Tutorial: Criar e gerenciar um gateway VPN usando o portal do Azure
Este tutorial ajuda você a criar e gerenciar um gateway de rede virtual (gateway VPN) usando o portal do Azure. O gateway VPN é uma parte da arquitetura de conexão que ajuda você a acessar recursos com segurança dentro de uma rede virtual usando o Gateway VPN.
- O lado esquerdo do diagrama mostra a rede virtual e o gateway VPN que você cria usando as etapas neste artigo.
- Mais tarde, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, você pode criar conexões site a site e ponto a site . Para exibir diferentes arquiteturas de design que você pode criar, consulte Design de gateway VPN.
Neste tutorial, irá aprender a:
- Crie uma rede virtual.
- Crie um gateway VPN com redundância de zona de modo ativo-ativo.
- Exiba o endereço IP público do gateway.
- Redimensione um gateway VPN (redimensione SKU).
- Redefina um gateway VPN.
- Se você quiser saber mais sobre as definições de configuração usadas neste tutorial, consulte Sobre as definições de configuração do Gateway VPN.
- Para obter mais informações sobre o Gateway de VPN do Azure, consulte O que é o Gateway de VPN do Azure.
- Se você quiser criar um gateway usando a SKU básica (em vez de VpnGw2AZ), consulte Criar um gateway VPN de SKU básico.
- Para obter mais informações sobre gateways de modo ativo-ativo, consulte Sobre o modo ativo-ativo.
- Para obter mais informações sobre gateways com redundância de zona, consulte Sobre gateways com redundância de zona.
Nota
As etapas neste artigo usam o gateway SKU VpnGw2AZ, que é uma SKU que dá suporte a zonas de disponibilidade do Azure. Se as zonas de disponibilidade não forem suportadas para a sua região, use uma SKU não AZ. Para obter mais informações sobre SKUs, consulte Sobre SKUs de gateway.
Pré-requisitos
Você precisa de uma conta do Azure com uma assinatura ativa. Se você não tiver um, crie um gratuitamente.
Criar uma rede virtual
Crie uma rede virtual usando os seguintes valores de exemplo:
- Grupo de recursos: TestRG1
- Nome: VNet1
- Região: (EUA) Leste dos EUA (ou região de sua escolha)
- Espaço de endereçamento IPv4: 10.1.0.0/16
- Nome da sub-rede: use o nome padrão ou especifique um nome. Exemplo: FrontEnd
- Espaço de endereço da sub-rede: 10.1.0.0/24
Inicie sessão no portal do Azure.
Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.
Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.
Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.
- Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
- Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
- Nome: Introduza o nome da rede virtual.
- Região: Selecione o local para sua rede virtual. O local determina onde residirão os recursos implantados nessa rede virtual.
Selecione Avançar ou Segurança para ir para a guia Segurança . Para este exercício, deixe os valores padrão para todos os serviços nesta página.
Selecione Endereços IP para ir para a guia Endereços IP . Na guia Endereços IP , defina as configurações.
Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.
+ Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede . Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.
- Nome da sub-rede: você pode usar o padrão ou especificar o nome. Exemplo: FrontEnd.
- Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.
Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.
Selecione Rever + criar para validar as definições de rede virtual.
Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.
Depois de criar sua rede virtual, você pode, opcionalmente, configurar a Proteção contra DDoS do Azure. A proteção é fácil de ativar em qualquer rede virtual nova ou existente e não requer nenhuma alteração da aplicação ou dos recursos. Para obter mais informações sobre a Proteção contra DDoS do Azure, consulte O que é a Proteção contra DDoS do Azure.
Criar uma sub-rede do gateway
Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que você especifica ao configurar sua rede virtual.
Se você não tiver uma sub-rede chamada GatewaySubnet, quando você criar seu gateway VPN, ele falhará. Recomendamos que você crie uma sub-rede de gateway que use um /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações, consulte Configurações do gateway VPN - Sub-rede do gateway.
- Na página da sua rede virtual, no painel esquerdo, selecione Sub-redes para abrir a página Sub-redes.
- Na parte superior da página, selecione + Sub-rede do gateway para abrir o painel Adicionar sub-rede .
- O nome é inserido automaticamente como GatewaySubnet. Ajuste o valor do intervalo de endereços IP, se necessário. Um exemplo é 10.1.255.0/27.
- Não ajuste os outros valores na página. Selecione Salvar na parte inferior da página para salvar a sub-rede.
Importante
Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre os grupos de segurança de rede, veja O que é um grupo de segurança de rede (NSG)?
Criar um gateway de VPN
Nesta seção, você cria o gateway de rede virtual (gateway VPN) para sua rede virtual. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado.
Crie um gateway usando os seguintes valores:
- Designação: VNet1GW
- Tipo de gateway: VPN
- Referência: VpnGw2AZ
- Geração: Geração 2
- Rede virtual: VNet1
- Intervalo de endereços de sub-rede do gateway: 10.1.255.0/27
- Endereço IP público: Criar novo
- Nome do endereço IP público: VNet1GWpip1
- SKU de endereço IP público: Padrão
- Atribuição: Estática
- Segundo nome do endereço IP público: VNet1GWpip2
Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.
Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.
Assinatura: selecione a assinatura que deseja usar na lista suspensa.
Grupo de recursos: esse valor é preenchido automaticamente quando você seleciona sua rede virtual nesta página.
Nome: Este é o nome do objeto de gateway que você está criando. Isso é diferente da sub-rede do gateway na qual os recursos do gateway serão implantados.
Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.
Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.
SKU: Na lista suspensa, selecione uma SKU de gateway que ofereça suporte aos recursos que você deseja usar.
- Recomendamos que você selecione uma SKU que termine em AZ quando possível. AZ SKUs suportam zonas de disponibilidade.
- O SKU básico não está disponível no portal. Para configurar um gateway de SKU Básico, você deve usar o PowerShell ou a CLI.
Geração: Selecione Geração2 na lista suspensa.
Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual que pretende utilizar, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.
Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.
Atualmente, esse campo pode mostrar diferentes opções de configurações, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.
Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.
Especifique os valores para Endereço IP público. Essas configurações especificam os objetos de endereço IP público que serão associados ao gateway VPN. Um endereço IP público é atribuído a cada objeto de endereço IP público quando o gateway VPN é criado. A única vez que o endereço IP público atribuído é alterado é quando o gateway é excluído e recriado. Os endereços IP não mudam no redimensionamento, redefinição ou outras manutenções/atualizações internas do seu gateway VPN.
Tipo de endereço IP público: se esta opção aparecer, selecione Padrão.
Endereço IP público: Deixe Criar novo selecionado.
Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU padrão.
Atribuição: A atribuição é normalmente selecionada automaticamente e deve ser estática.
Zona de disponibilidade: essa configuração está disponível para SKUs de gateway AZ em regiões que oferecem suporte a zonas de disponibilidade. Selecione Zona redundante, a menos que saiba que deseja especificar uma zona.
Ativar modo ativo-ativo: recomendamos que você selecione Habilitado para aproveitar os benefícios de um gateway de modo ativo-ativo. Se você planeja usar esse gateway para uma conexão site a site, leve em consideração o seguinte:
- Verifique o design ativo-ativo que você deseja usar. As conexões com seu dispositivo VPN local devem ser configuradas especificamente para aproveitar o modo ativo-ativo.
- Alguns dispositivos VPN não suportam o modo ativo-ativo. Se você não tiver certeza, verifique com o fornecedor do seu dispositivo VPN. Se estiver a utilizar um dispositivo VPN que não suporte o modo ativo-ativo, pode selecionar Desativado para esta definição.
Segundo endereço IP público: Selecione Criar novo. Isso só estará disponível se você tiver selecionado Habilitado para a configuração Habilitar modo ativo-ativo.
Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU padrão.
Zona de disponibilidade: selecione Zona redundante, a menos que saiba que deseja especificar uma zona.
Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.
Ativar acesso ao Cofre da Chave: selecione Desativado, a menos que sua configuração exija especificamente essa configuração.
Selecione Rever + criar para executar a validação.
Depois que a validação for aprovada, selecione Criar para implantar o gateway de VPN.
Um gateway pode levar 45 minutos ou mais para ser totalmente criado e implantado. Você pode ver o status da implantação na página Visão geral do seu gateway. Depois que o gateway é criado, você pode visualizar o endereço IP atribuído a ele observando a rede virtual no portal. O gateway aparece como um dispositivo ligado.
Ver endereço IP público
Para exibir endereços IP públicos associados ao gateway de rede virtual, navegue até o gateway no portal.
- Na página do portal do gateway de rede virtual, em Configurações, abra a página Propriedades.
- Para exibir mais informações sobre o objeto de endereço IP, clique no link de endereço IP associado.
Redimensionar uma SKU de gateway
Há regras específicas para redimensionar versus alterar uma SKU de gateway. Nesta seção, você redimensiona a SKU. Para obter mais informações, consulte Redimensionar ou alterar SKUs de gateway.
Os passos básicos são:
- Vá para a página Configuração do gateway de rede virtual.
- No lado direito da página, selecione a seta suspensa para mostrar uma lista de SKUs disponíveis. Observe que a lista preenche apenas SKUs que você pode usar para redimensionar sua SKU atual. Se você não vir a SKU que deseja usar, em vez de redimensionar, será necessário mudar para uma nova SKU.
- Selecione o SKU na lista suspensa e salve suas alterações.
Redefinir um gateway
As redefinições de gateway se comportam de forma diferente, dependendo da configuração do gateway. Para obter mais informações, consulte Redefinir um gateway VPN ou uma conexão.
Os passos básicos são:
- No portal, vá para o gateway de rede virtual que você deseja redefinir.
- Na página Gateway de rede virtual, no painel esquerdo, role e localize Ajuda -> Redefinir.
- Na página Repor, selecione Repor. Depois que o comando é emitido, a instância ativa atual do gateway de VPN do Azure é reinicializada imediatamente. A redefinição do gateway causa uma lacuna na conectividade VPN e pode limitar a análise futura da causa raiz do problema.
Clean up resources (Limpar recursos)
Se você não vai continuar a usar este aplicativo ou ir para o próximo tutorial, exclua esses recursos.
- Digite o nome do seu grupo de recursos na caixa Pesquisar na parte superior do portal e selecione-o nos resultados da pesquisa.
- Selecione Eliminar grupo de recursos.
- Insira seu grupo de recursos para DIGITE O NOME DO GRUPO DE RECURSOS e selecione Excluir.
Próximos passos
Depois de criar um gateway VPN, você pode definir mais configurações e conexões de gateway. Os seguintes artigos ajudam-no a criar algumas das configurações mais comuns: