Azure Site-to-Site VPN 概念与作用

软件技术 云计算
1

Azure Site-to-Site VPN 概念和作用

Azure VPN Gateway 和 ExpressRoute 关系选择的对比
2

以下从“是什么”和“能做什么”两方面,简要说明 Azure Site‑to‑Site (S2S) VPN 的概念与作用,并附上关键特性与常见拓扑。

一、概念(是什么)

  • Azure S2S VPN 是通过公网上的 IPsec/IKE 加密隧道,把本地数据中心/分支机构网络与 Azure 虚拟网络(VNet)安全互联的能力。
  • Azure 侧由托管的 VPN Gateway 承载隧道,本地侧由企业自有的 VPN 设备(如 Cisco/FortiGate/Juniper/pfSense 等)或 Windows RRAS 承载。
  • 隧道建立后,双方私网地址空间之间的流量在公网中加密传输,对两端应用而言像同一内网互通。

二、作用(能做什么)

  • 构建混合云网络:把本地网络无缝扩展到 Azure,托管业务系统、数据库、容器、备份等。
  • 灾备与迁移:进行数据复制/容灾切换、应用上云迁移期间的双活/灰度。
  • 分支互联/上云出口:分支到 Azure Hub,再转到总部或互联网(配合 UDR/防火墙/虚拟广域网)。
  • VNet 互联:在没有对等互连或出于合规/加密需要时,可用 S2S 实现 VNet‑to‑VNet。
  • 远程管理与运维访问:安全访问 Azure 资源的管理端口/服务。

三、核心组件

  • Azure VNet 与子网:需要专门的 GatewaySubnet。
  • VPN Gateway:Azure 托管的网关实例(建议 Route‑based 类型)。
  • Local Network Gateway:表示本地网关的公有 IP 与本地网段列表/BGP 信息。
  • 本地 VPN 设备:支持 IKEv2/IPsec,最好支持路由式(VTI)与 BGP。
  • 公网 IP:双方网关各需要一个公有 IP(Active‑Active 时 Azure 侧有两个)。

四、工作原理(简述)

  • 双方通过 IKEv2 建立安全关联(SA),协商加密/完整性算法与密钥(支持 PFS)。
  • 交换路由:静态前缀或通过 BGP 动态通告,形成往返可达的路由。
  • 业务流量匹配到对端前缀后进入 IPsec 隧道,在公网加密传输,到达对端解密转发。

五、常见拓扑

  • 单站点到 Azure(S2S)
  • 多站点到一个 Azure VNet(Multi‑Site)
  • VNet 与 VNet 之间的 S2S
  • Active‑Active 网关(两个公 IP、双隧道,常配合 BGP,提高可用性与带宽利用)
  • 虚拟广域网 Virtual WAN(Hub‑and‑Spoke,大规模分支接入与集中安全)

六、主要特性与限制

  • 网关类型:Route‑based(推荐,灵活、支持多前缀/BGP)与 Policy‑based(旧设备兼容,功能受限)。
  • 协议/加密:IKEv2/IPsec,常用 AES‑256、SHA‑256,建议 DH14+ 与 PFS;NAT‑T 使用 UDP 4500(协商期用 UDP 500)。
  • BGP:支持动态路由、故障收敛、Active‑Active/多站点;可下发 0.0.0.0/0 实现强制隧道(Forced Tunneling)。
  • NAT(网关级):支持入/出方向静态 NAT,解决地址重叠或第三方托管重叠网段问题。
  • 高可用:托管网关原生冗余;可选 Active‑Active 与可用区冗余(Zone‑redundant Gateway)。
  • 吞吐/规模:按网关 SKU(VpnGw1‑5 与 AZ 变体)不同,聚合吞吐约数百 Mbps 到数 Gbps;单网关可支撑的 S2S 隧道数目也随 SKU 提升。
  • 配额/约束:每个 VNet 仅能创建一个 VPN Gateway(可与一个 ExpressRoute Gateway 共存);Basic/Policy‑based 功能受限且不建议新用。
  • 端口要求:放行 UDP 500/4500(以及设备对 ESP 的支持);中间设备要允许 IPsec/NAT‑T。
  • 设备互通:多数主流厂商已验证;建议使用路由式隧道与 IKEv2 以获得最佳兼容性。

七、与其他连接方式对比

  • ExpressRoute:专线/对等互联,带宽大、时延与 SLA 可预测,成本更高、部署周期更长。S2S VPN 成本低、上线快,但依赖公网质量。
  • Point‑to‑Site(P2S):面向个人终端的远程访问。S2S 面向站点/网络级互联,适合生产流量。

八、搭建步骤(高层)

  • 规划地址:Azure VNet/子网与本地网段不重叠(如有重叠,设计 NAT)。
  • 创建 VNet 与 GatewaySubnet,申请公有 IP,部署 VPN Gateway(建议 Route‑based,对应所需 SKU/可用区)。
  • 创建 Local Network Gateway(填本地网关公 IP 与本地前缀,或 BGP 参数)。
  • 在两端创建 Connection/隧道,配置预共享密钥或证书,必要时设置自定义 IPsec/IKE 策略。
  • 按需启用 BGP/UDR/强制隧道,联通性测试与监控报警。

九、费用与运维

  • 计费:按网关 SKU 小时计费 + 出网流量费;无每连接单独费用。可用区/高 SKU 成本更高。
  • 监控:使用 Azure Monitor/VPN 诊断日志查看隧道状态、流量与重协商事件。
  • 最佳实践:优先 Route‑based + IKEv2 + BGP;生产用 Active‑Active 或可用区冗余;统一时间/NTP、匹配加密套件;最小化暴露面与密钥轮换。

如果你提供现有本地设备型号/版本、计划承载的带宽与网段/拓扑,我们可以给出更精确的网关 SKU、加密参数与配置要点。