Mit der VPN-as-a-Service-Funktionalität können Self-Service-Benutzer virtuelle Netzwerke über öffentliche Netzwerke (wie das Internet) hinweg erweitern. Um zwei oder mehrere Remote-Endpunkte verbinden zu können, verwenden die VPNs virtuelle Verbindungen, die durch physische Netzwerke getunnelt werden. Um die VPN-Kommunikation abzusichern, wird der Datenverkehr zwischen den Remote-Endpunkten verschlüsselt. Die VPN-Implementierung verwendet die Protokolle IKE (Internet Key Exchange) und IPsec (IP Security), um sichere VPN-Verbindungen aufzubauen und basiert auf der IPsec-Umsetzung „strongSwan“.

                           

Mit VPN as a Service können Sie eine Site-to-Site-VPN-Verbindung zwischen einem in Virtuozzo Hybrid Infrastructure konfigurierten virtuellen Netzwerk und einem beliebigen anderen Netzwerk mit einem VPN-Gateway herstellen, welches die Protokolle IPsec und IKE verwendet. Mit VPN as a Service können Sie folgende Workloads verbinden:

                           

  • On-Premise-Workloads mit Workloads, die in Virtuozzo Hybrid Infrastructure gehostet werden
  • Workloads, die in anderen Clouds gehostet werden, mit Workloads, die in Virtuozzo Hybrid Infrastructure gehostet werden
  • Workloads, die in verschiedenen Virtuozzo Hybrid Infrastructure-Clustern gehostet werden

                           

Betrachten Sie folgendes Beispiel, um besser zu verstehen, wie ein VPN funktioniert:

                           

                                                           

                           

  • Im cluster 1 ist die virtuelle Maschine VM1 über die Netzwerkschnittstelle mit der IP-Adresse 192.168.10.10 mit dem virtuellen Netzwerk privnet1 (192.168.10.0/24) verbunden. Das Netzwerk privnet1 ist über den Router router1 mit dem externen Port 10.10.10.5 für öffentliche Netzwerke zugänglich.
  • Im cluster 2 ist die virtuelle Maschine VM2 über die Netzwerkschnittstelle mit der IP-Adresse 192.168.20.20 mit dem virtuellen Netzwerk privnet12 (192.168.20.0/24) verbunden. Das Netzwerk privnet2 ist über den Router router2 mit dem externen Port 10.10.10.4 für öffentliche Netzwerke zugänglich.
  • Der VPN-Tunnel wird zwischen den Routern router1 und router2 hergestellt, die als VPN-Gateways dienen, und somit eine gegenseitige Konnektivität zwischen den Netzwerken privnet1 und privnet2 ermöglichen.
  • Die virtuellen Maschinen VM1 und VM2 sind füreinander über ihre privaten IP-Adressen sichtbar. Das heißt, VM1 kann auf VM2 über die Adresse 192.168.20.20 zugreifen – und VM2 kann auf VM1 über die Adresse 192.168.10.10 zugreifen.

                           

Für den Schlüsselaustausch zwischen den kommunizierenden Parteien stehen zwei IKE-Versionen zur Verfügung. IKE-Version 1 (IKEv1) und IKE-Version 2 (IKEv2). IKEv2 ist die neueste Version des IKE-Protokolls und ermöglicht es, mehrere Remote-Subnetze zu verbinden.

                           

                                                           

                           

Im oberen Beispiel gillt dann Folgendes:

                           

  • VPN1 verwendet IKEv1 und verbindet das Netzwerk network1 mit dem network3.
  • VPN2 verwendet IKEv2 und verbindet das Netzwerk network2 mit den beiden Netzwerken network4 und network5.

                           

Einschränkungen

                           

  • Derzeit unterstützen wir nur Site-to-Site-VPN-Verbindungen. Point-to-Site-VPN-Verbindungen werden nicht unterstützt.
  • IKEv1 ist ein veralteter Standard und gilt daher als unsicher. Es ist daher bei den VPN Verbindungen IKEv2 zu nutzen, da es ansonsten zu Problemen beim Aufbau der VPN Verbindung kommt.