Udostępnij za pośrednictwem

Konfigurowanie połączenia między sieciami wirtualnymi (wersja klasyczna)

  • Artykuł

Ten artykuł ułatwia utworzenie połączenia bramy sieci VPN między sieciami wirtualnymi. Sieci wirtualne mogą być zlokalizowane w tych samych lub różnych regionach i mogą funkcjonować w ramach tej samej lub różnych subskrypcji.

Kroki opisane w tym artykule dotyczą klasycznego (starszego) modelu wdrażania i nie dotyczą bieżącego modelu wdrażania usługi Resource Manager. Nie można już utworzyć bramy przy użyciu klasycznego modelu wdrażania. Zamiast tego zobacz wersję usługi Resource Manager tego artykułu.

Ważne

Nie można już tworzyć nowych bram sieci wirtualnych dla klasycznych sieci wirtualnych modelu wdrażania (zarządzania usługami). Nowe bramy sieci wirtualnej można tworzyć tylko dla sieci wirtualnych usługi Resource Manager.

Diagram przedstawiający klasyczną architekturę połączenia VNet z VNet.

Uwaga

Ten artykuł został napisany dla klasycznego (starszego) modelu wdrażania. Zalecamy zamiast tego użycie najnowszego modelu wdrażania platformy Azure. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji i zgodności funkcji niż klasyczny model wdrażania. Aby zrozumieć różnicę między tymi dwoma modelami wdrażania, zobacz Omówienie modeli wdrażania i stanu zasobów.

Jeśli chcesz użyć innej wersji tego artykułu, użyj spisu treści w okienku po lewej stronie.

Informacje o połączeniach VNet-to-VNet

Łączenie sieci wirtualnej z inną siecią wirtualną (VNet-to-VNet) w klasycznym modelu wdrażania przy użyciu bramy sieci VPN jest podobne do łączenia sieci wirtualnej z lokalizacją lokacji lokalnej. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE.

Sieci VNet, z którymi się łączysz, mogą znajdować się w różnych subskrypcjach i różnych regionach. Możesz połączyć komunikację VNet z VNet z konfiguracjami obejmującymi wiele lokalizacji. Pozwala to ustanowić topologie sieci, które łączą połączenia między lokalizacjami z połączeniami między sieciami wirtualnymi.

Diagram przedstawiający połączenia VNet-VNet.

Dlaczego łączy się sieci wirtualne?

Możesz chcieć połączyć sieci wirtualne z następujących powodów:

  • Międzyregionalna nadmiarowość i obecność geograficzna

    • Można tworzyć własne replikacje geograficzne lub przeprowadzać synchronizację z bezpiecznym połączeniem bez przechodzenia przez punkty końcowe dostępne z Internetu.
    • Dzięki usłudze Azure Load Balancer oraz technologii klastrowania Microsoft lub innych firm, można skonfigurować obciążenie o wysokiej dostępności z geograficzną redundancją w różnych regionach Azure. Istotnym przykładem jest konfiguracja ustawienia SQL Zawsze włączone, w przypadku którego grupy dostępności rozciągają się na wiele regionów świadczenia usługi Azure.

  • Regionalne aplikacje wielowarstwowe z silną granicą izolacji

    • W tym samym regionie można skonfigurować aplikacje wielowarstwowe z wieloma sieciami wirtualnymi połączonymi ze sobą z silną izolacją i bezpieczną komunikacją międzywarstwową.

  • Subskrypcja krzyżowa i komunikacja między organizacjami na platformie Azure

    • Jeśli masz wiele subskrypcji platformy Azure, możesz bezpiecznie łączyć obciążenia z różnych subskrypcji między sieciami wirtualnymi.
    • W przypadku przedsiębiorstw lub dostawców usług można włączyć komunikację między organizacjami z bezpieczną technologią sieci VPN na platformie Azure.

Więcej informacji na temat połączeń między sieciami wirtualnymi znajduje się w sekcji Zagadnienia dotyczące połączeń między sieciami wirtualnymi na końcu tego artykułu.

Wymagania wstępne

W większości kroków używamy portalu, ale należy użyć programu PowerShell do utworzenia połączeń między sieciami wirtualnymi. Nie można utworzyć połączeń przy użyciu witryny Azure Portal, ponieważ nie ma możliwości określenia klucza współużytkowanego w portalu. Podczas pracy z klasycznym modelem wdrażania nie można użyć usługi Azure Cloud Shell. Zamiast tego należy zainstalować najnowszą wersję poleceń cmdlet programu PowerShell zarządzania usługami platformy Azure lokalnie na komputerze. Te polecenia cmdlet różnią się od poleceń cmdlet AzureRM lub Az. Aby zainstalować polecenia cmdlet SM, zobacz Instalowanie poleceń cmdlet zarządzania usługami. Aby uzyskać więcej informacji na temat programu Azure PowerShell, zobacz dokumentację programu Azure PowerShell.

Planowanie

Ważne jest, aby zdecydować, które zakresy będą używane do konfigurowania sieci wirtualnych. W przypadku tej konfiguracji należy upewnić się, że żaden z zakresów sieci wirtualnych nie nakłada się na siebie ani z żadnymi sieciami lokalnymi, z którymi się łączą.

Sieci wirtualne

W tym ćwiczeniu użyjemy następujących przykładowych wartości:

Wartości dla sieci TestVNet1

Nazwa: TestVNet1
Przestrzeń adresowa: 10.11.0.0/16, 10.12.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.11.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: Wschodnie stany USA
GatewaySubnet: 10.11.1.0/27

Wartości dla sieci TestVNet4

Nazwa: TestVNet4
Przestrzeń adresowa: 10.41.0.0/16, 10.42.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.41.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: Zachodnie stany USA
GatewaySubnet: 10.41.1.0/27

Połączenia

W poniższej tabeli przedstawiono przykład sposobu łączenia sieci wirtualnych. Użyj zakresów tylko jako wytycznych. Zapisz zakresy dla sieci wirtualnych. Te informacje są potrzebne do wykonania późniejszych kroków.

W tym przykładzie sieć TestVNet1 łączy się z lokalną siecią, którą tworzysz, o nazwie "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4. Lokalna lokalizacja dla każdej sieci wirtualnej to inna sieć wirtualna. Następujące przykładowe wartości są używane dla naszej konfiguracji:

Przykład

Virtual Network Przestrzeń adresowa Lokalizacja Nawiązuje połączenie z lokalną stroną sieciową
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 Wschodnie stany USA SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 Zachodnie stany USA SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Tworzenie sieci wirtualnych

W tym kroku utworzysz dwie klasyczne sieci wirtualne: TestVNet1 i TestVNet4. Jeśli używasz tego artykułu jako ćwiczenia, użyj przykładowych wartości.

Podczas tworzenia sieci wirtualnych należy pamiętać o następujących ustawieniach:

  • Przestrzenie adresowe sieci wirtualnej — na stronie Przestrzenie adresowe sieci wirtualnej określ zakres adresów, który ma być używany dla sieci wirtualnej. Są to dynamiczne adresy IP, które zostaną przypisane do maszyn wirtualnych i innych wystąpień ról, które wdrażasz w tej sieci wirtualnej.
    Wybrane przestrzenie adresowe nie mogą nakładać się na przestrzenie adresowe dla żadnej z innych sieci wirtualnych ani lokalizacji lokalnych, z którymi ta sieć wirtualna będzie się łączyć.

  • Lokalizacja — podczas tworzenia sieci wirtualnej należy ją skojarzyć z lokalizacją platformy Azure (regionem). Jeśli na przykład chcesz, aby maszyny wirtualne wdrożone w sieci wirtualnej znajdowały się fizycznie w regionie Zachodnie stany USA, wybierz tę lokalizację. Nie można zmienić lokalizacji skojarzonej z siecią wirtualną po jej utworzeniu.

Po utworzeniu sieci wirtualnych można dodać następujące ustawienia:

  • Przestrzeń adresowa — dodatkowa przestrzeń adresowa nie jest wymagana dla tej konfiguracji, ale można dodać dodatkową przestrzeń adresową po utworzeniu sieci wirtualnej.

  • Podsieci — dodatkowe podsieci nie są wymagane dla tej konfiguracji, ale może zechcesz umieścić swoje VM w podsieci, która jest oddzielona od innych wystąpień roli.

  • Serwery DNS — wprowadź nazwę serwera DNS i adres IP. To ustawienie nie tworzy serwera DNS. Umożliwia natomiast określenie serwerów DNS, które mają być używane do rozpoznawania nazw dla tej sieci wirtualnej.

Aby utworzyć klasyczną sieć wirtualną

  1. W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.
  2. Wybierz pozycję +Utwórz zasób. W polu Szukaj w witrynie Marketplace wpisz „Sieć wirtualna”. Znajdź Sieć wirtualna w zwróconej liście i wybierz ją, aby otworzyć stronę Sieć wirtualna.
  3. Na stronie Sieć wirtualna, pod przyciskiem Utwórz, zobaczysz komunikat "Wdróż przy użyciu Menedżera Zasobów (zmień na Classic)". Resource Manager jest domyślnym wyborem do tworzenia sieci wirtualnej. Nie chcesz tworzyć sieci wirtualnej VNet Resource Manager. Wybierz (zamień na Klasyczny), aby utworzyć Klasyczny VNet. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.
  4. Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie Podstawy skonfiguruj ustawienia sieci wirtualnej przy użyciu przykładowych wartości.
  5. Wybierz Przejrzyj i utwórz, aby zweryfikować sieć wirtualną.
  6. Przebiegi walidacji. Po zweryfikowaniu sieci wirtualnej wybierz pozycję Utwórz.

Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale dns jest konieczne, jeśli chcesz rozpoznawania nazw między maszynami wirtualnymi. Określenie wartości nie powoduje utworzenia nowego serwera DNS. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.

Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i dodaj adres IP serwera DNS, którego chcesz użyć do rozpoznawania nazw.

  1. Znajdź sieć wirtualną w portalu.
  2. Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję Serwery DNS.
  3. Dodaj serwer DNS.
  4. Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.

Konfigurowanie lokacji i bram

Platforma Azure używa ustawień określonych w każdej lokalizacji sieciowej, aby ustalić sposób routingu ruchu między sieciami wirtualnymi. Każda sieć wirtualna musi wskazywać odpowiednią sieć lokalną, do której ma być kierowany ruch. Określ nazwę, której chcesz użyć do odwoływania się do każdej lokacji sieci lokalnej. Najlepiej użyć czegoś opisowego.

Na przykład TestVNet1 łączy się ze stroną sieci lokalnej nazwaną "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4.

Należy pamiętać, że lokalna witryna dla każdej sieci wirtualnej to druga sieć wirtualna.

Virtual Network Przestrzeń adresowa Lokalizacja Nawiązuje połączenie z lokalną siecią
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 Wschodnie stany USA Sieć Wirtualna Lokacja4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 Zachodnie stany USA SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Aby skonfigurować witrynę

Miejsce lokalne zazwyczaj odnosi się do Twojej lokalizacji na miejscu. Zawiera adres IP urządzenia sieci VPN, z którym utworzysz połączenie, oraz zakresy adresów IP, które są kierowane przez bramę sieci VPN do urządzenia sieci VPN.

  1. Na stronie dla Twojej sieci wirtualnej, w sekcji Ustawienia, wybierz Połączenia lokacja-lokacja.

  2. Na stronie połączenia lokacja-lokacja wybierz pozycję + Dodaj.

  3. Na stronie Konfiguruj połączenie sieci VPN i bramę w sekcji Typ połączenia pozostaw zaznaczoną opcję Site-to-site.

    • Adres IP bramy sieci VPN: Publiczny adres IP urządzenia sieci VPN w sieci lokalnej. W tym ćwiczeniu można umieścić fikcyjny adres, ponieważ nie masz jeszcze adresu IP bramy sieci VPN dla innej lokacji. Na przykład 5.4.3.2. Później, po skonfigurowaniu bramy dla drugiej sieci wirtualnej, możesz dostosować tę wartość.

    • Przestrzeń adresowa klienta: wyświetl listę zakresów adresów IP, które mają być kierowane do drugiej sieci wirtualnej za pośrednictwem tej bramy. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie nakładają się na zakresy innych sieci, z którymi łączy się sieć wirtualna, ani z zakresami adresów samej sieci wirtualnej.

  4. W dolnej części strony nie wybieraj pozycji Przejrzyj i utwórz. Zamiast tego wybierz pozycję Dalej: Brama>.

Aby skonfigurować bramę sieci wirtualnej

  1. Na stronie Gateway wybierz następujące wartości:

    • Rozmiar: Jest to SKU bramy sieci, które używasz do tworzenia bramy sieci wirtualnej. Klasyczne bramy sieci VPN używają starych (starszych) wersji SKU bramy. Aby uzyskać więcej informacji o starszych jednostkach SKU bramy, zobacz Working with virtual network gateway SKUs (old SKUs) (Praca z jednostkami SKU [starymi jednostkami SKU] bramy sieci wirtualnej). Dla tego ćwiczenia możesz wybrać pozycję Standardowa .

    • Podsieć bramy: rozmiar określonej podsieci bramy zależy od konfiguracji bramy sieci VPN, którą chcesz utworzyć. Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29, zalecamy użycie /27 lub /28. Spowoduje to utworzenie większej podsieci obejmującej więcej adresów. Zastosowanie większej podsieci dla bramy zapewnia wystarczającą liczbę adresów IP do obsługi ewentualnych przyszłych konfiguracji.

  2. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować ustawienia. Wybierz pozycję Utwórz , aby wdrożyć. Utworzenie bramy sieci wirtualnej może zająć do 45 minut, w zależności od wybranej jednostki SKU bramy.

  3. Możesz rozpocząć przejście do następnego kroku podczas tworzenia tej bramy.

Konfigurowanie ustawień sieci TestVNet4

Powtórz kroki dotyczące tworzenia witryny i bramy, aby skonfigurować TestVNet4, zamieniając wartości w razie potrzeby. Jeśli robisz to jako ćwiczenie, użyj przykładowych wartości.

Aktualizowanie witryn lokalnych

Po utworzeniu bram sieci wirtualnej dla obu sieci wirtualnych należy dostosować właściwości lokacji lokalnej dla adresu IP bramy sieci VPN.

Nazwa sieci wirtualnej Połączona witryna Adres IP bramy
TestVNet1 VNet4Local Adres IP bramy sieci VPN dla sieci TestVNet4
TestVNet4 VNet1Local Adres IP bramy sieci VPN dla sieci TestVNet1

Część 1 - Pobierz publiczny adres IP bramy sieci wirtualnej

  1. Przejdź do sieci wirtualnej, przechodząc do grupy zasobów i wybierając sieć wirtualną.
  2. Na stronie dla Twojej sieci wirtualnej, w okienku Podstawy po prawej stronie, znajdź adres IP bramy i skopiuj do schowka.

Część 2. Modyfikowanie właściwości witryny lokalnej

  1. W obszarze Połączenia międzylokacyjne wybierz połączenie. Na przykład siteVNet4.
  2. Na stronie Właściwości połączenia site-to-site wybierz pozycję Edytuj witrynę lokalną.
  3. W polu Adres IP bramy sieci VPN wklej adres IP bramy sieci VPN skopiowany w poprzedniej sekcji.
  4. Wybierz przycisk OK.
  5. Pole jest aktualizowane w systemie. Możesz również użyć tej metody, aby dodać dodatkowy adres IP, który ma być kierowany do tej witryny.

Część 3 - Powtórz kroki dla drugiej sieci wirtualnej

Powtórz kroki dla sieci TestVNet4.

Pobieranie wartości konfiguracji

Podczas tworzenia klasycznych sieci wirtualnych w witrynie Azure Portal wyświetlana nazwa nie jest pełną nazwą używaną w programie PowerShell. Na przykład sieć wirtualna, która wydaje się mieć nazwę TestVNet1 w portalu, może mieć znacznie dłuższą nazwę w pliku konfiguracji sieci. W przypadku sieci VNet w grupie zasobów "ClassicRG" nazwa może wyglądać następująco: Group ClassicRG TestVNet1. Podczas tworzenia połączeń ważne jest użycie wartości widocznych w pliku konfiguracji sieci.

W poniższych krokach połączysz się z kontem platformy Azure i pobierzesz i wyświetlisz plik konfiguracji sieci, aby uzyskać wartości wymagane dla połączeń.

  1. Pobierz i zainstaluj najnowszą wersję cmdletów PowerShell Azure Service Management (SM). Większość osób ma zainstalowane lokalnie moduły usługi Resource Manager, ale nie mają modułów zarządzania usługami. Moduły zarządzania usługami są starsze i muszą być zainstalowane oddzielnie. Aby uzyskać więcej informacji, zobacz Instalowanie poleceń cmdlet zarządzania usługami.

  2. Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się ze swoim kontem. Skorzystaj z poniższych przykładów, aby ułatwić nawiązywanie połączenia. Te polecenia należy uruchomić lokalnie przy użyciu modułu zarządzania usługami programu PowerShell. Połącz się ze swoim kontem. Użyj poniższego przykładu w celu łatwiejszego nawiązania połączenia:

    Add-AzureAccount

  3. Sprawdź subskrypcje dostępne na koncie.

    Get-AzureSubscription

  4. Jeśli masz więcej niż jedną subskrypcję, wybierz tę, której chcesz użyć.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Utwórz katalog na komputerze. Na przykład C:\AzureVNet

  6. Wyeksportuj plik konfiguracji sieci do katalogu. W tym przykładzie plik konfiguracji sieci jest eksportowany do folderu C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Otwórz plik za pomocą edytora tekstu i wyświetl nazwy swoich sieci wirtualnych i lokalizacji. Te nazwy będą nazwami używanymi podczas tworzenia połączeń.
    Nazwy sieci wirtualnych są wyświetlane jako Nazwa witryny VirtualNetworkSite =
    Nazwy witryn są wyświetlane jako Nazwa LocalNetworkSiteRef =

Tworzenie połączeń

Po zakończeniu wszystkich poprzednich kroków można skonfigurować klucze preshared dla IPsec/IKE i utworzyć połączenie. Ten zestaw kroków używa programu PowerShell. Nie można skonfigurować połączeń między sieciami wirtualnymi dla klasycznego modelu wdrażania w portalu Azure, ponieważ nie można określić klucza współużytkowanego w portalu.

W przykładach zwróć uwagę, że klucz wspólny jest dokładnie taki sam. Współużytkowany klucz zawsze musi być zgodny. Pamiętaj, aby zastąpić wartości w tych przykładach dokładnymi nazwami dla swoich sieci wirtualnych (VNet) i lokalnych sieci.

  1. Utwórz połączenie między sieciami wirtualnymi TestVNet1 i TestVNet4. Pamiętaj, aby zmienić wartości.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Utwórz połączenie TestVNet4 do TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Poczekaj na zainicjowanie połączeń. Po zainicjowaniu bramy status to "udany".

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

Najczęściej zadawane pytania i zagadnienia

Te zagadnienia dotyczą klasycznych sieci wirtualnych i klasycznych bram sieci wirtualnych.

  • Sieci wirtualne mogą znajdować się w tych samych lub różnych subskrypcjach.
  • Sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (lokalizacjach) świadczenia usługi Azure.
  • Usługa w chmurze lub punkt końcowy równoważenia obciążenia nie może obejmować sieci wirtualnych, nawet jeśli są połączone ze sobą.
  • Łączenie wielu sieci wirtualnych ze sobą nie wymaga żadnych urządzeń sieci VPN.
  • VNet-do-VNet obsługuje łączenie sieci wirtualnych w platformie Azure. Nie obsługuje ona łączenia maszyn wirtualnych ani usług w chmurze, które nie są wdrażane w sieci wirtualnej.
  • Połączenie sieci wirtualnych wymaga użycia bram dynamicznego routingu. Bramy routingu statycznego platformy Azure nie są obsługiwane.
  • Połączenie sieci wirtualnej może być używane równocześnie z sieciami VPN obejmującymi wiele lokacji. Istnieje maksymalnie 10 tuneli vpn dla bramy sieci VPN sieci wirtualnej łączącej się z innymi sieciami wirtualnymi lub lokacjami lokalnymi.
  • Przestrzenie adresów sieci wirtualnych i lokalnych sieci na terenie firmy nie mogą się nakładać. Nakładające się przestrzenie adresowe powodują niepowodzenie tworzenia sieci wirtualnych lub przekazywania plików konfiguracji netcfg.
  • Nadmiarowe tunele między parą sieci wirtualnych nie są obsługiwane.
  • Wszystkie tunele sieci VPN dla sieci wirtualnej, w tym VPN typu punkt-sieć, współdzielą dostępną przepustowość bramy sieci VPN oraz to samo SLA dotyczące czasu działania bramy sieci VPN w Azure.
  • Ruch między sieciami VNet jest przesyłany przez szkielet platformy Azure.

Następne kroki

Sprawdź połączenia. Zobacz Weryfikowanie połączenia usługi VPN Gateway.