Planejar e implementar a Rede Virtual de Área Ampla, incluindo hub virtual seguro
Uma WAN Virtual liga-se aos seus recursos no Azure através de uma ligação VPN IPsec/IKE (IKEv1 e IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local que tenha um endereço IP público com acesso exterior atribuído ao mesmo.
Pré-requisitos
Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.
Decida o intervalo de endereços IP que você deseja usar para seu espaço de endereço privado do hub virtual. Essas informações são usadas ao configurar seu hub virtual. Um hub virtual é uma rede virtual que é criada e usada pela WAN Virtual. É o núcleo da sua rede WAN virtual em uma região. O intervalo de espaço de endereço deve estar em conformidade com determinadas regras.
- O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
- O intervalo de endereços não pode se sobrepor aos intervalos de endereços locais aos quais você se conecta.
- Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, coordene com alguém que possa fornecer esses detalhes para você.
- O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
Portal do Azure ou Azure PowerShell
Você pode usar o portal do Azure ou cmdlets do Azure PowerShell para criar uma conexão site a site com a WAN Virtual do Azure. O Cloud Shell é um shell interativo gratuito que tem ferramentas comuns do Azure pré-instaladas e configuradas para uso com sua conta.
Para abrir o Cloud Shell, basta selecionar Open Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do https://shell.azure.com/powershellnavegador acessando . Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.
Você também pode instalar e executar os cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções podem falhar. Para localizar as versões do Azure PowerShell instaladas no seu computador, use o Get-Module -ListAvailable Az cmdlet
.
Iniciar sessão
Se estiver a utilizar o Azure Cloud Shell , será automaticamente direcionado para iniciar sessão na sua conta depois de abrir o Cloud Shell. Você não precisa executar Connect-AzAccount
o . Depois de iniciar sessão, ainda pode alterar subscrições, se necessário, utilizando Get-AzSubscription
e Select-AzSubscription
.
Se você estiver executando o PowerShell localmente, abra o console do PowerShell com privilégios elevados e conecte-se à sua conta do Azure. O cmdlet Connect-AzAccount solicita credenciais. Depois de autenticar, ele baixa as configurações da sua conta para que elas fiquem disponíveis para o Azure PowerShell. Você pode alterar a assinatura usando Get-AzSubscription
e Select-AzSubscription -SubscriptionName "Name of subscription"
.
Criar uma WAN Virtual
Antes de criar uma wan virtual, você precisa criar um grupo de recursos para hospedar a wan virtual ou usar um grupo de recursos existente. Use um dos exemplos a seguir.
Este exemplo cria um novo grupo de recursos chamado TestRG no local Leste dos EUA. Se quiser usar um grupo de recursos existente, você pode modificar o $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"
comando e concluir as etapas deste exercício usando seus próprios valores.
Crie um grupo de recursos.
New-AzResourceGroup -Location "East US" -Name "TestRG"
Crie a wan virtual usando o cmdlet New-AzVirtualWan.
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
Criar o hub e definir as configurações do hub
Um hub é uma rede virtual que pode conter gateways para funcionalidade site a site, Rota Expressa ou ponto a site. Crie um hub virtual com New-AzVirtualHub
o . Este exemplo cria um hub virtual padrão chamado Hub1 com o prefixo de endereço especificado e um local para o hub.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Criar um gateway VPN site a site
Nesta seção, você cria um gateway VPN site a site no mesmo local do hub virtual referenciado. Ao criar o gateway de VPN, você especifica as unidades de escala desejadas. Demora cerca de 30 minutos para o gateway ser criado.
Se você fechou o Azure Cloud Shell ou sua conexão expirou, talvez seja necessário declarar a variável novamente para $virtualHub.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"
Crie um gateway VPN usando o cmdlet New-AzVpnGateway.
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2
Depois que seu gateway VPN for criado, você poderá visualizá-lo usando o exemplo a seguir.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Criar um site e conexões
Nesta seção, você cria sites que correspondem aos seus locais físicos e às conexões. Esses sites contêm seus pontos de extremidade de dispositivo VPN local, você pode criar até 1000 sites por hub virtual em uma WAN virtual. Se você tiver vários hubs, poderá criar 1000 por cada um desses hubs.
Defina a variável para o gateway VPN e para o espaço de endereço IP localizado no site local. O tráfego destinado a este espaço de endereços é encaminhado para o site local. É necessário quando o BGP não está ativado para o site.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"
Crie links para adicionar informações sobre os links físicos na filial, incluindo metadados sobre a velocidade do link, o nome do provedor de link e o endereço IP público do dispositivo local.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"
Crie o site VPN, fazendo referência às variáveis dos links do site VPN que você acabou de criar. Se você fechou o Azure Cloud Shell ou sua conexão expirou, redeclare a variável WAN virtual:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
Crie o site VPN usando o cmdlet New-AzVpnSite.
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)
Crie a conexão de link do site. A conexão é composta por dois túneis ativos-ativos de uma filial/site para o gateway escalável.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
Conectar o site VPN a um hub
Antes de executar o comando, talvez seja necessário redeclarar as seguintes variáveis:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"
Conecte o site da VPN ao hub.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Conectar uma rede virtual ao seu hub
A próxima etapa é conectar o hub à rede virtual. Se você criou um novo grupo de recursos para este exercício, normalmente ainda não terá uma rede virtual (VNet) em seu grupo de recursos. As etapas abaixo ajudam você a criar uma rede virtual se ainda não tiver uma. Em seguida, você pode criar uma conexão entre o hub e sua rede virtual.
Criar uma rede virtual
Você pode usar os seguintes valores de exemplo para criar uma VNet. Certifique-se de substituir os valores nos exemplos pelos valores que você usou para seu ambiente.
Crie uma rede virtual.
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet
Especifique as configurações da sub-rede.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
Defina a rede virtual.
$virtualNetwork | Set-AzVirtualNetwork
Ligar uma VNet a um hub
As etapas a seguir permitem que você conecte sua rede virtual ao hub virtual usando o PowerShell. Você também pode usar o portal do Azure para concluir essa tarefa. Repita estes passos para cada VNet que queira ligar.
Antes de criar uma conexão, esteja ciente do seguinte:
- Uma rede virtual só pode ser conectada a um hub virtual de cada vez.
- Para conectá-lo a um hub virtual, a rede virtual remota não pode ter um gateway.
- Algumas definições de configuração, como Propagar rota estática, só podem ser configuradas no portal do Azure no momento.
Se gateways VPN estiverem presentes no hub virtual, essa operação, bem como qualquer outra operação de gravação na VNet conectada, pode causar desconexão com clientes ponto a site, bem como reconexão de túneis site a site e sessões BGP (Border Gateway Protocol).
Adicionar uma ligação
Declare as variáveis para os recursos existentes, incluindo a rede virtual existente.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"
Crie uma conexão para emparelhar a rede virtual com o hub virtual.
New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork
Configurar dispositivo VPN
Transferir a configuração da VPN
Use o arquivo de configuração do dispositivo VPN para configurar seu dispositivo VPN local. Aqui estão os passos básicos:
Na sua página WAN Virtual, vá para Hubs ->Your virtual hub ->VPN (Site to site) page.
Na parte superior da página VPN (Site a site), clique em Baixar configuração de VPN. Você verá uma série de mensagens à medida que o Azure cria uma nova conta de armazenamento no grupo de recursos 'microsoft-network-[location]', onde location é o local da WAN. Você também pode adicionar uma conta de armazenamento existente clicando em "Usar existente" e adicionando um URL SAS válido com permissões de gravação habilitadas.
Quando o arquivo terminar de criar, clique no link para baixar o arquivo. Isso cria um novo arquivo com configuração VPN no local de URL SAS fornecido.
Aplique a configuração ao dispositivo VPN no local. Para obter mais informações, consulte Configuração do dispositivo VPN nesta seção.
Depois de aplicar a configuração aos seus dispositivos VPN, não é necessário manter a conta de armazenamento que criou.
Espaço de endereçamento da(s) rede(s) virtual(is) do(s) hub(s) virtual(is).
Exemplo:
"AddressSpace":"10.1.0.0/24"
Espaço de endereçamento das redes virtuais conectadas ao hub virtual.
Exemplo:
"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
Espaço de endereço IP do vpngateway do hub virtual. Como cada conexão vpngateway é composta por dois túneis na configuração ativa-ativa, você verá ambos os endereços IP listados neste arquivo. Neste exemplo, vê "Instance0" e "Instance1" para cada site.
Exemplo:
"Instance0":"nnn.nn.nn.nnn"
"Instance1":"nnn.nn.nn.nnn"
Endereço IP público: atribuído pelo Azure.
Endereço IP privado: atribuído pelo Azure.
Endereço IP BGP padrão: atribuído pelo Azure.
Endereço IP BGP personalizado: Este campo está reservado para APIPA (Automatic Private IP Addressing). O Azure suporta IP BGP nos intervalos 169.254.21.* e 169.254.22.*. O Azure aceita conexões BGP nesses intervalos, mas discará conexão com o IP BGP padrão. Os usuários podem especificar vários endereços IP BGP personalizados para cada instância. O mesmo endereço IP BGP personalizado não deve ser usado para ambas as instâncias.
Arquivo de configuração do dispositivo VPN
O ficheiro de configuração do dispositivo contém as definições que vão ser utilizadas para configurar o dispositivo VPN no local. Quando vir este ficheiro, repare nas informações seguintes:
- vpnSiteConfiguration - Esta seção indica os detalhes do dispositivo configurados como um site que se conecta à WAN virtual. Inclui o nome e o endereço IP público do dispositivo da filial.
vpnSiteConnections - Esta seção fornece informações sobre as seguintes configurações:
- Detalhes de configuração da conexão Vpngateway, como BGP, chave pré-compartilhada, etc. A PSK é a chave pré-compartilhada que é gerada automaticamente para você. Você sempre pode editar a conexão na página Visão geral de uma chave pré-compartilhada (PSK) personalizada.
Exemplo de ficheiro de configuração de dispositivo
{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }
Configurar o dispositivo VPN
Nota
Se está a trabalhar com uma solução de parceiros do WAN Virtual, a configuração do dispositivo VPN acontece automaticamente. O controlador de dispositivo obtém o ficheiro de configuração do Azure e aplica o dispositivo para configurar a ligação ao Azure. Isto significa que não é preciso saber como configurar o dispositivo VPN manualmente.
Exibir ou editar configurações de gateway
Você pode visualizar e editar suas configurações de gateway VPN a qualquer momento. Vá para o seu Virtual HUB ->VPN (Site to site) e selecione View/Configure.
Na página Editar Gateway VPN, você pode ver as seguintes configurações: