Ćwiczenie — tworzenie bramy międzylokacyjnej sieci VPN przy użyciu poleceń interfejsu wiersza polecenia platformy Azure

Ukończone

Teraz możesz przystąpić do ukończenia procesu tworzenia bramy międzylokacyjnej sieci VPN, tworząc publiczne adresy IP, bramy sieci wirtualnej oraz połączenia. Pamiętaj, że użyto symboli zastępczych dla odwołań do publicznego adresu IP podczas tworzenia bram sieci lokalnej, więc jednym z zadań jest teraz zaktualizowanie tych bram przy użyciu rzeczywistych publicznych adresów IP przypisanych do bram sieci wirtualnej.

Publiczne adresy IP i bramy sieci wirtualnej najlepiej jest utworzyć przed bramami sieci lokalnej. W tym ćwiczeniu dowiesz się, jak zaktualizować bramy sieci lokalnej. Tych samych poleceń można użyć w celu zaktualizowania dowolnego elementu konfiguracji w bramach sieci lokalnej, takiego jak przestrzenie adresowe sieci zdalnej.

Tworzenie bramy sieci VPN po stronie platformy Azure

Najpierw utwórz bramę sieci VPN dla końca połączenia platformy Azure. Tworzenie bramy sieci wirtualnej może potrwać do 45 minut. Aby zaoszczędzić czas, użyj poleceń interfejsu wiersza polecenia platformy Azure z parametrem --no-wait . Ten parametr umożliwia utworzenie obu bram sieci wirtualnej jednocześnie, aby zminimalizować całkowity czas wymagany do utworzenia tych zasobów.

1. Uruchom następujące polecenie w Cloud Shell, aby utworzyć publiczny adres IP PIP-VNG-Azure-VNet-1:

   az network public-ip create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name PIP-VNG-Azure-VNet-1 \
       --allocation-method Static
   

2. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć sieć wirtualną VNG-Azure-VNet-1:

   az network vnet create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name VNG-Azure-VNet-1 \
       --subnet-name GatewaySubnet 
   

3. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć bramę sieci wirtualnej VNG-Azure-VNet-1:

   az network vnet-gateway create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name VNG-Azure-VNet-1 \
       --public-ip-addresses PIP-VNG-Azure-VNet-1 \
       --vnet VNG-Azure-VNet-1 \
       --gateway-type Vpn \
       --vpn-type RouteBased \
       --sku VpnGw1 \
       --no-wait
   

Tworzenie bramy sieci VPN po stronie środowiska lokalnego

Następnie utworzysz bramę sieci VPN w celu symulowania lokalnego urządzenia sieci VPN.

1. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć publiczny adres IP PIP-VNG-HQ-Network:

   az network public-ip create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name PIP-VNG-HQ-Network \
       --allocation-method Static
   

2. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć sieć wirtualną VNG-HQ-Network:

   az network vnet create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name VNG-HQ-Network \
       --subnet-name GatewaySubnet 
   

3. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć bramę sieci wirtualnej VNG-HQ-Network:

   az network vnet-gateway create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name VNG-HQ-Network \
       --public-ip-addresses PIP-VNG-HQ-Network \
       --vnet VNG-HQ-Network \
       --gateway-type Vpn \
       --vpn-type RouteBased \
       --sku VpnGw1 \
       --no-wait
   

4. Tworzenie bramy trwa około 30 minut. Aby monitorować postęp tworzenia bramy, uruchom następujące polecenie. Używamy polecenia watch systemu Linux do okresowego uruchamiania polecenia az network vnet-gateway list, co umożliwia monitorowanie postępu:

   watch -d -n 5 az network vnet-gateway list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --output table
   

5. Kiedy każda brama sieci VPN będzie miała w polu ProvisioningState wartość Powodzenie, będzie można kontynuować. Po utworzeniu bramy naciśnij klawisze Ctrl+C, aby zatrzymać wykonywanie polecenia.

   ActiveActive    EnableBgp    EnablePrivateIpAddress   GatewayType    Location        Name              ProvisioningState    ResourceGroup                         ResourceGuid                          VpnType
   --------------  -----------  ------------------------ -------------  --------------  ----------------  -------------------  -----------------------------  ------------------------------------  ----------
   False           False        False                    Vpn            southcentralus  VNG-Azure-VNet-1  Succeeded            "<rgn>[sandbox resource group name]</rgn>"  48dc714e-a700-42ad-810f-a8163ee8e001  RouteBased
   False           False        False                    Vpn            southcentralus  VNG-HQ-Network    Succeeded            "<rgn>[sandbox resource group name]</rgn>"  49b3041d-e878-40d9-a135-58e0ecb7e48b  RouteBased
   

Aktualizowanie odwołań adresu IP bramy sieci lokalnej

Ważne

Przed rozpoczęciem następnego ćwiczenia bramy sieci wirtualnej muszą zostać pomyślnie wdrożone. Ukończenie bramy może potrwać co najmniej 30 minut. Jeśli parametr ProvisioningState nie zawiera jeszcze komunikatu "Powodzenie", musisz poczekać.

W tej sekcji zaktualizujesz odwołania adresów IP bramy zdalnej zdefiniowane w bramach sieci lokalnej. Nie można aktualizować bram sieci lokalnej, zanim nie zostaną utworzone bramy sieci VPN i zanim adres IPv4 nie zostanie przypisany i skojarzony z nimi.

1. Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby sprawdzić, czy obie bramy sieci wirtualnej zostały utworzone. W stanie początkowym jest wyświetlany stan Aktualizowanie. Chcesz zobaczyć powodzenie w sieci VNG-Azure-VNet-1 i VNG-HQ-Network.

   az network vnet-gateway list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --output table
   

   Name              Location    GatewayType    VpnType     VpnGatewayGeneration    EnableBgp    EnablePrivateIpAddress    Active    ResourceGuid                        ProvisioningState    ResourceGroup
   ----------------  ----------  -------------  ----------  ----------------------  -----------  ------------------------  --------  ------------------------------------  -------------------  ------------------------------------------
   VNG-Azure-VNet-1  westus      Vpn            RouteBased  Generation1         False        False                     False     9a2e60e6-da57-4274-99fd-e1f8b2c0326d  Succeeded            learn-cfbcca66-16fd-423e-b688-66f242d8f09e
   VNG-HQ-Network    westus      Vpn            RouteBased  Generation1         False        False                     False     c36430ed-e6c0-4230-ae40-cf937a102bcd  Succeeded            learn-cfbcca66-16fd-423e-b688-66f242d8f09e
   

   Pamiętaj, aby poczekać, aż lista bram zostanie pomyślnie zwrócona. Należy również pamiętać, że zasoby bramy sieci lokalnej definiują bramę zdalną i ustawienia sieci, od której są nazwane. Na przykład brama sieci lokalnej LNG-Azure-VNet-1 zawiera informacje takie jak adres IP oraz sieci dla sieci wirtualnej Azure-VNet-1.

2. Uruchom następujące polecenie w usłudze Cloud Shell, aby pobrać adres IPv4 przypisany do PIP-VNG-Azure-VNet-1 i zapisać go w zmiennej:

   PIPVNGAZUREVNET1=$(az network public-ip show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name PIP-VNG-Azure-VNet-1 \
       --query "[ipAddress]" \
       --output tsv)
   

3. Uruchom następujące polecenie w usłudze Cloud Shell, aby zaktualizować bramę sieci lokalnej LNG-Azure-VNet-1, aby wskazywać publiczny adres IP dołączony do bramy sieci wirtualnej VNG-Azure-VNet-1:

   az network local-gateway update \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name LNG-Azure-VNet-1 \
       --gateway-ip-address $PIPVNGAZUREVNET1
   

4. Uruchom następujące polecenie w usłudze Cloud Shell, aby pobrać adres IPv4 przypisany do PIP-VNG-HQ-Network i zapisać go w zmiennej.

   PIPVNGHQNETWORK=$(az network public-ip show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name PIP-VNG-HQ-Network \
       --query "[ipAddress]" \
       --output tsv)
   

5. Uruchom następujące polecenie w Cloud Shell, aby zaktualizować lokalną bramę sieciową LNG-HQ-Network, aby wskazywała na publiczny adres IP, który jest przypisany do bramy sieci wirtualnej VNG-HQ-Network.

   az network local-gateway update \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name LNG-HQ-Network \
       --gateway-ip-address $PIPVNGHQNETWORK
   

Tworzenie połączeń

W tym miejscu należy ukończyć konfigurację, tworząc połączenia z każdej bramy sieci VPN do bramy sieci lokalnej, która zawiera odwołania do publicznego adresu IP dla sieci zdalnej tej bramy.

1. Utwórz klucz współużytkowany, który ma być używany dla połączeń. W poniższym poleceniu zastąp <shared key> ciąg tekstowy do użycia dla klucza wstępnego protokołu IPSec. Klucz wstępny jest ciągiem drukowalnych znaków ASCII, które nie są dłuższe niż 128 znaków. Nie może zawierać znaków specjalnych, takich jak łączniki i tyldy. Ten klucz wstępny jest używany w obu połączeniach.

   Uwaga

   W tym przykładzie dowolny zestaw liczb będzie działać dla klucza współużytkowanego: SHAREDKEY=123456789. W środowiskach produkcyjnych zalecamy używanie ciągu drukowalnych znaków ASCII, które nie są dłuższe niż 128 znaków bez znaków specjalnych, takich jak łączniki lub tyldy.

   SHAREDKEY=<shared key>
   

2. Należy pamiętać, że sieć LNG-HQ-Network zawiera odwołanie do adresu IP na symulowanym lokalnym urządzeniu sieci VPN. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć połączenie z VNG-Azure-VNet-1 do LNG-HQ-Network:

   az network vpn-connection create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name Azure-VNet-1-To-HQ-Network \
       --vnet-gateway1 VNG-Azure-VNet-1 \
       --shared-key $SHAREDKEY \
       --local-gateway2 LNG-HQ-Network
   

3. Należy pamiętać, że sieć LNG-Azure-VNet-1 zawiera odwołanie do publicznego adresu IP skojarzonego z bramą sieci VPN VNG-Azure-VNet-1. To połączenie normalnie zostałoby utworzone z poziomu urządzenia lokalnego. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć połączenie z VNG-HQ-Network do LNG-Azure-VNet-1:

   az network vpn-connection create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name HQ-Network-To-Azure-VNet-1  \
       --vnet-gateway1 VNG-HQ-Network \
       --shared-key $SHAREDKEY \
       --local-gateway2 LNG-Azure-VNet-1
   

Konfiguracja połączenia lokacja-lokacja została zakończona. Może to potrwać kilka minut, ale tunele powinny łączyć się automatycznie i stać się aktywne.

Kroki weryfikacji

Potwierdź, że tunele sieci VPN są połączone.

1. Uruchom następujące polecenie, aby potwierdzić, że Azure-VNet-1-To-HQ-Network jest połączona:

   az network vpn-connection show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name Azure-VNet-1-To-HQ-Network  \
       --output table \
       --query '{Name:name,ConnectionStatus:connectionStatus}'
   

   Powinny zostać wyświetlone dane wyjściowe podobne do poniższych, co wskazuje, że połączenie zakończy się pomyślnie. Jeśli polecenie ConnectionStatus jest wyświetlane jako Connecting lub Unknown, zaczekaj minutę lub dwie i uruchom ponownie polecenie. Łączenie może potrwać kilka minut.

   Name                        ConnectionStatus
   --------------------------  ------------------
   Azure-VNet-1-To-HQ-Network  Connected
   

Na tym kończy się konfiguracja połączenia lokacja-lokacja. Ostateczna topologia, w tym podsieci i połączenia z punktami połączenia logicznego, pojawia się na poniższym diagramie. Maszyny wirtualne wdrożone w podsieciach Usługi i Aplikacje mogą teraz komunikować się ze sobą, ponieważ pomyślnie ustanowiono połączenia sieci VPN.