Konfigurowanie połączenia między sieciami wirtualnymi (wersja klasyczna)
Ten artykuł ułatwia utworzenie połączenia bramy sieci VPN między sieciami wirtualnymi. Sieci wirtualne mogą być zlokalizowane w tych samych lub różnych regionach i mogą funkcjonować w ramach tej samej lub różnych subskrypcji.
Kroki opisane w tym artykule dotyczą klasycznego (starszego) modelu wdrażania i nie dotyczą bieżącego modelu wdrażania usługi Resource Manager. Nie można już utworzyć bramy przy użyciu klasycznego modelu wdrażania. Zamiast tego zobacz wersję usługi Resource Manager tego artykułu.
Ważne
Nie można już tworzyć nowych bram sieci wirtualnych dla klasycznych sieci wirtualnych modelu wdrażania (zarządzania usługami). Nowe bramy sieci wirtualnej można tworzyć tylko dla sieci wirtualnych usługi Resource Manager.
Uwaga
Ten artykuł został napisany dla klasycznego (starszego) modelu wdrażania. Zalecamy zamiast tego użycie najnowszego modelu wdrażania platformy Azure. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji i zgodności funkcji niż klasyczny model wdrażania. Aby zrozumieć różnicę między tymi dwoma modelami wdrażania, zobacz Omówienie modeli wdrażania i stanu zasobów.
Jeśli chcesz użyć innej wersji tego artykułu, użyj spisu treści w okienku po lewej stronie.
Informacje o połączeniach między sieciami wirtualnymi
Łączenie sieci wirtualnej z inną siecią wirtualną (VNet-to-VNet) w klasycznym modelu wdrażania przy użyciu bramy sieci VPN jest podobne do łączenia sieci wirtualnej z lokalizacją lokacji lokalnej. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE.
Sieci wirtualne, z którymi się łączysz, mogą znajdować się w różnych subskrypcjach i różnych regionach. Możesz połączyć sieć wirtualną z siecią wirtualną z konfiguracjami wielu lokacji. Pozwala to tworzyć topologie sieci, które łączą wdrożenia obejmujące wiele lokalizacji z połączeniami między sieciami wirtualnymi.
Dlaczego łączy się sieci wirtualne?
Możesz chcieć połączyć sieci wirtualne z następujących powodów:
Niezależna od regionu nadmiarowość i obecność geograficzna
- Można tworzyć własne replikacje geograficzne lub przeprowadzać synchronizację z bezpiecznym połączeniem bez przechodzenia przez punkty końcowe dostępne z Internetu.
- Dzięki usłudze Azure Load Balancer i technologii klastrowania firmy Microsoft lub innej firmy można skonfigurować obciążenie o wysokiej dostępności z nadmiarowością geograficzną w wielu regionach świadczenia usługi Azure. Istotnym przykładem jest konfiguracja ustawienia SQL Zawsze włączone, w przypadku którego grupy dostępności rozciągają się na wiele regionów świadczenia usługi Azure.
Regionalne aplikacje wielowarstwowe z silną granicą izolacji
- W tym samym regionie można skonfigurować aplikacje wielowarstwowe z wieloma sieciami wirtualnymi połączonymi razem z silną izolacją i bezpieczną komunikacją międzywarstwową.
Komunikacja między subskrypcjami, komunikacja między organizacjami na platformie Azure
- Jeśli masz wiele subskrypcji platformy Azure, możesz bezpiecznie łączyć obciążenia z różnych subskrypcji między sieciami wirtualnymi.
- W przypadku przedsiębiorstw lub dostawców usług można włączyć komunikację między organizacjami z bezpieczną technologią sieci VPN na platformie Azure.
Więcej informacji na temat połączeń między sieciami wirtualnymi znajduje się w sekcji Zagadnienia dotyczące połączeń między sieciami wirtualnymi na końcu tego artykułu.
Wymagania wstępne
W większości kroków używamy portalu, ale należy użyć programu PowerShell do utworzenia połączeń między sieciami wirtualnymi. Nie można utworzyć połączeń przy użyciu witryny Azure Portal, ponieważ nie ma możliwości określenia klucza współużytkowanego w portalu. Podczas pracy z klasycznym modelem wdrażania nie można użyć usługi Azure Cloud Shell. Zamiast tego należy zainstalować najnowszą wersję poleceń cmdlet programu PowerShell zarządzania usługami platformy Azure lokalnie na komputerze. Te polecenia cmdlet różnią się od poleceń cmdlet Moduł AzureRM lub Az. Aby zainstalować polecenia cmdlet sm, zobacz Instalowanie poleceń cmdlet zarządzania usługami. Aby uzyskać więcej informacji na temat programu Azure PowerShell, zobacz dokumentację programu Azure PowerShell.
Planowanie
Ważne jest, aby zdecydować, które zakresy będą używane do konfigurowania sieci wirtualnych. W przypadku tej konfiguracji należy upewnić się, że żaden z zakresów sieci wirtualnych nie nakłada się na siebie ani z żadnymi sieciami lokalnymi, z którymi się łączą.
Sieci wirtualne
W tym ćwiczeniu użyjemy następujących przykładowych wartości:
Wartości dla sieci TestVNet1
Nazwa: TestVNet1
Przestrzeń adresowa: 10.11.0.0/16, 10.12.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.11.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: Wschodnie stany USA
Podsieć GatewaySubnet: 10.11.1.0/27
Wartości dla sieci TestVNet4
Nazwa: TestVNet4
Przestrzeń adresowa: 10.41.0.0/16, 10.42.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.41.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: Zachodnie stany USA
GatewaySubnet: 10.41.1.0/27
Połączenia
W poniższej tabeli przedstawiono przykład sposobu łączenia sieci wirtualnych. Użyj zakresów tylko jako wytycznych. Zapisz zakresy dla sieci wirtualnych. Te informacje są potrzebne do wykonania późniejszych kroków.
W tym przykładzie sieć TestVNet1 łączy się z lokalną lokacją sieciową o nazwie "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4. Lokacja lokalna dla każdej sieci wirtualnej jest drugą siecią wirtualną. Następujące przykładowe wartości są używane dla naszej konfiguracji:
Przykład
Virtual Network | Przestrzeń adresowa | Lokalizacja | Nawiązuje połączenie z lokalną lokacją sieciową |
---|---|---|---|
TestVNet1 | TestVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Wschodnie stany USA | Sieć Wirtualna Lokacja4 (10.41.0.0/16) (10.42.0.0/16) |
TestVNet4 | TestVNet4 (10.41.0.0/16) (10.42.0.0/16) |
Zachodnie stany USA | Sieć Wirtualna Lokacja1 (10.11.0.0/16) (10.12.0.0/16) |
Tworzenie sieci wirtualnych
W tym kroku utworzysz dwie klasyczne sieci wirtualne: TestVNet1 i TestVNet4. Jeśli używasz tego artykułu jako ćwiczenia, użyj przykładowych wartości.
Podczas tworzenia sieci wirtualnych należy pamiętać o następujących ustawieniach:
Przestrzenie adresowe sieci wirtualnej — na stronie Przestrzenie adresowe sieci wirtualnej określ zakres adresów, który ma być używany dla sieci wirtualnej. Są to dynamiczne adresy IP, które zostaną przypisane do maszyn wirtualnych i innych wystąpień ról wdrożonych w tej sieci wirtualnej.
Wybrane przestrzenie adresowe nie mogą nakładać się na przestrzenie adresowe dla żadnej z innych sieci wirtualnych ani lokalizacji lokalnych, z którymi ta sieć wirtualna będzie się łączyć.Lokalizacja — podczas tworzenia sieci wirtualnej należy ją skojarzyć z lokalizacją platformy Azure (regionem). Jeśli na przykład chcesz, aby maszyny wirtualne wdrożone w sieci wirtualnej znajdowały się fizycznie w regionie Zachodnie stany USA, wybierz tę lokalizację. Nie można zmienić lokalizacji skojarzonej z siecią wirtualną po jej utworzeniu.
Po utworzeniu sieci wirtualnych można dodać następujące ustawienia:
Przestrzeń adresowa — dodatkowa przestrzeń adresowa nie jest wymagana dla tej konfiguracji, ale można dodać dodatkową przestrzeń adresową po utworzeniu sieci wirtualnej.
Podsieci — dodatkowe podsieci nie są wymagane dla tej konfiguracji, ale możesz chcieć mieć maszyny wirtualne w podsieci, która jest oddzielona od innych wystąpień roli.
Serwery DNS — wprowadź nazwę serwera DNS i adres IP. To ustawienie nie tworzy serwera DNS. Umożliwia natomiast określenie serwerów DNS, które mają być używane do rozpoznawania nazw dla tej sieci wirtualnej.
Aby utworzyć klasyczną sieć wirtualną
- W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.
- Wybierz pozycję +Utwórz zasób. W polu Szukaj w witrynie Marketplace wpisz „Sieć wirtualna”. Z listy zwróconej znajdź pozycję Sieć wirtualna i wybierz ją, aby otworzyć stronę Sieć wirtualna.
- Na stronie Sieć wirtualna w obszarze przycisku Utwórz zostanie wyświetlony komunikat "Deploy with Resource Manager (Deploy with Resource Manager (change to Classic)" (Wdróż przy użyciu usługi Resource Manager (zmień na klasyczny)". Usługa Resource Manager jest domyślną wartością tworzenia sieci wirtualnej. Nie chcesz tworzyć sieci wirtualnej usługi Resource Manager. Wybierz pozycję (przejdź do klasycznej), aby utworzyć klasyczną sieć wirtualną. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.
- Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie Podstawy skonfiguruj ustawienia sieci wirtualnej przy użyciu przykładowych wartości.
- Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować sieć wirtualną.
- Przebiegi walidacji. Po zweryfikowaniu sieci wirtualnej wybierz pozycję Utwórz.
Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale dns jest konieczne, jeśli chcesz rozpoznawania nazw między maszynami wirtualnymi. Określenie wartości nie powoduje utworzenia nowego serwera DNS. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.
Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i dodaj adres IP serwera DNS, którego chcesz użyć do rozpoznawania nazw.
- Znajdź sieć wirtualną w portalu.
- Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję Serwery DNS.
- Dodaj serwer DNS.
- Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.
Konfigurowanie lokacji i bram
Platforma Azure używa ustawień określonych w każdej lokacji sieci lokalnej, aby określić sposób kierowania ruchu między sieciami wirtualnymi. Każda sieć wirtualna musi wskazywać odpowiednią sieć lokalną, do której ma być kierowany ruch. Określ nazwę, której chcesz użyć do odwoływania się do każdej lokacji sieci lokalnej. Najlepiej użyć czegoś opisowego.
Na przykład sieć TestVNet1 łączy się z lokalną lokacją sieciową o nazwie "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4.
Należy pamiętać, że lokacja lokalna dla każdej sieci wirtualnej jest drugą siecią wirtualną.
Virtual Network | Przestrzeń adresowa | Lokalizacja | Nawiązuje połączenie z lokalną lokacją sieciową |
---|---|---|---|
TestVNet1 | TestVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Wschodnie stany USA | Sieć Wirtualna Lokacja4 (10.41.0.0/16) (10.42.0.0/16) |
TestVNet4 | TestVNet4 (10.41.0.0/16) (10.42.0.0/16) |
Zachodnie stany USA | Sieć Wirtualna Lokacja1 (10.11.0.0/16) (10.12.0.0/16) |
Aby skonfigurować lokację
Lokacja lokalna zazwyczaj oznacza lokalizację lokalną. Zawiera adres IP urządzenia sieci VPN, z którym utworzysz połączenie, oraz zakresy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN.
Na stronie sieci wirtualnej w obszarze Ustawienia wybierz pozycję Połączenia typu lokacja-lokacja.
Na stronie Połączenia lokacja-lokacja wybierz pozycję + Dodaj.
Na stronie Konfigurowanie połączenia sieci VPN i bramy w polu Typ połączenia pozostaw wybraną opcję Lokacja-lokacja.
Adres IP bramy sieci VPN: Publiczny adres IP urządzenia sieci VPN w sieci lokalnej. W tym ćwiczeniu można umieścić fikcyjny adres, ponieważ nie masz jeszcze adresu IP bramy sieci VPN dla innej lokacji. Na przykład 5.4.3.2. Później, po skonfigurowaniu bramy dla drugiej sieci wirtualnej, możesz dostosować tę wartość.
Przestrzeń adresowa klienta: wyświetl listę zakresów adresów IP, które mają być kierowane do drugiej sieci wirtualnej za pośrednictwem tej bramy. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie nakładają się na zakresy innych sieci, z którymi łączy się sieć wirtualna, ani z zakresami adresów samej sieci wirtualnej.
W dolnej części strony nie wybieraj pozycji Przejrzyj i utwórz. Zamiast tego wybierz pozycję Dalej: Brama>.
Aby skonfigurować bramę sieci wirtualnej
Na stronie Brama wybierz następujące wartości:
Rozmiar: jest to jednostka SKU bramy używana do tworzenia bramy sieci wirtualnej. Klasyczne bramy sieci VPN używają starych (starszych) jednostek SKU bramy. Aby uzyskać więcej informacji o starszych jednostkach SKU bramy, zobacz Working with virtual network gateway SKUs (old SKUs) (Praca z jednostkami SKU [starymi jednostkami SKU] bramy sieci wirtualnej). Dla tego ćwiczenia możesz wybrać pozycję Standardowa .
Podsieć bramy: rozmiar określonej podsieci bramy zależy od konfiguracji bramy sieci VPN, którą chcesz utworzyć. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29, zalecamy użycie /27 lub /28. Spowoduje to utworzenie większej podsieci obejmującej więcej adresów. Zastosowanie większej podsieci bramy daje wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.
Wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować ustawienia. Wybierz pozycję Utwórz , aby wdrożyć. Utworzenie bramy sieci wirtualnej w zależności od wybranej jednostki SKU bramy może potrwać do 45 minut.
Możesz rozpocząć przejście do następnego kroku podczas tworzenia tej bramy.
Konfigurowanie ustawień sieci TestVNet4
Powtórz kroki tworzenia lokacji i bramy , aby skonfigurować sieć TestVNet4, podstawiając wartości w razie potrzeby. Jeśli robisz to jako ćwiczenie, użyj przykładowych wartości.
Aktualizowanie witryn lokalnych
Po utworzeniu bram sieci wirtualnej dla obu sieci wirtualnych należy dostosować właściwości lokacji lokalnej dla adresu IP bramy sieci VPN.
Nazwa sieci wirtualnej | Połączona witryna | Adres IP bramy |
---|---|---|
TestVNet1 | VNet4Local | Adres IP bramy sieci VPN dla sieci TestVNet4 |
TestVNet4 | VNet1Local | Adres IP bramy sieci VPN dla sieci TestVNet1 |
Część 1 . Pobieranie publicznego adresu IP bramy sieci wirtualnej
- Przejdź do sieci wirtualnej, przechodząc do grupy zasobów i wybierając sieć wirtualną.
- Na stronie sieci wirtualnej w okienku Podstawy po prawej stronie znajdź adres IP bramy i skopiuj go do schowka.
Część 2. Modyfikowanie właściwości witryny lokalnej
- W obszarze Połączenia typu lokacja-lokacja wybierz połączenie. Na przykład siteVNet4.
- Na stronie Właściwości połączenia lokacja-lokacja wybierz pozycję Edytuj lokację lokalną.
- W polu Adres IP bramy sieci VPN wklej adres IP bramy sieci VPN skopiowany w poprzedniej sekcji.
- Wybierz przycisk OK.
- Pole jest aktualizowane w systemie. Możesz również użyć tej metody, aby dodać dodatkowy adres IP, który ma być kierowany do tej witryny.
Część 3 . Powtórz kroki dla innej sieci wirtualnej
Powtórz kroki dla sieci TestVNet4.
Pobieranie wartości konfiguracji
Podczas tworzenia klasycznych sieci wirtualnych w witrynie Azure Portal wyświetlana nazwa nie jest pełną nazwą używaną w programie PowerShell. Na przykład sieć wirtualna, która wydaje się mieć nazwę TestVNet1 w portalu, może mieć znacznie dłuższą nazwę w pliku konfiguracji sieci. W przypadku sieci wirtualnej w nazwie grupy zasobów "ClassicRG" może wyglądać następująco: Group ClassicRG TestVNet1. Podczas tworzenia połączeń ważne jest użycie wartości widocznych w pliku konfiguracji sieci.
W poniższych krokach połączysz się z kontem platformy Azure i pobierzesz i wyświetlisz plik konfiguracji sieci, aby uzyskać wartości wymagane dla połączeń.
Pobierz i zainstaluj najnowszą wersję poleceń cmdlet programu PowerShell azure Service Management (SM). Większość osób ma zainstalowane lokalnie moduły usługi Resource Manager, ale nie mają modułów zarządzania usługami. Moduły zarządzania usługami są starsze i muszą być zainstalowane oddzielnie. Aby uzyskać więcej informacji, zobacz Instalowanie poleceń cmdlet zarządzania usługami.
Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się ze swoim kontem. Skorzystaj z poniższych przykładów, aby ułatwić nawiązywanie połączenia. Te polecenia należy uruchomić lokalnie przy użyciu modułu zarządzania usługami programu PowerShell. Połącz się ze swoim kontem. Użyj poniższego przykładu w celu łatwiejszego nawiązania połączenia:
Add-AzureAccount
Sprawdź subskrypcje dostępne na koncie.
Get-AzureSubscription
Jeśli masz więcej niż jedną subskrypcję, wybierz tę, której chcesz użyć.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Utwórz katalog na komputerze. Na przykład C:\AzureVNet
Wyeksportuj plik konfiguracji sieci do katalogu. W tym przykładzie plik konfiguracji sieci jest eksportowany do folderu C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Otwórz plik za pomocą edytora tekstów i wyświetl nazwy sieci wirtualnych i witryn. Te nazwy będą nazwami używanymi podczas tworzenia połączeń.
Nazwy sieci wirtualnych są wyświetlane jako Nazwa witryny VirtualNetworkSite =
Nazwy witryn są wyświetlane jako Nazwa LocalNetworkSiteRef =
Tworzenie połączeń
Po zakończeniu wszystkich poprzednich kroków można ustawić klucze preshared protokołu IPsec/IKE i utworzyć połączenie. Ten zestaw kroków używa programu PowerShell. Nie można skonfigurować połączeń między sieciami wirtualnymi dla klasycznego modelu wdrażania w witrynie Azure Portal, ponieważ nie można określić klucza współużytkowanego w portalu.
W przykładach zwróć uwagę, że klucz wspólny jest dokładnie taki sam. Klucz współużytkowany musi być zawsze zgodny. Pamiętaj, aby zastąpić wartości w tych przykładach dokładnymi nazwami sieci wirtualnych i lokacjami sieci lokalnej.
Utwórz połączenie z sieci wirtualnej TestVNet1 do sieci wirtualnej TestVNet4. Pamiętaj, aby zmienić wartości.
Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' ` -LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4
Utwórz połączenie z sieci wirtualnej TestVNet4 do sieci wirtualnej TestVNet1.
Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' ` -LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4
Poczekaj na zainicjowanie połączeń. Po zainicjowaniu bramy stan to "Powodzenie".
Error : HttpStatusCode : OK Id : Status : Successful RequestId : StatusCode : OK
Często zadawane pytania i zagadnienia
Te zagadnienia dotyczą klasycznych sieci wirtualnych i klasycznych bram sieci wirtualnych.
- Sieci wirtualne mogą znajdować się w tych samych lub różnych subskrypcjach.
- Sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (lokalizacjach) świadczenia usługi Azure.
- Usługa w chmurze lub punkt końcowy równoważenia obciążenia nie może obejmować sieci wirtualnych, nawet jeśli są połączone ze sobą.
- Łączenie wielu sieci wirtualnych ze sobą nie wymaga żadnych urządzeń sieci VPN.
- Sieć wirtualna-sieć wirtualna obsługuje łączenie sieci wirtualnych platformy Azure. Nie obsługuje ona łączenia maszyn wirtualnych ani usług w chmurze, które nie są wdrażane w sieci wirtualnej.
- Sieć wirtualna-sieć wirtualna wymaga bram routingu dynamicznego. Bramy routingu statycznego platformy Azure nie są obsługiwane.
- Połączenie sieci wirtualnej może być używane równocześnie z sieciami VPN obejmującymi wiele lokacji. Istnieje maksymalnie 10 tuneli vpn dla bramy sieci VPN sieci wirtualnej łączącej się z innymi sieciami wirtualnymi lub lokacjami lokalnymi.
- Przestrzenie adresów sieci wirtualnych i lokalnych witryn sieci obejmujących lokalizacje w obrębie organizacji nie mogą się nakładać. Nakładające się przestrzenie adresowe powodują niepowodzenie tworzenia sieci wirtualnych lub przekazywania plików konfiguracji netcfg.
- Nadmiarowe tunele między parą sieci wirtualnych nie są obsługiwane.
- Wszystkie tunele sieci VPN dla sieci wirtualnej, w tym sieci VPN typu punkt-lokacja, współdzielą dostępną przepustowość bramy sieci VPN oraz tę samą umowę SLA dotyczącą czasu działania bramy sieci VPN na platformie Azure.
- Ruch między sieciami wirtualnymi jest przesyłany przez sieć szkieletową platformy Azure.
Następne kroki
Sprawdź połączenia. Zobacz Weryfikowanie połączenia usługi VPN Gateway.