Sdílet prostřednictvím


Migrace nasazení VPN Gateway Classic na Resource Manager

Brány VPN je teď možné migrovat z modelu nasazení Classic na model nasazení Resource Manager. Další informace najdete v tématu Model nasazení Resource Manager. V tomto článku probereme, jak migrovat z klasických nasazení na model Resource Manageru.

Důležité

Už nemůžete vytvářet nové brány virtuální sítě pro virtuální sítě modelu nasazení Classic (správa služeb). Nové brány virtuální sítě je možné vytvořit pouze pro virtuální sítě Resource Manageru.

Brány VPN začínají migrací virtuální sítě z modelu Classic na Resource Manager. Tuto migraci provádí zákazníci po jedné virtuální síti. Neexistují další požadavky, pokud jde o nástroje nebo požadavky pro zahájení migrace virtuální sítě. Kroky migrace jsou shodné se stávající migrací virtuální sítě a jsou popsané na stránce migrace prostředků IaaS.

Během migrace virtuální sítě nedojde k výpadku cesty k datům, a proto stávající úlohy nadále fungují bez ztráty místního připojení během migrace. Veřejná IP adresa přidružená k bráně VPN se během procesu migrace nezmění. To znamená, že po dokončení migrace nebudete muset překonfigurovat místní směrovač.

Po dokončení migrace virtuální sítě se Azure pokusí dokončit zbytek migrace brány do Resource Manageru. Pokud migrace brány není úspěšná, můžou být zákazníci informováni o odstranění služby VPN Gateway (nasazení Classic) a vytvoření nové brány VPN (Resource Manager). Pokud zákazník neuskuteční žádnou akci, stávající brána VPN Gateway (nasazení Classic) může být vyřazena z provozu. Zákazníci můžou navštívit nejčastější dotazy k dalším informacím a minimalizovat výpadky během migrace z modelu Classic na Resource Manager.

Model Resource Manageru se liší od klasického modelu a skládá se z bran virtuální sítě, bran místní sítě a prostředků připojení. Představují samotnou bránu VPN, místní lokalitu představující místní adresní prostor a připojení mezi těmito dvěma místy. Po dokončení migrace nebudou brány dostupné v klasickém modelu a všechny operace správy bran virtuální sítě, brány místní sítě a objekty připojení se musí provádět pomocí modelu Resource Manageru.

Vyhledání klasické brány VPN

Pokud chcete najít klasickou bránu VPN přes PowerShell, budete muset nainstalovat modul pro správu služeb Azure PowerShellu. Začněte tady: Instalace modulu správa služeb Azure PowerShellu. Pokud chcete zobrazit klasické prostředky, budete potřebovat oprávnění spolusprávce nebo vlastníka. Rutiny Az nemůžete použít pro přístup ke klasickým prostředkům.

Pokud chcete najít klasickou bránu VPN prostřednictvím webu Azure Portal, otevřete portál a vyhledejte "Virtuální síť(classic)". Vyberte klasickou virtuální síť a přejděte do okna brány a vyhledejte bránu klasické virtuální sítě.

Podporované scénáře

Nejběžnější scénáře připojení VPN jsou pokryté migrací modelu Classic do Resource Manageru. Mezi podporované scénáře patří:

  • Připojení typu point-to-site
  • Připojení typu Site-to-Site ke službě VPN Gateway připojené k místnímu umístění
  • Připojení typu VNet-to-VNet mezi dvěma virtuálními sítěmi pomocí bran VPN
  • Několik virtuálních sítí připojených ke stejnému místnímu umístění
  • Připojení k více lokalitám
  • Vynucené tunelování s povolenými virtuálními sítěmi

Mezi nepodporovaná scénáře patří:

  • Virtuální síť s bránou ExpressRoute i bránou VPN se v současné době nepodporuje.
  • Scénáře přenosu, ve kterých jsou rozšíření virtuálních počítačů připojená k místním serverům. Omezení připojení VPN pro tranzit jsou podrobně popsána v dalších částech.

Poznámka:

Ověřování CIDR v modelu Resource Manageru je přísnější než ověřování CIDR v klasickém modelu. Před zahájením migrace se ujistěte, že rozsahy klasických adres odpovídají platnému formátu CIDR. CIDR je možné ověřit pomocí jakýchkoli běžných validátorů CIDR. Virtuální síť nebo místní lokality s neplatnými rozsahy CIDR při migraci způsobí selhání.

Migrace připojení typu VNet-to-VNet

Připojení typu VNet-to-VNet v modelu nasazení Classic bylo dosaženo vytvořením reprezentace místní lokality připojené virtuální sítě. Zákazníci museli vytvořit dvě místní lokality, které představovaly dvě virtuální sítě, které je potřeba propojit. Ty se pak připojily k odpovídajícím virtuálním sítím pomocí tunelu IPsec k navázání připojení mezi těmito dvěma virtuálními sítěmi. Tento model má problémy se zvládnutelností, protože všechny změny rozsahu adres v jedné virtuální síti musí být zachovány také v odpovídající místní reprezentaci webu. V modelu Resource Manageru už toto alternativní řešení nepotřebujete. Připojení mezi těmito dvěma virtuálními sítěmi lze přímo dosáhnout pomocí typu připojení Vnet2Vnet v prostředku připojení.

Diagram znázorňující migraci typu VNet-to-VNet

Během migrace virtuální sítě zjistíme, že propojená entita s bránou VPN aktuální virtuální sítě je další virtuální síť. Po dokončení migrace obou virtuálních sítí se už nezobrazují dvě místní lokality představující druhou virtuální síť. Klasický model dvou bran VPN, dvou místních lokalit a dvou připojení mezi nimi se transformuje na model Resource Manageru se dvěma bránami VPN a dvěma připojeními typu Vnet2Vnet.

Tranzitní připojení VPN

Brány VPN můžete nakonfigurovat v topologii tak, aby se místní připojení virtuální sítě dosáhlo připojením k jiné virtuální síti, která je přímo připojená k místnímu prostředí. Jedná se o tranzitní připojení VPN, kdy jsou instance v první virtuální síti připojené k místním prostředkům prostřednictvím přenosu do brány VPN v připojené virtuální síti, která je přímo připojená k místnímu prostředí. Pokud chcete tuto konfiguraci dosáhnout v modelu nasazení Classic, musíte vytvořit místní lokalitu, která má agregované předpony představující připojenou virtuální síť i místní adresní prostor. Tato reprezentační místní lokalita se pak připojí k virtuální síti, aby se dosáhlo tranzitního připojení. Klasický model má také podobné problémy s možností správy, protože jakákoli změna místního rozsahu adres musí být zachována také na místní lokalitě představující agregaci virtuální sítě a místního prostředí. Zavedení podpory protokolu BGP v podporovaných branách Resource Manageru zjednodušuje správu, protože připojené brány se můžou učit trasy z místního prostředí bez ruční úpravy předpon.

Diagram znázorňující scénář směrování přenosu

Vzhledem k tomu, že transformujeme připojení typu VNet-to-VNet bez nutnosti místních lokalit, scénář přenosu ztratí místní připojení pro virtuální síť, která je nepřímo připojená k místnímu prostředí. Po dokončení migrace je možné zmírnit ztrátu připojení následujícími dvěma způsoby:

  • Povolte protokol BGP u bran VPN, které jsou propojené společně a k místnímu umístění. Povolení obnovení protokolu BGP obnoví připojení bez jakýchkoli dalších změn konfigurace, protože se trasy naučí a inzerují mezi bránami virtuální sítě. Všimněte si, že možnost protokolu BGP je dostupná pouze u skladových položek Úrovně Standard a vyšší.
  • Vytvořte explicitní připojení z ovlivněné virtuální sítě k bráně místní sítě, která představuje místní umístění. To by také vyžadovalo změnu konfigurace v místním směrovači k vytvoření a konfiguraci tunelu IPsec.

Další kroky

Po seznámení s podporou migrace brány VPN přejděte na migraci prostředků IaaS podporovaných platformou z modelu Classic na Resource Manager a začněte.