Tworzenie bramy sieci VPN przy użyciu interfejsu wiersza polecenia
Ten artykuł ułatwia tworzenie bramy sieci VPN platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure. Brama sieci VPN jest używana podczas tworzenia połączenia sieci VPN z siecią lokalną. Brama sieci VPN umożliwia również łączenie sieci wirtualnych. Aby uzyskać bardziej kompleksowe informacje na temat niektórych ustawień w tym artykule, zobacz Tworzenie bramy sieci VPN — portal.
- Po lewej stronie diagramu przedstawiono sieć wirtualną i bramę sieci VPN utworzoną przy użyciu kroków opisanych w tym artykule.
- Później można dodać różne typy połączeń, jak pokazano po prawej stronie diagramu. Można na przykład utworzyć połączenia typu lokacja-lokacja i połączenia typu punkt-lokacja . Aby wyświetlić różne architektury projektowe, które można utworzyć, zobacz Projekt bramy sieci VPN.
Kroki opisane w tym artykule obejmują tworzenie sieci wirtualnej, podsieci, podsieci bramy i bramy opartej na trasach, strefowo nadmiarowej bramy sieci VPN w trybie aktywny-aktywny (brama sieci wirtualnej) przy użyciu jednostki SKU generacji 2 VpnGw2AZ. Kroki opisane w tym artykule obejmują tworzenie sieci wirtualnej, podsieci, podsieci bramy i bramy opartej na trasach, strefowo nadmiarowej bramy sieci VPN w trybie aktywny-aktywny (brama sieci wirtualnej) przy użyciu jednostki SKU generacji 2 VpnGw2AZ. Po utworzeniu bramy można skonfigurować połączenia.
- Jeśli zamiast tego chcesz utworzyć bramę sieci VPN przy użyciu podstawowej jednostki SKU, zobacz Tworzenie bramy sieci VPN jednostki SKU w warstwie Podstawowa.
- Zalecamy utworzenie bramy sieci VPN w trybie aktywny-aktywny, jeśli jest to możliwe. Bramy sieci VPN w trybie aktywny-aktywny zapewniają lepszą dostępność i wydajność niż bramy sieci VPN w trybie standardowym. Aby uzyskać więcej informacji na temat bram aktywnych-aktywnych, zobacz About active-active mode gateways (Informacje o bramach trybu aktywny-aktywny-aktywny).
- Aby uzyskać informacje na temat stref dostępności i strefowo nadmiarowych bram, zobacz Co to są strefy dostępności?
Uwaga
Kroki opisane w tym artykule korzystają z jednostki SKU bramy VpnGw2AZ, czyli jednostki SKU obsługującej strefy dostępności platformy Azure. Jeśli strefy dostępności nie są obsługiwane w Twoim regionie, zamiast tego użyj jednostki SKU innej niż AZ. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz Informacje o jednostkach SKU bramy.
Zanim rozpoczniesz
Te kroki wymagają subskrypcji platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Ten artykuł wymaga wersji 2.0.4 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
Tworzenie grupy zasobów
Utwórz grupę zasobów przy użyciu polecenia az group create. Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.
az group create --name TestRG1 --location eastus
Tworzenie sieci wirtualnej
Jeśli nie masz jeszcze sieci wirtualnej, utwórz ją przy użyciu polecenia az network vnet create. Podczas tworzenia sieci wirtualnej upewnij się, że określone przestrzenie adresowe nie nakładają się na żadną z przestrzeni adresowych w sieci lokalnej. Jeśli zduplikowany zakres adresów istnieje po obu stronach połączenia sieci VPN, ruch nie kieruje trasą tak, jak można się spodziewać. Ponadto, jeśli chcesz połączyć tę sieć wirtualną z inną siecią wirtualną, przestrzeń adresowa nie może nakładać się na inną sieć wirtualną. Dlatego należy odpowiednio zaplanować konfigurację sieci.
Poniższy przykład tworzy sieć wirtualną o nazwie "VNet1" i podsieć "FrontEnd". Podsieć frontonu nie jest używana w tym ćwiczeniu. Możesz zastąpić własną nazwę podsieci.
az network vnet create \
-n VNet1 \
-g TestRG1 \
-l eastus \
--address-prefix 10.1.0.0/16 \
--subnet-name FrontEnd \
--subnet-prefix 10.1.0.0/24
Dodawanie podsieci bramy
Zasoby bramy sieci wirtualnej są wdrażane w określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej określonego podczas konfigurowania sieci wirtualnej.
Jeśli nie masz podsieci o nazwie GatewaySubnet, podczas tworzenia bramy sieci VPN kończy się niepowodzeniem. Zalecamy utworzenie podsieci bramy używającej /27 (lub większej). Na przykład /27 lub /26. Aby uzyskać więcej informacji, zobacz Ustawienia bramy SIECI VPN — Podsieć bramy.
Ważne
Sieciowe grupy zabezpieczeń w podsieci bramy nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz What is a Network Security Group? (Co to jest sieciowa grupa zabezpieczeń?)
Użyj następującego przykładu, aby dodać podsieć bramy:
az network vnet subnet create \
--vnet-name VNet1 \
-n GatewaySubnet \
-g TestRG1 \
--address-prefix 10.1.255.0/27
Żądanie publicznych adresów IP
Brama sieci VPN musi mieć publiczny adres IP. Podczas tworzenia połączenia z bramą sieci VPN jest to określony adres IP. W przypadku bram w trybie aktywny-aktywny każde wystąpienie bramy ma własny zasób publicznego adresu IP. Najpierw żąda się zasobu adresu IP, a następnie odwołuje do niego podczas tworzenia bramy sieci wirtualnej. Ponadto w przypadku każdej jednostki SKU bramy kończącej się na az należy również określić ustawienie Strefy. W tym przykładzie określono konfigurację strefowo nadmiarową, ponieważ określa wszystkie trzy strefy regionalne.
Adres IP jest przypisywany do zasobu podczas tworzenia bramy sieci VPN. Jedyną zmianą publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się on w przypadku zmiany rozmiaru, zresetowania ani przeprowadzania innych wewnętrznych czynności konserwacyjnych bądź uaktualnień bramy sieci VPN.
Użyj polecenia az network public-ip create, aby zażądać publicznego adresu IP:
az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Aby utworzyć bramę aktywne-aktywne (zalecane), zażądaj drugiego publicznego adresu IP:
az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Tworzenie bramy sieci VPN
Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy. Po utworzeniu bramy można utworzyć połączenie między siecią wirtualną a lokalizacją lokalną. Możesz też utworzyć połączenie między siecią wirtualną a inną siecią wirtualną.
Utwórz bramę sieci VPN za pomocą polecenia az network vnet-gateway create. Jeśli uruchomisz to polecenie przy użyciu parametru --no-wait
, nie widzisz żadnych opinii ani danych wyjściowych. Parametr --no-wait
umożliwia utworzenie bramy w tle. Nie oznacza to, że brama sieci VPN jest tworzona natychmiast. Jeśli chcesz utworzyć bramę przy użyciu innej jednostki SKU, zobacz Informacje o jednostkach SKU bramy, aby określić jednostkę SKU, która najlepiej odpowiada wymaganiom konfiguracji.
Brama w trybie aktywny-aktywny
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
Brama trybu wstrzymania aktywnego
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej.
Wyświetlanie bramy sieci VPN
az network vnet-gateway show \
-n VNet1GW \
-g TestRG1
Wyświetlanie adresów IP bramy
Każde wystąpienie bramy sieci VPN ma przypisany zasób publicznego adresu IP. Aby wyświetlić adres IP skojarzony z zasobem, użyj następującego polecenia. Powtórz dla każdego wystąpienia bramy.
az network public-ip show -g TestRG1 -n VNet1GWpip1
Czyszczenie zasobów
Gdy nie potrzebujesz już utworzonych zasobów, użyj polecenia az group delete , aby usunąć grupę zasobów. Spowoduje to usunięcie grupy zasobów i wszystkich zawartych w niej zasobów.
az group delete --name TestRG1 --yes
Następne kroki
Po utworzeniu bramy można skonfigurować połączenia.