Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

透過專用雲端連線路徑啟用雲原生 VPN/加密選項

當透過 ExpressRoute 連線到 Microsoft Azure 或使用 Direct Connect 連線到 Amazon Web Services 來建置進入公有雲的專用連線時，傳輸路徑的安全性是安全風險評估的一部分，以將任何可能的中間人攻擊風險降到最低。

Azure 與 AWS 已發佈如何透過其各自的專用雲端連線選項使用 VPN 服務的詳細資訊：

• 透過 Microsoft Peering 設定站對站 VPN 連線

本主題說明使用專用雲端連線的多種情境，包括：

• 情境 1： IPsec VPN – Azure ER Microsoft Peering 或 AWS DX Public VIF
• 情境 2： 透過 Megaport Cloud Router (MCR) 的 IPsec VPN – Azure ER Microsoft Peering 或 AWS DX Public VIF
• 情境 3： IPsec VPN – Azure ER Private Peering 或 AWS DX Private VIF，並在 Azure 或 AWS 中使用 Network Virtual Appliance (NVA)在 Azure 或 AWS 中，網路虛擬設備（NVA）用於控制依不同安全等級分類之網路區段之間的流量。 例如，介於安全的虛擬網路與公用網際網路之間。
  
• 情境 4： IPsec VPN – 多雲環境，於 Azure 與 AWS 中使用 Network Virtual Appliance (NVA)

 

• 情境 1
• 情境 2
• 情境 3
• 情境 4

情境 1
IPsec VPN – Azure ER Microsoft Peering 或 AWS DX Public VIF
先決條件
擁有可指派用於 Microsoft Peering 與 Public VIF 的公開 IP 位址。 Note（備註）: 若未擁有公開 IP 位址，請使用 MCR (情境 2)。 自有且支援 IPsec 的網路設備。
Megaport 所需技術		需要幾個？
Port	是	1 或 (在 Link Aggregation/LAG 中為 2)
Megaport Cloud Router (MCR)	否
Virtual Cross Connect (VXC)	是	每個 CSP 1 條 (Azure 或 AWS)
考量事項
Azure 與 AWS 採用業界標準的 IPsec AES128 或 AES256 加密協定：若要為安全性或效能改用其他協定，並不容易自訂。 Azure 與 AWS 的 IPsec VPN 可設定為 Active-Active HA 組態。 AWS Virtual Private Gateway 的最大可用吞吐量為 1.25 Gbps。Azure VPN 的最大吞吐量取決於 VPN Gateway SKU。

情境 2
透過 Megaport Cloud Router (MCR) 的 IPsec VPN – Azure ER Microsoft Peering 或 AWS DX Public VIF 此解決方案適用於未擁有公開 IP 位址的組織。
先決條件
客戶自有且支援 IPsec 的網路設備。
Megaport 所需技術		需要幾個？
Port	是	1 (在 Link Aggregation/LAG 中為 2)
Megaport Cloud Router (MCR)	是	1
Virtual Cross Connect (VXC)	是	每個 CSP 1 條 (Azure 或 AWS)，以及 1 條 Private VXC
考量事項
Azure 與 AWS 採用業界標準的 IPsec AES128 或 AES256 加密協定：若要為安全性或效能改用其他協定，並不容易自訂。 Azure 與 AWS 的 IPsec VPN 可設定為 Active-Active HA 組態。 AWS Virtual Private Gateway 的最大可用吞吐量為 1.25 Gbps。Azure VPN 的最大吞吐量取決於 VPN Gateway SKU。

情境 3
IPsec（或其他）VPN - Private Peering 或 Private VIF，並在 Azure 或 AWS 中使用 Network Virtual Appliance (NVA)。
先決條件
客戶在地端與雲端自有且支援 IPsec 的網路設備。
Megaport 所需技術		需要幾個？
Port	是	1 (在 Link Aggregation/LAG 中為 2)
Megaport Cloud Router (MCR)	否
Virtual Cross Connect (VXC)	是	每個 CSP 1 條 (Azure 或 AWS)
考量事項
組織可彈性選擇加密方法，以獲得更佳的安全性或效能。 執行 NVA 的 VM 會產生額外成本。 組織需要考量如何為此情境設計並實現 HA。 在 NVA 具備足夠運算能力的情況下，最大吞吐量可超過 1.25 Gbps，並可提升至 Port 速率上限 (1 Gbps 或 10 Gbps)。

情境 4
IPsec（或其他）VPN - 多雲環境，於 Azure 與 AWS 中使用 Network Virtual Appliance (NVA)。 此解決方案適用於地端基礎設施與 CSP 地理位置不相近的組織。
先決條件
客戶在地端與雲端擁有支援 IPsec 的網路設備。
Megaport 所需技術		需要幾個？
Port	是	1 (在 Link Aggregation/LAG 中為 2)
Megaport Cloud Router (MCR)	是	1
Virtual Cross Connect (VXC)	是	每個 CSP 1 條 (Azure 與 AWS)，以及 1 條 Private VXC
考量事項
提供可彈性選擇的加密方法，以獲得更佳的安全性或效能。 執行 NVA 的 VM 會產生額外成本。 需要考量如何為此情境設計並實現 HA。 在 NVA 具備所需運算能力的情況下，最大吞吐量可超過 1.25 Gbps。

參考資料

• AWS - Azure Private IP VPN with Megaport - Readme file

• AWS - Azure Private IP VPN with Megaport - YouTube video