God dag, vi tänker flytta många servrar till Azure (bakom kurvan ja), och jag funderar på det bästa sättet att koppla upp oss mot vår Azure VNET. Det mest kostnadseffektiva och med bäst prestanda.
Jag tror många skulle säga använd Azure VPN Gateway, men är det verkligen det bästa alternativet? Azure har en inbyggd, grundläggande lastbalanserare, men är det samma, eller bättre än en dedikerad F5-lastbalanserare?
Vad skulle ge oss mest genomströmning med lägst latens? Ett alternativ skulle kunna vara en Paloalto VM, men de använder fortfarande IPSec VPN, vilket enligt dagens standard är gammal teknik, och inte super effektiv.
Jag gillar påståenden och historier kring Wireguard. Är det ett rimligt alternativ? Har någon sett eller gjort några tester kring det?
Jag skulle vara nyfiken på att skapa en enkel, ren Linux VM med Azure Boost och installera Wireguard (eller Tailscale) och sedan ha någon form av hårdvara på kontoret som skapar en dedikerad tunnel (förhoppningsvis med hårdvaruacceleration) också.
Eller är standard Azure VPN Gateway det bästa när det gäller prestanda?
Jag försöker vara öppen för att höra olika synpunkter.
Tack
Att använda en fristående VPN-enhet, som en Palo Alto, kommer definitivt att ge bättre prestanda och fler funktioner… men det kommer att bli betydligt dyrare än att använda Azure VPN Gateway.
Så de logiska frågorna är:
-
Vilken typ av anslutning behöver du egentligen för detta? Site-to-site? VPN för användare? osv.
-
Vad gör du över VPN?
-
Vilken sorts motståndskraft behöver du?
de använder fortfarande IPSec VPN, vilket enligt dagens standard är gammal teknik
IPSec VPN är fortfarande en absolut standard inom företagsvärlden. Vad tror du att Azure VPN-gateway använder? Vad ligger till grund för de flesta (om inte alla) SD-WAN-uppsättningar?
Azure har en inbyggd, grundläggande lastbalanserare, men är det samma, eller bättre än en dedikerad F5-lastbalanserare?
Den har inte samma funktionalitet som en fullfjädrad lastbalanserare som F5. Den hanterar endast lager 4 (TCP/UDP), den tar inte hand om SSL/TLS-termination, det är en enkel pass-through lastbalanserare.
Det beror helt på vad du redan har on-premises, visst kan du använda wireguard, men varför inte bara avsluta en IPSec-tunnel från din befintliga on-prem gateway till Azure VPN-gatewayen?
Vad är din nuvarande brandvägg / huvudände på varje av dina filialplatser?
Det beror.
Vad för slags tjänster tänker du hosta i Azure?
Jag skulle alltid välja Azure VPN-gatewayen, av följande skäl:
- Du behöver aldrig uppdatera den
- Den är inbyggd i Azure och lätt att konfigurera
- Du kan ha hög tillgänglighet, beroende på SKU
- Det är enkelt att uppgradera till högre SKU
Folk glömmer alltid kostnaderna för att underhålla en lösning, vår tid är inte gratis.
Men varför vill du ansluta till Azure överhuvudtaget, vad är målet? Om du bara vill ha VMer i Azure (som din VPN-apparat) kommer det inte att vara kostnadseffektivt att använda Azure.
Jag ser några inlägg där andra lösningar skulle ha fler funktioner, prestanda och latens, men vad baseras dessa på?
Jag har gjort ett par integrationer av Palo Alto och Azure. Avsluta din VPN i Azure. Använd din brandvägg för att inspektera east/west/north/south trafik i Azure (du nämnde du hade en VM-Series). Om du har två, använd en lastbalanserare, om det är en enskild brandvägg, behövs ingen. Detta är en mycket stabil design - https://www.paloaltonetworks.sg/resources/guides/azure-transit-vnet-deployment-guide
Om du inte vill använda Palo Alto, behöver du inte. Arkitekturen förblir densamma oavsett om det är Fortigate etc.
Hoppas det hjälper