我一直在努力解决 Azure 和一些本地基础设施的一些实际限制。我在 Azure 上设置了一个 VNET,需要通过站点到站点 VPN 连接到 4 个不同的本地位置。
当然,我选择了可以支持多站点连接的基于路由的 VPN,但事实证明,这些本地 VPN 设备中有一个或多个仅支持静态(基于策略)IKEv1 设置。如果我可以创建基于策略的 VPN 并连接到 VNET 上的每个客户端,那就没有问题了,但显然每个 VNET 只能有一个 VPN。
我有哪些选项可以连接到这些不同的本地位置?我是否需要创建多个 VNET,使用 VPN 将每个 VNET 连接到本地位置,然后使用 VNET-VNET 连接加入 VNET?这是否可行,即使输入起来很乱。
感谢我现在能得到的所有帮助。
答案1
[更新 31/08/2017] 以下内容不再完全准确。
现在您可以拥有多个基于策略的连接(仅限 IKEv2!) 和 P2S、Vnet 到 Vnet 等。您需要部署新的 SKU 之一(VpnGw1、VpnGw2、VpnGw3)。
例如https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps
您无法使用基于策略的网关进行 Vnet 到 Vnet 的连接,因此这也不是一个选择。
这些可能是你最好的选择:
- 在 VNet 中部署网络虚拟设备 (NVA)(所有主要网络安全供应商在 Marketplace 中都有选项),并将其与优德与您所有的本地位置建立 S2S VPN。
- 部署 Linux VM 并使用一些可用的 IPSec 软件(如 StrongSwan 或类似软件)配置您自己的 VPN 网关。
- 使用其中一个本地位置作为中心辐射型架构中的 VPN 中心,其中 Azure Vnet 是其中一个辐射。这样,您只需要在 Azure 和本地之间建立一个 VPN 连接,但您仍然可以访问任何本地位置。
- 您还可以实现一种混合架构,其中任何仅与基于策略的 VPN 兼容的本地位置都连接到另一个可以执行基于路由的 VPN 的本地位置,这样您最终会在 Azure 和本地之间拥有 >1 条隧道,以免将所有流量集中在一个位置并保留基于路由的网关提供的所有功能(更多 SKU、点到站点 VPN、BGP、与 ExpressRoute 共存等)——您甚至可以利用 BGP 功能并为您的本地隧道添加冗余。
(披露:我在微软的 Azure 部门工作)
希望这可以帮助!