Partilhar via

Criar um gateway VPN usando CLI

  • Artigo

Este artigo ajuda você a criar um gateway de VPN do Azure usando a CLI do Azure. Um gateway VPN é usado ao criar uma conexão VPN com sua rede local. Você também pode usar um gateway VPN para conectar redes virtuais. Para obter informações mais abrangentes sobre algumas das configurações neste artigo, consulte Criar um gateway VPN - portal.

Diagrama que mostra uma rede virtual e um gateway VPN.

  • O lado esquerdo do diagrama mostra a rede virtual e o gateway VPN que você cria usando as etapas neste artigo.
  • Mais tarde, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, você pode criar conexões site a site e ponto a site . Para exibir diferentes arquiteturas de design que você pode criar, consulte Design de gateway VPN.

As etapas neste artigo criam uma rede virtual, uma sub-rede, uma sub-rede de gateway e um gateway VPN de modo ativo-ativo (gateway de rede virtual) baseado em rota, com redundância de zona, usando o SKU VpnGw2AZ de Geração 2. As etapas neste artigo criam uma rede virtual, uma sub-rede, uma sub-rede de gateway e um gateway VPN de modo ativo-ativo (gateway de rede virtual) baseado em rota, com redundância de zona, usando o SKU VpnGw2AZ de Geração 2. Depois que o gateway é criado, você pode configurar conexões.

  • Se você quiser criar um gateway VPN usando a SKU Básica , consulte Criar um gateway VPN SKU Básico.
  • Recomendamos que você crie um gateway VPN de modo ativo-ativo quando possível. Os gateways VPN de modo ativo-ativo oferecem melhor disponibilidade e desempenho do que os gateways VPN de modo padrão. Para obter mais informações sobre gateways ativo-ativo, consulte Sobre gateways de modo ativo-ativo.
  • Para obter informações sobre zonas de disponibilidade e gateways redundantes de zona, consulte O que são zonas de disponibilidade?

Nota

As etapas neste artigo usam o gateway SKU VpnGw2AZ, que é uma SKU que dá suporte a zonas de disponibilidade do Azure. Se as zonas de disponibilidade não forem suportadas para a sua região, use uma SKU não AZ. Para obter mais informações sobre SKUs, consulte Sobre SKUs de gateway.

Antes de começar

Estas etapas exigem uma assinatura do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

  • Este artigo requer a versão 2.0.4 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create . Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.

az group create --name TestRG1 --location eastus

Criar uma rede virtual

Se ainda não tiver uma rede virtual, crie uma utilizando o comando az network vnet create. Ao criar uma rede virtual, certifique-se de que os espaços de endereço especificados não se sobreponham a nenhum dos espaços de endereço que você tem na rede local. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego não será encaminhado da maneira esperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor a outra rede virtual. Tenha o cuidado de planear a configuração da rede em conformidade.

O exemplo a seguir cria uma rede virtual chamada 'VNet1' e uma sub-rede, 'FrontEnd'. A sub-rede FrontEnd não é usada neste exercício. Você pode substituir seu próprio nome de sub-rede.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Adicionar uma sub-rede do gateway

Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que você especifica ao configurar sua rede virtual.

Se você não tiver uma sub-rede chamada GatewaySubnet, quando você criar seu gateway VPN, ele falhará. Recomendamos que você crie uma sub-rede de gateway que use um /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações, consulte Configurações do gateway VPN - Sub-rede do gateway.

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre os grupos de segurança de rede, veja O que é um grupo de segurança de rede (NSG)?

Use o exemplo a seguir para adicionar uma sub-rede de gateway:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Solicitar endereços IP públicos

Um gateway VPN deve ter um endereço IP público. Quando você cria uma conexão com um gateway VPN, esse é o endereço IP que você especifica. Para gateways de modo ativo-ativo, cada instância de gateway tem seu próprio recurso de endereço IP público. Primeira, requeira o recurso de endereço IP e, em seguida, faça referência ao mesmo ao criar o gateway de rede virtual. Além disso, para qualquer SKU de gateway que termine em AZ, você também deve especificar a configuração Zone. Este exemplo especifica uma configuração com redundância de zona porque especifica todas as três zonas regionais.

O endereço IP é atribuído ao recurso quando o gateway VPN é criado. A única vez que o endereço IP público é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

Use o comando az network public-ip create para solicitar um endereço IP público:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Para criar um gateway ativo-ativo (recomendado), solicite um segundo endereço IP público:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Criar o gateway de VPN

Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Depois que o gateway for criado, você poderá criar conexão entre sua rede virtual e seu local local. Ou crie uma conexão entre sua rede virtual e outra rede virtual.

Crie o gateway de VPN com o comando az network vnet-gateway create. Se você executar esse comando usando o --no-wait parâmetro, não verá nenhum feedback ou saída. O --no-wait parâmetro permite que o gateway seja criado em segundo plano. Isso não significa que o gateway VPN é criado imediatamente. Se você quiser criar um gateway usando uma SKU diferente, consulte Sobre SKUs de gateway para determinar a SKU que melhor se adapta aos seus requisitos de configuração.

Gateway de modo ativo-ativo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway de modo de espera ativa

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Um gateway de VPN pode demorar 45 minutos ou mais a ser criado.

Exibir o gateway VPN

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Exibir endereços IP do gateway

A cada instância de gateway VPN é atribuído um recurso de endereço IP público. Para exibir o endereço IP associado ao recurso, use o seguinte comando. Repita para cada instância de gateway.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Clean up resources (Limpar recursos)

Quando não precisar mais dos recursos criados, use az group delete para excluir o grupo de recursos. Isso exclui o grupo de recursos e todos os recursos que ele contém.

az group delete --name TestRG1 --yes

Próximos passos

Depois que o gateway é criado, você pode configurar conexões.