Sdílet prostřednictvím


Vytvoření připojení typu Site-to-Site pomocí webu Azure Portal (Classic)

Tento článek ukazuje, jak pomocí webu Azure Portal vytvořit připojení brány VPN typu Site-to-Site z místní sítě k virtuální síti. Kroky v tomto článku platí pro model nasazení Classic (starší verze) a nevztahují se na aktuální model nasazení Resource Manager. Podívejte se na verzi Resource Manageru tohoto článku .

Důležité

Už nemůžete vytvářet nové brány virtuální sítě pro virtuální sítě modelu nasazení Classic (správa služeb). Nové brány virtuální sítě je možné vytvořit pouze pro virtuální sítě Resource Manageru.

Připojení brány VPN typu Site-to-Site slouží k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu. Další informace o bránách VPN najdete v tématu Informace o službě VPN Gateway.

Diagram znázorňující připojení typu Site-to-Site VPN Gateway mezi místními sítěmi

Poznámka:

Tento článek je napsaný pro model nasazení Classic (starší verze). Doporučujeme místo toho použít nejnovější model nasazení Azure. Model nasazení Resource Manager je nejnovější model nasazení a nabízí více možností a kompatibilitu funkcí než model nasazení Classic. Pokud chcete porozumět rozdílu mezi těmito dvěma modely nasazení, přečtěte si téma Principy modelů nasazení a stavu vašich prostředků.

Pokud chcete použít jinou verzi tohoto článku, použijte obsah v levém podokně.

Než začnete

Před zahájením konfigurace ověřte, že splňujete následující kritéria:

  • Ujistěte se, že chcete pracovat v modelu nasazení Classic. Pokud chcete pracovat v modelu nasazení Resource Manager, přečtěte si téma Vytvoření připojení typu Site-to-Site (Resource Manager). Doporučujeme použít model nasazení Resource Manager, protože klasický model je starší.
  • Ujistěte se, že máte kompatibilní zařízení VPN a někoho, kdo jej umí nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu Informace o zařízeních VPN.
  • Ověřte, že máte veřejnou IPv4 adresu pro vaše zařízení VPN.
  • Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které bude Azure směrovat do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nesmí překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.
  • K zadání sdíleného klíče a vytvoření připojení brány VPN se vyžaduje PowerShell. Při práci s modelem nasazení Classic nemůžete použít Azure Cloud Shell. Místo toho musíte nainstalovat nejnovější verzi rutin PowerShellu pro správu služeb Azure (SM) místně do počítače. Tyto rutiny se liší od rutin AzureRM nebo Az. Pokud chcete nainstalovat rutiny SM, přečtěte si téma Instalace rutin správy služeb. Další informace o Azure PowerShellu obecně najdete v dokumentaci k Azure PowerShellu.

Ukázkové hodnoty konfigurace pro toto cvičení

V příkladech v tomto článku se používají následující hodnoty. Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku. Při práci s hodnotami IP adres pro adresní prostor obvykle chcete koordinovat správce sítě, aby nedocházelo k překrývání adresních prostorů, což může mít vliv na směrování. V tomto případě nahraďte hodnoty IP adres vlastními, pokud chcete vytvořit funkční připojení.

  • Skupina prostředků: TestRG1
  • Název virtuální sítě: TestVNet1
  • Adresní prostor: 10.11.0.0/16
  • Název podsítě: FrontEnd
  • Rozsah adres podsítě: 10.11.0.0/24
  • Podsíť brány: 10.11.255.0/27
  • Oblast: USA – východ
  • Název místní lokality: Site2
  • Klientský adresní prostor: Adresní prostor umístěný ve vaší místní lokalitě.

Vytvoření virtuální sítě

Když vytvoříte virtuální síť, která se má použít pro připojení S2S, musíte zajistit, aby se adresní prostory, které zadáte, nepřekrývaly s žádnými adresními prostory klienta pro místní lokality, ke kterým se chcete připojit. Pokud se podsítě překrývají, připojení nebude fungovat správně.

  • Pokud již máte virtuální síť vytvořenou, ověřte, zda jsou nastavení kompatibilní s vaším návrhem brány VPN. Věnujte zvláštní pozornost všem podsítím, které se můžou překrývat s jinými sítěmi.

  • Pokud ještě nemáte virtuální síť, vytvořte si ji. Snímky obrazovek slouží jen jako příklady. Hodnoty na obrázcích nahraďte vlastními hodnotami.

Vytvoření virtuální sítě

  1. V prohlížeči přejděte na portál Azure Portal a v případě potřeby se přihlaste pomocí účtu Azure.
  2. Vyberte +Vytvořit prostředek. Do pole Hledat na Marketplace zadejte text „Virtuální síť“. Vyhledejte virtuální síť z vráceného seznamu a vyberte ji, aby se otevřela stránka Virtuální síť .
  3. Na stránce Virtuální síť pod tlačítkem Vytvořit se zobrazí "Nasazení pomocí Resource Manageru (změna na Classic)". Resource Manager je výchozí hodnota pro vytvoření virtuální sítě. Nechcete vytvořit virtuální síť Resource Manageru. Vyberte (změnit na Classic) a vytvořte virtuální síť Classic. Pak vyberte kartu Přehled a vyberte Vytvořit.
  4. Na stránce Vytvořit virtuální síť (Classic) na kartě Základy nakonfigurujte nastavení virtuální sítě s ukázkovými hodnotami.
  5. Vyberte Zkontrolovat a vytvořit a ověřte virtuální síť.
  6. Spustí se ověřování. Po ověření virtuální sítě vyberte Vytvořit.

Nastavení DNS není požadovaná součástí této konfigurace, ale pokud chcete překlad názvů mezi virtuálními počítači, je potřeba dns. Zadání hodnoty nevytvoří nový server DNS. Server DNS, jehož IP adresu zadáte, by měl být server DNS, který dokáže přeložit názvy pro prostředky, ke kterým se připojujete.

Po vytvoření virtuální sítě můžete přidat IP adresu serveru DNS, aby bylo možné zpracovávat překlad názvů. Otevřete nastavení pro virtuální síť, vyberte servery DNS a přidejte IP adresu serveru DNS, který chcete použít k překladu ip adres.

  1. Vyhledejte virtuální síť na portálu.
  2. Na stránce pro vaši virtuální síť v části Nastavení vyberte servery DNS.
  3. Přidejte server DNS.
  4. Pokud chcete nastavení uložit, vyberte Uložit v horní části stránky.

Konfigurace lokality a brány

Konfigurace lokality

Místní lokalita obvykle odkazuje na vaše místní umístění. Obsahuje IP adresu zařízení VPN, ke kterému vytvoříte připojení, a rozsahy IP adres, které se budou směrovat přes bránu VPN do zařízení VPN.

  1. Na stránce vaší virtuální sítě v části Nastavení vyberte připojení typu Site-to-Site.

  2. Na stránce Připojení typu Site-to-Site vyberte + Přidat.

  3. Na stránce Konfigurace připojení VPN a brány pro typ připojení ponechte vybranou možnost Site-to-Site. V tomto cvičení budete muset použít kombinaci ukázkových hodnot a vlastních hodnot.

    • IP adresa brány VPN: Toto je veřejná IP adresa zařízení VPN pro vaši místní síť. Zařízení VPN vyžaduje veřejnou IP adresu IPv4. Zadejte platnou veřejnou IP adresu pro zařízení VPN, ke kterému se chcete připojit. Musí být dostupný v Azure. Pokud neznáte IP adresu zařízení VPN, pořád můžete použít zástupnou hodnotu (pokud je ve formátu platné veřejné IP adresy) a změnit ji později.

    • Klientský adresní prostor: Vypište rozsahy IP adres, které chcete přes tuto bránu směrovat do místní sítě. Můžete přidat více různých rozsahů adres. Ujistěte se, že se zde zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se vaše virtuální síť připojuje, nebo s rozsahy adres samotné virtuální sítě.

  4. V dolní části stránky nevybírejte Zkontrolovat a vytvořit. Místo toho vyberte Další: Brána>.

Konfigurace brány virtuální sítě

  1. Na stránce Brána vyberte následující hodnoty:

    • Velikost: Jedná se o skladovou položku brány, kterou používáte k vytvoření brány virtuální sítě. Brány VPN Classic používají staré (starší) skladové položky brány. Další informace o starších skladových položkách brány najdete v tématu Práce se skladovými položkami bran virtuálních sítí (staré skladové položky). Pro toto cvičení můžete vybrat standard .

    • Podsíť brány: Velikost zadané podsítě brány závisí na konfiguraci brány VPN, kterou chcete vytvořit. I když je možné vytvořit podsíť brány tak malou jako /29, doporučujeme použít /27 nebo /28. Vytvoří se tak vetší podsíť zahrnující více adres. Použitím větší podsítě brány zajistíte dostatek IP adres pro případné další konfigurace.

  2. Výběrem možnosti Zkontrolovat a vytvořit v dolní části stránky ověřte nastavení. Vyberte Vytvořit , které chcete nasadit. Vytvoření brány virtuální sítě může trvat až 45 minut v závislosti na vybrané SKU brány.

Konfigurace zařízení VPN

Připojení Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:

  • Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáváte při vytváření připojení VPN Site-to-Site. V našich ukázkách používáme základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
  • Veřejnou IP adresu vaší brány virtuální sítě. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku.

V závislosti na zařízení VPN, které máte, si možná budete moct stáhnout konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.

Další informace o konfiguraci najdete na následujících odkazech:

  • Informace o kompatibilních zařízeních VPN najdete v tématu o zařízeních VPN.

  • Před konfigurací zařízení VPN zkontrolujte případné známé problémy s kompatibilitou zařízení.

  • Odkazy na nastavení konfigurace zařízení najdete v tématu Ověřená zařízení VPN. Poskytujeme odkazy na konfiguraci zařízení na základě maximálního úsilí, ale vždy je nejlepší zkontrolovat u výrobce zařízení nejnovější informace o konfiguraci.

    V seznamu jsou uvedené verze, které jsme otestovali. Pokud verze operačního systému pro vaše zařízení VPN není v seznamu, může být stále kompatibilní. Obraťte se na výrobce zařízení.

  • Základní informace o konfiguraci zařízení VPN najdete v tématu Přehled konfigurací partnerských zařízení VPN.

  • Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.

  • Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.

  • Informace oparametrch Mezi tyto informace patří verze protokolu IKE, skupina Diffie-Hellman (DH), metoda ověřování, šifrovací a hashovací algoritmy, životnost přidružení zabezpečení (SA), perfektní předávání tajemství (PFS) a detekce mrtvých partnerských uzlů (DPD).

  • Postup konfigurace zásad IPsec/IKE najdete v tématu Konfigurace vlastních zásad připojení IPsec/IKE pro S2S VPN a VNet-to-VNet.

  • Pokud chcete připojit více zařízení VPN založených na zásadách, přečtěte si téma Připojení brány VPN k několika místním zařízením VPN založeným na zásadách.

Načtení hodnot

Když vytváříte klasické virtuální sítě na webu Azure Portal, název, který zobrazíte, není úplný název, který používáte pro PowerShell. Například virtuální síť, která se zdá být na portálu pojmenovaná TestVNet1 , může mít v konfiguračním souboru sítě mnohem delší název. Název virtuální sítě ve skupině prostředků ClassicRG může vypadat nějak takto: Group ClassicRG TestVNet1. Při vytváření připojení je důležité použít hodnoty, které vidíte v konfiguračním souboru sítě.

V následujících krocích se připojíte ke svému účtu Azure a stáhnete a zobrazíte konfigurační soubor sítě, abyste získali hodnoty potřebné pro vaše připojení.

  1. Stáhněte a nainstalujte nejnovější verzi rutin PowerShellu pro správu služeb Azure. Většina lidí má místně nainstalované moduly Resource Manageru, ale nemají moduly Service Management. Moduly Service Management jsou starší verze a musí se instalovat samostatně. Další informace najdete v tématu Instalace rutin správy služeb.

  2. Otevřete konzolu PowerShellu se zvýšenými oprávněními a připojte se ke svému účtu. S připojením vám pomůžou následující příklady. Tyto příkazy musíte spouštět místně pomocí modulu Správa služby PowerShellu. Připojte se ke svému účtu. Připojení vám usnadní následující ukázka:

    Add-AzureAccount
    
  3. Zkontrolujte předplatná pro příslušný účet.

    Get-AzureSubscription
    
  4. Máte-li více předplatných, vyberte předplatné, které chcete použít.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
    
  5. Vytvořte adresář v počítači. Například C:\AzureVNet

  6. Exportujte konfigurační soubor sítě do adresáře. V tomto příkladu se konfigurační soubor sítě exportuje do C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
    
  7. Otevřete soubor pomocí textového editoru a prohlédněte si názvy virtuálních sítí a webů. Tyto názvy budou názvy, které použijete při vytváření připojení.
    Názvy virtuálních sítí jsou uvedeny jako název VirtualNetworkSite =
    Názvy webů jsou uvedeny jako LocalNetworkSiteRef name =

Vytvoření připojení

Poznámka:

U modelu nasazení Classic není tento krok k dispozici na webu Azure Portal ani přes Azure Cloud Shell. Musíte použít verzi Service Management (SM) rutin Azure PowerShellu místně z počítače.

V tomto kroku pomocí hodnot z předchozích kroků nastavíte sdílený klíč a vytvoříte připojení. Klíč, který jste nastavili, musí být stejný jako klíč použitý v konfiguraci zařízení VPN.

  1. Nastavte sdílený klíč a vytvořte připojení.

    • Změňte hodnotu -VNetName a hodnotu -LocalNetworkSiteName. Pokud zadáváte název, který obsahuje mezery, zadejte hodnotu v jednoduchých uvozovkách.
    • -SharedKey je hodnota, kterou vygenerujete, a pak zadejte. V příkladu jsme použili "abc123", ale můžete (a měli byste) vygenerovat něco složitějšího. Důležité je, aby hodnota, kterou zde zadáte, byla stejná jako hodnota, kterou jste zadali při konfiguraci zařízení VPN.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
    -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
    
  2. Jakmile se připojení vytvoří, výsledkem bude: Stav: Úspěch.

Ověření stavu připojení

Na webu Azure Portal můžete zobrazit stav připojení VPN Gateway klasické virtuální sítě otevřením připojení. Následující postup ukazuje jeden ze způsobů přechodu k připojení a jeho ověření.

  1. Na webu Azure Portal přejděte do klasické virtuální sítě (VNet).
  2. Na stránce virtuální sítě klikněte na typ připojení, které chcete zobrazit. Například připojení typu Site-to-Site.
  3. Na stránce Připojení typu Site-to-Site v části Název vyberte připojení lokality, které chcete zobrazit.
  4. Na stránce Vlastnosti zobrazte informace o připojení.

Pokud máte potíže s připojením, přečtěte si část Řešení potíží s obsahem v levém podokně.

Resetování brány VPN

Resetování brány Azure VPN je užitečné v případě ztráty připojení VPN mezi lokalitami na jednom nebo více tunelech VPN typu Site-to-Site. V takové situaci vaše místní zařízení VPN fungují správně, ale nejsou schopná vytvořit tunelová propojení prostřednictvím protokolu IPsec s branami Azure VPN.

Rutina pro resetování klasické brány je Reset-AzureVNetGateway. Rutiny Azure PowerShellu pro správu služeb musí být nainstalované místně na počítači. Azure Cloud Shell nemůžete použít. Před resetováním se ujistěte, že máte nejnovější verzi rutin PowerShellu pro správu služeb (SM).

Při použití tohoto příkazu se ujistěte, že používáte úplný název virtuální sítě. Klasické virtuální sítě vytvořené pomocí portálu mají dlouhý název, který se vyžaduje pro PowerShell. Dlouhé jméno můžete zobrazit pomocí .Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml

Následující příklad resetuje bránu pro virtuální síť s názvem "Group TestRG1 TestVNet1" (která se na portálu zobrazuje jako jednoduše TestVNet1):

Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'

Výsledek:

Error          :
HttpStatusCode : OK
Id             : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status         : Successful
RequestId      : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode     : OK

Změna velikosti skladové položky brány

Pokud chcete změnit velikost brány pro model nasazení Classic, musíte použít rutiny Prostředí PowerShell pro správu služeb. Použijte následující příkaz:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

Další kroky