Zelfstudie: Een VPN-gateway maken en beheren met behulp van Azure Portal
Deze zelfstudie helpt u bij het maken en beheren van een virtuele netwerkgateway (VPN-gateway) met behulp van Azure Portal. De VPN-gateway is een onderdeel van de verbindingsarchitectuur waarmee u veilig toegang krijgt tot resources binnen een virtueel netwerk met behulp van VPN Gateway.
- Aan de linkerkant van het diagram ziet u het virtuele netwerk en de VPN-gateway die u maakt met behulp van de stappen in dit artikel.
- U kunt later verschillende typen verbindingen toevoegen, zoals aan de rechterkant van het diagram wordt weergegeven. U kunt bijvoorbeeld site-naar-site- en punt-naar-site-verbindingen maken. Als u verschillende ontwerparchitecturen wilt bekijken die u kunt bouwen, raadpleegt u het vpn-gatewayontwerp.
Zie Over VPN Gateway-configuratie-instellingen voor meer informatie over de configuratie-instellingen die in deze zelfstudie worden gebruikt. Zie Wat is Azure VPN Gateway voor meer informatie over Azure VPN Gateway. Met deze stappen maakt u een zone-redundante zone-redundante gateway in de actieve modus. Als u in plaats daarvan een Basic SKU-gateway wilt maken, raadpleegt u Een Basic SKU VPN-gateway maken.
In deze zelfstudie leert u het volgende:
- Maak een virtueel netwerk.
- Maak een VPN-gateway in de actief-actieve modus.
- Bekijk het openbare IP-adres van de gateway.
- Het formaat van een VPN-gateway wijzigen (formaat van SKU wijzigen).
- Een VPN-gateway opnieuw instellen.
In de stappen in dit artikel wordt de gateway-SKU VpnGw2AZ gebruikt. Dit is een SKU die Ondersteuning biedt voor Azure-beschikbaarheidszones. Sommige regio's bieden geen ondersteuning voor beschikbaarheidszones. Als u wilt implementeren in een regio die verschilt van de voorbeeldwaarden in dit artikel, moet u ervoor zorgen dat beschikbaarheidszones voor die regio worden ondersteund. Als beschikbaarheidszones niet worden ondersteund, gebruikt u in plaats daarvan een niet-AZ-SKU. Zie Beschikbaarheidszoneservice en regionale ondersteuning voor meer informatie. Zie Over gateway-SKU's voor meer informatie over SKU's.
Vereisten
U hebt een Azure-account met een actief abonnement nodig. Als u dit niet hebt, kunt u er gratis een maken.
Een virtueel netwerk maken
Maak een virtueel netwerk met behulp van de volgende voorbeeldwaarden:
- Resourcegroep: TestRG1
- Naam: VNet1
- Regio: (VS) VS - oost (of regio van uw keuze)
- IPv4-adresruimte: 10.1.0.0/16
- Subnetnaam: gebruik de standaardnaam of geef een naam op. Voorbeeld: FrontEnd
- Subnetadresruimte: 10.1.0.0/24
Meld u aan bij het Azure-portaal.
Voer in Zoekbronnen, service en documenten (G+/) boven aan de portalpagina het virtuele netwerk in. Selecteer Virtueel netwerk in de zoekresultaten van Marketplace om de pagina Virtueel netwerk te openen.
Selecteer Maken op de pagina Virtueel netwerk om de pagina Virtueel netwerk maken te openen.
Configureer op het tabblad Basis de instellingen van het virtuele netwerk voor projectdetails en instantiedetails. U ziet een groen vinkje wanneer de waarden die u invoert, worden gevalideerd. U kunt de waarden in het voorbeeld aanpassen op basis van de instellingen die u nodig hebt.
- Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
- Resourcegroep: Selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
- Naam: geef de naam op voor het virtuele netwerk.
- Regio: Selecteer de locatie voor uw virtuele netwerk. De locatie bepaalt waar de resources die u in dit virtuele netwerk implementeert, zich bevinden.
Selecteer Volgende of Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden voor alle services op deze pagina staan.
Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .
IPv4-adresruimte: standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen om uw eigen waarden weer te geven. U kunt ook een andere adresruimte toevoegen en de standaardwaarde verwijderen die automatisch is gemaakt. U kunt bijvoorbeeld het beginadres opgeven als 10.1.0.0 en de adresruimtegrootte opgeven als /16. Selecteer Vervolgens Toevoegen om die adresruimte toe te voegen.
+ Subnet toevoegen: Als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, voegt u een nieuw subnet toe binnen die adresruimte. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onder aan de pagina om de waarden toe te voegen.
- Subnetnaam: U kunt de standaardnaam gebruiken of de naam opgeven. Voorbeeld: FrontEnd.
- Subnetadresbereik: Het adresbereik voor dit subnet. Voorbeelden zijn 10.1.0.0 en /24.
Controleer de pagina IP-adressen en verwijder eventuele adresruimten of subnetten die u niet nodig hebt.
Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.
Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.
Nadat u uw virtuele netwerk hebt gemaakt, kunt u desgewenst Azure DDoS Protection configureren. Beveiliging is eenvoudig in te stellen op een nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in de toepassing of resources. Zie Wat is Azure DDoS Protection? Voor meer informatie over Azure DDoS Protection.
Een gatewaysubnet maken
Voor de virtuele netwerkgateway is een specifiek subnet met de naam GatewaySubnet vereist. Het gatewaysubnet maakt deel uit van het IP-adresbereik voor uw virtuele netwerk en bevat de IP-adressen die door de resources en services van de virtuele netwerkgateway worden gebruikt. Geef een gatewaysubnet op dat /27 of groter is.
- Selecteer op de pagina voor uw virtuele netwerk in het linkerdeelvenster Subnetten om de pagina Subnetten te openen.
- Selecteer boven aan de pagina het subnet + Gateway om het deelvenster Subnet toevoegen te openen.
- De naam wordt automatisch ingevoerd als GatewaySubnet. Pas indien nodig de waarde van het IP-adresbereik aan. Een voorbeeld is 10.1.255.0/27.
- Pas de andere waarden op de pagina niet aan. Selecteer Opslaan onder aan de pagina om het subnet op te slaan.
Belangrijk
Netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Raadpleeg voor meer informatie over netwerkbeveiligingsgroepen Wat is een netwerkbeveiligingsgroep?
Een VPN-gateway maken
In deze sectie maakt u de virtuele netwerkgateway (VPN-gateway) voor uw virtuele netwerk. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.
Maak een gateway met de volgende waarden:
- Naam: VNet1GW
- Gatewaytype: VPN
- SKU: VpnGw2AZ
- Generatie: Generatie 2
- Virtueel netwerk: VNet1
- Adresbereik van gatewaysubnet: 10.1.255.0/27
- Openbaar IP-adres: nieuwe maken
- Naam van openbaar IP-adres: VNet1GWpip1
- Openbare IP-adres-SKU: Standaard
- Toewijzing: Statisch
- Tweede openbare IP-adresnaam: VNet1GWpip2
Voer in Zoekbronnen, -services en -documenten (G+/) de gateway van het virtuele netwerk in. Zoek virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Gateway van het virtuele netwerk maken te openen.
Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.
Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.
Resourcegroep: Deze waarde wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.
Naam: Dit is de naam van het gatewayobject dat u maakt. Dit verschilt van het gatewaysubnet waarnaar gatewaybronnen worden geïmplementeerd.
Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.
Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.
SKU: Selecteer in de vervolgkeuzelijst een gateway-SKU die ondersteuning biedt voor de functies die u wilt gebruiken.
- U wordt aangeraden een SKU te selecteren die indien mogelijk eindigt op AZ. AZ-SKU's ondersteunen beschikbaarheidszones.
- De Basic-SKU is niet beschikbaar in de portal. Als u een Basic SKU-gateway wilt configureren, moet u PowerShell of CLI gebruiken.
Generatie: Selecteer Generation2 in de vervolgkeuzelijst.
Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het virtuele netwerk dat u wilt gebruiken niet ziet, controleert u of u het juiste abonnement en de juiste regio hebt geselecteerd in de vorige instellingen.
Gatewaysubnetadresbereik of subnet: het gatewaysubnet is vereist om een VPN-gateway te maken.
Dit veld kan momenteel verschillende instellingenopties weergeven, afhankelijk van de adresruimte van het virtuele netwerk en of u al een subnet met de naam GatewaySubnet voor uw virtuele netwerk hebt gemaakt.
Als u geen gatewaysubnet hebt en u geen optie ziet om er een te maken op deze pagina, gaat u terug naar uw virtuele netwerk en maakt u het gatewaysubnet. Ga vervolgens terug naar deze pagina en configureer de VPN-gateway.
Geef de waarden op voor het openbare IP-adres. Met deze instellingen geeft u de openbare IP-adresobjecten op die worden gekoppeld aan de VPN-gateway. Er wordt een openbaar IP-adres toegewezen aan elk openbaar IP-adresobject wanneer de VPN-gateway wordt gemaakt. De enige keer dat het toegewezen openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. IP-adressen veranderen niet bij het wijzigen van de grootte, het opnieuw instellen of andere interne onderhoud/upgrades van uw VPN-gateway.
Type openbaar IP-adres: Als deze optie wordt weergegeven, selecteert u Standard.
Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd voor standard-SKU.
Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd en moet statisch zijn.
Beschikbaarheidszone: deze instelling is beschikbaar voor AZ-gateway-SKU's in regio's die beschikbaarheidszones ondersteunen. Selecteer Zone-redundant, tenzij u weet dat u een zone wilt opgeven.
Actief-actiefmodus inschakelen: u wordt aangeraden Ingeschakeld te selecteren om te profiteren van de voordelen van een gateway in de actief-actieve modus. Als u van plan bent om deze gateway te gebruiken voor een site-naar-site-verbinding, moet u rekening houden met het volgende:
- Controleer het actief-actieve ontwerp dat u wilt gebruiken. Verbindingen met uw on-premises VPN-apparaat moeten specifiek worden geconfigureerd om te kunnen profiteren van de actief-actiefmodus.
- Sommige VPN-apparaten bieden geen ondersteuning voor de modus Actief-actief. Als u het niet zeker weet, neem dan contact op met de leverancier van uw VPN-apparaat. Als u een VPN-apparaat gebruikt dat de modus Actief-actief niet ondersteunt, kunt u Uitgeschakeld selecteren voor deze instelling.
Tweede openbaar IP-adres: Selecteer Nieuw maken. Dit is alleen beschikbaar als u Ingeschakeld hebt geselecteerd voor de instelling Actief-actief-modus inschakelen.
Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd voor standard-SKU.
Beschikbaarheidszone: Selecteer Zone-redundant, tenzij u weet dat u een zone wilt opgeven.
BGP configureren: Selecteer Uitgeschakeld, tenzij deze instelling specifiek is vereist voor uw configuratie. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.
Key Vault-toegang inschakelen: Selecteer Uitgeschakeld, tenzij deze instelling specifiek is vereist voor uw configuratie.
Selecteer Beoordelen en maken om de validatie uit te voeren.
Nadat de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.
Het kan 45 minuten of langer duren voordat een gateway volledig is gemaakt en geïmplementeerd. U kunt de implementatiestatus zien op de pagina Overzicht voor uw gateway. Nadat de gateway is gemaakt, kunt u het IP-adres bekijken dat eraan is toegewezen door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.
Openbaar IP-adres weergeven
Als u openbare IP-adressen wilt weergeven die zijn gekoppeld aan uw virtuele netwerkgateway, gaat u naar uw gateway in de portal.
- Open op de portalpagina voor uw virtuele netwerkgateway onder Instellingen de pagina Eigenschappen .
- Klik op de gekoppelde IP-adreskoppeling voor meer informatie over het IP-adresobject.
Het formaat van een gateway-SKU wijzigen
Er zijn specifieke regels voor het wijzigen van de grootte en het wijzigen van een gateway-SKU. In deze sectie wijzigt u het formaat van de SKU. Zie Het formaat van gateway-SKU's wijzigen of het formaat ervan wijzigen voor meer informatie.
De basisstappen zijn:
- Ga naar de pagina Configuratie voor uw virtuele netwerkgateway.
- Selecteer aan de rechterkant van de pagina de vervolgkeuzepijl om een lijst met beschikbare SKU's weer te geven. U ziet dat de lijst alleen SKU's vult die u kunt gebruiken om het formaat van uw huidige SKU te wijzigen. Als u de SKU die u wilt gebruiken niet ziet in plaats van het formaat te wijzigen, moet u overschakelen naar een nieuwe SKU.
- Selecteer de SKU in de vervolgkeuzelijst en sla uw wijzigingen op.
Een gateway opnieuw instellen
Gatewayresets gedragen zich anders, afhankelijk van uw gatewayconfiguratie. Zie Een VPN-gateway of een verbinding opnieuw instellen voor meer informatie.
De basisstappen zijn:
- Ga in de portal naar de virtueel netwerkgateway die u opnieuw wilt instellen.
- Schuif in het linkerdeelvenster op de gatewaypagina van het virtuele netwerk naar Help -> Opnieuw instellen.
- Selecteer Opnieuw instellen op de pagina Opnieuw instellen. Nadat de opdracht is uitgegeven, wordt het huidige actieve exemplaar van de Azure VPN-gateway onmiddellijk opnieuw opgestart. Het opnieuw instellen van de gateway veroorzaakt een hiaat in VPN-connectiviteit en kan de analyse van de hoofdoorzaak van het probleem beperken.
Resources opschonen
Als u deze toepassing niet meer gaat gebruiken of naar de volgende zelfstudie gaat, verwijdert u deze resources.
- Voer de naam van uw resourcegroep in het vak Zoeken bovenaan de portal in en selecteer het in de zoekresultaten.
- Selecteer Resourcegroep verwijderen.
- Voer uw resourcegroep in voor TYP DE NAAM VAN DE RESOURCEGROEP en selecteer Verwijderen.
Volgende stappen
Nadat u een VPN-gateway hebt gemaakt, kunt u meer gatewayinstellingen en -verbindingen configureren. De volgende artikelen helpen u bij het maken van een aantal van de meest voorkomende configuraties: