Tìm hiểu Azure networking services - P2 - Azure VPN Gateway
- Azure VPN Gateway là gì?
Azure VPN Gateway là một virtual network gateway được deploy trên một Azure Virtual Network instance để kết nối những kết nối như:
+ Kết nối on-premisses đến virtual network bằng kết nối site-to-site
+ Kết nối từ máy tính đến virtual network bằng kết nối point-to-site
+ Kết nối virtual networks với nhau bằng kết nối network-to-network
Tất cả dữ liệu được mã hóa và truyền thông qua tunnel khi nó chuyển qua internet. Một mạng áo chỉ có thể deploy 1 VPN Gateway nhưng chúng ta có thể kết nối 1 VPN Gateway đến nhiều mạng ảo khác hoặc on-premises.
Khi deploy một VPN Gateway chúng ta cần xác định được loại của nó: policy-based hoặc route-based. Sự khác nhau chính giữa hai loại này là cách chỉ định traffic được mã hóa. Trong Azure cả hai loại đều sử dụng pre-shared key như phương thức xác minh duy nhất. Cả hai loại đều dựa trên Internet Key Exchange (IKE) trên phiên bản 1 hoặc 2 và Internet Protocol Security (IPSec). IKE được thiết lập như một thỏa thuận mã hóa giữa hai endpoint. Liên kết giữa 2 endpoint sau đó sẽ được chuyển đến IPSec để encrypts hoặc decrypts những gói được truyền qua tunnel.
- Policy-based VPNs
Policy-based VPNs chỉ định IP tĩnh cho các gói được mã hóa qua tunnel. Mỗi gói dữ liệu sẽ được xem xét thông qua các IP được chỉ định để chọn tunnel mà nó được gửi qua.
Tính năng chính của policy-based VPN trên Azure:
+ Chỉ support IKE v1
+ Sử dụng static routing , ở đây nó sẽ tổng hợp cả hai address prefixs của hay đầu tunnel để encrypt và decrypt thông qua tunnel. source và destination được khai báo trong chính sách của tunnel và không cần khai báo trong routing table
+ Policy-based VPNs phải được sử dụng trong một kịch bản được chỉ định sẵn
- Route-based VPNs
Nếu việc định nghĩa Ip ở mỗi đầu tunnel gặp khó khăn chúng ta có thể sử dụng route-based VPNs. IPSec được coi như một network interface hoặc virtual network interface. IP routing sẽ quyết định package nào sẽ được gửi qua tunnel nào. Route-based VPN thường được sử dụng kết nối với các on-premises.
Route-based thường được sử dụng trong các kết nối:
+ Kết nối giữa các mạng ảo
+ Kết nối point-to-site
+ Multisite connection
+ Sử dụng cùng với Azure ExpressRoute
Tính năng chính của route-based trên Azure
+ Hỗ trợ IKE v2
+ Sử dụng trong kết nối any-to-any
+ Sử dụng với dynamic routing protocols
2. VPN Gateway size
Basic VPN chỉ nên sử dụng cho việc test/dev. Nó không thể migrate lên các loại khác mà sẽ phải deploy lại.
3. VPN Gateway example
Hình trên thể hiện các tổ chức các resources trên Azure để tạo một kết nối với một on-premises hoặc virtual networks khác.
High-availability
+ active/standby: Mặc định khi deploy trên Azure, VPN Gateway sẽ được tạo ra 2 instances là active và standby. Khi active bị gián đoạn hoặc bảo trì, standby sẽ tự động chịu trách nhiệm của active
+ active/active: Mỗi active của bạn sẽ được gắn với 1 public IP. Từ mỗi on-premises bạn sẽ tạo một kết nối đến VPN Gateway để đảm bảo connection không bao giờ bị gián đoạn.
+ ExpressRoute failover: ExpressRoute có khả năng tự phục hồi khi được sử dụng cùng VPN Gateway. Khi có sự cố trên ExpressRoute, chúng ta có thể sử dụng thay thế bằng một VPN gateway thông qua internet để luôn đảm bảo kết nối sẵn sàng.
+ Zone-redundant gateways: chúng ta có thể deploy ExpressRoute và VPN gateway trên nhiều available zone trong cùng một region. Điều này sẽ giúp khả năng phục hồi, mở rộng và high-availability cho virtual network.
Trên đây là tổng quan về Azure VPN Gateway. Cảm ơn các bạn đã đọc bài viết!