Sdílet prostřednictvím


Kurz: Vytvoření a správa brány VPN pomocí webu Azure Portal

Tento kurz vám pomůže vytvořit a spravovat bránu virtuální sítě (bránu VPN) pomocí webu Azure Portal. Brána VPN je jednou z částí architektury připojení, která pomáhá bezpečně přistupovat k prostředkům ve virtuální síti pomocí služby VPN Gateway.

Diagram znázorňující virtuální síť a bránu VPN

  • Na levé straně diagramu se zobrazuje virtuální síť a brána VPN, kterou vytvoříte pomocí kroků v tomto článku.
  • Později můžete přidat různé typy připojení, jak je znázorněno na pravé straně diagramu. Můžete například vytvořit připojení typu site-to-site a point-to-site . Pokud chcete zobrazit různé architektury návrhu, které můžete sestavit, podívejte se na návrh brány VPN.

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť.
  • Vytvořte zónově redundantní bránu VPN v režimu aktivní-aktivní.
  • Zobrazte veřejnou IP adresu brány.
  • Změna velikosti brány VPN (změna velikosti skladové položky)
  • Resetujte bránu VPN.
  • Pokud chcete získat další informace o nastavení konfigurace použitých v tomto kurzu, přečtěte si informace o nastavení konfigurace služby VPN Gateway.
  • Další informace o službě Azure VPN Gateway najdete v tématu Co je Azure VPN Gateway.
  • Pokud chcete vytvořit bránu pomocí základní skladové položky (místo VpnGw2AZ), přečtěte si téma Vytvoření brány VPN úrovně Basic.
  • Další informace o branách v režimu aktivní-aktivní naleznete v tématu O režimu aktivní-aktivní.
  • Další informace o zónově redundantních branách najdete v tématu O zónově redundantních branách.

Poznámka:

Kroky v tomto článku používají skladovou položku brány VpnGw2AZ, což je skladová položka, která podporuje zóny dostupnosti Azure. Pokud nejsou zóny dostupnosti pro vaši oblast podporované, použijte místo toho skladovou položku jiného typu než AZ. Další informace o skladových posílacích (SKU) najdete v tématu Skladové položky brány.

Požadavky

Potřebujete účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si ho zdarma.

Vytvoření virtuální sítě

Vytvořte virtuální síť pomocí následujících ukázkových hodnot:

  • Skupina prostředků: TestRG1
  • Název: VNet1
  • Oblast: (USA) USA – východ (nebo oblast podle vašeho výběru)
  • Adresní prostor IPv4: 10.1.0.0/16
  • Název podsítě: Použijte výchozí název nebo zadejte název. Příklad: FrontEnd
  • Adresní prostor podsítě: 10.1.0.0/24
  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Snímek obrazovky znázorňující kartu Základy

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.
  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Můžete použít výchozí nebo zadat název. Příklad: FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.
  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Po vytvoření virtuální sítě můžete volitelně nakonfigurovat službu Azure DDoS Protection. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection.

Vytvoření podsítě brány

Prostředky brány virtuální sítě se nasazují do konkrétní podsítě s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres virtuální sítě, který zadáte při konfiguraci virtuální sítě.

Pokud nemáte podsíť s názvem GatewaySubnet, při vytváření brány VPN se nezdaří. Doporučujeme vytvořit podsíť brány, která používá /27 (nebo větší). Například /27 nebo /26. Další informace najdete v tématu Nastavení brány VPN Gateway – Podsíť brány.

  1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
  2. V horní části stránky výběrem podsítě + Brána otevřete podokno Přidat podsíť.
  3. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte hodnotu rozsahu IP adres. Příkladem je 10.1.255.0/27.
  4. Neupravujte ostatní hodnoty na stránce. Podsíť uložíte výběrem možnosti Uložit v dolní části stránky.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).

Vytvoření brány VPN

V této části vytvoříte bránu virtuální sítě (bránu VPN) pro vaši virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Vytvořte bránu pomocí následujících hodnot:

  • Název: VNet1GW
  • Typ brány: Síť VPN
  • Skladová položka: VpnGw2AZ
  • Generování: generace 2
  • Virtuální síť: VNet1
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Veřejná IP adresa: Vytvoření nové
  • Název veřejné IP adresy: VNet1GWpip1
  • Skladová položka veřejné IP adresy: Standard
  • Přiřazení: Statické
  • Druhý název veřejné IP adresy: VNet1GWpip2
  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující pole Instance

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Tato hodnota se automaticky vyplňuje, když vyberete virtuální síť na této stránce.

    • Název: Toto je název objektu brány, který vytváříte. Liší se od podsítě brány, do které se nasadí prostředky brány.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít.

      • Doporučujeme vybrat skladovou položku, která končí az, pokud je to možné. SKU AZ podporují zóny dostupnosti.
      • Skladová položka Basic není na portálu dostupná. Pokud chcete nakonfigurovat bránu skladové položky Basic, musíte použít PowerShell nebo rozhraní příkazového řádku.
    • Generování: V rozevíracím seznamu vyberte generaci 2 .

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, kterou chcete použít, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V současné době toto pole může zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekty veřejných IP adres, které budou přidružené k bráně VPN. Při vytváření brány VPN se každému objektu veřejné IP adresy přiřadí veřejná IP adresa. Jedinou dobou, kdy se přiřazená veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. IP adresy se nemění při změně velikosti, resetování nebo jiných interních údržbách nebo upgradech brány VPN.

    Snímek obrazovky s polem Veřejná IP adresa

    • Typ veřejné IP adresy: Pokud se tato možnost zobrazí, vyberte Standardní.

    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .

    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

    • Přiřazení: Přiřazení je obvykle automaticky vybráno a mělo by být statické.

    • Zóna dostupnosti: Toto nastavení je dostupné pro skladové položky brány AZ v oblastech, které podporují zóny dostupnosti. Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

    • Povolit režim aktivní-aktivní: Pokud chcete využívat výhody brány v režimu aktivní-aktivní, doporučujeme vybrat Možnost Povoleno. Pokud plánujete používat tuto bránu pro připojení typu site-to-site, vezměte v úvahu následující skutečnosti:

      • Ověřte návrh aktivní-aktivní, který chcete použít. Připojení k místnímu zařízení VPN musí být nakonfigurovaná speciálně tak, aby využívala režim aktivní-aktivní.
      • Některá zařízení VPN nepodporují režim aktivní-aktivní. Pokud si nejste jistí, obraťte se na dodavatele zařízení VPN. Pokud používáte zařízení VPN, které nepodporuje režim aktivní-aktivní, můžete pro toto nastavení vybrat Zakázáno .
    • Druhá veřejná IP adresa: Vyberte Vytvořit novou. Tato možnost je dostupná pouze v případě, že jste vybrali možnost Povolit režim aktivní-aktivní .

    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

    • Zóna dostupnosti: Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

    • Povolit přístup ke službě Key Vault: Pokud konfigurace výslovně nevyžaduje toto nastavení, vyberte Zakázáno.

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete ip adresu přiřazenou k ní zobrazit tak, že se podíváte na virtuální síť na portálu. Brána se zobrazí jako připojené zařízení.

Zobrazení veřejné IP adresy

Pokud chcete zobrazit veřejné IP adresy přidružené k bráně virtuální sítě, přejděte na portálu na bránu.

  1. Na stránce portálu brány virtuální sítě v části Nastavení otevřete stránku Vlastnosti .
  2. Chcete-li zobrazit další informace o objektu IP adresy, klikněte na přidružený odkaz IP adresy.

Změna velikosti skladové položky brány

Existují konkrétní pravidla pro změnu velikosti a změny skladové položky brány. V této části změníte velikost skladové položky. Další informace najdete v tématu Změna velikosti nebo změny skladových položek brány.

Základní kroky jsou:

  1. Přejděte na stránku Konfigurace brány virtuální sítě.
  2. Na pravé straně stránky vyberte šipku rozevíracího seznamu a zobrazte seznam dostupných skladových položek. Všimněte si, že seznam naplní jenom skladové položky, které můžete použít ke změně velikosti aktuální skladové položky. Pokud nevidíte skladovou položku, kterou chcete použít, místo změny velikosti, musíte přejít na novou skladovou položku.
  3. V rozevíracím seznamu vyberte skladovou položku a uložte provedené změny.

Resetování brány

Resetování brány se chová jinak v závislosti na konfiguraci brány. Další informace najdete v tématu Resetování brány VPN nebo připojení.

Základní kroky jsou:

  1. Na portálu přejděte na bránu virtuální sítě, kterou chcete resetovat.
  2. Na stránce brány virtuální sítě se v levém podokně posuňte a vyhledejte nápovědu –> Resetovat.
  3. Na stránce Obnovit vyberte Obnovit. Po vydání příkazu se aktuální aktivní instance služby Azure VPN Gateway okamžitě restartuje. Resetování brány způsobí mezeru v připojení VPN a může omezit budoucí analýzu původní příčiny problému.

Vyčištění prostředků

Pokud nebudete tuto aplikaci dál používat nebo přejdete k dalšímu kurzu, odstraňte tyto prostředky.

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků a vyberte ji z výsledků hledání.
  2. Vyberte Odstranit skupinu prostředků.
  3. Jako název skupiny prostředků zadejte název skupiny prostředků a vyberte Odstranit.

Další kroky

Po vytvoření brány VPN můžete nakonfigurovat další nastavení a připojení brány. Následující články vám pomůžou vytvořit několik nejběžnějších konfigurací: