本文将介绍可供组织用来为其用户设置远程访问的选项,或者通过附加容量补充其现有解决方案的选项。 Azure VPN 网关点到站点 VPN 解决方案基于云且可快速预配,能满足在家办公用户不断增长的需求。 可以轻松纵向扩展该解决方案,不再需要多出的容量时,同样可以快速轻松地将其关闭。
通过点到站点 (P2S) VPN 网关连接,可以创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如在家里或会议室)连接到 Azure VNet 或本地数据中心的远程工作者,此解决方案很有用。 有关 Azure 点到站点 VPN 的详细信息,请参阅关于 VPN 网关点到站点 VPN 和 VPN 网关常见问题解答。
下表显示了客户端操作系统及其可用的身份验证选项。 这些信息可以帮助用户根据已在使用的客户端 OS 选择身份验证方法。 例如,如果混合使用了需要连接的客户端操作系统,请选择使用基于证书的身份验证的 OpenVPN。 另请注意,只有基于路由的 VPN 网关才支持点到站点 VPN。
| 身份验证 | 隧道类型 | 客户端 OS | VPN 客户端 |
|---|---|---|---|
| 证书 | |||
| IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN 客户端 OpenVPN 客户端版本 2.x OpenVPN 客户端版本 3.x |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | Linux |
Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 客户端 |
在此场景中,远程用户只需访问 Azure 中的资源。
从较高层面讲,需要执行以下步骤才能使用户安全连接到 Azure 资源:
创建虚拟网关(如果该网关不存在)。
在网关上配置点到站点 VPN。
- 有关证书身份验证,请参阅配置点到站点证书身份验证。
- 有关 Microsoft Entra ID 身份验证,请参阅配置点到站点 Microsoft Entra ID 身份验证
- 有关点到站点连接故障排除,请参阅故障排除:Azure 点到站点连接问题。
下载并分发 VPN 客户端配置。
向客户端分发证书(如果选择了证书身份验证)。
连接到 Azure VPN。
在此场景中,远程用户需要访问 Azure 中以及本地数据中心内的资源。
从较高层面讲,需要执行以下步骤才能使用户安全连接到 Azure 资源:
- 创建虚拟网关(如果该网关不存在)。
- 在网关上配置点到站点 VPN(请参阅方案 1)。
- 在启用了 BGP 的 Azure 虚拟网关上配置站点到站点隧道。
- 配置本地设备以连接到 Azure 虚拟网关。
- 从 Azure 门户下载点到站点配置文件并将其分发到客户端
若要了解如何设置站点到站点 VPN 隧道,请参阅创建站点到站点 VPN 连接。
- 配置 P2S 连接 - Microsoft Entra ID 身份验证
- 配置 P2S 连接 - 证书身份验证
- 配置 P2S 连接 - RADIUS 身份验证
- 关于 VPN 网关点到站点 VPN
- 关于点到站点 VPN 路由
“OpenVPN”是 OpenVPN Inc. 的商标。