Samouczek: tworzenie bramy sieci VPN i zarządzanie nią przy użyciu witryny Azure Portal
Ten samouczek ułatwia tworzenie bramy sieci wirtualnej (bramy sieci VPN) i zarządzanie nią przy użyciu witryny Azure Portal. Brama sieci VPN jest jedną z części architektury połączeń, która ułatwia bezpieczny dostęp do zasobów w sieci wirtualnej przy użyciu usługi VPN Gateway.
- Po lewej stronie diagramu przedstawiono sieć wirtualną i bramę sieci VPN utworzoną przy użyciu kroków opisanych w tym artykule.
- Później można dodać różne typy połączeń, jak pokazano po prawej stronie diagramu. Można na przykład utworzyć połączenia typu lokacja-lokacja i połączenia typu punkt-lokacja . Aby wyświetlić różne architektury projektowe, które można utworzyć, zobacz Projekt bramy sieci VPN.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz sieć prywatną.
- Utwórz strefowo nadmiarową bramę sieci VPN w trybie aktywny-aktywny.
- Wyświetl publiczny adres IP bramy.
- Zmienianie rozmiaru bramy sieci VPN (zmiana rozmiaru jednostki SKU).
- Zresetuj bramę sieci VPN.
- Jeśli chcesz dowiedzieć się więcej na temat ustawień konfiguracji używanych w tym samouczku, zobacz About VPN Gateway configuration settings (Informacje o ustawieniach konfiguracji usługi VPN Gateway).
- Aby uzyskać więcej informacji na temat usługi Azure VPN Gateway, zobacz Co to jest usługa Azure VPN Gateway.
- Jeśli chcesz utworzyć bramę przy użyciu podstawowej jednostki SKU (zamiast vpnGw2AZ), zobacz Tworzenie bramy sieci VPN jednostki SKU w warstwie Podstawowa.
- Aby uzyskać więcej informacji na temat bram w trybie aktywny-aktywny, zobacz About active-active mode (Informacje o trybie aktywny-aktywny).
- Aby uzyskać więcej informacji na temat strefowo nadmiarowych bram, zobacz About zone-redundant gateways (Informacje o bramach strefowo nadmiarowych).
Uwaga
Kroki opisane w tym artykule korzystają z jednostki SKU bramy VpnGw2AZ, czyli jednostki SKU obsługującej strefy dostępności platformy Azure. Jeśli strefy dostępności nie są obsługiwane w Twoim regionie, zamiast tego użyj jednostki SKU innej niż AZ. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz Informacje o jednostkach SKU bramy.
Wymagania wstępne
Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli go nie masz, utwórz go bezpłatnie.
Tworzenie sieci wirtualnej
Utwórz sieć wirtualną przy użyciu następujących przykładowych wartości:
- Grupa zasobów: TestRG1
- Nazwa: VNet1
- Region: (USA) Wschodnie stany USA (lub region wybranego regionu)
- Przestrzeń adresowa IPv4: 10.1.0.0/16
- Nazwa podsieci: użyj nazwy domyślnej lub określ nazwę. Przykład: FrontEnd
- Przestrzeń adresowa podsieci: 10.1.0.0/24
Zaloguj się w witrynie Azure Portal.
W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.
Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.
Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.
- Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
- Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
- Nazwa: Wprowadź nazwę sieci wirtualnej.
- Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą znajdować się zasoby wdrażane w tej sieci wirtualnej.
Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.
Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.
Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.
+ Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.
- Nazwa podsieci: możesz użyć wartości domyślnej lub określić nazwę. Przykład: FrontEnd.
- Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.
Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.
Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.
Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.
Po utworzeniu sieci wirtualnej możesz opcjonalnie skonfigurować usługę Azure DDoS Protection. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection.
Tworzenie podsieci bramy
Zasoby bramy sieci wirtualnej są wdrażane w określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej określonego podczas konfigurowania sieci wirtualnej.
Jeśli nie masz podsieci o nazwie GatewaySubnet, podczas tworzenia bramy sieci VPN kończy się niepowodzeniem. Zalecamy utworzenie podsieci bramy używającej /27 (lub większej). Na przykład /27 lub /26. Aby uzyskać więcej informacji, zobacz Ustawienia bramy SIECI VPN — Podsieć bramy.
- Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
- W górnej części strony wybierz pozycję + Podsieć bramy, aby otworzyć okienko Dodaj podsieć .
- Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj wartość zakresu adresów IP. Przykładem jest 10.1.255.0/27.
- Nie dopasuj innych wartości na stronie. Wybierz pozycję Zapisz w dolnej części strony, aby zapisać podsieć.
Ważne
Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)
Tworzenie bramy sieci VPN
W tej sekcji utworzysz bramę sieci wirtualnej (bramę sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.
Utwórz bramę przy użyciu następujących wartości:
- Nazwa: VNet1GW
- Typ bramy: VPN
- Jednostka SKU: VpnGw2AZ
- Generacja: Generacja 2
- Sieć wirtualna: VNet1
- Zakres adresów podsieci bramy: 10.1.255.0/27
- Publiczny adres IP: utwórz nowy
- Nazwa publicznego adresu IP: VNet1GWpip1
- Jednostka SKU publicznego adresu IP: Standardowa
- Przypisanie: statyczne
- Druga nazwa publicznego adresu IP: VNet1GWpip2
W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.
Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.
Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.
Grupa zasobów: ta wartość jest wypełniana automatycznie po wybraniu sieci wirtualnej na tej stronie.
Nazwa: jest to nazwa tworzonego obiektu bramy. Różni się to od podsieci bramy, do której zostaną wdrożone zasoby bramy.
Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.
Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.
Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć.
- Zalecamy wybranie jednostki SKU, która kończy się w az, gdy jest to możliwe. Jednostki SKU AZ obsługują strefy dostępności.
- Podstawowa jednostka SKU nie jest dostępna w portalu. Aby skonfigurować bramę jednostki SKU w warstwie Podstawowa, należy użyć programu PowerShell lub interfejsu wiersza polecenia.
Generacja: wybierz pozycję Generacja2 z listy rozwijanej.
Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, której chcesz użyć, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.
Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.
Obecnie to pole może wyświetlać różne opcje ustawień w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.
Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.
Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekty publicznego adresu IP, które będą skojarzone z bramą sieci VPN. Publiczny adres IP jest przypisywany do każdego obiektu publicznego adresu IP podczas tworzenia bramy sieci VPN. Jedyną zmianą przypisanego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Adresy IP nie zmieniają się w przypadku zmiany rozmiaru, resetowania ani innych wewnętrznych konserwacji/uaktualnień bramy sieci VPN.
Typ publicznego adresu IP: jeśli ta opcja zostanie wyświetlona, wybierz pozycję Standardowa.
Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .
Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.
Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.
Przypisanie: przypisanie jest zwykle wybierane automatycznie i powinno być statyczne.
Strefa dostępności: to ustawienie jest dostępne dla jednostek SKU bramy AZ w regionach obsługujących strefy dostępności. Wybierz strefę nadmiarową, chyba że chcesz określić strefę.
Włącz tryb aktywny-aktywny: zalecamy wybranie opcji Włączone , aby skorzystać z zalet bramy trybu aktywnego-aktywnego. Jeśli planujesz używać tej bramy do połączenia lokacja-lokacja, należy wziąć pod uwagę następujące kwestie:
- Sprawdź projekt aktywny-aktywny, którego chcesz użyć. Połączenia z lokalnym urządzeniem sieci VPN muszą być skonfigurowane specjalnie w celu korzystania z trybu aktywne-aktywne.
- Niektóre urządzenia sieci VPN nie obsługują trybu aktywne-aktywne. Jeśli nie masz pewności, zapoznaj się z dostawcą urządzenia sieci VPN. Jeśli używasz urządzenia sieci VPN, które nie obsługuje trybu aktywne-aktywne, możesz wybrać opcję Wyłączone dla tego ustawienia.
Drugi publiczny adres IP: wybierz pozycję Utwórz nowy. Jest to dostępne tylko w przypadku wybrania opcji Włączone dla ustawienia Włącz tryb aktywny-aktywny.
Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.
Jednostka SKU publicznego adresu IP: ustawienie jest automatycznie wybierane na jednostkę SKU w warstwie Standardowa.
Strefa dostępności: wybierz strefę nadmiarową, chyba że chcesz określić strefę.
Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.
Włącz dostęp do usługi Key Vault: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia.
Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.
Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.
Tworzenie i wdrażanie bramy może potrwać co najmniej 45 minut. Stan wdrożenia można zobaczyć na stronie Przegląd bramy. Po utworzeniu bramy można wyświetlić przypisany do niej adres IP, przeglądając sieć wirtualną w portalu. Brama jest widoczna jako urządzenie podłączone.
Wyświetlanie publicznego adresu IP
Aby wyświetlić publiczne adresy IP skojarzone z bramą sieci wirtualnej, przejdź do bramy w portalu.
- Na stronie portalu bramy sieci wirtualnej w obszarze Ustawienia otwórz stronę Właściwości .
- Aby wyświetlić więcej informacji o obiekcie adresu IP, kliknij skojarzony link adresu IP.
Zmienianie rozmiaru jednostki SKU bramy
Istnieją określone reguły zmiany rozmiaru i zmiany jednostki SKU bramy. W tej sekcji zmieniasz rozmiar jednostki SKU. Aby uzyskać więcej informacji, zobacz Zmienianie rozmiaru lub zmienianie jednostek SKU bramy.
Podstawowe kroki to:
- Przejdź do strony Konfiguracja bramy sieci wirtualnej.
- Po prawej stronie wybierz strzałkę listy rozwijanej, aby wyświetlić listę dostępnych jednostek SKU. Zwróć uwagę, że lista wypełnia tylko jednostki SKU, których można użyć do zmiany rozmiaru bieżącej jednostki SKU. Jeśli nie widzisz jednostki SKU, której chcesz użyć, zamiast zmiany rozmiaru, musisz zmienić rozmiar na nową jednostkę SKU.
- Wybierz jednostkę SKU z listy rozwijanej i zapisz zmiany.
Resetowanie bramy
Resetowanie bramy działa inaczej w zależności od konfiguracji bramy. Aby uzyskać więcej informacji, zobacz Resetowanie bramy sieci VPN lub połączenia.
Podstawowe kroki to:
- W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
- Na stronie Brama sieci wirtualnej w okienku po lewej stronie przewiń i znajdź pozycję Pomoc —> resetowanie.
- Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia bieżące aktywne wystąpienie bramy sieci VPN platformy Azure zostanie natychmiast uruchomione ponownie. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.
Czyszczenie zasobów
Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.
- Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.
- Wybierz pozycję Usuń grupę zasobów.
- Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.
Następne kroki
Po utworzeniu bramy sieci VPN można skonfigurować więcej ustawień bramy i połączeń. Poniższe artykuły ułatwiają tworzenie kilku najbardziej typowych konfiguracji: