Şirketler genellikle ana ofisleri ile şubeleri arasında güvenli iletişim kurmak ve kaynaklarını tek bir merkezden yönetmek için VPN çözümlerini kullanır. Artık şirket kaynaklarının bir kısmı veya tamamı da buluta yerleştirildiğinden, şirket ile Azure arasında güvenli bir iletişim kurmak gerekiyor. Bunu yapmanın iki yolu vardır: Azure VPN ağ geçidi veya ExpressRoute. ExpressRoute; Bu, Azure kaynaklarınız ile şirket arasında uçtan uca kablolu ve izole bir bağlantı anlamına gelir. Ancak tahmin edebileceğiniz gibi, bu bağlantıyı uygulamanın maliyeti yüksektir. Bu nedenle, VPN ağ geçidi daha çok tercih edilen bir yöntemdir.
Azure VPN ağ geçidi, Azure ağı ile şirket ağı arasında şifreli ve güvenli bir bağlantı sağlamak için kullanılır. Aslında bu durumda bildiğimiz VPN bağlantısı bir Azure kaynağıdır. Azure VPN ağ geçidi bize üç farklı bağlantı türü sağlar:
1. Siteden siteye: İki ağ arasında şifrelenmiş bir izole bağlantı sağlar.
2. Siteyi işaret edin: İstemciden sanal ağınıza güvenli bir bağlantı sağlar.
3. Vnet’ten Vnet’e: Azure sanal ağını diğer Azure sanal ağlarına bağlar.
Bir VPN bağlantısında, veriler İnternetten geçerken özel bir tünelde şifrelenir. İnternet anahtar değişimi (IKEv1 veya IKEv2), IPSEC tünel yoluyla iletilen veri paketlerinin şifreleme görüşmesi için kullanılır. Azure VPN ağ geçitleri ise, yol tabanlı ve ilke tabanlı olarak ikiye ayrılır. Bu iki tür arasındaki temel fark, iletişimin nasıl şifreleneceğidir. Örneğin: IKEv2, desteklemediği için ilkeye dayalı VPN yapmanıza olanak sağlamaz.
VPN Gateway sürümleri ise aşağıdaki gibidir:
| SKU | Siteden siteye/Sanal Ağdan Sanal Ağa tüneller | Toplu aktarım hızı karşılaştırması | Sınır Ağ Geçidi Protokolü (BGP) desteği |
| Basic* | Maksimum: 10 | 100 Mb/sn | Desteklenmez |
| VpnGw1/Az | Maksimum: 30 | 650 Mb/sn | Desteklenir |
| VpnGw2/Az | Maksimum: 30 | 1 Gb/sn | Desteklenir |
| VpnGw3/Az | Maksimum: 30 | 1,25 Gb/sn | Desteklenir |
Azure ile şirketiniz arasında bir VPN bağlantısı kurmak için gereken faktörler şunlardır:
Sanal ağ: Azure’da oluşturduğunuz sanal ağı temsil eder. Her sanal ağa bir VPN ağ geçidi atayabilirsiniz.
Ağ Geçidi Alt Ağı: VPN ağ geçidi kullanımına özel bir alt ağ atamalısınız. Gelecekte büyümeye yönelik daha esnek hale getirmek için alt ağ maskesi olarak / 27 kullanılması önerilir.
Genel IP (Basic SKU): Şirketteki VPN aygıtının hedefi olarak VPN ağ geçidini tanımlamak için kullanılan genel IP adresi. Dinamik bir IP adresi olsa da, VPN ağ geçidini silip yeniden oluşturmadıkça değişmeyecektir. Yani temel olarak, Basic SKU Public IP adresi yeterli olacaktır.
Yerel ağ geçidi: Şirketteki VPN cihazınıza atadığınız şirketin IPv4 adresi.
Sanal ağ geçidi: Yerel ağ, Azure ve diğer sanal ağlar arasında yönlendirme yapmak için sanal bir ağ geçidi oluşturmanız gerekir.
Oluşturacağınız bu VPN bağlantısı, Siteden Siteye Yol tabanlı bir bağlantıdır.
Şüphesiz hiçbir şirket böylesine önemli bir bağlantı kesintiye uğrasın istemez. Bunun için HA (High Availability) senaryosu ise şöyle.
Aktif ve Pasif olmak üzere iki adet VPN Gateway çalışır. Aktif VPN Gateway üzerindeki planlı kesintilerde birkaç saniye, plansız kesintilerde ise 90 saniye içerisinde otomatik olarak pasif VPN Gateway Aktif rolünü üstlenerek bağlantının sürekliliğini sağlar.
Basic SKU dışındaki VPN Gateway’ler ile etkin/etkin bir yapılandırma da uygulayabilirsiniz. Bu yapılandırmada şirket ağı ve Azure üzerindeki Gateway’lere birer genel IP adresi atarsınız. Sonrasında şirkette bulunan VPN cihazından her IP adresine ayrı tüneller oluşturarak çapraz bağlantıya olanak sağlarsınız. Ayrıca şirkette ek bir VPN cihazı konumlandırarak HA kapsamını genişletebilirsiniz.
