Vytvoření připojení VPN typu site-to-site – Azure PowerShell

V tomto článku se dozvíte, jak pomocí PowerShellu vytvořit připojení brány VPN typu site-to-site z místní sítě k virtuální síti.

Připojení brány VPN typu site-to-site slouží k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu. Kroky v tomto článku vytvoří připojení mezi bránou VPN a místním zařízením VPN pomocí sdíleného klíče. Další informace o bránách VPN najdete v tématu Informace o službě VPN Gateway.

Než začnete

Před zahájením konfigurace ověřte, že vaše prostředí splňuje následující kritéria:

• Ověřte, že máte funkční bránu VPN založenou na směrování. Pokud chcete vytvořit bránu VPN, přečtěte si téma Vytvoření brány VPN.

• Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které Azure směruje do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nemůže překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.

• Zařízení VPN:

  • Ujistěte se, že máte kompatibilní zařízení VPN a někdo, kdo ho může nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu o zařízeních VPN.
  • Zjistěte, jestli vaše zařízení VPN podporuje brány v režimu aktivní-aktivní. Tento článek vytvoří bránu VPN v režimu aktivní-aktivní, která se doporučuje pro připojení s vysokou dostupností. Režim aktivní-aktivní určuje, že obě instance virtuálních počítačů brány jsou aktivní. Tento režim vyžaduje dvě veřejné IP adresy, jednu pro každou instanci virtuálního počítače brány. Zařízení VPN nakonfigurujete tak, aby se připojilo k IP adrese pro každou instanci virtuálního počítače brány.
    Pokud vaše zařízení VPN tento režim nepodporuje, nepovolujte tento režim pro bránu. Další informace najdete v tématu Návrh vysoce dostupného připojení pro připojení mezi místními sítěmi a připojeními typu VNet-to-VNet a Informace o branách VPN v režimu aktivní-aktivní.

Azure PowerShell

Tento článek používá rutiny PowerShellu. Ke spuštění rutin můžete použít Azure Cloud Shell. Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.

Cloud Shell otevřete tak, že v pravém horním rohu bloku kódu vyberete Otevřít CloudShell . Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/powershell. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte je do Cloud Shellu a stisknutím klávesy Enter je spusťte.

Na počítači můžete také nainstalovat a spustit rutiny Azure PowerShellu místně. Rutiny PowerShellu se často aktualizují. Pokud jste nenainstalovali nejnovější verzi, můžou selhat hodnoty uvedené v pokynech. Pokud chcete najít verze Azure PowerShellu nainstalované na vašem počítači, použijte tuto rutinu Get-Module -ListAvailable Az . Informace o instalaci nebo aktualizaci najdete v tématu Instalace modulu Azure PowerShell.

Vytvoření brány místní sítě

Brána místní sítě (LNG) obvykle odkazuje na vaše místní umístění. Není to stejné jako brána virtuální sítě. Web pojmenujete, podle kterého ho Azure může odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení. Zadáte také předpony IP adres směrované přes bránu VPN do zařízení VPN. Předpony adres, které zadáte, jsou předpony ve vaší místní síti. V případě změny vaší místní sítě můžete tyto předpony snadno aktualizovat.

Vyberte jeden z následujících příkladů. Hodnoty použité v příkladech jsou:

• GatewayIPAddress je IP adresa vašeho místního zařízení VPN, nikoli brány Azure VPN.
• AddressPrefix je váš místní adresní prostor.

Příklad předpony jedné adresy

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'

Příklad předpony více adres

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')

Konfigurace zařízení VPN

Připojení typu Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující položky:

• Sdílený klíč: Tento sdílený klíč je stejný, který zadáte při vytváření připojení VPN typu site-to-site. V našich příkladech používáme jednoduchý sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.

• Veřejné IP adresy instancí brány virtuální sítě: Získejte IP adresu pro každou instanci virtuálního počítače. Pokud je brána v režimu aktivní-aktivní, budete mít IP adresu pro každou instanci virtuálního počítače brány. Nezapomeňte nakonfigurovat zařízení s oběma IP adresami, jedno pro každý aktivní virtuální počítač brány. Brány režimu aktivní-pohotovostní mají pouze jednu IP adresu. V tomto příkladu je VNet1GWpip1 název prostředku veřejné IP adresy.

  Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
  

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

• Informace o kompatibilních zařízeních VPN najdete v tématu o zařízeních VPN.

• Před konfigurací zařízení VPN zkontrolujte případné známé problémy s kompatibilitou zařízení.

• Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Poskytujeme odkazy na konfiguraci zařízení na základě maximálního úsilí, ale vždy je nejlepší zkontrolovat u výrobce zařízení nejnovější informace o konfiguraci.

  V seznamu jsou uvedené verze, které jsme otestovali. Pokud verze operačního systému pro vaše zařízení VPN není v seznamu, může být stále kompatibilní. Obraťte se na výrobce zařízení.

• Základní informace o konfiguraci zařízení VPN najdete v tématu Přehled konfigurací partnerských zařízení VPN.

• Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

• Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.

• Informace oparametrch Mezi tyto informace patří verze protokolu IKE, skupina Diffie-Hellman (DH), metoda ověřování, šifrovací a hashovací algoritmy, životnost přidružení zabezpečení (SA), perfektní předávání tajemství (PFS) a detekce mrtvých partnerských uzlů (DPD).

• Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet.

• Pokud chcete připojit více zařízení VPN založených na zásadách, přečtěte si téma Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Vytvoření připojení VPN

Vytvořte připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN. Pokud používáte bránu v režimu aktivní-aktivní (doporučeno), každá instance virtuálního počítače brány má samostatnou IP adresu. Pokud chcete správně nakonfigurovat připojení s vysokou dostupností, musíte vytvořit tunel mezi jednotlivými instancemi virtuálních počítačů a zařízením VPN. Oba tunely jsou součástí stejného připojení.

Sdílený klíč se musí shodovat s hodnotou, kterou jste použili pro konfiguraci zařízení VPN. Všimněte si, že parametr -ConnectionType pro site-to-site je IPsec.

1. Nastavte proměnné.

   $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Vytvořte připojení.

   New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
   -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
   -ConnectionType IPsec -SharedKey 'abc123'
   

Ověření připojení VPN

Existuje několik různých způsobů, jak ověřit připojení VPN.

Úspěšné připojení můžete ověřit pomocí rutiny Get-AzVirtualNetworkGatewayConnection s nebo bez příkazu -Debug.

1. Použijte následující příklad rutiny a nakonfigurujte hodnoty tak, aby odpovídaly vašemu prostředí. Po zobrazení výzvy vyberte možnost „A“, abyste spustili „vše“. V příkladu odkazuje -Name na název připojení, které chcete testovat.

   Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
   

2. Po dokončení zpracování rutiny si prohlédněte hodnoty. Ve výše uvedeném příkladu se zobrazí stav připojení Připojeno a vy vidíte příchozí a odchozí bajty.

   "connectionStatus": "Connected",
   "ingressBytesTransferred": 33509044,
   "egressBytesTransferred": 4142431
   

Úprava předpony IP adresy pro místní síťovou bránu

Pokud se změní předpony IP adres, které chcete směrovat do vašeho místního umístění. můžete upravit bránu místní sítě. Při použití těchto příkladů upravte hodnoty tak, aby odpovídaly vašemu prostředí.

Přidání dalších předpon adres:

1. Nastavte proměnnou pro LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Upravte předpony. Zadané hodnoty přepíší předchozí hodnoty.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
   

Odebrání předpon adres:

Vynechte předpony, které už nepotřebujete. V tomto příkladu už nepotřebujeme předponu 10.101.2.0/24 (z předchozího příkladu), takže aktualizujeme bránu místní sítě a tuto předponu vyloučíme.

1. Nastavte proměnnou pro LocalNetworkGateway.

   $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
   

2. Nastavte bránu s aktualizovanými předponami.

   Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
   -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
   

Změna IP adresy místní síťové brány

Pokud změníte veřejnou IP adresu zařízení VPN, musíte upravit bránu místní sítě s aktualizovanou IP adresou. Při upravování této hodnoty můžete také zároveň upravit předpony adres. Při úpravách nezapomeňte použít existující název brány místní sítě. Pokud použijete jiný název, vytvoříte novou bránu místní sítě místo přepsání informací o existující bráně.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Odstranění připojení brány

Pokud neznáte název připojení, můžete ho najít pomocí rutiny Get-AzVirtualNetworkGatewayConnection.

Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1

Další kroky

• Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Další informace najdete v tématu Virtuální počítače.
• Informace o protokolu BGP najdete v tématech Přehled protokolu BGP a Postup při konfiguraci protokolu BGP.
• Informace o vytvoření připojení VPN typu site-to-site pomocí šablony Azure Resource Manageru najdete v tématu Vytvoření připojení VPN typu site-to-site.
• Informace o vytvoření připojení VPN typu VNet-to-VNet pomocí šablony Azure Resource Manageru najdete v tématu Nasazení geografické replikace HBase.