Een VPN-gateway maken met CLI

Dit artikel helpt u bij het maken van een Azure VPN-gateway met behulp van Azure CLI. Een VPN-gateway wordt gebruikt bij het maken van een VPN-verbinding met uw on-premises netwerk. U kunt ook een VPN-gateway gebruiken om virtuele netwerken te verbinden. Zie Een VPN-gateway maken - portal voor uitgebreidere informatie over een aantal instellingen in dit artikel.

• Aan de linkerkant van het diagram ziet u het virtuele netwerk en de VPN-gateway die u maakt met behulp van de stappen in dit artikel.
• U kunt later verschillende typen verbindingen toevoegen, zoals aan de rechterkant van het diagram wordt weergegeven. U kunt bijvoorbeeld site-naar-site- en punt-naar-site-verbindingen maken. Als u verschillende ontwerparchitecturen wilt bekijken die u kunt bouwen, raadpleegt u het vpn-gatewayontwerp.

Met de stappen in dit artikel maakt u een virtueel netwerk, een subnet, een gatewaysubnet en een op route gebaseerde, zoneredundante, actief-actieve-modus VPN-gateway (virtuele netwerkgateway) met behulp van de vpnGw2AZ-SKU van de tweede generatie. Met de stappen in dit artikel maakt u een virtueel netwerk, een subnet, een gatewaysubnet en een op route gebaseerde, zoneredundante, actief-actieve-modus VPN-gateway (virtuele netwerkgateway) met behulp van de vpnGw2AZ-SKU van de tweede generatie. Zodra de gateway is gemaakt, kunt u verbindingen configureren.

• Als u in plaats daarvan een VPN-gateway wilt maken met behulp van de Basic-SKU , raadpleegt u Een Basic SKU VPN-gateway maken.
• U wordt aangeraden indien mogelijk een VPN-gateway voor de actieve-actieve modus te maken. VPN-gateways in de actieve modus bieden betere beschikbaarheid en prestaties dan VPN-gateways in de standaardmodus. Zie Voor meer informatie over actief-actief-gateways de gateways in de modus Actief-actief.
• Zie Wat zijn beschikbaarheidszones en zone-redundante gateways voor informatie over beschikbaarheidszones en zone-redundante gateways?

Notitie

In de stappen in dit artikel wordt de gateway-SKU VpnGw2AZ gebruikt. Dit is een SKU die Ondersteuning biedt voor Azure-beschikbaarheidszones. Als beschikbaarheidszones niet worden ondersteund voor uw regio, gebruikt u in plaats daarvan een niet-AZ-SKU. Zie Over gateway-SKU's voor meer informatie over SKU's.

Voordat u begint

Voor deze stappen is een Azure-abonnement vereist. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor dit artikel is versie 2.0.4 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.

Een brongroep maken

Maak een resourcegroep met de opdracht az group create. Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

az group create --name TestRG1 --location eastus

Een virtueel netwerk maken

Als u nog geen virtueel netwerk hebt, kunt u er een maken met de opdracht az network vnet create. Wanneer u een virtueel netwerk maakt, moet u ervoor zorgen dat de adresruimten die u opgeeft, geen van de adresruimten overlappen die u in uw on-premises netwerk hebt. Als er een dubbel adresbereik aan beide zijden van de VPN-verbinding bestaat, wordt verkeer niet gerouteerd zoals verwacht. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, kan de adresruimte bovendien niet overlappen met een ander virtueel netwerk. Plan daarom uw netwerkconfiguratie zorgvuldig.

In het volgende voorbeeld wordt een virtueel netwerk gemaakt met de naam VNet1 en een subnet, FrontEnd. Het FrontEnd-subnet wordt niet gebruikt in deze oefening. U kunt uw eigen subnetnaam vervangen.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Een gatewaysubnet toevoegen

Gateway-resources voor virtuele netwerken worden geïmplementeerd in een specifiek subnet met de naam GatewaySubnet. Het gatewaysubnet maakt deel uit van het IP-adresbereik van het virtuele netwerk dat u opgeeft wanneer u uw virtuele netwerk configureert.

Als u geen subnet met de naam GatewaySubnet hebt, mislukt dit wanneer u uw VPN-gateway maakt. U wordt aangeraden een gatewaysubnet te maken dat gebruikmaakt van een /27 (of groter). Bijvoorbeeld /27 of /26. Zie VPN Gateway-instellingen - Gatewaysubnet voor meer informatie.

Belangrijk

Netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Raadpleeg voor meer informatie over netwerkbeveiligingsgroepen Wat is een netwerkbeveiligingsgroep?

Gebruik het volgende voorbeeld om een gatewaysubnet toe te voegen:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Openbare IP-adressen aanvragen

Een VPN-gateway moet een openbaar IP-adres hebben. Wanneer u een verbinding met een VPN-gateway maakt, is dit het IP-adres dat u opgeeft. Voor gateways in de actieve modus heeft elk gateway-exemplaar een eigen openbare IP-adresresource. U vraagt eerst de resource van het IP-adres aan en verwijst hier vervolgens naar bij het maken van uw virtuele netwerkgateway. Daarnaast moet u voor elke gateway-SKU die eindigt op AZ ook de zone-instelling opgeven. In dit voorbeeld wordt een zone-redundante configuratie opgegeven omdat hiermee alle drie de regionale zones worden opgegeven.

Het IP-adres wordt toegewezen aan de resource wanneer de VPN-gateway wordt gemaakt. De enige keer dat het openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

Gebruik de opdracht az network public-ip create om een openbaar IP-adres aan te vragen:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Als u een actief-actief-gateway wilt maken (aanbevolen), vraagt u een tweede openbaar IP-adres aan:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

De VPN-gateway maken

Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Zodra de gateway is gemaakt, kunt u verbinding maken tussen uw virtuele netwerk en uw on-premises locatie. Of maak een verbinding tussen uw virtuele netwerk en een ander virtueel netwerk.

Maak de VPN Gateway met behulp van de opdracht az network vnet-gateway create. Als u deze opdracht uitvoert met behulp van de --no-wait parameter, ziet u geen feedback of uitvoer. Met --no-wait de parameter kan de gateway op de achtergrond worden gemaakt. Dit betekent niet dat de VPN-gateway onmiddellijk wordt gemaakt. Als u een gateway wilt maken met een andere SKU, raadpleegt u Over gateway-SKU's om de SKU te bepalen die het beste past bij uw configuratievereisten.

Gateway actief-actief-modus

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway in de modus Actief-stand-by

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Het maken van een VPN-gateway kan tot 45 minuten of langer duren.

De VPN-gateway weergeven

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

IP-adressen van gateway weergeven

Aan elk VPN Gateway-exemplaar wordt een openbare IP-adresresource toegewezen. Gebruik de volgende opdracht om het IP-adres weer te geven dat aan de resource is gekoppeld. Herhaal dit voor elk gateway-exemplaar.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Resources opschonen

Wanneer u de resources die u hebt gemaakt niet meer nodig hebt, gebruikt u az group delete om de resourcegroep te verwijderen. Hiermee verwijdert u de resourcegroep en alle resources die deze bevat.

az group delete --name TestRG1 --yes

Volgende stappen

Zodra de gateway is gemaakt, kunt u verbindingen configureren.

• Een site-naar-site-verbinding maken
• Een verbinding maken met een ander virtueel netwerk
• Een punt-naar-site-verbinding maken