Tweet
Overlay VPN Tunnels đến Cloud Gateway trong Azure
Trong bài viết này, chúng ta sẽ cùng tìm hiểu kiến trúc và các thành phần cơ bản mà Microsoft Azure cung cấp để triển khai VPN endpoint gốc trên cloud và cấu hình các đường hầm IPsec từ hệ thống on-premises đến môi trường Azure. Nội dung cũng sẽ mô tả quy trình từng bước tạo các tài nguyên cần thiết trên Azure và cách liên kết chúng, đồng thời đề cập đến việc cấu hình thiết bị VPN edge tại cơ sở (router, firewall) với hoặc không cần sử dụng file cấu hình tự động được Azure cung cấp.
Kết nối Site-to-Site VPN trong Azure
Kiến trúc VPN trong Azure về cơ bản khá tương tự như trên AWS. Để triển khai kết nối an toàn từ on-premises đến tài nguyên đám mây (Azure Virtual Network – VNet), chúng ta cần một Connection resource. Connection này sẽ cho phép các thiết bị edge tại on-premises (router, firewall, VPN appliance) thiết lập đường hầm IPsec đến Virtual Network Gateway trong Azure. Một số đặc điểm kỹ thuật:
Góc nhìn cho người mới bắt đầu (MCSA / Azure / AWS)
Nếu bạn quen với VPN site-to-site trong AWS, thì khi qua Azure sẽ thấy cách triển khai khá tương đồng: đều cần một gateway trong cloud để kết thúc tunnel, và một customer edge device ở phía on-premises để tạo đường hầm. Tuy nhiên, có điểm khác biệt là Azure hiện chỉ hỗ trợ xác thực bằng pre-shared key, trong khi AWS có thêm tùy chọn xác thực nâng cao (chứng chỉ, BGP linh hoạt hơn).
Với môi trường thực tế, việc nắm rõ cách Azure tự động xử lý failover gateway là cực kỳ quan trọng, giúp đảm bảo dịch vụ không bị gián đoạn khi có sự cố.
👉 Anh em trong cộng đồng MCSA-Azure-AWS nên bắt đầu lab với Virtual Network Gateway + Connection + Local Network Gateway trong Azure Portal, sau đó thực hành cấu hình router/firewall on-premises để hiểu rõ hơn cơ chế kết nối.
Trong bài viết này, chúng ta sẽ cùng tìm hiểu kiến trúc và các thành phần cơ bản mà Microsoft Azure cung cấp để triển khai VPN endpoint gốc trên cloud và cấu hình các đường hầm IPsec từ hệ thống on-premises đến môi trường Azure. Nội dung cũng sẽ mô tả quy trình từng bước tạo các tài nguyên cần thiết trên Azure và cách liên kết chúng, đồng thời đề cập đến việc cấu hình thiết bị VPN edge tại cơ sở (router, firewall) với hoặc không cần sử dụng file cấu hình tự động được Azure cung cấp.
Kết nối Site-to-Site VPN trong Azure
Kiến trúc VPN trong Azure về cơ bản khá tương tự như trên AWS. Để triển khai kết nối an toàn từ on-premises đến tài nguyên đám mây (Azure Virtual Network – VNet), chúng ta cần một Connection resource. Connection này sẽ cho phép các thiết bị edge tại on-premises (router, firewall, VPN appliance) thiết lập đường hầm IPsec đến Virtual Network Gateway trong Azure. Một số đặc điểm kỹ thuật:
- Azure hỗ trợ cả policy-based VPN và route-based VPN.
- Các phiên bản IKE có thể là IKEv1 hoặc IKEv2 để thương lượng khóa.
- Authentication chỉ hỗ trợ pre-shared key (PSK) – không hỗ trợ chứng chỉ.
- Đây là một dạng VM đặc biệt do Azure triển khai và quản lý hoàn toàn như một dịch vụ.
- Mặc định, virtual network gateway trong Azure hoạt động ở chế độ active-standby.
- Khi có sự cố hạ tầng hoặc bảo trì, Azure tự động tạo một bản sao gateway mới và chuyển tiếp lưu lượng IPsec sang đó.
- Quá trình này diễn ra hoàn toàn tự động, không cần can thiệp từ khách hàng.
- Với cấu hình mặc định, mỗi kết nối site-to-site từ on-premises chỉ có một IPsec tunnel duy nhất.
- Nếu instance primary bị lỗi, traffic sẽ tự động failover sang instance secondary.
Góc nhìn cho người mới bắt đầu (MCSA / Azure / AWS)
Nếu bạn quen với VPN site-to-site trong AWS, thì khi qua Azure sẽ thấy cách triển khai khá tương đồng: đều cần một gateway trong cloud để kết thúc tunnel, và một customer edge device ở phía on-premises để tạo đường hầm. Tuy nhiên, có điểm khác biệt là Azure hiện chỉ hỗ trợ xác thực bằng pre-shared key, trong khi AWS có thêm tùy chọn xác thực nâng cao (chứng chỉ, BGP linh hoạt hơn).
Với môi trường thực tế, việc nắm rõ cách Azure tự động xử lý failover gateway là cực kỳ quan trọng, giúp đảm bảo dịch vụ không bị gián đoạn khi có sự cố.
👉 Anh em trong cộng đồng MCSA-Azure-AWS nên bắt đầu lab với Virtual Network Gateway + Connection + Local Network Gateway trong Azure Portal, sau đó thực hành cấu hình router/firewall on-premises để hiểu rõ hơn cơ chế kết nối.
Attached Files