你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

VPN 网关拓扑和设计

VPN 网关连接有许多不同的配置选项。 使用以下部分中的关系图和说明来帮助选择满足你的要求的连接拓扑。 这些示意图显示了主要的基准拓扑。但是,你也可以使用这些示意图作为指导来构建更复杂的配置。

站点到站点 VPN

站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道建立的连接。 站点到站点连接可以用于跨界和混合配置。 站点到站点连接要求位于本地的 VPN 设备分配有一个公共 IP 地址。

站点到站点 VPN 网关跨界连接示意图。

你可以从虚拟网络网关创建多个 VPN 连接,通常情况下连接到多个本地站点。 使用多个连接时,必须使用 RouteBased VPN 类型。 由于每个虚拟网络只能有一个 VPN 网关,因此通过该网关的所有连接都共享可用带宽。 这种连接设计有时称为“多站点”

站点到站点 VPN 网关与多个站点的跨界连接示意图。

如果你要创建高可用性网关连接的设计,可以将网关配置为主动-主动模式。 此模式允许你配置连往同一个 VPN 设备的两个活动隧道(每个网关虚拟机实例各一个),以创建高可用性连接。 除了高可用性连接设计之外,主动-主动模式的另一个优势是客户可以体验到更高的吞吐量。

适用于 S2S 的部署模型和方法

部署模型 Azure 门户 PowerShell Azure CLI
资源管理器 教程 教程 教程

点到站点 VPN

通过点到站点 (P2S) VPN 网关连接,可以创建从单个客户端计算机到虚拟网络的安全连接。 通过从客户端计算机启动来建立点到站点连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure 虚拟网络的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到虚拟网络,则可使用站点到站点 VPN 这种解决方案来代替站点到站点 VPN。

与站点到站点连接不同,点到站点连接不需要本地面向公众的 IP 地址或 VPN 设备。 可以通过同一 VPN 网关将点到站点连接与站点到站点连接结合使用,前提是这两种连接的所有配置要求都兼容。 有关点到站点连接的详细信息,请参阅关于点到站点 VPN

点到站点连接示意图。

适用于 P2S 的部署模型和方法

身份验证方法 文章
证书 教程
操作方法
Microsoft Entra ID 操作方法
RADIUS 操作方法

P2S VPN 客户端配置

身份验证 隧道类型 客户端 OS VPN 客户端
证书
IKEv2、SSTP Windows 本机 VPN 客户端
IKEv2 macOS 本机 VPN 客户端
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 客户端
OpenVPN 客户端版本 2.x
OpenVPN 客户端版本 3.x
OpenVPN macOS OpenVPN 客户端
OpenVPN iOS OpenVPN 客户端
OpenVPN Linux Azure VPN 客户端
OpenVPN 客户端
Microsoft Entra ID
OpenVPN Windows Azure VPN 客户端
OpenVPN macOS Azure VPN 客户端
OpenVPN Linux Azure VPN 客户端

VNet 到 VNet 连接(IPsec/IKE VPN 隧道)

将虚拟网络连接到虚拟网络(VNet 到 VNet)类似于将虚拟网络连接到本地站点位置。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道。 甚至可以将 VNet 到 VNet 通信与多站点连接配置结合使用。 这样,便可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑。

你连接的虚拟网络可以是:

  • 在相同或不同的区域中
  • 在相同或不同订阅中
  • 在相同或不同部署模型中

VNet 到 VNet 连接示意图。

适用于 VNet 到 VNet 的部署模型和方法

部署模型 Azure 门户 PowerShell Azure CLI
资源管理器 教程 + 教程 教程

(+) 表示这种部署方法仅适用于同一订阅中的 VNet。

在某些情况下,可能需要使用虚拟网络对等互连而不是 VNet 到 VNet 来连接虚拟网络。 虚拟网络对等互连不使用虚拟网络网关。 有关详细信息,请参阅虚拟网络对等互连

站点到站点和 ExpressRoute 的共存连接

ExpressRoute 是从 WAN(不通过公共 Internet)到 Microsoft 服务(包括 Azure)的直接专用连接。 站点到站点 VPN 流量以加密方式通过公共 Internet 传输。 能够为同一个虚拟网络配置站点到站点 VPN 和 ExpressRoute 连接可带来诸多好处。

可以将站点到站点 VPN 配置为 ExpressRoute 的安全故障转移路径,或者使用站点到站点 VPN 连接到不属于网络但却已通过 ExpressRoute 进行连接的站点。 请注意,此配置要求对同一虚拟网络使用两个虚拟网络网关,一个网关使用网关类型“Vpn”,另一个网关使用网关类型“ExpressRoute”。

ExpressRoute 和 VPN 网关共存连接的示意图。

适用于 S2S 和 ExpressRoute 共存连接的部署模型和方法

部署模型 Azure 门户 PowerShell
资源管理器 教程 教程

高可用连接

若要规划和设计高可用性连接(包括主动-主动模式配置),请参阅为跨界连接和 VNet 到 VNet 连接设计高可用性网关连接

后续步骤