Criar um gateway de VPN usando a CLI

Este artigo ajudará você a criar um gateway de VPN do Azure usando a CLI do Azure. Um gateway de VPN é usado ao criar uma conexão VPN à rede local. Você também pode usar um gateway de VPN para conectar redes virtuais. Para obter informações mais abrangentes sobre algumas das configurações deste artigo, confira Criar um gateway de VPN – portal.

• O lado esquerdo do diagrama mostra a rede virtual e o gateway de VPN que você cria ao usar as etapas neste artigo.
• Posteriormente, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, você pode criar conexões site a site e ponto a site. Para exibir diferentes arquiteturas de design que você pode compilar, confira Design de gateway de VPN.

As etapas deste artigo criam uma rede virtual, uma sub-rede, uma sub-rede do gateway e um gateway de VPN (gateway de rede virtual) baseado em rota no modo ativo/ativo com redundância de zona usando o SKU VpnGw2AZ de 2ª geração. As etapas deste artigo criam uma rede virtual, uma sub-rede, uma sub-rede do gateway e um gateway de VPN (gateway de rede virtual) baseado em rota no modo ativo/ativo com redundância de zona usando o SKU VpnGw2AZ de 2ª geração. Depois que o gateway for criado, você poderá configurar as conexões.

• Se você quiser criar um gateway de VPN usando o SKU Básico, confira Criar um gateway de VPN de SKU Básico.
• Recomendamos que você crie um gateway de VPN no modo ativo/ativo quando possível. Os gateways de VPN no modo ativo/ativo oferecem melhor disponibilidade e desempenho do que os gateways de VPN no modo padrão. Para obter mais informações sobre os gateways ativo/ativo, confira Sobre os gateways no modo ativo/ativo.
• Para obter informações sobre zonas de disponibilidade e gateways com redundância de zona, confira O que são as zonas de disponibilidade?

Observação

As etapas desse artigo usam o gateway SKU VpnGw2AZ, que é um SKU que dá suporte a zonas de disponibilidade do Azure. Se não houver suporte para zonas de disponibilidade na sua região, use um SKU que não é de AZ. Para obter mais informações sobre SKUs, veja Sobre SKUs de gateway.

Antes de começar

Estas etapas exigem uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

• Este artigo exige a versão 2.0.4 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create. Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

az group create --name TestRG1 --location eastus

Criar uma rede virtual

Se você ainda não tiver uma rede virtual, crie uma usando o comando az network vnet create. Ao criar uma rede virtual, garanta que os espaços de endereço que você especificar não se sobreponham a nenhum espaço de endereço que você tenha na rede local. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego não será roteado da maneira esperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não poderá se sobrepor à outra rede virtual. Tome cuidado e planeje sua configuração de rede de forma adequada.

O exemplo a seguir cria uma rede virtual chamada ‘VNet1’ e uma sub-rede ‘FrontEnd’. A sub-rede FrontEnd não é usada neste exercício. Você pode substituí-la pelo nome da sua sub-rede.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Adicionar uma sub-rede de gateway

Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. O gateway faz parte do intervalo de endereços IP de rede virtual que você especifica ao configurar sua rede virtual.

Se você não tiver uma sub-rede chamada GatewaySubnet, ao criar seu gateway de VPN, ocorrerá uma falha. Recomendamos que você crie uma sub-rede de gateway que use um tamanho /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações, confira Configurações do Gateway de VPN – Sub-rede do gateway.

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?

Use o seguinte exemplo para adicionar uma sub-rede do gateway:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Solicitar endereços IP públicos

Um gateway de VPN deve ter um endereço IP público. Quando você cria uma conexão a um gateway VPN, esse é o endereço IP que você especificar. No caso dos gateways no modo ativo/ativo, cada instância do gateway tem um recurso de endereço IP público próprio. Você primeiro solicita o recurso de endereço IP e, em seguida, faz referência a ele ao criar seu gateway de rede virtual. Além disso, para qualquer SKU de gateway que termine com AZ, também é preciso especificar a configuração de zona. Este exemplo especifica uma configuração com redundância de zona porque especifica todas as três zonas regionais.

O endereço IP é atribuído ao recurso quando o gateway de VPN é criado. A única vez em que o endereço IP Público é alterado é quando o gateway é excluído e recriado. Isso não altera o redimensionamento, a redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.

Use o comando az network public-ip create para solicitar um endereço IP público:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Para criar um gateway ativo-ativo (recomendado), solicite um segundo endereço IP público:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Criar o gateway de VPN

Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Depois que o gateway for criado, você poderá criar uma conexão entre sua rede virtual e o local. Outra opção é criar uma conexão entre sua rede virtual e outra rede virtual.

Criar o gateway de VPN usando o comando az network vnet-gateway create. Se você executar esse comando usando o parâmetro --no-wait, não receberá nenhum feedback ou saída. O parâmetro --no-wait permite que o gateway seja criado em segundo plano. Isso não significa que a criação do gateway de VPN ocorrerá imediatamente. Se quiser criar um gateway usando outro SKU, confira Sobre SKUs de gateway para determinar o SKU que melhor atende aos seus requisitos de configuração.

Gateway do modo ativo-ativo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway do modo em espera-ativo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Pode demorar 45 minutos ou mais para que o gateway VPN seja criado.

Veja o Gateway de VPN

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Ver os endereços IP do gateway

Cada instância do gateway de VPN recebe um recurso de endereço IP público. Para ver o endereço IP associado ao recurso, use o comando a seguir. Repita a etapa para cada instância de gateway.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Limpar os recursos

Quando os recursos criados não forem mais necessários, use az group delete para excluir o grupo de recursos. Isso exclui o grupo de recursos e todos os recursos que ele contém.

az group delete --name TestRG1 --yes

Próximas etapas

Depois que o gateway for criado, você poderá configurar as conexões.

• Criar uma conexão site a site
• Criar uma conexão com outra rede virtual
• Criar uma conexão ponto a site