Cấu hình Điểm Cuối VPN trong Azure – Hướng Dẫn Từng Bước


Khi triển khai kết nối Site-to-Site VPN trên Azure, chúng ta cần thiết lập các tài nguyên đám mây (cloud resources) để kết nối với thiết bị biên (edge device) tại trung tâm dữ liệu hoặc văn phòng. Dưới đây là quy trình chuẩn:

Quy trình gồm 5 bước chính:

1. Tạo Local Network Gateway (Cổng mạng cục bộ).
2. Tạo Virtual Network Gateway (Cổng mạng ảo).
3. Tạo Connection (Kết nối).
4. Tải xuống và chỉnh sửa tệp cấu hình.
5. Cấu hình thiết bị biên tại chỗ (on-premises).

---

Bước 1: Tạo Local Network Gateway


Local Network Gateway đại diện cho thiết bị biên tại chỗ. Khi tạo bạn cần:

• Đặt tên dễ nhớ (ví dụ: Branch-HQ-FW01).
• Nhập IP public hoặc tên miền của thiết bị.
• Khai báo prefix mạng cục bộ nếu dùng static routing, hoặc thông tin BGP nếu dùng dynamic routing.

Tip thực tế:
Nếu thiết bị tại chỗ dùng NAT, bạn phải cẩn thận khi điền IP vì Azure sẽ sử dụng giá trị này để tạo file cấu hình.

---

Bước 2: Tạo Virtual Network Gateway


Đây là thành phần quan trọng trong Azure, đóng vai trò VPN endpoint trong cloud.

• Chọn VNet cần kết nối (lưu ý phải có subnet riêng: GatewaySubnet).
• Chọn loại gateway là VPN và kiểu Route-based (bắt buộc khi dùng IKEv2 + BGP).
• Chọn SKU (Basic, VpnGw1, VpnGw2…) để xác định băng thông và hiệu suất.
• Tùy chọn triển khai:
  • Active-Active để dự phòng.
  • Zone-redundant hoặc Zonal để tăng tính khả dụng.

Lưu ý:
Việc tạo VNG có thể mất tới 20–30 phút, cần kiên nhẫn chờ triển khai xong.

---

Bước 3: Tạo Connection


Sau khi có Local Network Gateway và Virtual Network Gateway, bạn tạo một Connection để liên kết chúng:

• Chọn loại kết nối Site-to-Site (IPsec).
• Nhập Pre-Shared Key (do bạn tự đặt, khác với AWS – nơi hệ thống sinh tự động).
• Tùy chỉnh tham số IKE/IPsec nếu cần.

Ghi nhớ:
Resource Connection trong Azure không chỉ dùng cho VPN Site-to-Site, mà còn cho ExpressRoute hoặc VNet-to-VNet.

---

Bước 4: Tải Xuống & Chỉnh Sửa File Cấu Hình


Azure cho phép bạn download sẵn file cấu hình tương thích với các hãng thiết bị (Cisco, Juniper, Fortinet...).

• File bao gồm các lệnh CLI cần thiết cho thiết bị.
• Nếu router nằm sau NAT → bạn cần chỉnh lại IP trong file.
• Kiểm tra lại các tham số IKE/IPsec để phù hợp với policy hiện có.

Pro Tip:
File cấu hình còn có sẵn lệnh “cleanup” để xóa policy/tunnel khi không dùng nữa – cực kỳ hữu ích khi lab hoặc troubleshooting.

---

Bước 5: Cấu Hình Thiết Bị Biên On-Premises


Có thể:

• Copy từng đoạn lệnh vào CLI thủ công.
• Hoặc paste toàn bộ file sau khi chỉnh sửa.

Cẩn trọng:

• Tránh ghi đè các profile crypto/IPsec đã tồn tại.
• Đảm bảo policy mã hóa phù hợp giữa Azure và router.
• Sau khi hoàn tất, cập nhật định tuyến (static hoặc BGP) để lưu lượng đi đúng đường.

---

Câu hỏi ôn tập


Tài nguyên nào trong Azure có thể triển khai dạng zone-redundant hoặc zonal?

• Cổng khách hàng (Customer Gateway)
• Cổng mạng cục bộ (Local Network Gateway)
• Cổng mạng ảo (Virtual Network Gateway) ← Đáp án đúng
• Cổng riêng ảo (Private Gateway)

---

Kết luận


Việc thiết lập Site-to-Site VPN trong Azure khá giống với AWS nhưng có sự khác biệt quan trọng:

• Azure yêu cầu Virtual Network Gateway (định tuyến dựa trên route).
• Bạn phải tự quản lý Pre-Shared Key.
• Hỗ trợ Zone-redundant / Active-Active để tăng HA.

Kỹ sư hệ thống, cloud hoặc bảo mật khi triển khai nên quen thuộc cả hai mô hình (Azure và AWS) để có thể linh hoạt trong môi trường đa đám mây (multi-cloud).
​