Sdílet prostřednictvím

Simulace vzdáleného síťového připojení pomocí Azure VNG

  • Článek

Organizace můžou chtít rozšířit možnosti Microsoft Entra Přístup k Internetu na celé sítě, nejen na jednotlivá zařízení, na která si můžou nainstalovat globálního klienta zabezpečeného přístupu. Tento článek ukazuje, jak tyto možnosti rozšířit na virtuální síť Azure hostované v cloudu. Podobné principy se můžou použít u místního síťového vybavení zákazníka.

Požadavky

K dokončení kroků v tomto procesu musíte mít splněné následující požadavky:

  • Předplatné Azure a oprávnění k vytváření prostředků na webu Azure Portal
  • Základní znalost připojení VPN typu site-to-site.
  • Tenant Microsoft Entra s přiřazenou rolí globálního správce zabezpečeného přístupu.

Komponenty virtuální sítě

Vytváření této funkce v Azure poskytuje organizacím možnost pochopit, jak Microsoft Entra Přístup k Internetu funguje v širší implementaci. Prostředky, které v Azure vytvoříme, odpovídají místním konceptům následujícími způsoby:

Diagram znázorňující virtuální síť v Azure připojenou k Přístupu k internetu Microsoft Entra, simulující síť zákazníka.

Prostředek Azure Tradiční komponenta na pracovišti
Virtuální síť Váš místní adresní prostor IP
Brána virtuální sítě Váš interní směrovač, někdy označovaný jako koncové zařízení zákazníka (CPE)
Brána místní sítě cs-CZ: Brána Microsoftu, ke které váš směrovač vytvoří tunel IPsec (k bráně virtuální sítě Azure)
Připojení Tunel IPsec VPN vytvořený mezi bránou virtuální sítě a bránou místní sítě
Virtuální počítač Klientská zařízení v místní síti

V tomto dokumentu používáme následující výchozí hodnoty. Tato nastavení si můžete nakonfigurovat podle vlastních požadavků.

  • Předplatné: Visual Studio Enterprise
  • Název skupiny prostředků: Network_Simulation
  • Oblast: USA – východ

Základní kroky

Postup simulace vzdáleného síťového připojení k virtuálním sítím Azure se dokončí na webu Azure Portal a v Centru pro správu Microsoft Entra. Může být užitečné mít několik otevřených karet, abyste mezi nimi mohli snáze přepínat.

Před vytvořením virtuálních prostředků potřebujete skupinu prostředků a virtuální síť, které chcete použít v následujících částech. Pokud už máte nakonfigurovanou testovací skupinu prostředků a virtuální síť, můžete začít krokem 3.

  1. Vytvoření skupiny prostředků (Azure Portal)
  2. Vytvoření virtuální sítě (Azure Portal)
  3. Vytvoření brány virtuální sítě (Azure Portal)
  4. Vytvoření vzdálené sítě pomocí propojení zařízení (Centrum pro správu Microsoft Entra)
  5. Vytvoření brány místní sítě (Azure Portal)
  6. Vytvoření VPN připojení typu site-to-site (S2S) (Azure Portal)
  7. Ověření připojení (obojí)

Vytvoření skupiny zdrojů

Vytvořte skupinu prostředků, která bude obsahovat všechny potřebné prostředky.

  1. Přihlaste se k webu Azure Portal s oprávněním k vytváření prostředků.
  2. Přejděte do skupin prostředků.
  3. Vyberte Vytvořit.
  4. Vyberte své předplatné, oblast a zadejte název vaší skupiny prostředků.
  5. Vyberte Zkontrolovat a vytvořit.
  6. Potvrďte podrobnosti a pak vyberte Vytvořit.

Snímek obrazovky polí pro vytvoření skupiny prostředků.

Vytvoření virtuální sítě

Vytvořte virtuální síť uvnitř nové skupiny prostředků.

  1. Na webu Azure Portal přejděte do virtuálních sítí.
  2. Vyberte Vytvořit.
  3. Vyberte skupinu prostředků, kterou jste právě vytvořili.
  4. Zadejte název virtuální sítě.
  5. U ostatních polí ponechte výchozí hodnoty.
  6. Vyberte Zkontrolovat + vytvořit.
  7. Vyberte Vytvořit.

Snímek obrazovky s poli pro vytvoření virtuální sítě

Vytvoření brány virtuální sítě

Vytvořte bránu virtuální sítě uvnitř nové skupiny prostředků.

  1. Na webu Azure Portal přejděte k branám virtuální sítě.

  2. Vyberte Vytvořit.

  3. Zadejte bránu virtuální sítě s názvem a vyberte příslušnou oblast.

  4. Vyberte virtuální síť vytvořenou v předchozí části.

    Snímek obrazovky webu Azure Portal znázorňující nastavení konfigurace brány virtuální sítě

  5. Vytvořte veřejnou IP adresu a zadejte ji s popisným názvem.

    • VOLITELNÉ: Pokud chcete sekundární tunel IPsec, vytvořte v části DRUHÁ VEŘEJNÁ IP ADRESA další veřejnou IP adresu a pojmenujte ji. Pokud vytvoříte druhý tunel IPsec, musíte v kroku Vytvořit vzdálenou síť vytvořit dvě propojení zařízení.
    • Pokud nepotřebujete druhou veřejnou IP adresu, nastavte režim Aktivní-aktivní na Zakázáno.
    • Ukázka v tomto článku používá jeden tunel IPsec.

  6. Vyberte zónu dostupnosti.

  7. Nastavte konfiguraci protokolu BGP na povolenou.

  8. Nastavte číslo autonomního systému (ASN) na odpovídající hodnotu. Podívejte se na seznam platných hodnot ASN pro rezervované hodnoty, které nelze použít.

    Snímek obrazovky s poli IP adres pro vytvoření brány virtuální sítě

  9. Ponechte všechna ostatní nastavení na výchozí nebo prázdné.

  10. Vyberte Zkontrolovat a vytvořit. Potvrďte nastavení.

  11. Vyberte Vytvořit.

Poznámka:

Nasazení a vytvoření brány virtuální sítě může trvat několik minut. Během vytváření můžete zahájit další část, ale k dokončení dalšího kroku potřebujete veřejné IP adresy brány virtuální sítě.

Pokud chcete tyto IP adresy zobrazit, přejděte po nasazení na stránku Konfigurace brány virtuální sítě.

Snímek obrazovky znázorňující, jak najít veřejné IP adresy brány virtuální sítě

Vytvoření vzdálené sítě

Proces vytvoření vzdálené sítě se dokončí v Centru pro správu Microsoft Entra. Existují dvě sady karet, do nichž zadáte informace.

Snímek obrazovky se dvěma sadami karet, které jsou použity v procesu

Následující kroky poskytují základní informace potřebné k vytvoření vzdálené sítě s globálním zabezpečeným přístupem. Tento proces je podrobněji popsaný ve dvou samostatných článcích. Existuje několik podrobností, které je možné snadno kombinovat, takže další informace najdete v následujících článcích:

Zónová redundance

Než vytvoříte vzdálenou síť pro globální zabezpečený přístup, chvíli se podívejte na dvě možnosti týkající se redundance. Vzdálené sítě je možné vytvářet s redundancí nebo bez této redundance. Redundanci můžete přidat dvěma způsoby:

  • Při vytváření odkazu na zařízení v Centru pro správu Microsoft Entra zvolte redundanci zóny.
    • V tomto scénáři vytvoříme pro vás další bránu v jiné zóně dostupnosti ve stejné oblasti datacentra, kterou jste vybrali při vytváření vzdálené sítě.
    • V tomto scénáři potřebujete jenom jednu veřejnou IP adresu ve vaší bráně virtuální sítě.
    • Dva tunely IPSec se vytvářejí ze stejné veřejné IP adresy vašeho směrovače do různých bran Microsoftu v různých zónách dostupnosti.
  • Na webu Azure Portal vytvořte sekundární veřejnou IP adresu a vytvořte dvě propojení zařízení s různými veřejnými IP adresami v Centru pro správu Microsoft Entra.
    • Při přidávání propojení zařízení do vzdálené sítě v Centru pro správu Microsoft Entra můžete zvolit možnost Bez redundance .
    • V tomto scénáři potřebujete primární a sekundární veřejné IP adresy v bráně virtuální sítě.

V tomto článku zvolíme cestu redundance zóny.

Tip

Místní adresa protokolu BGP musí být privátní IP adresa, která je mimo adresní prostor virtuální sítě přidružené k bráně virtuální sítě. Pokud je například adresní prostor vaší virtuální sítě 10.1.0.0/16, můžete jako adresu místního protokolu BGP použít adresu 10.2.0.0.

Projděte si platný seznam adres protokolu BGP pro rezervované hodnoty, které se nedají použít.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
  2. Přejděte na Globální zabezpečený přístup>Connect>Vzdálené sítě.
  3. Vyberte tlačítko Vytvořit vzdálenou síť a na kartě Základy zadejte následující podrobnosti:
    • Název
    • Oblast

Snímek obrazovky základní karty pro vytvoření vzdálené sítě

  1. Na kartě Připojení vyberte Přidat odkaz.

  2. Na kartě Přidat odkaz – Obecné zadejte následující podrobnosti:

    • Název odkazu: Název vašeho zákaznického zařízení (CPE).
    • Typ zařízení: V rozevíracím seznamu zvolte možnost zařízení.
    • IP adresa zařízení: Veřejná IP adresa vašeho zařízení CPE (místní zařízení zákazníka).
    • Adresa protokolu BGP zařízení: Zadejte IP adresu protokolu BGP vašeho CPE.
      • Tato adresa se zadává jako místní IP adresa protokolu BGP v CPE.
    • ASN zařízení: Zadejte číslo autonomního systému (ASN) CPE.
      • Připojení povolené protokolem BGP mezi dvěma síťovými bránami vyžaduje, aby měly různé ASN.
      • Další informace najdete v části Platné ASN v článku Konfigurace vzdálené sítě.
    • Redundance: Pro tunel IPSec vyberte buď žádnou redundanci, nebo zónovou redundanci.
    • Místní adresa redundance zóny protokolu BGP: Toto volitelné pole se zobrazí jenom v případě, že vyberete redundanci zóny.
      • Zadejte IP adresu protokolu BGP, která není součástí vaší místní sítě, kde se nachází vaše cpe, a liší se od adresy BGP zařízení.
    • Kapacita šířky pásma (Mb/s):Zadejte šířku pásma tunelu. Dostupné možnosti jsou 250, 500, 750 a 1 000 Mb/s.
    • Místní adresa protokolu BGP: Zadejte IP adresu protokolu BGP, která není součástí vaší místní sítě, ve které se nachází vaše cpe.
      • Pokud je například vaše místní síť 10.1.0.0/16, můžete jako místní adresu BGP použít adresu 10.2.0.4.
      • Tato adresa se zadává jako IP adresa protokolu BGP na vašem partnerském peeru v CPE.
      • Projděte si platný seznam adres protokolu BGP pro rezervované hodnoty, které se nedají použít.

    Snímek obrazovky s odkazem Přidat – karta Obecné s příklady v jednotlivých polích

  3. Na kartě Přidat odkaz – Podrobnosti ponechte vybrané výchozí hodnoty, pokud jste předtím nevybrali jiný výběr a vyberte tlačítko Další.

  4. Na kartě Přidat odkaz – Zabezpečení zadejte předsdílený klíč (PSK) a vyberte tlačítko Uložit. Vrátíte se k hlavní sadě záložek Vytvořit vzdálenou síť.

  5. Na kartě Profily provozu vyberte příslušný profil přesměrování provozu.

  6. Vyberte tlačítko Zkontrolovat a vytvořit.

  7. Pokud všechno vypadá správně, vyberte tlačítko Vytvořit vzdálenou síť .

Zobrazení konfigurace připojení

Po vytvoření vzdálené sítě a přidání propojení zařízení jsou podrobnosti o konfiguraci k dispozici v Centru pro správu Microsoft Entra. K dokončení dalšího kroku potřebujete několik podrobností z této konfigurace.

  1. Přejděte ke Globálnímu zabezpečenému přístupu>Připojení>Vzdáleným sítím.

  2. V posledním sloupci vpravo v tabulce vyberte Zobrazit konfiguraci pro vzdálenou síť, kterou jste vytvořili. Konfigurace se zobrazí jako objekt blob JSON.

  3. Vyhledejte a uložte veřejnou IP adresu endpointasnMicrosoftu a bgpAddress v podokně, které se otevře.

    • Tyto podrobnosti slouží k nastavení připojení v dalším kroku.
    • Další informace o zobrazení těchto podrobností najdete v tématu Konfigurace místního vybavení zákazníka.

    Snímek obrazovky s konfiguračním panelem zobrazení

Následující diagram spojuje klíčové podrobnosti těchto podrobností konfigurace s jejich korekční rolí v simulované vzdálené síti. Textový popis diagramu se řídí obrázkem.

Diagram konfigurací vzdálené sítě a informace o tom, kde podrobnosti korelují se sítí

Střed diagramu znázorňuje skupinu prostředků, která obsahuje virtuální počítač připojený k virtuální síti. Brána virtuální sítě se pak připojí k bráně místní sítě prostřednictvím redundantního připojení VPN typu site-to-site.

Snímek obrazovky s podrobnostmi o připojení má zvýrazněné dva oddíly. První zvýrazněný oddíl v části localConfigurations obsahuje podrobnosti o bráně globálního zabezpečeného přístupu, což je brána místní sítě.

Brána místní sítě 1

  • Veřejná IP adresa/koncový bod: 120.x.x.76
  • ASN: 65476
  • IP adresa protokolu BGP/bgpAddress: 192.168.1.1

Brána místní sítě 2

  • Veřejná IP adresa/koncový bod: 4.x.x.193
  • ASN: 65476
  • IP adresa protokolu BGP/bgpAddress: 192.168.1.2

Druhá zvýrazněná část peerConfiguration obsahuje podrobnosti o bráně virtuální sítě, což je vaše lokální zařízení směrovače.

Brána virtuální sítě

  • Veřejná IP adresa/koncový bod: 20.x.x.1
  • ASN: 65533
  • IP adresa protokolu BGP/bgpAddress: 10.1.1.1

Další popisek odkazuje na virtuální síť, kterou jste vytvořili ve vaší skupině prostředků. Adresní prostor pro virtuální síť je 10.2.0.0/16. Místní BGP adresa a partnerská BGP adresa nesmí být ve stejném adresním prostoru.

Vytvoření brány místní sítě

Tento krok je dokončený na webu Azure Portal. K dokončení tohoto kroku je potřeba několik podrobností z předchozího kroku.

Pokud jste při vytváření propojení zařízení v Centru pro správu Microsoft Entra vybrali možnost Žádná redundance , musíte vytvořit pouze jednu bránu místní sítě.

Pokud jste vybrali zónovou redundanci, musíte vytvořit dvě brány místní sítě. Máte dvě sady endpoint, asn a bgpAddress ve localConfigurations pro propojení zařízení. Tyto informace jsou uvedeny v podrobnostech Zobrazení konfigurace pro danou vzdálenou síť v Centru pro správu Microsoft Entra.

  1. V portálu Azure přejděte k branám místní sítě.

  2. Vyberte Vytvořit.

  3. Vyberte skupinu prostředků vytvořenou dříve.

  4. Vyberte příslušnou oblast.

  5. Zadejte bránu místní sítě s názvem.

  6. V části Koncový bod vyberte IP adresu a pak zadejte endpoint IP adresu uvedenou v Centru pro správu Microsoft Entra.

  7. Vyberte Další: Upřesnit.

  8. Nastavte konfiguraci protokolu BGP na Ano.

  9. localConfigurations ).

  10. Zadejte IP adresu partnerského uzlu protokolu BGP v localConfigurations části Zobrazení podrobností konfigurace.

    Snímek obrazovky s poli ASN a BGP v procesu brány místní sítě

  11. Vyberte Zkontrolovat a vytvořit a potvrďte nastavení.

  12. Vyberte Vytvořit.

Pokud jste použili redundanci zóny, opakujte tyto kroky a vytvořte další bránu místní sítě s druhou sadou hodnot.

Přejděte do konfigurace a zkontrolujte podrobnosti o bráně místní sítě.

Snímek obrazovky webu Azure Portal znázorňující nastavení konfigurace pro bránu místní sítě

Vytvoření připojení VPN typu Site-to-Site (S2S)

Tento krok je dokončený na webu Azure Portal. Pokud jste vytvořili druhou bránu, musíte tady vytvořit dvě připojení, jedno pro primární a sekundární brány. V tomto kroku ponechte všechna nastavení nastavená na výchozí hodnotu, pokud není uvedeno.

  1. Na webu Azure Portal přejděte na Připojení.
  2. Vyberte Vytvořit.
  3. Vyberte skupinu prostředků vytvořenou dříve.
  4. V části Typ připojení vyberte Protokol IPsec (Site-to-Site).
  5. Zadejte název připojení a vyberte příslušnou oblast.
  6. Vyberte Další: Nastavení.
  7. Vyberte bránu virtuální sítě a dříve vytvořenou bránu místní sítě.
  8. Zadejte stejný sdílený klíč (PSK), který jste zadali při vytváření odkazu na zařízení v předchozím kroku.
  9. Zaškrtněte políčko Povolit protokol BGP.
  10. Vyberte Zkontrolovat a vytvořit. Potvrďte nastavení.
  11. Vyberte Vytvořit.

Opakováním těchto kroků vytvořte další připojení s druhou bránou místní sítě.

Snímek obrazovky webu Azure Portal znázorňující nastavení konfigurace připojení typu site-to-site

Ověření připojení

Pokud chcete ověřit připojení, musíte simulovat tok provozu. Jednou z metod je vytvoření virtuálního počítače pro zahájení provozu.

Simulace provozu s využitím virtuálního počítače

Tento krok vytvoří virtuální počítač a zahájí tok do služeb Microsoft. Ponechte všechna nastavení nastavená na výchozí hodnotu, pokud není uvedeno.

  1. Na webu Azure Portal přejděte na virtuální počítače.
  2. Vyberte Vytvořit>virtuální počítač Azure.
  3. Vyberte skupinu prostředků vytvořenou dříve.
  4. Zadejte název virtuálního počítače.
  5. Vyberte obrázek, který chcete použít, v tomto příkladu zvolíme Windows 11 Pro verze 22H2 – x64 Gen2.
  6. Vyberte Spustit s Azure Spot slevou pro tento test.
  7. Zadejte uživatelské jméno a heslo pro virtuální počítač.
  8. Ověřte, že máte oprávněnou licenci na Windows 10/11 s více tenanty hostování v dolní části stránky.
  9. Přejděte na záložku Síť
  10. Vyberte virtuální síť vytvořenou dříve.
  11. Přechod na kartu Správa
  12. Zaškrtněte políčko Login with Microsoft Entra ID.
  13. Vyberte Zkontrolovat a vytvořit. Potvrďte nastavení.
  14. Vyberte Vytvořit.

Můžete se rozhodnout uzamknout vzdálený přístup ke skupině zabezpečení sítě jenom na konkrétní síť nebo IP adresu.

Ověření stavu připojení

Po vytvoření vzdálených sítí a připojení v předchozích krocích může vytvoření připojení trvat několik minut. Na Azure portálu můžete ověřit, že je tunel VPN připojený a že navázání BGP je úspěšné.

  1. Na webu Azure Portal přejděte k bráně virtuální sítě, kterou jste vytvořili dříve, a vyberte Připojení.
  2. Po použití a úspěšném nasazení konfigurace by se u každého připojení měl zobrazit stavPřipojeno .
  3. V části Monitorování přejděte na partnerské vztahy protokolu BGP a ověřte, že partnerský vztah protokolu BGP je úspěšný. Hledejte partnerské adresy poskytované Microsoftem. Jakmile je konfigurace použita a úspěšně provedena, Status by měl ukazovat připojeno.

Snímek obrazovky znázorňující, jak najít stav připojení pro bránu virtuální sítě

Vytvořený virtuální počítač můžete použít k ověření toku provozu do služby Microsoft. Navigace k prostředkům v SharePointu nebo Exchange Online by měla mít za následek provoz na bráně virtuální sítě. Tento provoz můžete zobrazit tak, že přejdete na metriky brány virtuální sítě nebo nakonfigurujete zachytávání paketů pro brány VPN.

Tip

Pokud k testování Microsoft Entra Přístup k Internetu používáte tento článek, vyčistíte všechny související prostředky Azure odstraněním nové skupiny prostředků po dokončení.

Další kroky