Azure VPN Gateway nasıl çalışır?
Her Azure sanal ağına yalnızca bir VPN ağ geçidi dağıtabilirsiniz. Tek bir VPN ağ geçidiyle sınırlı olsanız da, bu ağ geçidini diğer Azure sanal ağları veya şirket içi veri merkezleri dahil olmak üzere birden çok konuma bağlanacak şekilde yapılandırabilirsiniz.
Dekont
Sanal ağ geçidi, ağ geçidi alt ağı olarak adlandırılan belirli bir alt ağa dağıtılan iki veya daha fazla özel VM'den oluşur. Sanal ağ geçidi VM'leri yönlendirme tablolarını barındırabilir ve belirli ağ geçidi hizmetlerini çalıştırabilir. Ağ geçidini oluşturan bu VM'ler, sanal ağ geçidini oluşturduğunuzda oluşturulur ve Azure tarafından otomatik olarak yönetilir ve yönetime dikkat gerektirmez.
VPN ağ geçidi türleri
Bir sanal ağ geçidi yapılandırdığınızda, ağ geçidi türünü belirten bir ayar seçersiniz. Ağ geçidi türü, sanal ağ geçidinin nasıl kullanılacağını ve ağ geçidinin gerçekleştireceği eylemleri belirler. Ağ geçidi türü Vpn , oluşturulan sanal ağ geçidi türünün bir VPN gatewayolduğunu belirtir. Bu, bunu farklı bir ağ geçidi türü kullanan ExpressRoute ağ geçidinden ayırır. Azure sanal ağı iki sanal ağ geçidine sahip olabilir: biri VPN ağ geçidi ve biri ExpressRoute ağ geçidi.
İki tür Azure VPN ağ geçidi vardır:
- İlke tabanlı VPN ağ geçidi
- Rota tabanlı VPN ağ geçidi
İlke tabanlı VPN ağ geçitleri
İlke tabanlı VPN ağ geçitleri, her tünelde şifrelenmesi gereken paketlerin sabit bir IP adresleri kümesi belirtmenizi gerektirir. Bu cihaz türü, her veri paketini bu sabit IP adresi kümelerine göre değerlendirir ve ardından bu trafiği göndereceği tüneli seçer.
Azure'daki ilke tabanlı VPN ağ geçitlerinin temel özellikleri şunlardır:
- Yalnızca IKEv1 desteği
- Statik yönlendirme kullanımı
Tünellenen ağların kaynağı ve hedefi VPN ilkesinde bildirilir ve yönlendirme tablolarında bildirilmesi gerekmez. İlke tabanlı VPN'leri yalnızca eski şirket içi VPN cihazlarıyla uyumluluk gibi bunları gerektiren belirli senaryolarda kullanın.
Rota tabanlı VPN ağ geçitleri
Rota tabanlı Azure VPN ağ geçitleri ile IPsec tüneli, ağ arabirimi veya sanal tünel arabirimi (VTI) olarak çalışır. IP yönlendirmesi (statik yollar veya dinamik yönlendirme protokolleri), hangi tünel arabirimlerinin her paketi ileteceğini belirler. Rota tabanlı VPN'ler, yeni alt ağ oluşturma gibi topoloji değişikliklerine daha dayanıklı olduklarından şirket içi cihazlar için tercih edilen bağlantı yöntemidir. Azure VPN ağ geçidini yeniden yapılandırmak zorunda kalmadan yeni alt ağlar eklendiğinde sanal ağlardaki Azure IaaS kaynaklarına bağlantı yapılmasına olanak tanıyacağından, rota tabanlı VPN Adatum için çok daha uygundur.
Aşağıdaki bağlantı türlerinden herhangi birine ihtiyacınız olduğunda yol tabanlı VPN ağ geçidi kullanın:
- Sanal ağlar arasında bağlantılar
- Noktadan siteye bağlantılar
- Çok siteli bağlantılar
- Azure ExpressRoute ağ geçidiyle birlikte kullanım
Azure'daki rota tabanlı VPN ağ geçitlerinin temel özellikleri şunlardır:
- IKEv2'yi destekler
- Herhangi bir ağdan herhangi bir ağa (joker karakter) trafik seçicileri kullanır
- Yönlendirme/iletme tablolarının trafiği farklı IPsec tünellerine yönlendirdiği dinamik yönlendirme protokollerini kullanabilir
Dinamik yönlendirme kullanmak üzere yapılandırıldığında, kaynak ve hedef ağlar ilke tabanlı VPN'lerde, hatta statik yönlendirmeli yol tabanlı VPN'lerde olduğundan statik olarak tanımlanmaz. Bunun yerine veri paketleri, Sınır Ağ Geçidi Protokolü (BGP) gibi yönlendirme protokolleri kullanılarak dinamik olarak oluşturulan ağ yönlendirme tablolarına göre şifrelenir.
Azure VPN ağ geçitleri yalnızca kimlik doğrulaması için önceden paylaşılan anahtar yönteminin kullanılmasını destekler. Hem yol tabanlı hem de ilke tabanlı türler, sürüm 1 veya sürüm 2'de İnternet Anahtar Değişimi'ni (IKE) ve İnternet Protokolü Güvenliği'ni (IPsec) kullanır. IKE, iki uç nokta arasında bir güvenlik ilişkisi (şifreleme anlaşması) ayarlamak için kullanılır. Bu ilişkilendirme daha sonra VPN tünelinde kapsüllenen veri paketlerini şifreleyen ve şifrelerini çözen IPsec paketine geçirilir.
Azure VPN ağ geçidi boyutları
Bir sanal ağ geçidi oluşturduğunuzda bir ağ geçidi SKU'su belirtmeniz gerekir. İş yükü türlerine, aktarım hızına, özelliklere ve SLA'lara göre gereksinimlerinizi karşılayan bir SKU seçmelisiniz.
| Ağ Geçidi SKU'ları - Nesil1 | Siteden siteye VPN tünelleri üst sınırı | Toplu aktarım hızı | BGP desteği |
|---|---|---|---|
| Temel | 10 | 100 Mb/sn | Desteklenmez |
| VpnGw1/Az | 30 | 650 Mbps | Desteklenir |
| VpnGw2/Az | 30 | 1 Gbps | Desteklenir |
| VpnGw3/Az | 30 | 1,25 Gb/sn | Desteklenir |
Bu tabloda 1. Nesil SKU'ları gösterilmektedir. 1. Nesil SKU'larla çalışırken VpnGw1, VpnGw2 ve VpnGw3 SKU'ları arasında gerektiği gibi geçiş yapabilirsiniz. VPN ağ geçidini kaldırıp yeniden dağıtmadan Temel SKU'dan geçiş yapamazsınız. 2. Nesil SKU'ları kullanarak VPN ağ geçitleri de oluşturabilirsiniz. SKU'lar, aktarım hızı ve desteklenen özellikler hakkında en son bilgiler için bu modülün Özet bölümündeki bağlantılara bakın.
VPN ağ geçidi gereksinimleri
İşletimsel VPN ağ geçidi dağıtabilmeniz için önce aşağıdaki Azure kaynaklarının mevcut olması gerekir:
- Sanal ağ: VPN ağ geçidi için ihtiyacınız olacak ek alt ağ için yeterli adres alanına sahip bir Azure sanal ağı. Bu sanal ağın adres alanı, bağlandığınız şirket içi ağ ile çakışmamalıdır.
- GatewaySubnet: VPN ağ geçidi için GatewaySubnet adlı bir alt ağ. En az bir /27 adres maskesi gerektirir. Bu alt ağ diğer hizmetler için kullanılamaz.
- Genel IP adresi: Bölgelere duyarlı olmayan bir ağ geçidi kullanılıyorsa Temel SKU dinamik genel IP adresi. Bu adres şirket içi VPN cihazınızın hedefi olarak genel yönlendirilebilir bir IP adresi sağlar. Bu IP adresi dinamiktir, ama siz VPN Ağ Geçidini silip yeniden oluşturmadığınız sürece değişmez.
- Yerel ağ geçidi: Şirket içi ağın yapılandırmasını tanımlamak için bir yerel ağ geçidi oluşturun: VPN ağ geçidinin bağlanacağı yer ve bağlanacağı yer. Bu yapılandırma şirket içi VPN cihazının genel IPv4 adresini ve şirket içi yönlendirilebilir ağları içerir. Bu bilgiler VPN ağ geçidi tarafından şirket içi ağları hedefleyen paketleri IPsec tüneli üzerinden yönlendirmek için kullanılır.
Bu önkoşul bileşenleri mevcut olduğunda, sanal ağ ile şirket içi veri merkezi veya diğer sanal ağlar arasındaki trafiği yönlendirmek için sanal ağ geçidi oluşturabilirsiniz. Sanal ağ geçidi dağıtıldıktan sonra, VPN ağ geçidi ile yerel ağ geçidi arasında mantıksal bağlantı oluşturmak için bir bağlantı kaynağı oluşturabilirsiniz:
- Bağlantı, yerel ağ geçidi tarafından tanımlandığı şekilde şirket içi VPN cihazının IPv4 adresiyle kurulur.
- Bağlantı, sanal ağ geçidinden ve onun ilişkili genel IP adresinden kurulur.
Her Azure VPN ağ geçidi için SKU tarafından tanımlanan sınıra kadar birden çok bağlantı yapılandırabilirsiniz.
Yüksek kullanılabilirlik
Azure'da yalnızca bir VPN ağ geçidi kaynağı görmenize rağmen, VPN ağ geçitleri etkin/bekleme yapılandırmasında yönetilen sanal makinelerin iki örneği olarak dağıtılır. Planlı bakım veya plansız kesinti etkin örneği etkilediğinde, bekleme örneği herhangi bir kullanıcı veya yönetici müdahalesi olmadan bağlantıların sorumluluğunu otomatik olarak üstlenir. Bu yük devretme sırasında bağlantılar kesilir ama normalde planlı bakımda birkaç saniye içinde ve plansız kesintilerde 90 saniye içinde geri yüklenir.
Azure VPN ağ geçitleri, etkin/etkin bir yapılandırmada VPN ağ geçitlerini de dağıtmanızı sağlayan BGP yönlendirme protokollerini destekler. Bu yapılandırmada her örneğe benzersiz bir genel IP adresi atarsınız. Ardından şirket içi cihazdan her IP adresine ayrı tüneller oluşturursunuz. Şirket içinde başka bir VPN cihazı dağıtarak yüksek kullanılabilirliği genişletebilirsiniz.
Dekont
ExpressRoute bağlantıları olan birçok kuruluş, ek bir yedeklilik katmanı için siteden siteye VPN bağlantıları da dağıttı.