Compartilhar via

Configurar o ExpressRoute e as conexões coexistentes site a site usando o PowerShell

  • Artigo

Este artigo ajuda você a configurar conexões do ExpressRoute e VPN site a site que coexistem. A configuração de ambas as conexões tem várias vantagens:

  • Você pode configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute.
  • Como alternativa, você pode usar VPNs site a site para se conectar a sites que não estão conectados pelo ExpressRoute.

As etapas para configurar as duas situações são cobertas neste artigo. Este artigo se aplica ao modelo de implantação do Gerenciador de Recursos e usa o PowerShell. Você também pode configurar esses cenários utilizando o portal do Azure, embora a documentação ainda não esteja disponível. Você pode configurar um gateway pela primeira vez. Normalmente, você não experimenta nenhum tempo de inatividade ao adicionar um novo gateway ou uma nova conexão de gateway.

Observação

Se você quiser criar uma VPN site a site em um circuito do ExpressRoute, confira VPN site a site em um emparelhamento da Microsoft.

Limites e limitações

  • Há suporte para apenas um gateway de VPN baseado em rotas. Você deve usar uma rota baseada no gateway de VPN. Você também pode usar um gateway de VPN baseado em rota com uma conexão VPN configurada para 'seletor de tráfego baseado em política', conforme descrito em Conectar a vários dispositivos VPN baseados em política.
  • As configurações de coexistência do ExpressRoute-VPN Gateway não têm suporte no IP público de SKU básica .
  • Se você quiser usar o roteamento de trânsito entre o ExpressRoute e a VPN, o ASN do Gateway de VPN do Azure deve ser definido como 65515, e o Servidor de Rota do Azure deve ser usado. O Gateway de VPN do Azure tem suporte para o protocolo de roteamento BGP. Para que o ExpressRoute e a VPN do Azure funcionem juntos, você precisa manter o número do sistema autônomo do seu gateway de VPN do Azure no valor padrão, 65515. Se você tiver selecionado um ASN diferente de 65515 e mudar a configuração para 65515, precisará redefinir o gateway de VPN para que a configuração entre em vigor.
  • A sub-rede de gateway deve ser /27 ou um prefixo menor, como /26 ou /25, ou você receberá uma mensagem de erro ao adicionar o gateway de rede virtual do ExpressRoute.

Designs de configuração

Configurar uma VPN site a site como um caminho de failover para o ExpressRoute

Você pode configurar uma conexão VPN site a site como backup da sua conexão do ExpressRoute. Essa configuração se aplica somente a redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não há uma solução de failover com base em VPN para serviços acessíveis por meio de emparelhamentos da Microsoft no Azure. O circuito do ExpressRoute é sempre o link primário e os dados fluem pelo caminho da VPN site a site somente se o circuito do ExpressRoute falhar. Para evitar roteamento assimétrico, configure sua rede local para preferir o circuito do ExpressRoute à VPN site a site definindo uma preferência local mais alta para as rotas recebidas via ExpressRoute.

Observação

  • Se você tiver o emparelhamento do Microsoft ExpressRoute habilitado, poderá receber o endereço IP público do seu gateway de VPN do Azure na conexão do ExpressRoute. Para configurar sua conexão VPN site a site como backup, configure sua rede local para que a conexão VPN seja roteada para a Internet.
  • Embora o caminho de circuito do ExpressRoute seja preferível à VPN site a site quando as duas rotas são iguais, o Azure usa a correspondência de prefixo mais longa para escolher a rota para o destino do pacote.

Diagrama mostrando uma conexão VPN site a site como backup para o ExpressRoute.

Configurar uma VPN site a site para se conectar a sites não conectados pelo ExpressRoute

Você pode configurar sua rede para que alguns sites se conectem diretamente ao Azure por meio de uma VPN site a site, enquanto outros se conectam por meio do ExpressRoute.

Coexistência

Selecionando as etapas de uso

Há dois conjuntos diferentes de procedimentos para escolher. O procedimento de configuração selecionado depende de você ter uma rede virtual existente ou precisar criar outra.

  • Não tenho uma rede virtual e preciso criar uma.

    Se você ainda não tiver uma rede virtual, esse procedimento orientará você na criação de uma nova rede virtual usando o modelo de implantação do Resource Manager e na criação de novas conexões ExpressRoute e VPN site a site.

  • Já tenho uma rede virtual com modelo de implantação do Resource Manager.

    Se você já tiver uma rede virtual com uma conexão VPN site a site ou ExpressRoute existente e o prefixo da sub-rede de gateway for /28 ou maior (/29, /30 etc.), será necessário excluir o gateway existente. As etapas para configurar conexões coexistentes para uma seção de rede virtual existente orientam você na exclusão do gateway e na criação de novas conexões ExpressRoute e VPN site a site.

    Excluir e recriar o gateway causará tempo de inatividade para suas conexões entre locais. No entanto, suas VMs e serviços podem se conectar à Internet enquanto você configura o gateway, se estiverem configurados para isso.

Antes de começar

As etapas e os exemplos deste artigo usam os módulos AZ do Azure PowerShell. Para instalar os módulos AZ localmente no computador, confira Instalar o Azure PowerShell. Para saber mais sobre o novo módulo AZ, confira Apresentando o novo módulo AZ do Azure PowerShell. Os cmdlets do PowerShell são atualizados com frequência. Se você não estiver executando a versão mais recente, os valores especificados nas instruções poderão falhar. Para localizar as versões instaladas do PowerShell no sistema, use o cmdlet Get-Module -ListAvailable Az.

Você pode usar o Azure Cloud Shell para executar a maioria dos cmdlets do PowerShell e dos comandos da CLI, em vez de instalar o Azure PowerShell ou a CLI localmente. O Azure Cloud Shell é um shell interativo gratuito que tem ferramentas comuns do Azure pré-instaladas e configuradas para uso com a conta. Para executar qualquer código contido neste artigo no Azure Cloud Shell, abra uma sessão do Cloud Shell, use o botão Copiar em um bloco de códigos para copiar o código e colá-lo na sessão do Cloud Shell com Ctrl+Shift+V no Windows e no Linux ou Cmd+Shift+V no macOS. O texto colado não é executado automaticamente, pressione Enter para executar o código.

Há algumas maneiras de inicializar o Cloud Shell:

Opção Link
Clique em Experimente no canto superior direito de um bloco de código. Cloud Shell neste artigo
Abra o Cloud Shell em seu navegador. https://shell.azure.com/powershell
Clique no botão Cloud Shell no menu no canto superior direito do portal do Azure. Cloud Shell no portal

Esse procedimento orienta você na criação de uma rede virtual e na configuração de conexões VPN site a site e ExpressRoute coexistentes. Os cmdlets usados nessa configuração podem ser diferentes dos cmdlets com os quais você está familiarizado, portanto, verifique se está usando os cmdlets especificados.

  1. Entrar e selecione sua assinatura.

    Se estiver usando o Azure Cloud Shell, você entrará na conta do Azure automaticamente após clicar em "Experimentar". Para entrar localmente, abra o console do PowerShell com privilégios elevados e execute o cmdlet para se conectar.

    Connect-AzAccount

    Se você tiver mais de uma assinatura, obtenha uma lista das assinaturas do Azure.

    Get-AzSubscription

    Especifique a assinatura que você deseja usar.

    Select-AzSubscription -SubscriptionName "Name of subscription"

  2. Definir variáveis e criar um grupo de recursos.

    $location = "Central US"
$resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
$VNetASN = 65515

  3. Crie uma rede virtual que inclua o GatewaySubnet. Para saber mais sobre como criar uma rede virtual, confira Criar uma rede virtual. Para obter mais informações sobre como criar sub-redes, confira Criar uma sub-rede.

    Importante

    O GatewaySubnet deve ser um /27 ou um prefixo mais curto, como /26 ou /25.

    Criar uma rede virtual.

    $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"

    Adicione duas sub-redes nomeadas App e GatewaySubnet.

    Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"

    Salvar a configuração da rede virtual.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

  4. Criar o gateway de VPN site a site. Para obter mais informações sobre a configuração do gateway de VPN, confira Configurar uma rede virtual com uma conexão site a site. O GatewaySku tem suporte para gateways de VPN VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance. As configurações de gateway coexistentes do ExpressRoute e de VPN não têm suporte na SKU Básica. O VpnType deve ser RouteBased.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    O gateway de VPN do Azure dá suporte ao protocolo de roteamento BGP. Você pode especificar o ASN (número de sistema autônomo) para a rede virtual adicionando o sinalizador -Asn no seguinte comando. Se o parâmetro Asn não for especificado, o número de sistema autônomo padrão será 65515.

    $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    Observação

    Para gateways coexistentes, você precisa usar o ASN padrão 65515. Para obter mais informações, confira limites e limitações.

    Você pode encontrar o IP de emparelhamento do BGP e o número AS que o Azure utiliza para o gateway da VPN executando $azureVpn.BgpSettings.BgpPeeringAddress e $azureVpn.BgpSettings.Asn. Para obter mais informações, consulte Configurar BGP para o gateway de VPN do Azure.

  5. Crie uma entidade de gateway de VPN de site local. Esse comando não configura seu gateway de VPN local. Em vez disso, permite que você forneça as configurações do gateway local, como o IP público e o espaço de endereço local, para que o gateway de VPN do Azure possa se conectar a ele.

    Se o dispositivo VPN local der suporte apenas a roteamento estático, configure as rotas estáticas da seguinte forma:

    $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress "<Public IP>" -AddressPrefix $MyLocalNetworkAddress

    Se o dispositivo VPN local der suporte ao BGP e você quiser habilitar o roteamento dinâmico, será necessário conhecer o IP de emparelhamento BGP e o número de sistema autônomo do dispositivo VPN local.

    $localVPNPublicIP = "<Public IP>"
$localBGPPeeringIP = "<Private IP for the BGP session>"
$localBGPASN = "<ASN>"
$localAddressPrefix = $localBGPPeeringIP + "/32"
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN

  6. Configure seu dispositivo VPN local para conectar o novo gateway de VPN do Azure. Para obter mais informações sobre a configuração de dispositivo VPN, consulte Configuração do Dispositivo VPN.

  7. Vincule o gateway de VPN site a site no Azure ao gateway local.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey "<yourkey>"

  8. Se você estiver se conectando a um circuito do ExpressRoute existente, ignore as etapas 8 e 9 e vá para a etapa 10. Configurar circuitos do ExpressRoute. Para obter mais informações sobre como configurar circuitos do ExpressRoute, confira criar um circuito do ExpressRoute.

  9. Configure o emparelhamento particular do Azure através do circuito de ExpressRoute. Para obter mais informações sobre como configurar o emparelhamento privado do Azure no circuito do ExpressRoute, confira configurar emparelhamento.

  10. Crie um gateway de ExpressRoute. Para obter mais informações sobre a configuração do gateway de ExpressRoute, confira Configuração do gateway de ExpressRoute. O Gateway SKU deve ser Standard, HighPerformance ou UltraPerformance.

$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
  1. Vincule o gateway de ExpressRoute ao circuito de ExpressRoute. Após concluir essa etapa, a conexão entre sua rede local e o Azure será estabelecida por meio do ExpressRoute. Para obter mais informações sobre a operação de vinculação, confira Vincular VNets à ExpressRoute.
$ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute