Přidání připojení typu Site-to-Site k virtuální síti s existujícím připojením brány VPN (Classic)
Tento článek vás provede přidáním připojení Site-to-Site (S2S) k bráně VPN, která má existující připojení pomocí modelu nasazení Classic (starší verze). Tento typ připojení se někdy označuje jako konfigurace s více lokalitami. Tento postup se nevztahuje na konfiguraci připojení ExpressRoute nebo Site-to-Site.
Kroky v tomto článku platí pro model nasazení Classic (starší verze) a nevztahují se na aktuální model nasazení Resource Manager. Pokud nechcete pracovat konkrétně v modelu nasazení Classic, doporučujeme použít verzi Resource Manageru tohoto článku.
Poznámka:
Tento článek je napsaný pro model nasazení Classic (starší verze). Doporučujeme místo toho použít nejnovější model nasazení Azure. Model nasazení Resource Manager je nejnovější model nasazení a nabízí více možností a kompatibilitu funkcí než model nasazení Classic. Pokud chcete porozumět rozdílu mezi těmito dvěma modely nasazení, přečtěte si téma Principy modelů nasazení a stavu vašich prostředků.
Pokud chcete použít jinou verzi tohoto článku, použijte obsah v levém podokně.
Informace o připojování
K jedné virtuální síti můžete připojit několik místních lokalit. To je obzvláště atraktivní pro vytváření hybridních cloudových řešení. Vytvoření připojení s více lokalitami k bráně virtuální sítě Azure se podobá vytváření dalších připojení typu Site-to-Site. Ve skutečnosti můžete použít existující bránu Azure VPN, pokud je brána dynamická (založená na trasách).
Pokud už máte statickou bránu připojenou k virtuální síti, můžete typ brány změnit na dynamický, aniž byste museli znovu sestavit virtuální síť, aby vyhovovala více lokalitám. Před změnou typu směrování se ujistěte, že vaše místní brána VPN podporuje konfigurace sítě VPN založené na směrování.
Body ke zvážení
K provedení změn v této virtuální síti nebudete moct použít portál. Místo portálu musíte v konfiguračním souboru sítě provádět změny. Pokud provedete změny na portálu, přepíšou nastavení odkazu na více webů pro tuto virtuální síť.
Po dokončení postupu s více lokalitami byste měli mít pocit, že jste používali konfigurační soubor sítě. Pokud ale na konfiguraci sítě pracuje více lidí, musíte se ujistit, že o tomto omezení všichni vědí. To neznamená, že portál nemůžete vůbec používat. Můžete ho použít pro všechno ostatní, kromě provádění změn konfigurace v této konkrétní virtuální síti.
Než začnete
Než začnete s konfigurací, ověřte, že máte následující:
- Kompatibilní hardware VPN pro každé místní umístění. Zkontrolujte informace o zařízeních VPN pro připojení k virtuální síti a ověřte, jestli je zařízení, které chcete použít, něco, o čem je známo, že je kompatibilní.
- Externě zobrazená veřejná IP adresa IPv4 pro každé zařízení VPN. IP adresa nemůže být umístěná za překladem adres (NAT). Toto je požadavek.
- Někdo, kdo má zkušenosti s konfigurací hardwaru VPN. Budete muset mít silné znalosti o tom, jak nakonfigurovat zařízení VPN, nebo spolupracovat s někým, kdo to dělá.
- Rozsahy IP adres, které chcete použít pro virtuální síť (pokud jste ho ještě nevytvořili).
- Rozsahy IP adres pro každou z místních síťových lokalit, ke kterým se budete připojovat. Budete muset zajistit, aby se rozsahy IP adres pro všechny místní síťové lokality, ke kterým se chcete připojit, nepřekrývaly. V opačném případě portál nebo rozhraní REST API odmítne nahrání konfigurace.
Pokud máte například dvě místní síťové lokality, které obsahují rozsah IP adres 10.2.3.0/24 a máte balíček s cílovou adresou 10.2.3.3, Azure by nevěděl, do které lokality chcete balíček odeslat, protože se rozsahy adres překrývají. Aby se zabránilo problémům se směrováním, Azure neumožňuje nahrát konfigurační soubor s překrývajícími se rozsahy.
Práce s Azure PowerShellem
Při práci s modelem nasazení Classic nemůžete použít Azure Cloud Shell. Místo toho musíte nainstalovat nejnovější verzi rutin PowerShellu pro správu služeb Azure (SM) místně do počítače. Tyto rutiny se liší od rutin AzureRM nebo Az. Pokud chcete nainstalovat rutiny SM, přečtěte si téma Instalace rutin správy služeb. Další informace o Azure PowerShellu obecně najdete v dokumentaci k Azure PowerShellu.
1. Vytvoření sítě VPN typu Site-to-Site
Pokud už máte vpn typu Site-to-Site s bránou dynamického směrování, skvělé! Můžete pokračovat v exportu nastavení konfigurace virtuální sítě. Pokud ne, udělejte toto:
Pokud už máte virtuální síť typu Site-to-Site, ale má statickou bránu směrování (založenou na zásadách):
- Změňte typ brány na dynamické směrování. Síť VPN s více lokalitami vyžaduje dynamickou (označovanou také jako bránu směrování založenou na směrování). Pokud chcete změnit typ brány, musíte nejprve odstranit existující bránu a pak vytvořit novou.
- Nakonfigurujte novou bránu a vytvořte tunel VPN. Pokyny najdete v tématu Určení skladové položky a typu sítě VPN. Ujistěte se, že typ směrování zadáte jako dynamický.
Pokud nemáte virtuální síť Typu Site-to-Site:
- Vytvořte virtuální síť typu Site-to-Site pomocí těchto pokynů: Vytvořte virtuální síť s připojením VPN typu Site-to-Site.
- Nakonfigurujte bránu dynamického směrování pomocí těchto pokynů: Konfigurace brány VPN Gateway. Nezapomeňte pro typ brány vybrat dynamické směrování .
2. Export konfiguračního souboru sítě
Otevřete konzolu PowerShellu se zvýšenými oprávněními. Pokud chcete přepnout na správu služeb, použijte tento příkaz:
azure config mode asm
Připojte se ke svému účtu. Připojení vám usnadní následující ukázka:
Add-AzureAccount
Spuštěním následujícího příkazu exportujte konfigurační soubor sítě Azure. V případě potřeby můžete změnit umístění souboru, které chcete exportovat do jiného umístění.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
3. Otevřete konfigurační soubor sítě.
Otevřete konfigurační soubor sítě, který jste stáhli v posledním kroku. Použijte libovolný editor XML, který se vám líbí. Soubor by měl vypadat nějak takto:
<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
<VirtualNetworkConfiguration>
<LocalNetworkSites>
<LocalNetworkSite name="Site1">
<AddressSpace>
<AddressPrefix>10.0.0.0/16</AddressPrefix>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
</LocalNetworkSite>
<LocalNetworkSite name="Site2">
<AddressSpace>
<AddressPrefix>10.2.0.0/16</AddressPrefix>
<AddressPrefix>10.3.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
</LocalNetworkSite>
</LocalNetworkSites>
<VirtualNetworkSites>
<VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
<AddressSpace>
<AddressPrefix>10.20.0.0/16</AddressPrefix>
<AddressPrefix>10.21.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="FE">
<AddressPrefix>10.20.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="BE">
<AddressPrefix>10.20.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.20.2.0/29</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSites>
</VirtualNetworkConfiguration>
</NetworkConfiguration>
4. Přidání více odkazů na web
Když přidáte nebo odeberete referenční informace o webu, provedete změny konfigurace připojeníToLocalNetwork/LocalNetworkSiteRef. Přidání nového odkazu na místní web aktivuje Azure pro vytvoření nového tunelu. V následujícím příkladu je konfigurace sítě určená pro připojení s jednou lokalitou. Jakmile dokončíte provádění změn, soubor uložte.
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
Pokud chcete přidat další odkazy na web (vytvořit konfiguraci s více lokalitami), stačí přidat další řádky LocalNetworkSiteRef, jak je znázorněno v následujícím příkladu:
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
5. Import konfiguračního souboru sítě
Importujte konfigurační soubor sítě. Při importu tohoto souboru se změnami se přidají nové tunely. Tunely používají dynamickou bránu, kterou jste vytvořili dříve. K importu souboru můžete použít PowerShell.
6. Stažení klíčů
Po přidání nových tunelů pomocí rutiny PowerShellu Get-AzureVNetGatewayKey získejte předsdílené klíče IPsec/IKE pro každý tunel.
Příklad:
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"
Pokud chcete, můžete k získání předsdílených klíčů použít také rozhraní REST API Get Virtual Network Gateway Shared Key .
7. Ověření připojení
Zkontrolujte stav tunelu s více lokalitami. Po stažení klíčů pro každý tunel budete chtít ověřit připojení. Pomocí rutiny Get-AzureVnetConnection získáte seznam tunelů virtuální sítě, jak je znázorněno v následujícím příkladu. VNet1 je název virtuální sítě.
Get-AzureVnetConnection -VNetName VNET1
Příklad vrácení:
ConnectivityState : Connected
EgressBytesTransferred : 661530
IngressBytesTransferred : 519207
LastConnectionEstablished : 5/2/2014 2:51:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site1
OperationDescription : Get-AzureVNetConnection
OperationId : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
ConnectivityState : Connected
EgressBytesTransferred : 789398
IngressBytesTransferred : 143908
LastConnectionEstablished : 5/2/2014 3:20:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site2
OperationDescription : Get-AzureVNetConnection
OperationId : 7893b329-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
Další kroky
Další informace o službě VPN Gateway najdete v tématu o branách VPN Gateway.