Sdílet prostřednictvím

Konfigurace připojení VPN typu VNet-to-VNet – Azure Portal

  • Článek

Tento článek vám pomůže propojit virtuální sítě pomocí typu připojení VNet-to-VNet na webu Azure Portal. Pokud k propojení virtuálních sítí pomocí VNet-to-VNet použijete portál, můžou být virtuální sítě v různých oblastech, ale musí být ve stejném předplatném. Pokud jsou vaše virtuální sítě v různých předplatných, použijte místo toho pokyny k PowerShellu. Tento článek se nevztahuje na partnerský vztah virtuálních sítí. Informace o partnerském vztahu virtuálních sítí najdete v článku Partnerské vztahy virtuálních sítí.

Diagram připojení typu VNet-to-VNet

Informace o propojeních VNet-to-VNet

Konfigurace připojení typu VNet-to-VNet je jednoduchý způsob připojení virtuálních sítí. Když připojíte virtuální síť k jiné virtuální síti s typem připojení VNet-to-VNet, podobá se vytvoření připojení site-to-site IPsec k místnímu umístění. Oba typy připojení používají bránu VPN k zajištění zabezpečeného tunelu s protokolem IPsec/IKE a fungují stejným způsobem při komunikaci. Liší se ale způsobem konfigurace brány místní sítě.

  • Když vytvoříte připojení typu VNet-to-VNet, automaticky se vytvoří a naplní adresní prostor brány místní sítě. Brána místní sítě ale v této konfiguraci není viditelná. To znamená, že ho nemůžete nakonfigurovat ručně.

  • Pokud aktualizujete adresní prostor pro jednu virtuální síť, druhá virtuální síť automaticky směruje do aktualizovaného adresního prostoru.

  • Obvykle je rychlejší a jednodušší vytvořit připojení typu VNet-to-VNet než připojení typu site-to-site.

  • Pokud víte, že chcete pro bránu místní sítě zadat více adresních prostorů, nebo chcete později přidat další připojení a potřebujete upravit bránu místní sítě, vytvořte konfiguraci pomocí kroků připojení typu site-to-site.

  • Připojení typu VNet-to-VNet nezahrnuje adresní prostor fondu klientů typu point-to-site. Pokud potřebujete tranzitivní směrování pro klienty typu point-to-site, vytvořte připojení typu site-to-site mezi bránami virtuální sítě nebo použijte partnerský vztah virtuálních sítí.

Proč vytvářet připojení typu VNet-to-VNet?

K propojení virtuálních sítí můžete použít připojení typu VNet-to-VNet z následujících důvodů:

  • Geografická redundance napříč oblastmi a geografická přítomnost

    • Můžete nastavit vlastní geografickou replikaci nebo synchronizaci se zabezpečeným připojením, aniž byste museli přejíždět přes internetové koncové body.
    • Pomocí Azure Traffic Manageru a Azure Load Balanceru můžete nastavit vysoce dostupné úlohy s geografickou redundancí napříč několika oblastmi Azure. Můžete například nastavit skupiny dostupnosti AlwaysOn SQL Serveru napříč několika oblastmi Azure.

  • Regionální vícevrstvé aplikace s izolací nebo hranicemi správy

    Ve stejné oblasti můžete nastavit vícevrstvé aplikace s několika virtuálními sítěmi, které jsou propojené z důvodu izolace nebo požadavků na správu. Komunikaci typu VNet-to-VNet můžete kombinovat s konfiguracemi s více servery. Tyto konfigurace umožňují vytvořit síťové topologie, které kombinují připojení mezi místními sítěmi s připojením mezi virtuálními sítěmi, jak je znázorněno v následujícím diagramu:

    Diagram připojení typu VNet-to-VNet zobrazující více předplatných

Vytvoření a konfigurace virtuální sítě VNet1

Pokud již máte virtuální síť vytvořenou, ověřte, zda jsou nastavení kompatibilní s vaším návrhem brány VPN. Věnujte zvláštní pozornost všem podsítím, které se můžou překrývat s jinými sítěmi. Pokud máte překrývající se podsítě, připojení nebude fungovat správně.

V této části vytvořte virtuální síť VNet1 pomocí následujících hodnot. Pokud používáte vlastní hodnoty, ujistěte se, že se adresní prostory nepřekrývají s žádnou z virtuálních sítí, ke kterým se chcete připojit.

  • Nastavení virtuální sítě
    • Název: VNet1
    • Adresní prostor: 10.1.0.0/16
    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: TestRG1
    • Umístění: USA – východ
    • Podsíť
      • Název: FrontEnd
      • Rozsah adres: 10.1.0.0/24

  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Snímek obrazovky znázorňující kartu Základy

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.

  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Můžete použít výchozí nebo zadat název. Příklad: FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.

  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Vytvoření podsítě brány

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Nejlepší je zadat /27 nebo větší (/26, /25 atd.) pro vaši podsíť brány.

  1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
  2. V horní části stránky výběrem podsítě + Brána otevřete podokno Přidat podsíť.
  3. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte hodnotu rozsahu IP adres. Příkladem je 10.1.255.0/27.
  4. Neupravujte ostatní hodnoty na stránce. Podsíť uložíte výběrem možnosti Uložit v dolní části stránky.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).

Vytvoření brány VPN VNet1

V tomto kroku vytvoříte bránu virtuální sítě pro vaši virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Informace o cenách skladové položky brány najdete v tématu Ceny.

Vytvořte bránu virtuální sítě (bránu VPN) pomocí následujících hodnot:

  • Název: VNet1GW
  • Typ brány: Síť VPN
  • Skladová položka: VpnGw2AZ
  • Generování: generace 2
  • Virtuální síť: VNet1
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Veřejná IP adresa: Vytvoření nové
  • Název veřejné IP adresy: VNet1GWpip1
  • Skladová položka veřejné IP adresy: Standard
  • Přiřazení: Statické
  • Druhý název veřejné IP adresy: VNet1GWpip2
  • Povolit režim aktivní-aktivní: Povoleno

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující pole Instance

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Tato hodnota se automaticky vyplňuje, když vyberete virtuální síť na této stránce.

    • Název: Toto je název objektu brány, který vytváříte. Liší se od podsítě brány, do které se nasadí prostředky brány.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít.

      • Doporučujeme vybrat skladovou položku, která končí az, pokud je to možné. SKU AZ podporují zóny dostupnosti.
      • Skladová položka Basic není na portálu dostupná. Pokud chcete nakonfigurovat bránu skladové položky Basic, musíte použít PowerShell nebo rozhraní příkazového řádku.

    • Generování: V rozevíracím seznamu vyberte generaci 2 .

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, kterou chcete použít, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V současné době toto pole může zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekty veřejných IP adres, které budou přidružené k bráně VPN. Při vytváření brány VPN se každému objektu veřejné IP adresy přiřadí veřejná IP adresa. Jedinou dobou, kdy se přiřazená veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. IP adresy se nemění při změně velikosti, resetování nebo jiných interních údržbách nebo upgradech brány VPN.

    Snímek obrazovky s polem Veřejná IP adresa

    • Typ veřejné IP adresy: Pokud se tato možnost zobrazí, vyberte Standardní.

    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .

    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

    • Přiřazení: Přiřazení je obvykle automaticky vybráno a mělo by být statické.

    • Zóna dostupnosti: Toto nastavení je dostupné pro skladové položky brány AZ v oblastech, které podporují zóny dostupnosti. Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

    • Povolit režim aktivní-aktivní: Pokud chcete využívat výhody brány v režimu aktivní-aktivní, doporučujeme vybrat Možnost Povoleno. Pokud plánujete používat tuto bránu pro připojení typu site-to-site, vezměte v úvahu následující skutečnosti:

      • Ověřte návrh aktivní-aktivní, který chcete použít. Připojení k místnímu zařízení VPN musí být nakonfigurovaná speciálně tak, aby využívala režim aktivní-aktivní.
      • Některá zařízení VPN nepodporují režim aktivní-aktivní. Pokud si nejste jistí, obraťte se na dodavatele zařízení VPN. Pokud používáte zařízení VPN, které nepodporuje režim aktivní-aktivní, můžete pro toto nastavení vybrat Zakázáno .

    • Druhá veřejná IP adresa: Vyberte Vytvořit novou. Tato možnost je dostupná pouze v případě, že jste vybrali možnost Povolit režim aktivní-aktivní .

    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.

    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno na skladovou položku Standard.

    • Zóna dostupnosti: Vyberte zónově redundantní, pokud nevíte, že chcete určit zónu.

    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

    • Povolit přístup ke službě Key Vault: Pokud konfigurace výslovně nevyžaduje toto nastavení, vyberte Zakázáno.

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete zobrazením virtuální sítě na portálu zobrazit IP adresu, která jí byla přiřazena. Brána se zobrazí jako připojené zařízení.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány se nepodporují. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).

Vytvoření a konfigurace virtuální sítě VNet4

Po nakonfigurování virtuální sítě 1 vytvořte bránu VNet4 a VNet4 opakováním předchozích kroků a nahrazením hodnot hodnotami VNet4. Před konfigurací virtuální sítě VNet4 nemusíte čekat na dokončení vytváření brány virtuální sítě pro virtuální síť VNet1. Pokud používáte vlastní hodnoty, ujistěte se, že se adresní prostory nepřekrývají s žádnou z virtuálních sítí, ke kterým se chcete připojit.

Následující příklady hodnot můžete použít ke konfiguraci virtuální sítě VNet4 a brány virtuální sítě 4.

  • Nastavení virtuální sítě
    • Název: VNet4
    • Adresní prostor: 10.41.0.0/16
    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: TestRG4
    • Umístění: USA – západ 2
    • Podsíť
      • Název: FrontEnd
      • Rozsah adres: 10.41.0.0/24

Přidejte podsíť brány:

  • Název: GatewaySubnet
  • Rozsah adres podsítě brány: 10.41.255.0/27

Konfigurace brány VPN VNet4

Ke konfiguraci brány VPN VNet4 můžete použít následující příklady hodnot.

  • Nastavení brány virtuální sítě
    • Název: VNet4GW
    • Skupina prostředků: USA – západ 2
    • Generování: generace 2
    • Typ brány: Vyberte VPN.
    • Typ sítě VPN: Vyberte trasu založenou na trasách.
    • Skladová položka: VpnGw2AZ
    • Generování: Generace 2
    • Virtuální síť: VNet4
    • Název veřejné IP adresy: VNet4GWpip1
    • Skladová položka veřejné IP adresy: Standard
    • Přiřazení: Statické
    • Druhý název veřejné IP adresy: VNet4GWpip2
    • Povolit režim aktivní-aktivní: Povoleno

Konfigurace připojení

Po dokončení bran VPN pro virtuální síť VNet1 i VNet4 můžete vytvořit připojení brány virtuální sítě.

Virtuální sítě ve stejném předplatném je možné připojit pomocí portálu, i když jsou v různých skupinách prostředků. Pokud jsou ale vaše virtuální sítě v různých předplatných, musíte k vytvoření připojení použít PowerShell .

Můžete vytvořit obousměrné nebo jednosměrové připojení. V tomto cvičení určíme obousměrné připojení. Obousměrná hodnota připojení vytvoří dvě samostatná připojení, aby provoz mohl proudit v obou směrech.

  1. Na portálu přejděte na VNet1GW.

  2. Na stránce brány virtuální sítě v levém podokně vyberte Připojení a otevřete stránku Připojení. Potom výběrem + Přidat otevřete stránku Vytvořit připojení .

  3. Na stránce Vytvořit připojení vyplňte hodnoty připojení.

    Snímek obrazovky se stránkou Vytvořit připojení

    • Typ připojení: V rozevíracím seznamu vyberte VNet-to-VNet .
    • Navázat obousměrné připojení: Tuto hodnotu vyberte, pokud chcete navázat tok provozu v obou směrech. Pokud toto nastavení nevyberete a později budete chtít přidat připojení v opačném směru, budete muset vytvořit nové připojení pocházející z jiné brány virtuální sítě.
    • Název prvního připojení: VNet1-to-VNet4
    • Druhý název připojení: VNet4-to-VNet1
    • Oblast: USA – východ (oblast pro VNet1GW)

  4. Klikněte na Další: Nastavení > v dolní části stránky a přejděte na stránku Nastavení .

  5. Na stránce Nastavení zadejte následující hodnoty:

    • První brána virtuální sítě: V rozevíracím seznamu vyberte VNet1GW .
    • Druhá brána virtuální sítě: V rozevíracím seznamu vyberte VNet4GW .
    • Sdílený klíč (PSK):: Do tohoto pole zadejte sdílený klíč pro vaše připojení. Tento klíč si můžete vygenerovat nebo vytvořit sami. V připojení typu site-to-site je klíč, který používáte, stejný pro místní zařízení a připojení brány virtuální sítě. Koncept je tady podobný s tím rozdílem, že místo připojení k zařízení VPN se připojujete k jiné bráně virtuální sítě. Důležitá věc při zadávání sdíleného klíče je, že je úplně stejná pro obě strany připojení.
    • Protokol IKE: IKEv2

  6. V tomto cvičení můžete zbývající nastavení ponechat jako výchozí hodnoty.

  7. Vyberte Zkontrolovat a vytvořit a pak vytvořte připojení.

Ověření připojení

  1. Na webu Azure Portal vyhledejte bránu virtuální sítě. Například VNet1GW.

  2. Na stránce Brány virtuální sítě vyberte Připojení a zobrazte stránku Připojení pro bránu virtuální sítě. Po navázání připojení uvidíte, že se hodnoty stavu změní na Připojeno.

  3. Pod sloupcem Název vyberte jedno z připojení, abyste zobrazili další informace. Po zahájení toku dat se zobrazí hodnoty pro data v datech a data ven.

Přidání dalších připojení

Můžete vytvořit další připojení typu VNet-to-VNet nebo vytvořit připojení site-to-site protokolu IPsec k místnímu umístění.

  • Než vytvoříte další připojení, ověřte, že se adresní prostor vaší virtuální sítě nepřekrývá s žádnými adresními prostory, ke kterým se chcete připojit.

  • Při konfiguraci nového připojení nezapomeňte upravit typ připojení tak, aby odpovídal typu připojení, které chcete vytvořit. Pokud přidáváte připojení typu site-to-site, musíte před vytvořením připojení vytvořit bránu místní sítě.

  • Při konfiguraci připojení, které používá sdílený klíč, se ujistěte, že je sdílený klíč úplně stejný pro obě strany připojení.

Pokud chcete vytvořit další připojení, postupujte takto:

  1. Na webu Azure Portal přejděte na bránu VPN, ze které chcete vytvořit připojení.
  2. V levém podokně vyberte Připojení. Umožňuje zobrazit existující připojení.
  3. Vytvořte nové připojení.

Nejčastější dotazy týkající se propojení VNet-to-VNet

Nejčastější dotazy k virtuální síti VNet-to-VNet najdete v nejčastějších dotazech ke službě VPN Gateway.

Další kroky

  • Informace o tom, jak můžete omezit síťový provoz na prostředky ve virtuální síti, najdete v tématu Zabezpečení sítě.

  • Informace o tom, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky, najdete v tématu Směrování provozu virtuální sítě.