Ćwiczenie — tworzenie bramy międzylokacyjnej sieci VPN przy użyciu poleceń interfejsu wiersza polecenia platformy Azure
Teraz możesz przystąpić do ukończenia procesu tworzenia bramy międzylokacyjnej sieci VPN, tworząc publiczne adresy IP, bramy sieci wirtualnej oraz połączenia. Pamiętaj, że użyto symboli zastępczych dla odwołań do publicznego adresu IP podczas tworzenia bram sieci lokalnej, więc jednym z zadań jest teraz zaktualizowanie tych bram przy użyciu rzeczywistych publicznych adresów IP przypisanych do bram sieci wirtualnej.
Publiczne adresy IP i bramy sieci wirtualnej najlepiej jest utworzyć przed bramami sieci lokalnej. W tym ćwiczeniu dowiesz się, jak zaktualizować bramy sieci lokalnej. Tych samych poleceń można użyć w celu zaktualizowania dowolnego elementu konfiguracji w bramach sieci lokalnej, takiego jak przestrzenie adresowe sieci zdalnej.
Tworzenie bramy sieci VPN po stronie platformy Azure
Najpierw utwórz bramę sieci VPN dla końca połączenia platformy Azure. Tworzenie bramy sieci wirtualnej może potrwać do 45 minut. Aby zaoszczędzić czas, użyj poleceń interfejsu wiersza polecenia platformy Azure z parametrem --no-wait
. Ten parametr umożliwia utworzenie obu bram sieci wirtualnej jednocześnie, aby zminimalizować całkowity czas wymagany do utworzenia tych zasobów.
Uruchom następujące polecenie w Cloud Shell, aby utworzyć publiczny adres IP PIP-VNG-Azure-VNet-1:
az network public-ip create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name PIP-VNG-Azure-VNet-1 \ --allocation-method Static
Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć sieć wirtualną VNG-Azure-VNet-1:
az network vnet create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name VNG-Azure-VNet-1 \ --subnet-name GatewaySubnet
Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć bramę sieci wirtualnej VNG-Azure-VNet-1:
az network vnet-gateway create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name VNG-Azure-VNet-1 \ --public-ip-addresses PIP-VNG-Azure-VNet-1 \ --vnet VNG-Azure-VNet-1 \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-wait
Tworzenie bramy sieci VPN po stronie środowiska lokalnego
Następnie utworzysz bramę sieci VPN w celu symulowania lokalnego urządzenia sieci VPN.
Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć publiczny adres IP PIP-VNG-HQ-Network:
az network public-ip create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name PIP-VNG-HQ-Network \ --allocation-method Static
Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć sieć wirtualną VNG-HQ-Network:
az network vnet create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name VNG-HQ-Network \ --subnet-name GatewaySubnet
Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć bramę sieci wirtualnej VNG-HQ-Network:
az network vnet-gateway create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name VNG-HQ-Network \ --public-ip-addresses PIP-VNG-HQ-Network \ --vnet VNG-HQ-Network \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-wait
Tworzenie bramy trwa około 30 minut. Aby monitorować postęp tworzenia bramy, uruchom następujące polecenie. Używamy polecenia
watch
systemu Linux do okresowego uruchamiania poleceniaaz network vnet-gateway list
, co umożliwia monitorowanie postępu:watch -d -n 5 az network vnet-gateway list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --output table
Kiedy każda brama sieci VPN będzie miała w polu ProvisioningState wartość Powodzenie, będzie można kontynuować. Po utworzeniu bramy naciśnij klawisze Ctrl+C, aby zatrzymać wykonywanie polecenia.
ActiveActive EnableBgp EnablePrivateIpAddress GatewayType Location Name ProvisioningState ResourceGroup ResourceGuid VpnType -------------- ----------- ------------------------ ------------- -------------- ---------------- ------------------- ----------------------------- ------------------------------------ ---------- False False False Vpn southcentralus VNG-Azure-VNet-1 Succeeded "<rgn>[sandbox resource group name]</rgn>" 48dc714e-a700-42ad-810f-a8163ee8e001 RouteBased False False False Vpn southcentralus VNG-HQ-Network Succeeded "<rgn>[sandbox resource group name]</rgn>" 49b3041d-e878-40d9-a135-58e0ecb7e48b RouteBased
Aktualizowanie odwołań adresu IP bramy sieci lokalnej
Ważne
Przed rozpoczęciem następnego ćwiczenia bramy sieci wirtualnej muszą zostać pomyślnie wdrożone. Ukończenie bramy może potrwać co najmniej 30 minut. Jeśli parametr ProvisioningState nie zawiera jeszcze komunikatu "Powodzenie", musisz poczekać.
W tej sekcji zaktualizujesz odwołania adresów IP bramy zdalnej zdefiniowane w bramach sieci lokalnej. Nie można aktualizować bram sieci lokalnej, zanim nie zostaną utworzone bramy sieci VPN i zanim adres IPv4 nie zostanie przypisany i skojarzony z nimi.
Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby sprawdzić, czy obie bramy sieci wirtualnej zostały utworzone. W stanie początkowym jest wyświetlany stan Aktualizowanie. Chcesz zobaczyć powodzenie w sieci VNG-Azure-VNet-1 i VNG-HQ-Network.
az network vnet-gateway list \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --output table
Name Location GatewayType VpnType VpnGatewayGeneration EnableBgp EnablePrivateIpAddress Active ResourceGuid ProvisioningState ResourceGroup ---------------- ---------- ------------- ---------- ---------------------- ----------- ------------------------ -------- ------------------------------------ ------------------- ------------------------------------------ VNG-Azure-VNet-1 westus Vpn RouteBased Generation1 False False False 9a2e60e6-da57-4274-99fd-e1f8b2c0326d Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09e VNG-HQ-Network westus Vpn RouteBased Generation1 False False False c36430ed-e6c0-4230-ae40-cf937a102bcd Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09e
Pamiętaj, aby poczekać, aż lista bram zostanie pomyślnie zwrócona. Należy również pamiętać, że zasoby bramy sieci lokalnej definiują bramę zdalną i ustawienia sieci, od której są nazwane. Na przykład brama sieci lokalnej LNG-Azure-VNet-1 zawiera informacje takie jak adres IP oraz sieci dla sieci wirtualnej Azure-VNet-1.
Uruchom następujące polecenie w usłudze Cloud Shell, aby pobrać adres IPv4 przypisany do PIP-VNG-Azure-VNet-1 i zapisać go w zmiennej:
PIPVNGAZUREVNET1=$(az network public-ip show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name PIP-VNG-Azure-VNet-1 \ --query "[ipAddress]" \ --output tsv)
Uruchom następujące polecenie w usłudze Cloud Shell, aby zaktualizować bramę sieci lokalnej LNG-Azure-VNet-1, aby wskazywać publiczny adres IP dołączony do bramy sieci wirtualnej VNG-Azure-VNet-1:
az network local-gateway update \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name LNG-Azure-VNet-1 \ --gateway-ip-address $PIPVNGAZUREVNET1
Uruchom następujące polecenie w usłudze Cloud Shell, aby pobrać adres IPv4 przypisany do PIP-VNG-HQ-Network i zapisać go w zmiennej.
PIPVNGHQNETWORK=$(az network public-ip show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name PIP-VNG-HQ-Network \ --query "[ipAddress]" \ --output tsv)
Uruchom następujące polecenie w Cloud Shell, aby zaktualizować lokalną bramę sieciową LNG-HQ-Network, aby wskazywała na publiczny adres IP, który jest przypisany do bramy sieci wirtualnej VNG-HQ-Network.
az network local-gateway update \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name LNG-HQ-Network \ --gateway-ip-address $PIPVNGHQNETWORK
Tworzenie połączeń
W tym miejscu należy ukończyć konfigurację, tworząc połączenia z każdej bramy sieci VPN do bramy sieci lokalnej, która zawiera odwołania do publicznego adresu IP dla sieci zdalnej tej bramy.
Utwórz klucz współużytkowany, który ma być używany dla połączeń. W poniższym poleceniu zastąp
<shared key>
ciąg tekstowy do użycia dla klucza wstępnego protokołu IPSec. Klucz wstępny jest ciągiem drukowalnych znaków ASCII, które nie są dłuższe niż 128 znaków. Nie może zawierać znaków specjalnych, takich jak łączniki i tyldy. Ten klucz wstępny jest używany w obu połączeniach.Uwaga
W tym przykładzie dowolny zestaw liczb będzie działać dla klucza współużytkowanego: SHAREDKEY=123456789. W środowiskach produkcyjnych zalecamy używanie ciągu drukowalnych znaków ASCII, które nie są dłuższe niż 128 znaków bez znaków specjalnych, takich jak łączniki lub tyldy.
SHAREDKEY=<shared key>
Należy pamiętać, że sieć LNG-HQ-Network zawiera odwołanie do adresu IP na symulowanym lokalnym urządzeniu sieci VPN. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć połączenie z VNG-Azure-VNet-1 do LNG-HQ-Network:
az network vpn-connection create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name Azure-VNet-1-To-HQ-Network \ --vnet-gateway1 VNG-Azure-VNet-1 \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-HQ-Network
Należy pamiętać, że sieć LNG-Azure-VNet-1 zawiera odwołanie do publicznego adresu IP skojarzonego z bramą sieci VPN VNG-Azure-VNet-1. To połączenie normalnie zostałoby utworzone z poziomu urządzenia lokalnego. Uruchom następujące polecenie w usłudze Cloud Shell, aby utworzyć połączenie z VNG-HQ-Network do LNG-Azure-VNet-1:
az network vpn-connection create \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name HQ-Network-To-Azure-VNet-1 \ --vnet-gateway1 VNG-HQ-Network \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-Azure-VNet-1
Konfiguracja połączenia lokacja-lokacja została zakończona. Może to potrwać kilka minut, ale tunele powinny łączyć się automatycznie i stać się aktywne.
Kroki weryfikacji
Potwierdź, że tunele sieci VPN są połączone.
Uruchom następujące polecenie, aby potwierdzić, że Azure-VNet-1-To-HQ-Network jest połączona:
az network vpn-connection show \ --resource-group "<rgn>[sandbox resource group name]</rgn>" \ --name Azure-VNet-1-To-HQ-Network \ --output table \ --query '{Name:name,ConnectionStatus:connectionStatus}'
Powinny zostać wyświetlone dane wyjściowe podobne do poniższych, co wskazuje, że połączenie zakończy się pomyślnie. Jeśli polecenie
ConnectionStatus
jest wyświetlane jakoConnecting
lubUnknown
, zaczekaj minutę lub dwie i uruchom ponownie polecenie. Łączenie może potrwać kilka minut.Name ConnectionStatus -------------------------- ------------------ Azure-VNet-1-To-HQ-Network Connected
Na tym kończy się konfiguracja połączenia lokacja-lokacja. Ostateczna topologia, w tym podsieci i połączenia z punktami połączenia logicznego, pojawia się na poniższym diagramie. Maszyny wirtualne wdrożone w podsieciach Usługi i Aplikacje mogą teraz komunikować się ze sobą, ponieważ pomyślnie ustanowiono połączenia sieci VPN.