Správa připojení místní brány Azure

Platí pro: Azure Local, verze 23H2 a 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Tento článek popisuje, jak po nasazení softwarově definovaných sítí (SDN) vytvořit, odstranit a aktualizovat připojení brány pomocí centra Windows Admin Center. Brány se používají ke směrování síťového provozu mezi virtuální sítí a jinou sítí, ať už místní, nebo vzdálenou. Existují tři typy připojení brány – Protokol IPsec (Internet Protocol Security), Generic Routing Encapsulation (GRE) a Vrstva 3 (L3).

Poznámka:

Než budete moct vytvořit připojení brány, musíte nasadit brány SDN. Kromě toho je potřeba nasadit nástroje pro vyrovnávání zatížení softwaru (SL), abyste mohli vytvořit připojení IPsec.

Další informace o branách pro SDN najdete v tématu Co je brána RAS pro SDN. Další informace o nasazení SDN najdete v tématu Nasazení infrastruktury SDN pomocí SDN Express.

Vytvoření nového připojení brány IPsec

Připojení brány IPsec slouží k zajištění zabezpečených šifrovaných připojení typu site-to-site mezi virtuálními sítěmi SDN a externími zákaznickými sítěmi přes internet.

1. V Centru pro správu Windows v části Všechna připojení vyberte systém, na který chcete vytvořit připojení brány.
2. V části Nástroje se posuňte dolů na Sítě a vyberte Připojení brány.
3. V části Připojení brány vyberte kartu Inventář a pak vyberte Nový.
4. V části Vytvořit nové připojení brány zadejte název připojení.
5. Vyberte virtuální síť, pro kterou se nastaví připojení brány.
6. Nastavte typ připojení jako IPSEC.
7. Vyberte fond brány pro připojení. Ve výchozím nastavení se vytvoří fond brány s názvem DefaultAll. Můžete zvolit tento nebo vytvořit nový fond bran. Nový fond bran můžete vytvořit pomocí rutiny PowerShellu New-NetworkControllerGatewayPool . Tuto rutinu můžete spustit přímo na virtuálních počítačích síťového adaptéru nebo ji můžete spustit vzdáleně pomocí přihlašovacích údajů.
8. Vyberte podsíť brány. Jedná se o podsíť ve vaší virtuální síti, která se používá speciálně pro připojení brány. IP adresy z této podsítě se zřídí na virtuálních počítačích brány. Pokud nemáte nakonfigurovanou podsíť brány, přidejte ji do virtuální sítě a pak vytvořte připojení brány. Tato podsíť může být malá, například s předponou /30, /29 nebo /28.
9. Zadejte hodnotu pro maximální povolenou příchozí šířku pásma (KBPS) a maximální povolenou odchozí šířku pásma (KBPS). Ujistěte se, že zadáte hodnotu, která je úměrná celkové kapacitě brány. Celkovou kapacitu poskytujete v rámci nasazení brány. Další informace o kapacitě brány a o tom, jak to ovlivňuje šířku pásma připojení IPsec, najdete v tématu Výpočet kapacity brány.
10. Zadejte cílovou IP adresu pro připojení. Toto je veřejná IP adresa vaší vzdálené brány.
11. Přidejte trasy pro vaše připojení. Každá trasa musí mít metriku trasy a předponu cílové podsítě. Všechny pakety určené pro tyto předpony podsítě přejdou přes připojení brány.
12. Zadejte sdílený tajný klíč protokolu IPsec pro připojení. Musí se shodovat s typem ověřování (předsdílený klíč) a sdíleným tajným klíčem nakonfigurovaným ve vzdálené bráně.
13. V případě potřeby zadejte upřesňující nastavení protokolu IPsec.
14. Kliknutím na Vytvořit nakonfigurujte připojení.
15. V seznamu Připojení brány ověřte, jestli je stav konfigurace připojení úspěšný.

Vytvoření nového připojení brány GRE

Tunely založené na gre umožňují připojení mezi virtuálními sítěmi tenanta a externími sítěmi. Vzhledem k tomu, že protokol GRE je odlehčený a podpora gre je dostupná na většině síťových zařízení, je ideální volbou pro tunelování, kde není vyžadováno šifrování dat.

1. V Centru pro správu Windows v části Všechna připojení vyberte systém, na který chcete vytvořit připojení brány.
2. V části Nástroje se posuňte dolů na Sítě a vyberte Připojení brány.
3. V části Připojení brány vyberte kartu Inventář a pak vyberte Nový.
4. V části Vytvořit nové připojení brány zadejte název připojení.
5. Vyberte virtuální síť, pro kterou se nastaví připojení brány.
6. Nastavte typ připojení jako GRE.
7. Vyberte fond brány pro připojení. Ve výchozím nastavení se vytvoří fond brány s názvem DefaultAll. Můžete zvolit tento nebo vytvořit nový fond bran. Nový fond bran můžete vytvořit pomocí rutiny PowerShellu New-NetworkControllerGatewayPool . Tuto rutinu můžete spustit přímo na virtuálních počítačích síťového adaptéru nebo ji můžete spustit vzdáleně pomocí přihlašovacích údajů.
8. Vyberte podsíť brány. Jedná se o podsíť ve vaší virtuální síti, která se používá speciálně pro připojení brány. IP adresy z této podsítě se zřídí na virtuálních počítačích brány. Pokud nemáte nakonfigurovanou podsíť brány, přidejte ji do virtuální sítě a pak vytvořte připojení brány. Tato podsíť může být malá, například s předponou /30, /29 nebo /28.
9. Zadejte hodnotu pro maximální povolenou příchozí šířku pásma (KBPS) a maximální povolenou odchozí šířku pásma (KBPS). Ujistěte se, že zadáte hodnotu, která je úměrná celkové kapacitě brány. Celkovou kapacitu poskytujete v rámci nasazení brány. Další informace o kapacitě brány a o tom, jak to ovlivňuje šířku pásma připojení GRE, najdete v tématu Výpočet kapacity brány.
10. Zadejte cílovou IP adresu pro připojení. Toto je veřejná IP adresa vaší vzdálené brány.
11. Přidejte trasy pro vaše připojení. Každá trasa musí mít metriku trasy a předponu cílové podsítě. Všechny pakety určené pro tyto předpony podsítě přejdou přes připojení brány.
12. Zadejte klíč GRE pro připojení. Musí se shodovat s klíčem GRE nakonfigurovaným ve vzdálené bráně.
13. Kliknutím na Vytvořit nakonfigurujte připojení.
14. V seznamu Připojení brány ověřte, že stav konfigurace připojení je úspěšný.

Vytvoření připojení L3

Předávání L3 umožňuje připojení mezi fyzickou infrastrukturou v datovém centru a virtuálními sítěmi SDN. S připojením pro předávání L3 se síťové virtuální počítače tenanta můžou připojit k fyzické síti přes bránu SDN. V tomto případě brána SDN funguje jako směrovač mezi virtuální sítí SDN a fyzickou sítí.

1. V Centru pro správu Windows v části Všechna připojení vyberte systém, na který chcete vytvořit připojení brány.

2. V části Nástroje se posuňte dolů na Sítě a vyberte Připojení brány.

3. V části Připojení brány vyberte kartu Inventář a pak vyberte Nový.

4. V části Vytvořit nové připojení brány zadejte název připojení.

5. Vyberte virtuální síť, pro kterou se nastaví připojení brány.

6. Nastavte typ připojení jako L3.

7. Vyberte fond brány pro připojení. Ve výchozím nastavení se vytvoří fond brány s názvem DefaultAll. Můžete zvolit tento nebo vytvořit nový fond bran. Fond bran můžete vytvořit také pomocí New-NetworkControllerGatewayPool rutiny PowerShellu. Tuto rutinu můžete spustit přímo na virtuálních počítačích síťového adaptéru nebo ji můžete spustit vzdáleně pomocí přihlašovacích údajů.

8. Vyberte podsíť brány. Jedná se o podsíť ve vaší virtuální síti, která se používá speciálně pro připojení brány. IP adresy z této podsítě se zřídí na virtuálních počítačích brány. Pokud nemáte nakonfigurovanou podsíť brány, přidejte ji do virtuální sítě a pak vytvořte připojení brány. Tato podsíť může být malá, například s předponou /30, /29 nebo /28.

9. Zadejte hodnotu pro maximální povolenou příchozí šířku pásma (KBPS) a maximální povolenou odchozí šířku pásma (KBPS). Ujistěte se, že zadáte hodnotu, která je úměrná celkové kapacitě brány. Celkovou kapacitu poskytujete v rámci nasazení brány. Další informace o kapacitě brány a o tom, jak to ovlivňuje šířku pásma připojení L3, najdete v tématu Výpočet kapacity brány.

   Poznámka:

   U připojení L3 se nevynucuje maximální příchozí a odchozí šířka pásma. Zadané hodnoty se ale stále používají ke snížení dostupné kapacity brány, aby se brána nezřídila ani není zřízená.

10. Přidejte trasy pro vaše připojení. Každá trasa musí mít metriku trasy a předponu cílové podsítě. Všechny pakety určené pro tyto předpony podsítě přejdou přes připojení brány.

11. Vyberte síť pro logickou síť L3. Představuje fyzickou síť, která chce komunikovat s virtuální sítí. Tuto síť musíte nakonfigurovat jako logickou síť SDN.

12. Z logické sítě L3 vyberte logickou podsíť L3. Ujistěte se, že má podsíť nakonfigurovanou síť VLAN.

13. Zadejte IP adresu pro IP adresu nebo masku podsítě L3. Musí patřit do logické podsítě L3, kterou jste zadali výše. Tato IP adresa je nakonfigurovaná v rozhraní brány SDN. IP adresu je nutné zadat ve formátu CIDR (Classless Inter-Domain Routing).

14. Zadejte IP adresu partnerského uzlu L3. Musí patřit do logické podsítě L3, kterou jste zadali výše. Tato IP adresa bude sloužit jako další segment směrování, jakmile provoz směřující do fyzické sítě z virtuální sítě dosáhne brány SDN.

15. Kliknutím na Vytvořit nakonfigurujte připojení.

16. V seznamu Připojení brány ověřte, že stav konfigurace připojení je úspěšný.

    Poznámka:

    Pokud plánujete nasadit připojení brány L3 se směrováním protokolu BGP, ujistěte se, že jste nakonfigurovali nastavení protokolu BGP přepínače Top of Rack (ToR) následujícím postupem:

    • update-source: Určuje zdrojovou adresu pro aktualizace protokolu BGP, což je L3 VLAN. Například síť VLAN 250.
    • Multihop protokolu ebgp: Určuje další požadované segmenty směrování, protože soused protokolu BGP je více než jeden segment směrování pryč.

Zobrazení všech připojení brány

Všechna připojení brány ve vašem systému můžete snadno zobrazit.

1. V Centru pro správu Windows v části Všechna připojení vyberte systém, pro který chcete zobrazit připojení brány.

2. V části Nástroje se posuňte dolů na Sítě a vyberte Připojení brány.

3. Na kartě Inventář vpravo jsou uvedena dostupná připojení brány a poskytují příkazy pro správu jednotlivých připojení brány. Můžete provádět následující akce:

   • Zobrazte seznam připojení brány.
   • Změňte nastavení připojení brány.
   • Odstraňte připojení brány.

Zobrazení podrobností o připojení brány

Podrobné informace o konkrétním připojení brány můžete zobrazit na jeho vyhrazené stránce.

1. V části Nástroje se posuňte dolů a vyberte Připojení brány.

2. Klikněte na kartu Inventář na pravé straně a vyberte připojení brány. Na následující stránce můžete provést následující akce:

   • Prohlédněte si podrobnosti o připojení (typ, přidružená virtuální síť, vlastnosti nebo stav připojení).
   • Brána, na které je připojení hostované.
   • Vizuální znázornění připojení ke vzdálené entitě
   • Zobrazte statistiku připojení (příchozí/odchozí bajty, rychlost přenosu dat nebo vynechané pakety).
   • Změňte nastavení připojení.

Změna nastavení připojení brány

Můžete změnit nastavení připojení pro připojení IPsec, GRE a L3.

1. V části Nástroje se posuňte dolů a vyberte Připojení brány.

2. Klikněte na kartu Inventář vpravo, vyberte připojení brány a pak vyberte Nastavení.

3. Pro připojení IPsec:

   • Na kartě Obecné můžete změnit maximální povolenou příchozí šířku pásma, maximální povolenou odchozí šířku pásma, cílovou IP adresu připojení, přidat nebo změnit nebo odebrat trasy a změnit předsdílený klíč protokolu IPsec.
   • Kliknutím na rozšířené nastavení protokolu IPsec změňte upřesňující nastavení.

4. U připojení GRE: Na kartě Obecné můžete změnit maximální povolenou příchozí šířku pásma, maximální povolenou odchozí šířku pásma, cílovou IP adresu připojení, přidat nebo změnit nebo odebrat trasy a změnit klíč GRE.

5. U připojení L3: Na kartě Obecné můžete změnit maximální povolenou příchozí šířku pásma, maximální povolenou odchozí šířku pásma, přidat nebo změnit nebo odebrat trasy, změnit logickou síť L3, logickou podsíť L3, IP adresu L3 a IP adresu partnerského uzlu L3.

Odstranění připojení brány

Pokud už připojení brány nepotřebujete, můžete ho odstranit.

1. V části Nástroje se posuňte dolů a vyberte Připojení brány.
2. Klikněte na kartu Inventář na pravé straně a pak vyberte připojení brány. Klepněte na tlačítko Odstranit.
3. V potvrzovací dialogovém okně klikněte na Ano. Kliknutím na tlačítko Aktualizovat zkontrolujte, jestli bylo odstraněno připojení brány.

Další kroky

• Viz Správa virtuálních sítí tenanta.
• Viz Správa logických sítí tenanta.