Criar uma conexão VPN site a site - CLI do Azure

Este artigo mostra como usar a CLI do Azure para criar uma conexão de gateway VPN site a site (S2S) de sua rede local para uma rede virtual (VNet).

Uma conexão de gateway VPN site a site é usada para conectar sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local que tenha um endereço IP público com acesso exterior atribuído ao mesmo. As etapas neste artigo criam uma conexão entre o gateway VPN e o dispositivo VPN local usando uma chave compartilhada. Para obter mais informações sobre o gateways de VPN, veja About VPN gateway (Acerca do gateway de VPN).

Antes de começar

Verifique se seu ambiente atende aos seguintes critérios antes de iniciar a configuração:

• Verifique se você tem um gateway VPN baseado em rota funcionando. Para criar um gateway VPN, consulte Criar um gateway VPN.

• Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, precisará coordenar com alguém que possa fornecer esses detalhes para você. Ao criar essa configuração, você deve especificar os prefixos de intervalo de endereços IP que o Azure roteia para seu local local. Nenhuma das sub-redes da sua rede local pode sobrepor-se às sub-redes de rede virtual às quais pretende ligar.

• Dispositivos VPN:

  • Certifique-se de que tem um dispositivo VPN compatível e alguém que o possa configurar. Para obter mais informações sobre dispositivos VPN compatíveis e configuração de dispositivos, consulte Sobre dispositivos VPN.
  • Determine se o seu dispositivo VPN suporta gateways de modo ativo-ativo. Este artigo cria um gateway VPN de modo ativo-ativo, que é recomendado para conectividade altamente disponível. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas. Esse modo requer dois endereços IP públicos, um para cada instância de VM de gateway. Você configura seu dispositivo VPN para se conectar ao endereço IP de cada instância de VM de gateway.
    Se o seu dispositivo VPN não suportar este modo, não o ative para o seu gateway. Para obter mais informações, consulte Projetar conectividade altamente disponível para conexões entre locais e VNet-to-VNet e Sobre gateways VPN de modo ativo-ativo.

• Este artigo requer a versão 2.0 ou posterior da CLI do Azure.

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

    

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

Criar o gateway de rede local

O gateway de rede local refere-se normalmente à sua localização no local. Você dá ao site um nome pelo qual o Azure pode se referir a ele e, em seguida, especifica o endereço IP do dispositivo VPN local ao qual você criará uma conexão. Também pode especificar os prefixos do endereço IP que vai ser encaminhado através do gateway de VPN para o dispositivo VPN. Os prefixos do endereço que especificar são os que estão localizados na sua rede no local. Se a rede no local se alterar, pode atualizar facilmente os prefixos.

Utilize os seguintes valores:

• O --gateway-ip-address é o endereço IP do seu dispositivo VPN no local.
• Os --local-address-prefixes são os seus espaços de endereços no local.

Use o comando az network local-gateway create para adicionar um gateway de rede local. O exemplo a seguir mostra um gateway de rede local com vários prefixos de endereço. Substitua os valores pelos seus.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Configurar o dispositivo VPN

As conexões site a site com uma rede local exigem um dispositivo VPN. Neste passo, configure o seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisa dos seguintes valores:

• Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar sua conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Deve gerar uma chave mais complexa para utilizar.

• Endereços IP públicos de suas instâncias de gateway de rede virtual: obtenha o endereço IP para cada instância de VM. Se o gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM de gateway. Certifique-se de configurar seu dispositivo com ambos os endereços IP, um para cada VM de gateway ativa. Os gateways de modo de espera ativa têm apenas um endereço IP.

  Para encontrar o endereço IP público do gateway da rede virtual, utilize o comando az network public-ip list. Para maior facilidade de leitura, a saída é formatada para apresentar a lista de IPs públicos no formato de tabela. No exemplo, VNet1GWpip1 é o nome do recurso de endereço IP público.

  az network public-ip list --resource-group TestRG1 --output table
  

Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, consulte Transferir os scripts de configuração do dispositivo VPN.

Os links a seguir fornecem mais informações de configuração:

• Para obter informações sobre dispositivos VPN compatíveis, consulte Sobre dispositivos VPN.

• Antes de configurar seu dispositivo VPN, verifique se há problemas conhecidos de compatibilidade do dispositivo.

• Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. Fornecemos os links de configuração do dispositivo com base no melhor esforço, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.

  A lista mostra as versões que testamos. Se a versão do SO do seu dispositivo VPN não estiver na lista, poderá ainda ser compatível. Consulte o fabricante do dispositivo.

• Para obter informações básicas sobre a configuração do dispositivo VPN, consulte Visão geral das configurações do dispositivo VPN do parceiro.

• Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).

• Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.

• Para obter informações sobre os parâmetros necessários para concluir a configuração, consulte Parâmetros IPsec/IKE padrão. As informações incluem versão IKE, grupo Diffie-Hellman (DH), método de autenticação, algoritmos de criptografia e hash, tempo de vida da associação de segurança (SA), sigilo de encaminhamento perfeito (PFS) e Dead Peer Detection (DPD).

• Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.

• Para conectar vários dispositivos VPN baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.

Criar a ligação VPN

Crie uma conexão VPN site a site entre seu gateway de rede virtual e seu dispositivo VPN local. Se você estiver usando um gateway de modo ativo-ativo (recomendado), cada instância de VM de gateway terá um endereço IP separado. Para configurar corretamente a conectividade altamente disponível, você deve estabelecer um túnel entre cada instância de VM e seu dispositivo VPN. Ambos os túneis fazem parte da mesma ligação.

Crie a ligação utilizando o comando az network vpn-connection create. A chave partilhada tem de corresponder ao valor utilizado na configuração do dispositivo VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Após uns breves instantes, a ligação será estabelecida.

Verificar a ligação VPN

Pode verificar se a sua ligação foi concluída com êxito com o comando az network vpn-connection show. No exemplo, '--name' refere-se ao nome da conexão que você deseja testar. Quando a ligação ainda estiver a ser estabelecida, o respetivo estado de ligação mostra "A ligar". Quando a ligação estiver estabelecido, o estado muda para "Ligado". Modifique o exemplo a seguir com os valores para seu ambiente.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Se quiser utilizar outro método para verificar a sua ligação, veja Verify a VPN Gateway connection (Verificar ligações de Gateway de VPN).

Tarefas comuns

Esta secção contém comandos comuns que são úteis quando trabalha com configurações de rede. Para obter a lista completa de comandos de redes CLI, veja Azure CLI - Redes.

Para ver os gateways de rede local

Para ver uma lista de gateways da rede local, utilize o comando az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Para modificar prefixos de endereço de IP do gateway de rede local - sem ligação de gateway

Se você quiser adicionar ou remover prefixos de endereço IP e seu gateway ainda não tiver uma conexão, você pode atualizar os prefixos usando az network local-gateway create. Para substituir as definições atuais, utilize o nome existente do seu gateway de rede local. Se utilizar um nome diferente, irá criar um novo gateway de rede local, em vez de substituir o existente. Também pode utilizar este comando para atualizar o endereço IP do gateway para o dispositivo VPN.

Sempre que fizer uma alteração, tem de ser especificada a lista completa de prefixos, não apenas aqueles que pretende alterar. Especifique apenas os prefixos que quer manter. Neste caso, 10.0.0.0/24 e 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Para modificar prefixos de endereço de IP do gateway de rede local - ligação de gateway existente

Se tiver uma ligação de gateway e pretender adicionar ou remover prefixos de endereços IP, pode atualizar os prefixos a utilizando az network local-gateway update. Este procedimento resulta num período de indisponibilidade da ligação VPN.

Sempre que fizer uma alteração, tem de ser especificada a lista completa de prefixos, não apenas aqueles que pretende alterar. Neste exemplo, 10.0.0.0/24 e 10.3.0.0/16 já estão presentes. Adicionamos os prefixos 10.5.0.0/16 e 10.6.0.0/16 e especificamos todos os 4 prefixos ao atualizar.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Para modificar o "gatewayIpAddress" do gateway de rede local

Se você alterar o endereço IP público do seu dispositivo VPN, precisará modificar o gateway de rede local com o endereço IP atualizado. Ao modificar o gateway, certifique-se de especificar o nome existente do gateway de rede local. Se você usar um nome diferente, criará um novo gateway de rede local, em vez de substituir as informações do gateway existente.

Para modificar o endereço IP do gateway, substitua os valores "Site2" e "TestRG1" pelos seus utilizando o comando az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Certifique-se de que o endereço IP está correto na saída:

"gatewayIpAddress": "23.99.222.170",

Para verificar os valores de chave partilhada

Verifique se o valor da chave partilhada é igual ao valor que utilizou na configuração do dispositivo VPN. Se não estiver, execute a conexão novamente usando o valor do dispositivo ou atualize o dispositivo com o valor do retorno. Os valores têm de corresponder. Para ver a chave partilhada, utilize az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Para ver o endereço IP Público do gateway de VPN

Para encontrar o endereço IP público do gateway da rede virtual, utilize o comando az network public-ip list. Para maior facilidade de leitura, a saída para este exemplo é formatada para apresentar a lista de IPs públicos no formato de tabela.

az network public-ip list --resource-group TestRG1 --output table

Próximos passos

• Para obter informações sobre BGP, consulte a visão geral do BGP e Como configurar o BGP.
• Para obter informações sobre o túnel forçado, veja About forced tunneling (Acerca do túnel forçado).
• Para obter informações sobre conexões ativas-ativas altamente disponíveis, consulte Conectividade altamente disponível entre locais e VNet-to-VNet.
• Para obter uma lista dos comandos da CLI do Azure de rede, veja Azure CLI (CLI do Azure).
• Para obter informações sobre como criar uma conexão VPN site a site usando o modelo do Azure Resource Manager, consulte Criar uma conexão VPN site a site.
• Para obter informações sobre como criar uma conexão VPN VNet-to-VNet usando o modelo do Azure Resource Manager, consulte Implantar replicação geográfica do HBase.