Compartilhar via

Criar uma conexão site a site com a WAN Virtual do Azure usando o PowerShell

  • Artigo

Este artigo mostra como usar a WAN Virtual para se conectar aos recursos do Azure em uma conexão de VPN IPsec/IKE (IKEv1 e IKEv2) via PowerShell. Esse tipo de conexão exige um dispositivo VPN localizado no local que tenha um endereço IP público voltado para o exterior atribuído a ele. Para saber mais sobre WAN Virtual, confira a Visão geral de WAN Virtual. Você também pode criar essa configuração usando as instruções do portal do Azure.

A captura de tela mostra um diagrama de rede para a WAN Virtual.

Pré-requisitos

  • Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

  • Decida o intervalo de endereços IP que você deseja usar para o espaço de endereço privado do seu hub virtual. Essas informações são usadas durante a configuração do seu hub virtual. Um hub virtual é uma rede virtual criada e usada pela WAN Virtual. Ele é o núcleo da rede de WAN Virtual em uma região. O intervalo de espaço de endereço precisa estar em conformidade com determinadas regras.

    • O intervalo de endereços especificado para o hub não poderá se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
    • O intervalo de endereços não poderá se sobrepor aos intervalos de endereços locais aos quais você se conecta.
    • Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, converse com alguém que possa fornecer esses detalhes para você.

Azure PowerShell

Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.

Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

Também é possível instalar e executar cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Use o cmdlet Get-Module -ListAvailable Az para localizar versões do Azure PowerShell instaladas em seu computador. Para executar uma instalação ou atualização, confira como Instalar o módulo do Azure PowerShell.

Entrar

Se você estiver usando o Azure Cloud Shell será direcionado automaticamente para entrar em sua conta depois de abrir o Cloud Shell. Você não precisa executar Connect-AzAccount. Depois de conectado, você ainda pode alterar as assinaturas, se necessário, usando Get-AzSubscription e Select-AzSubscription.

Se você estiver executando o PowerShell localmente, abra o console do PowerShell com privilégios elevados e conecte-se à sua conta do Azure. O cmdlet Connect-AzAccount lhe solicita credenciais. Depois de autenticar, ele baixa as configurações da conta para que estejam disponíveis para o Microsoft Azure PowerShell. Você pode alterar a assinatura usando Get-AzSubscription e Select-AzSubscription -SubscriptionName "Name of subscription".

Criar uma WAN virtual

Para poder criar uma WAN virtual, você precisa criar um grupo de recursos para hospedar a WAN virtual ou usar um grupo de recursos existente. Use um dos exemplos a seguir.

Este exemplo cria um novo grupo de recursos chamado TestRG na localização Leste dos EUA. Se você quiser usar um grupo de recursos existente, poderá modificar o comando $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" e concluir as etapas neste exercício usando seus próprios valores.

  1. Crie um grupos de recursos.

    New-AzResourceGroup -Location "East US" -Name "TestRG"

  2. Crie a wan virtual usando o cmdlet New-AzVirtualWan.

    $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"

Crie o hub e defina as configurações do hub

Um hub é uma rede virtual que pode conter gateways para funcionalidade site a site, ExpressRoute ou ponto a site. Crie um hub virtual com New-AzVirtualHub. Este exemplo cria um hub virtual padrão denominado Hub1 com o prefixo de endereço especificado e um local para o hub.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

Criar um gateway de VPN site a site

Nesta seção, você cria um gateway de VPN site a site no mesmo local que o hub virtual referenciado. Ao criar o gateway de VPN, especifique as unidades de escala desejadas. Leva cerca de 30 minutos para que o gateway seja criado.

  1. Se você fechou o Azure Cloud Shell ou a conexão atingiu o tempo limite, talvez seja necessário declarar a variável novamente para $virtualHub.

    $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

  2. Crie um gateway de VPN usando o cmdlet New-AzVpnGateway.

    New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2

  3. Depois que o gateway de VPN for criado, você poderá exibi-lo usando o exemplo a seguir.

    Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

Criar um site e conexões

Nesta seção, você cria sites que correspondem às suas localizações físicas e as conexões. Esses sites contêm os pontos de extremidade do dispositivo VPN local. Você pode criar até 1.000 sites por hub virtual em uma WAN virtual. No caso de vários hubs, você pode criar 1.000 para cada um desses hubs.

  1. Defina a variável para o gateway de VPN e para o espaço de endereços IP que está localizado no seu site local. O tráfego destinado a esse espaço de endereço é roteado para o site local. Isso é necessário quando o BGP não está habilitado para o site.

    $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSiteAddressSpaces = New-Object string[] 2
$vpnSiteAddressSpaces[0] = "192.168.2.0/24"
$vpnSiteAddressSpaces[1] = "192.168.3.0/24"

  2. Crie links para adicionar informações sobre os links físicos na ramificação, incluindo metadados sobre a velocidade de link e o nome do provedor do link e adicione o endereço IP público do dispositivo local.

    $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"
$vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"

  3. Crie o site VPN, fazendo referência às variáveis dos links do site VPN que você acabou de criar.

    Se você fechou o Cloud Shell do Azure ou a conexão atingiu o tempo limite, redeclare a variável da WAN virtual:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"

    Crie o site VPN usando o cmdlet New-AzVpnSite.

    $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)

  4. Crie a conexão de link do site. A conexão é composta por dois túneis ativos de um branch/site para o gateway escalonável.

    $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100
$vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10

Conectar o site VPN a um hub

Conecte seu site VPN ao gateway de VPN site a site do hub usando o cmdlet New-AzVpnConnection.

  1. Antes de executar o comando, talvez seja necessário reimplantar as seguintes variáveis:

    $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
$vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

  2. Conectar o site VPN ao hub.

    New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)

Conectar uma VNet ao hub

A próxima etapa é conectar o hub à VNet. Se você criou um novo grupo de recursos para este exercício, normalmente ainda não terá uma rede virtual (VNet) em seu grupo de recursos. As etapas abaixo ajudam você a criar uma VNet se ainda não tiver uma. Em seguida, você pode criar uma conexão entre o hub e sua VNet.

Criar uma rede virtual

Você pode usar os valores de exemplo a seguir para criar uma VNet. Substitua os valores nos exemplos pelos valores usados para o seu ambiente. Para obter mais informações, confira Início rápido: usar o Azure PowerShell para criar uma rede virtual.

  1. Criar uma VNet.

    $vnet = @{
   Name = 'VNet1'
   ResourceGroupName = 'TestRG'
   Location = 'eastus'
   AddressPrefix = '10.21.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

  2. Especifique as configurações de sub-rede.

    $subnet = @{
   Name = 'Subnet-1'
   VirtualNetwork = $virtualNetwork
   AddressPrefix = '10.21.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

  3. Defina a VNet.

    $virtualNetwork | Set-AzVirtualNetwork

Conectar uma VNET a um hub

Depois de ter uma VNet, siga as etapas neste artigo para conectar sua VNet ao hub VWAN: conectar uma VNet a um hub WAN Virtual.

Configurar Dispositivo VPN

Para configurar seu dispositivo VPN local, siga as etapas no artigo Site a site: portal do Azure.

Limpar os recursos

Quando não precisar mais dos recursos que criou, exclua-os. Alguns dos recursos da WAN Virtual precisam ser excluídos em determinada ordem devido às dependências. A exclusão poderá levar cerca de 30 minutos para ser concluída.

Exclua todas as entidades de gateway na seguinte ordem:

  1. Declare as variáveis.

    $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" 
$virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1"
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

  2. Exclua a conexão de gateway de VPN para os sites VPN.

    Remove-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection"

  3. Exclua o gateway de VPN. Excluir um gateway de VPN também removerá todas as conexões do ExpressRoute de VPN associadas a ele.

    Remove-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"

  4. Neste momento, você tem duas opções:

    • Você pode excluir todo o grupo de recursos para excluir todos os recursos restantes que ele contém, incluindo os hubs, sites e a WAN Virtual.
    • Você pode optar por excluir cada um dos recursos no grupo de recursos.

    Para excluir o grupo de recursos inteiro:

    Remove-AzResourceGroup -Name "TestRG"

    Para excluir cada recurso no grupo de recursos:

    • Exclua o site VPN.

      Remove-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"

    • Exclua o Hub Virtual.

      Remove-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"

    • Exclua a WAN Virtual.

      Remove-AzVirtualWan -Name "TestVWAN1" -ResourceGroupName "TestRG"

Próximas etapas

Depois, para saber mais sobre a WAN virtual, confira as Perguntas frequentes sobre a WAN Virtual.