Sdílet prostřednictvím

Vytvoření připojení VPN typu site-to-site – Azure CLI

  • Článek

V tomto článku se dozvíte, jak pomocí Azure CLI vytvořit připojení brány VPN typu site-to-site (S2S) z místní sítě k virtuální síti.

Připojení brány VPN typu site-to-site slouží k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu. Kroky v tomto článku vytvoří připojení mezi bránou VPN a místním zařízením VPN pomocí sdíleného klíče. Další informace o bránách VPN najdete v tématu Informace o službě VPN Gateway.

Diagram připojení typu Site-to-Site VPN Gateway pro více míst pro článek rozhraní příkazového řádku

Než začnete

Před zahájením konfigurace ověřte, že vaše prostředí splňuje následující kritéria:

  • Ověřte, že máte funkční bránu VPN založenou na směrování. Pokud chcete vytvořit bránu VPN, přečtěte si téma Vytvoření brány VPN.

  • Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které Azure směruje do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nemůže překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.

  • Zařízení VPN:

    • Ujistěte se, že máte kompatibilní zařízení VPN a někdo, kdo ho může nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu o zařízeních VPN.
    • Zjistěte, jestli vaše zařízení VPN podporuje brány v režimu aktivní-aktivní. Tento článek vytvoří bránu VPN v režimu aktivní-aktivní, která se doporučuje pro připojení s vysokou dostupností. Režim aktivní-aktivní určuje, že obě instance virtuálních počítačů brány jsou aktivní. Tento režim vyžaduje dvě veřejné IP adresy, jednu pro každou instanci virtuálního počítače brány. Zařízení VPN nakonfigurujete tak, aby se připojilo k IP adrese pro každou instanci virtuálního počítače brány.
      Pokud vaše zařízení VPN tento režim nepodporuje, nepovolujte tento režim pro bránu. Další informace najdete v tématu Návrh vysoce dostupného připojení pro připojení mezi místními sítěmi a připojeními typu VNet-to-VNet a Informace o branách VPN v režimu aktivní-aktivní.

  • Tento článek vyžaduje verzi 2.0 nebo novější azure CLI.

Vytvoření brány místní sítě

Brána místní sítě obvykle odkazuje na vaše místní umístění. Web pojmenujete, podle kterého ho Azure může odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení. Zadáte také předpony IP adres, které se budou přes bránu VPN směrovat do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti. V případě změny vaší místní sítě můžete tyto předpony snadno aktualizovat.

Použijte následující hodnoty:

  • --gateway-ip-address je IP adresa vašeho místního zařízení VPN.
  • --local-address-prefixes jsou vaše místní adresní prostory.

Pomocí příkazu az network local-gateway create přidejte bránu místní sítě. Následující příklad ukazuje bránu místní sítě s více předponami adres. Nahraďte hodnoty vlastními.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Konfigurace zařízení VPN

Připojení typu Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:

  • Sdílený klíč: Tento sdílený klíč je stejný, který zadáte při vytváření připojení VPN typu site-to-site. V našich příkladech používáme jednoduchý sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.

  • Veřejné IP adresy instancí brány virtuální sítě: Získejte IP adresu pro každou instanci virtuálního počítače. Pokud je brána v režimu aktivní-aktivní, budete mít IP adresu pro každou instanci virtuálního počítače brány. Nezapomeňte nakonfigurovat zařízení s oběma IP adresami, jedno pro každý aktivní virtuální počítač brány. Brány režimu aktivní-pohotovostní mají pouze jednu IP adresu.

    Pokud chcete zjistit veřejnou IP adresu brány virtuální sítě, použijte příkaz az network public-ip list. Pro snadné čtení je výstup formátovaný, aby zobrazil seznam veřejných IP adres ve formátu tabulky. V tomto příkladu je VNet1GWpip1 název prostředku veřejné IP adresy.

    az network public-ip list --resource-group TestRG1 --output table

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

  • Informace o kompatibilních zařízeních VPN najdete v tématu o zařízeních VPN.

  • Před konfigurací zařízení VPN zkontrolujte případné známé problémy s kompatibilitou zařízení.

  • Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Poskytujeme odkazy na konfiguraci zařízení na základě maximálního úsilí, ale vždy je nejlepší zkontrolovat u výrobce zařízení nejnovější informace o konfiguraci.

    V seznamu jsou uvedené verze, které jsme otestovali. Pokud verze operačního systému pro vaše zařízení VPN není v seznamu, může být stále kompatibilní. Obraťte se na výrobce zařízení.

  • Základní informace o konfiguraci zařízení VPN najdete v tématu Přehled konfigurací partnerských zařízení VPN.

  • Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

  • Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.

  • Informace oparametrch Mezi tyto informace patří verze protokolu IKE, skupina Diffie-Hellman (DH), metoda ověřování, šifrovací a hashovací algoritmy, životnost přidružení zabezpečení (SA), perfektní předávání tajemství (PFS) a detekce mrtvých partnerských uzlů (DPD).

  • Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet.

  • Pokud chcete připojit více zařízení VPN založených na zásadách, přečtěte si téma Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Vytvoření připojení VPN

Vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN. Pokud používáte bránu v režimu aktivní-aktivní (doporučeno), každá instance virtuálního počítače brány má samostatnou IP adresu. Pokud chcete správně nakonfigurovat připojení s vysokou dostupností, musíte vytvořit tunel mezi jednotlivými instancemi virtuálních počítačů a zařízením VPN. Oba tunely jsou součástí stejného připojení.

Vytvořte připojení pomocí příkazu az network vpn-connection create. Sdílený klíč se musí shodovat s hodnotou, kterou jste použili pro konfiguraci zařízení VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Za malou chvíli dojde k vytvoření připojení.

Ověření připojení VPN

Pomocí příkazu az network vpn-connection show můžete ověřit, že vaše připojení bylo úspěšné. V příkladu odkazuje --name na název připojení, které chcete testovat. Pokud navazování připojení probíhá, zobrazí se stav připojení Connecting (Připojování). Jakmile bude připojení navázáno, stav se změní na Connected (Připojeno). Upravte následující příklad s hodnotami pro vaše prostředí.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Pokud chcete k ověření připojení použít jinou metodu, přečtěte si téma Ověření připojení VPN Gateway.

Běžné úkoly

Tato část obsahuje běžné příkazy, které jsou užitečné při práci s konfiguracemi typu Site-to-Site. Úplný seznam příkazů rozhraní příkazového řádku pro práci se sítěmi najdete v tématu Azure CLI – Sítě.

Zobrazení bran místní sítě

Pokud chcete zobrazit seznam místních síťových bran, použijte příkaz az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Úprava předpon IP adres místní síťové brány – žádné připojení brány

Pokud chcete přidat nebo odebrat předpony IP adres a brána ještě nemá připojení, můžete tyto předpony aktualizovat pomocí příkazu az network local-gateway create. K přepsání aktuálního nastavení použijte existující název brány místní sítě. Pokud použijete jiný název, vytvoříte novou bránu místní sítě, místo abyste přepsali tu stávající. Tento příkaz můžete použít také k aktualizaci IP adresy brány pro zařízení VPN.

Při každé změně je nutné zadat celý seznam předpon, ne jenom předpony, které chcete změnit. Zadejte pouze předpony, které chcete ponechat. V tomto případě 10.0.0.0/24 a 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Úprava předpon IP adres místní síťové brány – existující připojení brány

Pokud máte připojení brány a chcete přidat nebo odebrat předpony IP adres, můžete předpony aktualizovat pomocí příkazu az network local-gateway update. Způsobí to určitý výpadek připojení VPN.

Při každé změně je nutné zadat celý seznam předpon, ne jenom předpony, které chcete změnit. V tomto příkladu jsou již přítomny verze 10.0.0.0/24 a 10.3.0.0/16. Přidáme předpony 10.5.0.0/16 a 10.6.0.0/16 a při aktualizaci určíme všechny 4 předpony.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Úprava IP adresy brány místní sítě (gatewayIpAddress)

Pokud změníte veřejnou IP adresu zařízení VPN, musíte upravit bránu místní sítě s aktualizovanou IP adresou. Při úpravě brány nezapomeňte zadat existující název brány místní sítě. Pokud použijete jiný název, vytvoříte novou bránu místní sítě místo přepsání informací o existující bráně.

Pokud chcete upravit IP adresu brány, nahraďte hodnoty „Site2“ a „TestRG1“ vlastními hodnotami pomocí příkazu az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Na výstupu ověřte správnost IP adresy:

"gatewayIpAddress": "23.99.222.170",

Ověření hodnot sdíleného klíče

Ověřte, že hodnota sdíleného klíče je stejná jako hodnota, kterou jste použili pro konfiguraci zařízení VPN. Pokud není, spusťte připojení znovu pomocí hodnoty ze zařízení nebo aktualizujte zařízení hodnotou z návratu. Tyto hodnoty se musí shodovat. Pokud chcete zobrazit sdílený klíč, použijte příkaz az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Zobrazení veřejné IP adresy brány VPN

Pokud chcete zjistit veřejnou IP adresu brány virtuální sítě, použijte příkaz az network public-ip list. Pro snadné čtení je výstup v tomto příkladu formátovaný, aby zobrazil seznam veřejných IP adres ve formátu tabulky.

az network public-ip list --resource-group TestRG1 --output table

Další kroky