihazı (veya uzak veri merkezi) veya Azure'daki bir VPN ağ geçidi olabilir.

Yerel ağ geçidine bir ad, uzak VPN cihazının genel IP adresini verir ve şirket içi konumdaki adres ön eklerini belirtirsiniz. Azure Stack Hub, ağ trafiğinin hedef adres ön eklerine bakar, yerel ağ geçidiniz için belirttiğiniz yapılandırmaya başvurur ve paketleri uygun şekilde yönlendirir.

Bu PowerShell örneği yeni bir yerel ağ geçidi oluşturur:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
   -Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'

Bazen yerel ağ geçidi ayarlarını değiştirmeniz gerekir; örneğin, adres aralığını eklediğinizde veya değiştirdiğinizde veya VPN cihazının IP adresi değiştiğinde. Daha fazla bilgi için bkz . PowerShell kullanarak yerel ağ geçidi ayarlarını değiştirme.

IPsec/IKE parametreleri

Azure Stack Hub'da bir VPN bağlantısı ayarladığınızda, bağlantıyı her iki uçta da yapılandırmanız gerekir. Azure Stack Hub ile VPN ağ geçidi görevi üstleyen anahtar veya yönlendirici gibi bir donanım cihazı arasında VPN bağlantısı yapılandırıyorsanız, bu cihaz sizden ek ayarlar isteyebilir.

Hem başlatıcı hem de yanıtlayıcı olarak birden çok teklifi destekleyen Azure'dan farklı olarak Azure Stack Hub varsayılan olarak yalnızca bir teklifi destekler. VPN cihazınızla çalışmak için farklı IPSec/IKE ayarları kullanmanız gerekiyorsa, bağlantınızı el ile yapılandırmak için kullanabileceğiniz daha fazla ayar vardır. Daha fazla bilgi için bkz . Siteden siteye VPN bağlantıları için IPsec/IKE ilkesini yapılandırma.

Önemli

S2S tüneli kullanılırken paketler, paketin genel boyutunu artıran ek üst bilgilerle daha da kapsüllenir. Bu senaryolarda TCP MSS'yi 1350'de sıkıştırmanız gerekir. Veya VPN cihazlarınız MSS bağlamayı desteklemiyorsa, alternatif olarak tünel arabirimindeki MTU'yu 1400 bayt olarak ayarlayabilirsiniz. Daha fazla bilgi için bkz . Sanal Ağ TCPIP performansı ayarlama.

IKE Aşama 1 (Ana Mod) parametreleri

Özellik Değer
IKE Sürümü IKEv2
Diffie-Hellman Grubu* ECP384
Kimlik Doğrulama Yöntemi Önceden Paylaşılan Anahtar
Şifreleme ve Karma Algoritmaları* AES256, SHA384
SA Yaşam Süresi (Zaman) 28.800 saniye

IKE Aşama 2 (Hızlı Mod) parametreleri

Özellik Değer
IKE Sürümü IKEv2
Şifreleme ve Karma Algoritmaları (Şifreleme) GCMAES256
Şifreleme ve Karma Algoritmaları (Kimlik Doğrulaması) GCMAES256
SA Yaşam Süresi (Zaman) 27.000 saniye
SA Ömrü (Kilobayt) 33,553,408
Mükemmel İletme Gizliliği (PFS)* ECP384
Kullanılmayan Eş Algılama Desteklenir

* Yeni veya değiştirilmiş parametre.

Sonraki adımlar