Een VPN-gatewayverbinding tussen VNets configureren met behulp van Azure CLI

Dit artikel helpt u om virtuele netwerken te verbinden met behulp van het verbindingstype VNet-naar-VNet. De virtuele netwerken kunnen zich in dezelfde of verschillende regio's bevinden en tot dezelfde of verschillende abonnementen behoren. Wanneer u VNets van verschillende abonnementen verbindt, hoeven de abonnementen niet aan dezelfde tenant te worden gekoppeld.

In deze oefening maakt u de vereiste virtuele netwerken (VNets) en VPN-gateways. We hebben stappen om VNets in hetzelfde abonnement te verbinden, evenals stappen en opdrachten voor het gecompliceerdere scenario om VNets in verschillende abonnementen te verbinden.

De Azure CLI-opdracht voor het maken van een verbinding is az network vpn-connection. Als u VNets van verschillende abonnementen verbindt, gebruikt u de stappen in dit artikel of in het PowerShell-artikel . Als u al VNets hebt die u wilt verbinden en ze zich in hetzelfde abonnement bevinden, kunt u in plaats daarvan de Stappen van Azure Portal gebruiken omdat het proces minder ingewikkeld is. Houd er rekening mee dat u geen verbinding kunt maken tussen VNets van verschillende abonnementen met behulp van Azure Portal.

Over het verbinden van VNet's

Er zijn meerdere manieren om VNet's te koppelen. In de volgende secties worden verschillende manieren beschreven om virtuele netwerken te verbinden.

VNet-naar-VNet

Het configureren van een VNet-naar-VNet-verbinding is een goede manier om VNet's te koppelen. Het verbinden van een virtueel netwerk met een ander virtueel netwerk met behulp van het VNet-naar-VNet-verbindingstype is vergelijkbaar met het maken van een site-naar-site-IPsec-verbinding naar een on-premises locatie. Voor beide verbindingstypen wordt een VPN-gateway gebruikt om een beveiligde tunnel met IPsec/IKE te bieden en beide typen werken tijdens het communiceren op dezelfde manier. Het verschil tussen de verbindingstypen is de manier waarop de lokale netwerkgateway is geconfigureerd. Wanneer u een VNet-naar-VNet-verbinding maakt, ziet u de adresruimte van de lokale netwerkgateway niet. Deze wordt automatisch gemaakt en ingevuld. Wanneer u de adresruimte voor een VNet bijwerkt, is de route naar de bijgewerkte adresruimte automatisch bekend voor het andere VNet. Het maken van een VNet-naar-VNet-verbinding is doorgaans sneller en eenvoudiger dan het maken van een site-naar-site-verbinding tussen VNets, maar biedt niet hetzelfde flexibiliteitsniveau als u een andere verbinding wilt toevoegen, omdat de adresruimte van de lokale netwerkgateway niet beschikbaar is om handmatig te wijzigen.

Stappen voor het koppelen van VNet's via site-naar-site (IPsec)

Als u met een gecompliceerde netwerkconfiguratie werkt, kunt u uw VNets beter verbinden met behulp van de site-naar-site-stappen in plaats van de VNet-naar-VNet-stappen. Als u de stappen voor site-naar-site gebruikt, maakt en configureert u de lokale netwerkgateways handmatig. De lokale netwerkgateway voor elke VNet behandelt de andere VNet als een lokale site. Hiermee kunt u extra adresruimten opgeven voor de lokale netwerkgateway om verkeer te routeren. Als de adresruimte voor een VNet wordt gewijzigd, moet u de bijbehorende lokale netwerkgateway handmatig bijwerken om de wijziging door te voeren. Het wordt niet automatisch bijgewerkt.

VNet-peering

U kunt overwegen uw VNets te verbinden met behulp van VNet-peering. Bij VNET-peering wordt geen VPN-gateway gebruikt en er gelden diverse beperkingen voor. Bovendien worden de prijzen voor VNET-peering anders berekend dan voor VNet-naar-VNet-VPN Gateway. Zie het artikel VNet-peering voor meer informatie.

Waarom een VNet-met-VNet-verbinding maken?

Mogelijk wilt u virtuele netwerken verbinden met behulp van een VNet-naar-VNet-verbinding om de volgende redenen:

• Geografische redundantie en aanwezigheid tussen regio's

  • U kunt uw eigen geo-replicatie of synchronisatie met beveiligde connectiviteit instellen zonder gebruik te maken van internetgerichte eindpunten.
  • Met Azure Traffic Manager en Load Balancer kunt u workloads met maximale beschikbaarheid instellen met behulp van geografische redundantie over meerdere Azure-regio's. Een belangrijk voorbeeld hiervan is het instellen van SQL Always On met beschikbaarheidsgroepen verspreid over meerdere Azure-regio's.

• Regionale toepassingen met meerdere lagen met isolatie- of beheergrenzen

  • Binnen dezelfde regio kunt u vanwege isolatie- of beheervereisten toepassingen met meerdere lagen instellen met meerdere virtuele netwerken die met elkaar zijn verbonden.

VNet-naar-VNet-communicatie kan worden gecombineerd met configuraties voor meerdere locaties. Zo kunt u netwerktopologieën maken waarin cross-premises connectiviteit is gecombineerd met connectiviteit tussen virtuele netwerken.

Welke stappen voor VNet-naar-VNet moet ik gebruiken?

In dit artikel ziet u twee verschillende reeksen stappen voor een VNet-naar-VNet-verbinding. Eén reeks stappen voor VNet's die onderdeel uitmaken van hetzelfde abonnement en één reeks voor VNet's die onderdeel uitmaken van verschillende abonnementen.

Voor deze oefening kunt u configuraties combineren of alleen de configuratie kiezen waarmee u wilt werken. Alle configuraties maken gebruik van het verbindingstype VNet-naar-VNet. Netwerkverkeer verloopt tussen de VNet's die rechtstreeks met elkaar zijn verbonden.

• VNets die zich in hetzelfde abonnement bevinden

• VNets die zich in verschillende abonnementen bevinden

VNets verbinden die tot hetzelfde abonnement behoren

Voordat u begint

Installeer eerst de meest recente versie van de CLI-opdrachten (2.0 of hoger). Zie Azure CLI 2.0 installeren voor meer informatie over het installeren van de CLI-opdrachten.

De IP-adresbereiken plannen

In de volgende stappen maakt u twee virtuele netwerken en de bijbehorende gatewaysubnetten en configuraties. Vervolgens maakt u een VPN-verbinding tussen de twee VNet's. Het is belangrijk dat u de IP-adresbereiken voor uw netwerkconfiguratie plant. De VNet-bereiken of de bereiken van het lokale netwerk mogen elkaar niet overlappen. In deze voorbeelden bevatten we geen DNS-server. Zie Naamomzetting als u naamomzetting voor uw virtuele netwerken wilt.

In de voorbeelden worden de volgende waarden gebruikt:

Waarden voor TestVNet1:

• VNet-naam: TestVNet1
• Resourcegroep: TestRG1
• Locatie: VS - oost
• TestVNet1: 10.11.0.0/16 en 10.12.0.0/16
• FrontEnd: 10.11.0.0/24
• BackEnd: 10.12.0.0/24
• GatewaySubnet: 10.12.255.0/27
• GatewayName: VNet1GW
• Openbare IP: VNet1GWIP
• VPNType: op route gebaseerd
• Connection(1to4): VNet1toVNet4
• Connection(1to5): VNet1toVNet5 (voor VNets in verschillende abonnementen)

Waarden voor TestVNet4:

• VNet-naam: TestVNet4
• TestVNet2: 10.41.0.0/16 & 10.42.0.0/16
• FrontEnd: 10.41.0.0/24
• BackEnd: 10.42.0.0/24
• GatewaySubnet: 10.42.255.0/27
• Resourcegroep: TestRG4
• Locatie: VS - west
• GatewayName: VNet4GW
• Openbare IP: VNet4GWIP
• VPN-type: RouteBased
• Verbinding: VNet4toVNet1

Stap 1: verbinding maken met uw abonnement

Als u de Azure CLI lokaal wilt gebruiken (in plaats van Azure CloudShell te gebruiken), gebruikt u de volgende stappen om verbinding te maken met uw Azure-abonnement. Als u CloudShell gebruikt, gaat u verder met de volgende sectie.

1. Meld u aan bij uw Azure-abonnement met de opdracht az login en volg de instructies op het scherm. Zie Aan de slag met Azure CLI voor meer informatie over aanmelden.

   az login
   

2. Als u meer dan één Azure-abonnement hebt, worden alle abonnementen voor het account weergegeven.

   az account list --all
   

3. Geef het abonnement op dat u wilt gebruiken.

   az account set --subscription <replace_with_your_subscription_id>
   

Stap 2: TestVNet1 maken en configureren

1. Maak een resourcegroep.

   az group create -n TestRG1  -l eastus
   

2. Maak TestVNet1 en de subnetten voor TestVNet1 met behulp van de opdracht az network vnet create . In dit voorbeeld worden een virtueel netwerk met de naam TestVNet1 en een subnet met de naam FrontEnd gemaakt.

   az network vnet create \
     -n TestVNet1 \
     -g TestRG1 \
     -l eastus \
     --address-prefix 10.11.0.0/16 \
     --subnet-name Frontend \
     --subnet-prefix 10.11.0.0/24
   

3. Maak een extra adresruimte voor het back-endsubnet. In deze stap hebben we zowel de adresruimte opgegeven die we eerder hebben gemaakt als de extra adresruimte die we willen toevoegen. Dit komt doordat de opdracht az network vnet update de vorige instellingen overschrijft. Zorg ervoor dat u alle adresvoorvoegsels opgeeft wanneer u deze opdracht gebruikt.

   az network vnet update \
      -n TestVNet1 \
      --address-prefixes 10.11.0.0/16 10.12.0.0/16 \
      -g TestRG1
   

4. Maak het back-endsubnet.

   az network vnet subnet create \
      --vnet-name TestVNet1 \
      -n BackEnd \
      -g TestRG1 \
      --address-prefix 10.12.0.0/24
   

5. Maak het gatewaysubnet. Het gatewaysubnet heet GatewaySubnet. Deze naam is verplicht. In dit voorbeeld maakt het gatewaysubnet gebruik van een /27. Hoewel het mogelijk is om een gatewaysubnet zo klein als /29 te maken, raden we u aan een groter subnet te maken dat meer adressen bevat door ten minste /28 of /27 te selecteren. Hierdoor kunnen er voldoende adressen worden gebruikt voor mogelijke aanvullende configuraties die u in de toekomst mogelijk wilt hebben.

   az network vnet subnet create \
      --vnet-name TestVNet1 \
      -n GatewaySubnet \
      -g TestRG1 \
      --address-prefix 10.12.255.0/27
   

6. Een VPN-gateway moet een openbaar IP-adres hebben. Het openbare IP-adres wordt toegewezen aan de VPN-gateway die u voor uw virtuele netwerk maakt. Gebruik het volgende voorbeeld om een openbaar IP-adres aan te vragen met behulp van de opdracht az network public-ip create :

   az network public-ip create \
    -g TestRG1 \
    -n VNet1GWIP1 \
    --sku Standard \
    --allocation-method Static \
    --l eastus
   

7. Maak de virtuele netwerkgateway voor TestVNet1 met behulp van de opdracht az network vnet-gateway create . Als u deze opdracht uitvoert met de parameter --no-wait, ziet u geen feedback of uitvoer. De parameter "--no-wait" zorgt ervoor dat de gateway op de achtergrond wordt gemaakt. Het betekent niet dat de VPN-gateway onmiddellijk is gemaakt. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de gateway-SKU die u gebruikt.

   az network vnet-gateway create \
     --name VNet1GW \
     --public-ip-address VNet1GWIP \
     --resource-group TestRG1 \
     --vnet TestVNet1 \
     --gateway-type Vpn \
     --sku VpnGw2 \
     --vpn-gateway-generation Generation2 \
     --no-wait
   

Stap 3: TestVNet4 maken en configureren

1. Maak een resourcegroep.

   az group create -n TestRG4 -l westus
   

2. Maak TestVNet4.

   az network vnet create \
     -n TestVNet4 \
     -g TestRG4 \
     -l westus \
     --address-prefix 10.41.0.0/16 \
     --subnet-name Frontend \
     --subnet-prefix 10.41.0.0/24
   

3. Extra subnetten voor TestVNet4 maken.

   az network vnet update \
      -n TestVNet4 \
      --address-prefixes 10.41.0.0/16 10.42.0.0/16 \
      -g TestRG4 \
   

   az network vnet subnet create \
      --vnet-name TestVNet4 \
      -n BackEnd \
      -g TestRG4 \
      --address-prefix 10.42.0.0/24 
   

4. Maak het gatewaysubnet.

   az network vnet subnet create \
     --vnet-name TestVNet4 \
     -n GatewaySubnet \
     -g TestRG4 \
     --address-prefix 10.42.255.0/27 
   

5. Vraag een openbaar IP-adres aan.

   az network public-ip create \
    -g TestRG4 \
    --n VNet4GWIP \
    --sku Standard \
    --allocation-method Static \
    --l westus
   

6. Maak de gateway van het virtuele TestVNet4-netwerk.

   az network vnet-gateway create \
     -n VNet4GW \
     -l westus \
     --public-ip-address VNet4GWIP \
     -g TestRG4 \
     --vnet TestVNet4 \
     --gateway-type Vpn \
     --sku VpnGw2 \
     --vpn-gateway-generation Generation2 \
     --no-wait
   

Stap 4: de verbindingen maken

U hebt nu twee VNets met VPN-gateways. De volgende stap is het maken van VPN-gatewayverbindingen tussen de gateways voor de virtuele netwerken. Als u de voorgaande voorbeelden hebt gebruikt, bevinden uw VNet-gateways zich in verschillende resourcegroepen. Wanneer de gateways zich in verschillende resourcegroepen bevinden, moet u de resource-id's voor elke gateway bepalen en opgeven wanneer u een verbinding maakt. Als uw VNets zich in dezelfde resourcegroep bevinden, kunt u de tweede set instructies gebruiken omdat u de resource-id's niet hoeft op te geven.

VNets verbinden die zich in verschillende resourcegroepen bevinden

1. U kunt de resource-id van VNet1GW in de uitvoer van de volgende opdracht vinden:

   az network vnet-gateway show -n VNet1GW -g TestRG1
   

   Zoek de "id:" regel in de uitvoer. De waarden binnen de aanhalingstekens zijn nodig voor het maken van de verbinding in de volgende sectie. Kopieer deze waarden naar een teksteditor zoals Kladblok, zodat u ze gemakkelijk kunt plakken wanneer u verbinding maakt.

   Voorbeelduitvoer:

   "activeActive": false, 
   "bgpSettings": { 
    "asn": 65515, 
    "bgpPeeringAddress": "10.12.255.30", 
    "peerWeight": 0 
   }, 
   "enableBgp": false, 
   "etag": "W/\"ecb42bc5-c176-44e1-802f-b0ce2962ac04\"", 
   "gatewayDefaultSite": null, 
   "gatewayType": "Vpn", 
   "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW", 
   "ipConfigurations":
   

   Kopieer de waarden na "id": de aanhalingstekens.

   "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
   

2. Haal de resource-id van VNet4GW op en kopieer de waarden naar een teksteditor.

   az network vnet-gateway show -n VNet4GW -g TestRG4
   

3. Maak de verbinding tussen TestVNet1 en TestVNet4. In deze stap maakt u de verbinding van TestVNet1 naar TestVNet4. In de voorbeelden wordt naar een gedeelde sleutel verwezen. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken. Het belangrijkste is dat de gedeelde sleutel voor beide verbindingen moet overeenkomen. Het kan even duren voordat de verbinding tot stand is gebracht.

   az network vpn-connection create \
      -n VNet1ToVNet4 \
      -g TestRG1 \
      --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW \
      -l eastus \
      --shared-key "aabbcc" \
      --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW 
   

4. Maak de verbinding tussen TestVNet4 en TestVNet1. Deze stap is vergelijkbaar met de vorige stap, behalve dat u de verbinding maakt van TestVNet4 naar TestVNet1. Zorg dat de gedeelde sleutels overeenkomen. Het duurt enkele minuten om de verbinding tot stand te brengen.

   az network vpn-connection create \
      -n VNet4ToVNet1 \
      -g TestRG4 \
      --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW \
      -l westus \
      --shared-key "aabbcc" \
      --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
   

5. Controleer uw verbindingen. Zie De verbinding controleren.

VNets verbinden die zich in dezelfde resourcegroep bevinden

1. Maak de verbinding tussen TestVNet1 en TestVNet4. In deze stap maakt u de verbinding van TestVNet1 naar TestVNet4. De resourcegroepen in de voorbeelden zijn hetzelfde. Er wordt in de voorbeelden naar een gedeelde sleutel verwezen. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken, maar de gedeelde sleutel moet voor beide verbindingen hetzelfde zijn. Het kan even duren voordat de verbinding tot stand is gebracht.

   az network vpn-connection create \
      -n VNet1ToVNet4 \
      -g TestRG1 \
      --vnet-gateway1 VNet1GW \
      -l eastus \
      --shared-key "eeffgg" \
      --vnet-gateway2 VNet4GW
   

2. Maak de verbinding tussen TestVNet4 en TestVNet1. Deze stap is vergelijkbaar met de vorige stap, behalve dat u de verbinding maakt van TestVNet4 naar TestVNet1. Zorg dat de gedeelde sleutels overeenkomen. Het duurt enkele minuten om de verbinding tot stand te brengen.

   az network vpn-connection create \
      -n VNet4ToVNet1 \
      -g TestRG1 \
      --vnet-gateway1 VNet4GW \
      -l eastus \
      --shared-key "eeffgg" \
      --vnet-gateway2 VNet1GW
   

3. Controleer uw verbindingen. Zie De verbinding controleren.

VNets verbinden die tot verschillende abonnement behoren

In dit scenario verbindt u TestVNet1 met TestVNet5. De VNets behoren tot verschillende abonnementen. De abonnementen hoeven niet aan dezelfde tenant te zijn gekoppeld. Met de stappen voor deze configuratie voegt u nog een VNet-naar-VNet-verbinding toe om TestVNet1 te verbinden met TestVNet5.

Stap 5: TestVNet1 maken en configureren

Deze instructies gaan verder na de stappen in de voorgaande secties. U moet Stap 1 en Stap 2 uitvoeren om TestVNet1 en de VPN-gateway voor TestVNet1 te maken en te configureren. Voor deze configuratie hoeft u TestVNet4 niet te maken vanuit de vorige sectie, maar als u deze wel maakt, is het niet strijdig met deze stappen: verkeer van TestVNet4 routeert niet naar TestVNet5. Zodra u stap 1 en stap 2 hebt voltooid, gaat u verder met stap 6.

Stap 6: de IP-adresbereiken controleren

Bij het maken van extra verbindingen is het belangrijk om te controleren of de IP-adresruimte van het nieuwe virtuele netwerk niet overlapt met een van uw andere VNet-bereiken of lokale netwerkgatewaybereiken. Voor deze oefening kunt u de volgende waarden voor TestVNet5 gebruiken:

Waarden voor TestVNet5:

• VNet-naam: TestVNet5
• Resourcegroep: TestRG5
• Locatie: Japan - oost
• TestVNet5: 10.51.0.0/16 & 10.52.0.0/16
• FrontEnd: 10.51.0.0/24
• BackEnd: 10.52.0.0/24
• GatewaySubnet: 10.52.255.0/27
• GatewayName: VNet5GW
• Openbare IP: VNet5GWIP
• VPN-type: RouteBased
• Verbinding: VNet5toVNet1
• ConnectionType: VNet2VNet

Stap 7: TestVNet5 maken en configureren

Deze stap moet worden uitgevoerd in de context van het nieuwe abonnement, abonnement 5. Dit onderdeel kan worden uitgevoerd door de beheerder in een andere organisatie die eigenaar is van het abonnement. Als u wilt schakelen tussen abonnementen az account list --all om de abonnementen weer te geven die beschikbaar zijn voor uw account, gebruikt az account set --subscription <subscriptionID> u vervolgens om over te schakelen naar het abonnement dat u wilt gebruiken.

1. Zorg ervoor dat u bent verbonden met abonnement 5 en maak vervolgens een resourcegroep.

   az group create -n TestRG5  -l japaneast
   

2. Maak TestVNet5.

   az network vnet create \
      -n TestVNet5 \
      -g TestRG5 \
      --address-prefix 10.51.0.0/16 \
      -l japaneast \
      --subnet-name FrontEnd \
      --subnet-prefix 10.51.0.0/24
   

3. Voeg subnetten toe.

   az network vnet update \
      -n TestVNet5 \
      --address-prefixes 10.51.0.0/16 10.52.0.0/16 \
      -g TestRG5 \
   

   az network vnet subnet create \
      --vnet-name TestVNet5 \
      -n BackEnd \
      -g TestRG5 \
      --address-prefix 10.52.0.0/24
   

4. Voeg het gatewaysubnet toe.

   az network vnet subnet create \
      --vnet-name TestVNet5 \
      -n GatewaySubnet \
      -g TestRG5 \
      --address-prefix 10.52.255.0/27
   

5. Vraag een openbaar IP-adres aan.

   az network public-ip create \
      -g TestRG5 \
      --n VNet5GWIP \
      --sku Standard \
      --allocation-method Static \
      --l japaneast
   

6. De TestVNet5-gateway maken

   az network vnet-gateway create \
     -n VNet5GW \
     -l japaneast \
     --public-ip-address VNet5GWIP \
     -g TestRG5 \
     --vnet TestVNet5 \
     --gateway-type Vpn \
     --sku VpnGw2 \
     --vpn-gateway-generation Generation2 \
     --no-wait
   

Stap 8: de verbindingen maken

Deze stap is opgesplitst in twee CLI-sessies, aangeduid als [Abonnement 1] en [Abonnement 5] omdat de gateways onderdeel uitmaken van verschillende abonnementen. Als u wilt schakelen tussen abonnementen az account list --all om de abonnementen weer te geven die beschikbaar zijn voor uw account, gebruikt az account set --subscription <subscriptionID> u vervolgens om over te schakelen naar het abonnement dat u wilt gebruiken.

1. [Abonnement 1] Meld u aan en maak verbinding met abonnement 1. Voer de volgende opdracht uit om de naam en id van de gateway op te halen in de uitvoer:

   az network vnet-gateway show -n VNet1GW -g TestRG1
   

   Kopieer de uitvoer voor id:. Verstuur de id en naam van de VNet-gateway (VNet1GW) via e-mail of een andere methode naar de beheerder van abonnement 5.

   Voorbeelduitvoer:

   "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
   

2. [Abonnement 5] Meld u aan en maak verbinding met abonnement 5. Voer de volgende opdracht uit om de naam en id van de gateway op te halen in de uitvoer:

   az network vnet-gateway show -n VNet5GW -g TestRG5
   

   Kopieer de uitvoer voor id:. Verstuur de id en naam van de VNet-gateway (VNet5GW) via e-mail of een andere methode naar de beheerder van abonnement 1.

3. [Abonnement 1] In deze stap maakt u de verbinding van TestVNet1 naar TestVNet5. U kunt uw eigen waarden voor de gedeelde sleutel gebruiken, maar de gedeelde sleutel moet voor beide verbindingen hetzelfde zijn. Het kan even duren voordat de verbinding is gemaakt. Zorg dat u verbinding maakt met Abonnement 1.

   az network vpn-connection create \
      -n VNet1ToVNet5 \
      -g TestRG1 \
      --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW \
      -l eastus \
      --shared-key "eeffgg" \
      --vnet-gateway2 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
   

4. [Abonnement 5] Deze stap is vergelijkbaar met de vorige stap, behalve dat u de verbinding maakt van TestVNet5 naar TestVNet1. Zorg ervoor dat de gedeelde sleutels overeenkomen en dat u verbinding met abonnement 5 maakt.

   az network vpn-connection create \
      -n VNet5ToVNet1 \
      -g TestRG5 \
      --vnet-gateway1 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW \
      -l japaneast \
      --shared-key "eeffgg" \
      --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
   

De verbindingen controleren

Belangrijk

Netwerkbeveiligingsgroepen (NSG's) in het gatewaysubnet worden niet ondersteund. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Raadpleeg voor meer informatie over netwerkbeveiligingsgroepen Wat is een netwerkbeveiligingsgroep?

U kunt controleren of uw verbinding is geslaagd met behulp van de opdracht az network vpn-connection show. In het voorbeeld verwijst '--name' naar de naam van de verbinding die u wilt testen. Zolang het tot stand brengen van de verbinding bezig is, is de verbindingsstatus "Verbinding maken". Wanneer de verbinding tot stand is gebracht, verandert de status in "Verbonden". Wijzig het volgende voorbeeld met de waarden voor uw omgeving.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Veelgestelde vragen over VNet-naar-VNet

Zie de veelgestelde vragen over VPN Gateway voor veelgestelde vragen over VNet-naar-VNet.

Volgende stappen

• Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Raadpleeg de Documentatie voor Virtual Machines voor meer informatie.
• Voor meer informatie over BGP raadpleegt u BGP Overview (BGP-overzicht) en How to configure BGP (BGP configureren).