Поделиться через

Имитация удаленного сетевого подключения с помощью Azure VNG

  • Статья

Организациям может потребоваться расширить возможности Интернет-доступ Microsoft Entra для всех сетей, а не только на отдельных устройствах, на которые они могут установить клиент глобального безопасного доступа. В этой статье показано, как расширить эти возможности в виртуальной сети Azure, размещенной в облаке. Аналогичные принципы могут применяться к локальному сетевому оборудованию клиента.

Необходимые компоненты

Чтобы выполнить действия в этом процессе, необходимо иметь следующие предварительные требования:

  • Подписка Azure и разрешение на создание ресурсов в портал Azure.
  • Базовое понимание VPN-подключений типа "сеть — сеть".
  • Клиент Microsoft Entra с назначенной ролью глобального администратора безопасного доступа.

Компоненты виртуальной сети

Создание этой функции в Azure обеспечивает организациям возможность понять, как Интернет-доступ Microsoft Entra работает в более широкой реализации. Ресурсы, создаваемые в Azure, соответствуют локальным понятиям следующим образом:

Схема, показывающая виртуальную сеть в Azure, подключенную к Интернет-доступ Microsoft Entra имитации сети клиента.

Ресурс Azure Традиционный локальный компонент
Виртуальная сеть Локальное пространство IP-адресов
Шлюз виртуальной сети Локальный маршрутизатор, иногда называемый локальным оборудованием клиента (CPE)
Шлюз локальной сети Шлюз Майкрософт, который маршрутизатор (шлюз виртуальной сети Azure) создает туннель IPsec для
Соединение VPN-туннель IPsec, созданный между шлюзом виртуальной сети и локальным сетевым шлюзом
Виртуальная машина Клиентские устройства в локальной сети

В этом документе используются следующие значения по умолчанию. Вы можете настроить эти параметры в соответствии с вашими собственными требованиями.

  • Подписка: Visual Studio Enterprise
  • Имя группы ресурсов: Network_Simulation
  • Регион: восточная часть США.

Пошаговые действия

Действия по имитации удаленного сетевого подключения с виртуальными сетями Azure выполняются в портал Azure и Центре администрирования Microsoft Entra. Может быть полезно открыть несколько вкладок, чтобы можно было легко переключаться между ними.

Перед созданием виртуальных ресурсов вам потребуется группа ресурсов и виртуальная сеть для использования в следующих разделах. Если у вас уже настроена тестовая группа ресурсов и виртуальная сеть, можно начать с шага 3.

  1. Создание группы ресурсов (портал Azure)
  2. Создание виртуальной сети (портал Azure)
  3. Создание шлюза виртуальной сети (портал Azure)
  4. Создание удаленной сети со ссылками на устройства (Центр администрирования Microsoft Entra)
  5. Создание шлюза локальной сети (портал Azure)
  6. Создание VPN-подключения типа "сеть — сеть" (портал Azure)
  7. Проверка подключения (оба)

Создание или изменение группы ресурсов

Создайте группу ресурсов, чтобы содержать все необходимые ресурсы.

  1. Войдите в портал Azure с разрешением на создание ресурсов.
  2. Перейдите к группам ресурсов.
  3. Нажмите кнопку создания.
  4. Выберите подписку, регион и укажите имя группы ресурсов.
  5. Выберите Review + create (Просмотреть и создать).
  6. Подтвердите сведения, а затем нажмите кнопку "Создать".

Снимок экрана: создание полей группы ресурсов.

Создание виртуальной сети

Создайте виртуальную сеть в новой группе ресурсов.

  1. В портал Azure перейдите к виртуальная сеть.
  2. Нажмите кнопку создания.
  3. Выберите только что созданную группу ресурсов.
  4. Укажите сеть с именем виртуальной сети.
  5. Оставьте значения по умолчанию для других полей.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Снимок экрана: создание полей виртуальной сети.

создать шлюз виртуальной сети;

Создайте шлюз виртуальной сети в новой группе ресурсов.

  1. В портал Azure перейдите к шлюзам виртуальной сети.

  2. Нажмите кнопку создания.

  3. Укажите шлюз виртуальной сети с именем и выберите соответствующий регион.

  4. Выберите виртуальную сеть , созданную в предыдущем разделе.

    Снимок экрана: портал Azure с параметрами конфигурации для шлюза виртуальной сети.

  5. Создайте общедоступный IP-адрес и укажите его описательным именем.

    • НЕОБЯЗАТЕЛЬНО. Если требуется дополнительный туннель IPsec, в разделе SECOND PUBLIC IP ADDRESS создайте другой общедоступный IP-адрес и присвойте ему имя. При создании второго туннеля IPsec необходимо создать два канала устройства на шаге "Создание удаленной сети ".
    • Установите для режима "Включить активный-активный" значение "Отключено", если вам не нужен второй общедоступный IP-адрес.
    • В примере в этой статье используется один туннель IPsec.

  6. Выберите зону доступности.

  7. Задайте для параметра "Настройка BGP " значение "Включено".

  8. Задайте для автономного номера системы (ASN) соответствующее значение. Ознакомьтесь со списком допустимых значений ASN для зарезервированных значений, которые нельзя использовать.

    Снимок экрана: поля IP-адресов для создания шлюза виртуальной сети.

  9. Оставьте все остальные параметры пустыми по умолчанию или пустыми.

  10. Выберите Review + create (Просмотреть и создать). Подтвердите параметры.

  11. Нажмите кнопку создания.

Примечание.

Для развертывания и создания шлюза виртуальной сети может потребоваться несколько минут. Вы можете запустить следующий раздел во время его создания, но для выполнения следующего шага потребуется общедоступный IP-адрес шлюза виртуальной сети.

Чтобы просмотреть эти IP-адреса, перейдите на страницу конфигурации шлюза виртуальной сети после его развертывания.

Снимок экрана: поиск общедоступных IP-адресов шлюза виртуальной сети.

Создание удаленной сети

Процесс создания удаленной сети завершен в Центре администрирования Microsoft Entra. Существует два набора вкладок, в которых вы вводите сведения.

Снимок экрана: два набора вкладок, используемых в процессе.

Ниже приведены основные сведения, необходимые для создания удаленной сети с глобальным безопасным доступом. Этот процесс подробно рассматривается в двух отдельных статьях. Существует несколько деталей, которые можно легко смешать, поэтому ознакомьтесь со следующими статьями для получения дополнительных сведений:

Избыточность между зонами

Прежде чем создать удаленную сеть для глобального безопасного доступа, ознакомьтесь с двумя вариантами избыточности. Удаленные сети можно создавать с избыточностью или без нее. Избыточность можно добавить двумя способами:

  • Выберите избыточность зоны при создании ссылки на устройство в Центре администрирования Microsoft Entra.
    • В этом сценарии мы создадим другой шлюз для вас в другой зоне доступности в том же регионе центра обработки данных, который вы выбрали при создании удаленной сети.
    • В этом сценарии вам потребуется только один общедоступный IP-адрес в шлюзе виртуальной сети.
    • Два туннеля IPSec создаются из одного общедоступного IP-адреса маршрутизатора в разные шлюзы Майкрософт в разных зонах доступности.
  • Создайте вторичный общедоступный IP-адрес в портал Azure и создайте два канала устройства с разными общедоступными IP-адресами в Центре администрирования Microsoft Entra.
    • Вы можете выбрать избыточность , а затем при добавлении ссылок устройств в удаленную сеть в Центре администрирования Microsoft Entra.
    • В этом сценарии на шлюзе виртуальной сети требуются первичные и вторичные общедоступные IP-адреса.

В этой статье мы выбираем путь избыточности зоны.

Совет

Локальный адрес BGP должен быть частным IP-адресом, который находится вне адресного пространства виртуальной сети, связанной с шлюзом виртуальной сети. Например, если адресное пространство виртуальной сети равно 10.1.0.0/16, вы можете использовать 10.2.0.0 в качестве локального адреса BGP.

Ознакомьтесь со списком допустимых адресов BGP для зарезервированных значений , которые нельзя использовать.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора безопасного доступа.
  2. Перейдите к удаленным сетям Global Secure Access>Connect>.
  3. Нажмите кнопку "Создать удаленную сеть " и укажите следующие сведения на вкладке "Основные сведения".
    • Имя
    • Регион

Снимок экрана: вкладка

  1. На вкладке "Подключение" нажмите кнопку "Добавить ссылку".

  2. На вкладке "Добавление ссылки " Общие " введите следующие сведения:

    • Имя ссылки: имя локального оборудования клиента (CPE).
    • Тип устройства: выберите вариант устройства из раскрывающегося списка.
    • IP-адрес устройства: общедоступный IP-адрес устройства CPE (локального оборудования клиента).
    • Адрес BGP устройства: введите IP-адрес BGP вашего CPE.
      • Этот адрес вводится в качестве локального IP-адреса BGP в CPE.
    • AsN устройства: укажите номер автономной системы (ASN) CPE.
      • Для подключения с поддержкой BGP между двумя сетевыми шлюзами требуется, чтобы они имели разные ASN.
      • Дополнительные сведения см. в разделе "Допустимые ASN" статьи "Конфигурации удаленной сети".
    • Избыточность. Выберите избыточность или избыточность зоны для туннеля IPSec.
    • Локальный адрес BGP для зоны избыточности. Это необязательное поле отображается только при выборе избыточности зоны.
      • Введите IP-адрес BGP, который не входит в локальную сеть, где находится CPE, и отличается от адреса BGP устройства.
    • Емкость пропускной способности (Мбит/с):укажите пропускную способность туннеля. Доступные варианты: 250, 500, 750 и 1000 Мбит/с.
    • Локальный адрес BGP: введите IP-адрес BGP, который не является частью локальной сети, в которой находится CPE.
      • Например, если локальная сеть имеет значение 10.1.0.0/16, вы можете использовать 10.2.0.4 в качестве локального адреса BGP.
      • Этот адрес вводится в качестве ОДНОрангового IP-адреса BGP в CPE.
      • Ознакомьтесь со списком допустимых адресов BGP для зарезервированных значений , которые нельзя использовать.

    Снимок экрана: вкладка

  3. На вкладке "Добавить ссылку " Сведения " оставьте выбранные значения по умолчанию, если вы ранее не выбрали другой выбор и нажмите кнопку "Далее ".

  4. На вкладке "Добавление ссылки — безопасность " введите общий ключ (PSK) и нажмите кнопку "Сохранить ". Вы вернеесь к основному набору вкладок удаленной сети .

  5. На вкладке "Профили трафика" выберите соответствующий профиль пересылки трафика.

  6. Нажмите кнопку Просмотреть и создать.

  7. Если все выглядит правильно, нажмите кнопку "Создать удаленную сеть ".

Просмотр конфигурации подключения

После создания удаленной сети и добавления ссылки на устройство сведения о конфигурации доступны в Центре администрирования Microsoft Entra. Чтобы выполнить следующий шаг, вам потребуется несколько сведений из этой конфигурации.

  1. Перейдите к удаленным сетям Global Secure Access>Connect>.

  2. В последнем столбце справа в таблице выберите "Вид конфигурации " для созданной удаленной сети. Конфигурация отображается как большой двоичный объект JSON.

  3. Найдите и сохраните общедоступный IP-адрес endpointasnМайкрософт, а затем bgpAddress на открываемой панели.

    • Эти сведения используются для настройки подключения на следующем шаге.
    • Дополнительные сведения о просмотре этих сведений см. в разделе "Настройка локального оборудования клиента".

    Снимок экрана: панель конфигурации представления.

На следующей схеме можно подключить ключевые сведения об этих сведениях конфигурации к их коррелирующей роли в имитированной удаленной сети. Текстовое описание схемы следует изображению.

Схема конфигураций удаленной сети и расположение сведений, коррелирующих с сетью.

В центре схемы показана группа ресурсов, содержащая виртуальную машину, подключенную к виртуальной сети. Затем шлюз виртуальной сети подключается к шлюзу локальной сети через избыточное VPN-подключение типа "сеть — сеть".

Снимок экрана: сведения о подключении выделены двумя разделами. Первый выделенный раздел localConfigurations содержит сведения о шлюзе глобального безопасного доступа, который является шлюзом локальной сети.

Шлюз локальной сети 1

  • Общедоступный IP-адрес/конечная точка: 120.x.x.76
  • ASN: 65476
  • IP-адрес BGP/bgpAddress: 192.168.1.1

Шлюз локальной сети 2

  • Общедоступный IP-адрес/конечная точка: 4.x.x.193
  • ASN: 65476
  • IP-адрес BGP/bgpAddress: 192.168.1.2

Второй выделенный раздел peerConfiguration содержит сведения о шлюзе виртуальной сети, который является вашим локальным маршрутизатором.

шлюз виртуальная сеть

  • Общедоступный IP-адрес/конечная точка: 20.x.x.1
  • ASN: 65533
  • IP-адрес BGP/bgpAddress: 10.1.1.1

Другой выноски указывает на виртуальную сеть, созданную в группе ресурсов. Адресное пространство виртуальной сети — 10.2.0.0/16. Локальный адрес BGP и адрес BGP однорангового BGP не могут находиться в одном адресном пространстве.

Создание шлюза локальной сети

Этот шаг завершен в портал Azure. Для выполнения этого шага потребуется несколько сведений из предыдущего шага.

Если вы выбрали избыточность при создании ссылок на устройства в Центре администрирования Microsoft Entra, необходимо создать только один локальный сетевой шлюз.

Если выбрана избыточность зоны, необходимо создать два шлюза локальной сети. У вас есть два набора и asn bgpAddress localConfigurations для ссылок endpointна устройство. Эти сведения приведены в разделе "Просмотр сведений о конфигурации" для этой удаленной сети в Центре администрирования Microsoft Entra.

  1. В портал Azure перейдите к шлюзам локальной сети.

  2. Нажмите кнопку создания.

  3. Выберите созданную ранее группу ресурсов.

  4. Выберите подходящий регион.

  5. Укажите шлюз локальной сети с именем.

  6. Для конечной точки выберите IP-адрес, а затем укажите endpoint IP-адрес, предоставленный в Центре администрирования Microsoft Entra.

  7. Нажмите кнопку Далее: Дополнительно.

  8. Задайте для параметра "Настроить BGP " значение "Да".

  9. Введите номер автономной системы (ASN) из localConfigurations раздела сведений о конфигурации представления.

  10. Введите IP-адрес однорангового узла BGP из localConfigurations раздела сведений о конфигурации представления.

    Снимок экрана: поля ASN и BGP в процессе шлюза локальной сети.

  11. Выберите "Просмотр и создание " и подтверждение параметров.

  12. Нажмите кнопку создания.

Если вы использовали избыточность зоны, повторите эти действия, чтобы создать другой шлюз локальной сети со вторым набором значений.

Перейдите к конфигурациям , чтобы просмотреть сведения о шлюзе локальной сети.

Снимок экрана: портал Azure с параметрами конфигурации для шлюза локальной сети.

Создание VPN-подключения типа "сеть — сеть" (S2S)

Этот шаг завершен в портал Azure. При создании второго шлюза необходимо создать два подключения, один для первичных и вторичных шлюзов. Для этого шага сохраните значение по умолчанию для всех параметров, если не указано.

  1. В портал Azure перейдите к подключениям.
  2. Нажмите кнопку создания.
  3. Выберите созданную ранее группу ресурсов.
  4. В разделе "Тип подключения" выберите "Сеть — сеть" (IPsec).
  5. Укажите имя подключения и выберите соответствующий регион.
  6. Выберите Далее: параметры.
  7. Выберите шлюз виртуальной сети и шлюз локальной сети, созданный ранее.
  8. Введите тот же общий ключ (PSK), который вы ввели при создании ссылки устройства на предыдущем шаге.
  9. Установите флажок включения BGP.
  10. Выберите Review + create (Просмотреть и создать). Подтвердите параметры.
  11. Нажмите кнопку создания.

Повторите эти действия, чтобы создать другое подключение со вторым шлюзом локальной сети.

Снимок экрана: портал Azure с параметрами конфигурации для подключения типа

Проверка подключения

Чтобы проверить подключение, необходимо имитировать поток трафика. Одним из способов является создание виртуальной машины для запуска трафика.

Имитация трафика с помощью виртуальной машины

На этом шаге создается виртуальная машина и инициируется трафик для службы Майкрософт. Оставьте для всех параметров значение по умолчанию, если не указано.

  1. В портал Azure перейдите к виртуальным машинам.
  2. Выберите "Создать>виртуальную машину Azure".
  3. Выберите созданную ранее группу ресурсов.
  4. Укажите имя виртуальной машины.
  5. Выберите образ, который вы хотите использовать, в этом примере мы выбираем Windows 11 Pro версии 22H2 — x64-го поколения 2-го поколения
  6. Выберите "Запустить с помощью скидки Azure Spot" для этого теста.
  7. Укажите имя пользователя и пароль для виртуальной машины.
  8. Убедитесь, что у вас есть лицензия windows 10/11 с правами на мультитенантное размещение в нижней части страницы.
  9. Перейдите на вкладку "Сеть".
  10. Выберите созданную ранее виртуальную сеть .
  11. Переход на вкладку "Управление"
  12. Установите флажок "Вход" с идентификатором Microsoft Entra.
  13. Выберите Review + create (Просмотреть и создать). Подтвердите параметры.
  14. Нажмите кнопку создания.

Вы можете заблокировать удаленный доступ к группе безопасности сети только для определенной сети или IP-адреса.

Проверка состояния подключения

После создания удаленных сетей и подключений на предыдущих шагах может потребоваться несколько минут для установки подключения. В портал Azure можно проверить подключение VPN-туннеля и успешность пиринга BGP.

  1. В портал Azure перейдите к шлюзу виртуальной сети, созданному ранее, и выберите "Подключения".
  2. Каждое из подключений должно отображать состояние подключенного после применения конфигурации и успешного выполнения.
  3. Перейдите к одноранговым узлам BGP в разделе "Мониторинг" , чтобы убедиться, что пиринг BGP выполнен успешно. Найдите адреса одноранговых узлов, предоставляемые корпорацией Майкрософт. После применения и успешного применения конфигурации состояние должно отображаться как подключено.

Снимок экрана: поиск состояния подключения для шлюза виртуальной сети.

Вы можете использовать созданную виртуальную машину для проверки потока трафика в службы Майкрософт. Просмотр ресурсов в SharePoint или Exchange Online должен привести к трафику шлюза виртуальной сети. Этот трафик можно увидеть, просматривая метрики в шлюзе виртуальной сети или настраивая запись пакетов для VPN-шлюзов.

Совет

Если вы используете эту статью для тестирования Интернет-доступ Microsoft Entra, очистите все связанные ресурсы Azure, удалив новую группу ресурсов после завершения.

Следующие шаги