Planejar e implementar a Rede Virtual de Longa Distância, incluindo o hub virtual seguro
A WAN Virtual se conecta aos seus recursos no Azure por meio de uma conexão VPN IPsec/IKE (IKEv1 e IKEv2). Esse tipo de conexão exige um dispositivo VPN localizado no local que tenha um endereço IP público voltado para o exterior atribuído a ele.
Pré-requisitos
Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.
Decida o intervalo de endereços IP que você deseja usar para o espaço de endereço privado do seu hub virtual. Essas informações são usadas durante a configuração do seu hub virtual. Um hub virtual é uma rede virtual criada e usada pela WAN Virtual. Ele é o núcleo da rede de WAN Virtual em uma região. O intervalo de espaço de endereço precisa estar em conformidade com determinadas regras.
- O intervalo de endereços especificado para o hub não poderá se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
- O intervalo de endereços não poderá se sobrepor aos intervalos de endereços locais aos quais você se conecta.
- Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, converse com alguém que possa fornecer esses detalhes para você.
- O intervalo de endereços especificado para o hub não poderá se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
Portal do Azure ou Azure PowerShell
Você pode usar o portal do Azure ou cmdlets do Azure PowerShell para criar uma conexão site a site com a WAN Virtual do Azure. O Cloud Shell é um shell interativo gratuito que tem ferramentas comuns do Azure pré-instaladas e configuradas para uso com sua conta.
Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.
Também é possível instalar e executar cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Para localizar as versões do Azure PowerShell instaladas em seu computador, use o Get-Module -ListAvailable Az cmdlet.
Entrar
Se estiver usando o Azure Cloud Shell, você será automaticamente direcionado para entrar em sua conta depois de abrir o Cloud Shell. Você não precisa executar Connect-AzAccount. Depois de conectado, você ainda pode alterar as assinaturas, se necessário, usando Get-AzSubscription e Select-AzSubscription.
Se você estiver executando o PowerShell localmente, abra o console do PowerShell com privilégios elevados e conecte-se à sua conta do Azure. O cmdlet Connect-AzAccount solicita as credenciais. Depois de autenticar, ele baixa as configurações da conta para que estejam disponíveis para o Microsoft Azure PowerShell. Você pode alterar a assinatura usando Get-AzSubscription e Select-AzSubscription -SubscriptionName "Name of subscription".
Criar uma WAN virtual
Para poder criar uma WAN virtual, você precisa criar um grupo de recursos para hospedar a WAN virtual ou usar um grupo de recursos existente. Use um dos exemplos a seguir.
Este exemplo cria um novo grupo de recursos chamado TestRG na localização Leste dos EUA. Se você quiser usar um grupo de recursos existente, poderá modificar o comando $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup" e concluir as etapas neste exercício usando seus próprios valores.
Crie um grupos de recursos.
New-AzResourceGroup -Location "East US" -Name "TestRG"Crie a wan virtual usando o cmdlet New-AzVirtualWan.
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
Crie o hub e defina as configurações do hub
Um hub é uma rede virtual que pode conter gateways para funcionalidade site a site, ExpressRoute ou ponto a site. Crie um hub virtual com New-AzVirtualHub. Este exemplo cria um hub virtual padrão denominado Hub1 com o prefixo de endereço especificado e um local para o hub.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Criar um gateway de VPN site a site
Nesta seção, você cria um gateway de VPN site a site no mesmo local que o hub virtual referenciado. Ao criar o gateway de VPN, especifique as unidades de escala desejadas. Leva cerca de 30 minutos para que o gateway seja criado.
Se você fechou o Azure Cloud Shell ou a conexão atingiu o tempo limite, talvez seja necessário declarar a variável novamente para $virtualHub.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Crie um gateway de VPN usando o cmdlet New-AzVpnGateway.
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2Depois que o gateway de VPN for criado, você poderá exibi-lo usando o exemplo a seguir.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Criar um site e conexões
Nesta seção, você cria sites que correspondem às suas localizações físicas e as conexões. Esses sites contêm os pontos de extremidade do dispositivo VPN local. Você pode criar até 1.000 sites por hub virtual em uma WAN virtual. No caso de vários hubs, você pode criar 1.000 para cada um desses hubs.
Defina a variável para o gateway de VPN e para o espaço de endereços IP que está localizado no seu site local. O tráfego destinado a esse espaço de endereço é roteado para o site local. Isso é necessário quando o BGP não está habilitado para o site.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"Crie links para adicionar informações sobre os links físicos na ramificação, incluindo metadados sobre a velocidade de link e o nome do provedor do link e adicione o endereço IP público do dispositivo local.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"Crie o site VPN, fazendo referência às variáveis dos links do site VPN que você acabou de criar. Se você fechou o Cloud Shell do Azure ou a conexão atingiu o tempo limite, redeclare a variável da WAN virtual:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"Crie o site VPN usando o cmdlet New-AzVpnSite.
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)Crie a conexão de link do site. A conexão é composta por dois túneis ativos de um branch/site para o gateway escalonável.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
Conectar o site VPN a um hub
Antes de executar o comando, talvez seja necessário reimplantar as seguintes variáveis:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Conectar o site VPN ao hub.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Conectar uma VNet ao hub
A próxima etapa é conectar o hub à VNet. Se você criou um novo grupo de recursos para este exercício, normalmente ainda não terá uma rede virtual (VNet) em seu grupo de recursos. As etapas abaixo ajudam você a criar uma VNet se ainda não tiver uma. Em seguida, você pode criar uma conexão entre o hub e sua VNet.
Criar uma rede virtual
Você pode usar os valores de exemplo a seguir para criar uma VNet. Substitua os valores nos exemplos pelos valores usados para o seu ambiente.
Criar uma VNet.
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnetEspecifique as configurações de sub-rede.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnetDefina a VNet.
$virtualNetwork | Set-AzVirtualNetwork
Conectar uma VNET a um hub
As etapas a seguir permitem que você conecte sua rede virtual ao hub virtual usando o PowerShell. Você também pode usar o portal do Azure para concluir essa tarefa. Repita as etapas para cada VNET que você deseja se conectar.
Antes de criar uma conexão, esteja ciente do seguinte:
- Uma rede virtual só pode ser conectada a um hub virtual por vez.
- Para a conexão com um hub virtual, a rede virtual remota não pode ter nenhum gateway.
- Algumas configurações, como Propagar rota estática, só podem ser definidas no portal do Azure no momento.
Se os gateways de VPN estiverem presentes no hub virtual, essa operação, bem como qualquer outra operação de gravação na VNet conectada, poderá causar desconexão a clientes ponto a site, bem como reconexão de túneis site a site e sessões BGP (Border Gateway Protocol).
Adicionar um conexão
Declare as variáveis para os recursos existentes, incluindo a rede virtual existente.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"Crie uma conexão para emparelhar a rede virtual com o hub virtual.
New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork
Configurar Dispositivo VPN
Baixar configuração de VPN
Use o arquivo de configuração do dispositivo VPN para configurar seu dispositivo VPN local. Veja a seguir as etapas básicas:
Da página da WAN Virtual, vá para a página Hubs ->Seu hub virtual ->VPN (Site a site).
Na parte superior da página VPN (Site a site), clique em Baixar Configuração de VPN. Você verá uma série de mensagens, pois o Azure cria uma conta de armazenamento no grupo de recursos 'microsoft-network-[localização]', em que localização corresponde à localização da WAN. Você também pode adicionar uma conta de armazenamento existente clicando em "Usar Existente" e adicionando uma URL SAS válida com permissões de gravação habilitadas.
Depois que o arquivo for criado, clique no link para baixá-lo. Isso cria um arquivo com a configuração de VPN na localização da URL SAS fornecida.
Aplique a configuração ao dispositivo de VPN local. Para obter mais informações, confira Configuração do Dispositivo VPN, nesta seção.
Depois que você aplicar a configuração aos seus dispositivos VPN, não é necessário manter a conta de armazenamento que você criou.
Espaço de endereço da rede virtual dos hubs virtuais.
Exemplo:
"AddressSpace":"10.1.0.0/24"
Espaço de endereço das redes virtuais conectadas ao hub virtual.
Exemplo:
"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
Espaço de endereço de IP da vpngateway do hub virtual. Como cada conexão do vpngateway é composta por dois túneis na configuração ativa-ativa, você verá os dois endereços IP listados neste arquivo. Neste exemplo, você vê "Instance0" e "Instance1" para cada site.
Exemplo:
"Instance0":"nnn.nn.nn.nnn""Instance1":"nnn.nn.nn.nnn"
Endereço IP Público: atribuído pelo Azure.
Endereço IP particular: atribuído pelo Azure.
Endereço IP do BGP Padrão: atribuído pelo Azure.
Endereço IP do BGP Personalizado: esse campo é reservado para o APIPA (Endereçamento IP Particular Automático). O Azure dá suporte a IP BGP nos intervalos 169.254.21.* e 169.254.22.*. O Azure aceita conexões BGP nesses intervalos, mas discará a conexão com o IP BGP padrão. Os usuários podem especificar vários endereços IP BGP personalizados para cada instância. O mesmo endereço IP BGP personalizado não deve ser usado para as duas instâncias.
Arquivo de configuração do dispositivo VPN
O arquivo de configuração do dispositivo contém as configurações a serem usadas ao configurar o dispositivo VPN local. Ao exibir esse arquivo, observe as seguintes informações:
- vpnSiteConfiguration – esta seção indica a configuração de detalhes do dispositivo como um site que se conecta à WAN virtual. Inclui o nome e o endereço IP público do dispositivo de branch.
vpnSiteConnections: essa seção fornece informações sobre o seguinte:
- Detalhes da configuração da conexão de Vpngateway como BGP, chave pré-compartilhada, etc. A PSK é a chave pré-compartilhada gerada automaticamente para você. Você sempre pode editar a conexão na página de visão geral para uma PSK (chave pré-compartilhada) personalizada.
Exemplo de arquivo de configuração de dispositivo
{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }
Configurar o dispositivo VPN
Observação
Se você estiver trabalhando com uma solução de parceiro de WAN Virtual, a configuração do dispositivo VPN ocorrerá automaticamente. O controlador do dispositivo obtém o arquivo de configuração do Azure e o aplica ao dispositivo para configurar a conexão com o Azure. Isso significa que você não precisa saber como configurar seu dispositivo VPN manualmente.
Exibir ou editar as configurações de gateway
Você pode visualizar e editar as configurações de gateway de VPN a qualquer momento. Vá para o HUB Virtual ->VPN (Site a site) e selecione Exibir/Configurar.
Na página Editar o Gateway de VPN, você pode ver as seguintes configurações:
