Планирование и реализация виртуальной широкой сети, включая защищенный виртуальный концентратор

Завершено

Виртуальная глобальная сеть подключается к ресурсам в Azure через VPN-подключение IPsec/IKE (IKEv1 и IKEv2). Для этого типа подключения требуется локальное VPN-устройство, которому назначен внешний общедоступный IP-адрес.

Необходимые компоненты

• Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

• Выберите диапазон IP-адресов, который вы хотите использовать для пространства частных адресов виртуального концентратора. Эти сведения используются при настройке виртуального концентратора. Виртуальный концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Это основа вашей Виртуальной глобальной сети в регионе. Диапазон адресного пространства должен соответствовать определенным правилам.

  • Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь.
    
  • Указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь.
  • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

портал Azure или Azure PowerShell

Для создания подключения типа "сеть — сеть" к Azure Виртуальная глобальная сеть можно использовать портал Azure или командлеты Azure PowerShell. Cloud Shell — это бесплатная интерактивная оболочка, которая имеет стандартные средства Azure, предварительно установленные и настроенные для использования с вашей учетной записью.

Чтобы открыть Cloud Shell, просто выберите Open Cloud Shell в правом верхнем углу блока кода. Кроме того, Cloud Shell можно открыть в отдельной вкладке браузера. Для этого перейдите на страницу https://shell.azure.com/powershell. Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте их в Cloud Shell и нажмите клавишу ВВОД, чтобы выполнить код.

Кроме того, вы можете установить и запускать командлеты Azure PowerShell локально на компьютере. Командлеты PowerShell часто обновляются. Если вы не установили последнюю версию, значения, указанные в инструкциях, могут завершиться ошибкой. Чтобы найти версии Azure PowerShell, установленные на компьютере, используйте . Get-Module -ListAvailable Az cmdlet.

Вход

Если вы используете Azure Cloud Shell , вы автоматически будете перенаправлены для входа в учетную запись после открытия Cloud Shell. Вам не нужно выполнять Connect-AzAccount. После входа вы по-прежнему можете изменить подписки при необходимости с помощью Get-AzSubscriptionи Select-AzSubscription.

Если модуль PowerShell запущен локально, откройте консоль PowerShell с повышенными привилегиями и подключитесь к своей учетной записи Azure. Командлет Connect-AzAccount запросит учетные данные. После аутентификации будут скачаны параметры вашей учетной записи, чтобы они были доступны для Azure PowerShell. Вы можете изменить подписку с помощью Get-AzSubscriptionи Select-AzSubscription -SubscriptionName "Name of subscription".

Создание виртуальной глобальной сети

Перед созданием виртуальной глобальной сети для ее размещения необходимо создать группу ресурсов или выбрать существующую. Используйте один из следующих примеров.

В этом примере создается новая группа ресурсов с именем TestRG в расположении "Восточная часть США". Если вы хотите использовать существующую группу ресурсов, можно изменить $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"команду, а затем выполнить действия, описанные в этом упражнении, используя собственные значения.

1. Создать группу ресурсов.

   New-AzResourceGroup -Location "East US" -Name "TestRG"
   
   
   
   
   
   
   
   

2. Создайте виртуальную глобальную сеть с помощью командлета New-AzVirtualWan.

   $virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
   
   
   
   
   
   
   
   

Создание центра и настройка параметров концентратора

Концентратор — это виртуальная сеть, которая может содержать шлюзы для подключений "сеть — сеть", "точка — сеть" или каналов ExpressRoute. Создание виртуального концентратора с New-AzVirtualHubпомощью . В этом примере создается виртуальный концентратор по умолчанию с именем Hub1 с указанным префиксом адреса и расположением для концентратора.

$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"

создание шлюза VPN типа "сеть — сеть";

В этом разделе описано, как создать VPN-шлюз типа "сеть — сеть" в том же расположении, что и указанный виртуальный концентратор. При создании VPN-шлюза необходимо указать нужные единицы масштабирования. Создание шлюза занимает около 30 минут.

1. Если вы закрыли Azure Cloud Shell или истекло время ожидания подключения, может потребоваться снова объявить переменную для $virtualHub.

   $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"
   
   
   
   
   
   
   
   

2. Создайте VPN-шлюз с помощью командлета New-AzVpnGateway.

   New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2
   
   
   
   
   
   
   
   

3. После создания шлюза VPN его можно просмотреть, используя следующий пример.

   Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   
   
   
   
   
   
   
   

Создание сайта и подключений

В этом разделе вы создадите сайты, соответствующие вашим физическим расположениям и подключениям. Эти узлы содержат локальные конечные точки VPN-устройств. Можно создать до 1000 сайтов для каждого виртуального концентратора в Виртуальной глобальной сети. Если у вас несколько концентраторов, можно создать по 1000 сайтов для каждого из них.

1. Задайте переменные для VPN-шлюза и пространства IP-адресов, расположенного на локальном сайте. Трафик, предназначенный для этого адресного пространства, перенаправляется на ваш локальный сайт. Это необходимо, если для узла не включен протокол BGP.

   $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   $vpnSiteAddressSpaces = New-Object string[] 2
   $vpnSiteAddressSpaces[0] = "192.168.2.0/24"
   $vpnSiteAddressSpaces[1] = "192.168.3.0/24"
   
   
   
   
   
   
   
   

2. Создайте ссылки для добавления сведений о физических каналах филиала, включая метаданные о скорости связи, имени поставщика связи и общедоступном IP-адресе локального устройства.

   $vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10"
   
   $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"
   
   
   
   
   
   
   
   

3. Создайте сайт VPN, используя переменные со ссылками на VPN-сайт, которые вы только что создали. Если вы закрыли Azure Cloud Shell или истекло время ожидания подключения, повторно объявите переменную виртуальной глобальной сети:

   $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
   
   
   
   
   
   
   
   

   Создайте VPN-сайт с помощью командлета New-AzVpnSite.

   $vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)
   
   
   
   
   
   
   
   

4. Создайте подключение между сайтом и каналом. Подключение состоит из двух активных туннелей из ветви или сайта к масштабируемому шлюзу.

   $vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100
   
   $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
   
   
   
   
   
   
   
   

Подключение сайта VPN к концентратору

1. Перед выполнением команды может потребоваться повторно указать следующие переменные:

   $virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"
   $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
   $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"
   
   
   
   
   
   
   
   

2. Подключите VPN-сайт к концентратору.

   New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
   
   
   
   
   
   
   
   

Подключение виртуальной сети к концентратору

Следующим шагом является подключение концентратора к виртуальной сети. Если вы создали новую группу ресурсов для этого упражнения, обычно у вас нет виртуальной сети (виртуальной сети) в группе ресурсов. Приведенные ниже действия помогут вам создать виртуальную сеть, если у вас ее еще нет. Затем можно создать подключение между концентратором и виртуальной сетью.

Создание виртуальной сети

Для создания виртуальной сети можно использовать следующие примеры значений. Обязательно замените значения в примерах значениями, используемыми для вашей среды.

1. Как создать виртуальную сеть.

   $vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnet
   
   
   
   
   
   
   
   

2. Укажите параметры подсети.

   $subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   
   
   
   
   
   
   
   

3. Задайте виртуальную сеть.

   $virtualNetwork | Set-AzVirtualNetwork
   
   
   
   
   
   
   
   

Подключение виртуальной сети к концентратору.

Следующие шаги позволяют подключить виртуальную сеть к виртуальному концентратору с помощью PowerShell. Вы также можете использовать портал Azure для выполнения этой задачи. Повторите эти шаги для каждой виртуальной сети, которую вы хотите подключить.

Прежде чем создать подключение, помните следующее:

• Виртуальная сеть может быть подключена только к одному виртуальному концентратору за раз.
  
• Чтобы подключить удаленную виртуальную сеть к виртуальному концентратору, у нее не должно быть шлюза.
  
• Некоторые параметры конфигурации, такие как распространение статического маршрута, можно настроить только в портал Azure в настоящее время.
  

Если VPN-шлюзы присутствуют в виртуальном концентраторе, эта операция, а также любая другая операция записи в подключенной виртуальной сети может привести к отключению клиентов типа "точка — сеть", а также повторному подключению туннелей типа "сеть — сеть" и сеансов протокола BGP.

Добавить подключение

1. Объявите переменные для существующих ресурсов, включая существующую виртуальную сеть.

   $resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"
   
   
   
   
   
   
   
   

2. Создайте подключение для пирринга виртуальной сети к виртуальному концентратору.

   New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork
   
   
   
   
   
   
   
   

Настройка VPN-устройства

Скачивание конфигурации VPN

Настройте локальное VPN-устройство с помощью файла конфигурации VPN-устройства. Ниже перечислены основные шаги.

1. На странице Виртуальная глобальная сеть перейдите на страницу "Центры "> Виртуальный концентратор ->VPN (сайт на сайт).

2. В верхней части страницы VPN (сеть — сайт) нажмите кнопку "Скачать VPN-конфигурацию". Вы увидите ряд сообщений, так как Azure создает новую учетную запись хранения в группе ресурсов "microsoft-network-[location], где расположение — расположение глобальной сети. Вы также можете добавить существующую учетную запись хранения, щелкнув "Использовать существующий" и добавив допустимый URL-адрес SAS с включенными разрешениями на запись.

3. После создания файла вы сможете скачать его по ссылке. При этом создается новый файл с конфигурацией VPN в указанном расположении URL-адреса SAS.
   

4. Примените конфигурацию к локальному VPN-устройству. Дополнительные сведения см. в разделе Конфигурация VPN-устройства этой статьи.
   

5. После применения конфигурации к VPN-устройствам не требуется хранить созданную учетную запись хранения.

   • Адресное пространство виртуальной сети виртуальных концентраторов.

     • Пример:

       • "AddressSpace":"10.1.0.0/24"

   • Адресное пространство виртуальных сетей, подключенных к виртуальному концентратору.

     • Пример:

       • "ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]

   • Пространство IP-адресов vpngateway виртуального концентратора. Так как каждое подключение VPN-шлюза состоит из двух туннелей в конфигурации "активный — активный", в этом файле будут указаны оба IP-адреса. В данном примере вы видите Instance0 и Instance1 для каждого сайта.

     • Пример:

       • "Instance0":"nnn.nn.nn.nnn"
       • "Instance1":"nnn.nn.nn.nnn"

   • Общедоступный IP-адрес. Назначается платформой Azure.
     

   • Частный IP-адрес. Назначается платформой Azure.
     

   • IP-адрес BGP по умолчанию. Назначается платформой Azure.
     

   • Настраиваемый IP-адрес BGP. Это поле зарезервировано для APIPA (автоматическое назначение частных IP-адресов). Azure поддерживает IP-адреса BGP в диапазонах 169.254.21.* и 169.254.22.*. Azure принимает подключения по протоколу BGP в этих диапазонах, но инициирует соединение по IP-адресу BGP по умолчанию. Пользователи могут указать несколько настраиваемых IP-адресов BGP для каждого экземпляра. Для обоих экземпляров не следует использовать один и тот же пользовательский IP-адрес BGP.

Файл конфигурации VPN-устройства

Файл конфигурации устройства содержит параметры, которые необходимо использовать при настройке локального VPN-устройства. При просмотре этого файла обратите внимание на следующие сведения:

• vpnSiteConfiguration . В этом разделе описываются сведения о устройстве, настроенные как сайт, подключающийся к виртуальной глобальной сети. Они содержат имя и общедоступный IP-адрес устройства филиала.
  

vpnSiteConnections. В этом разделе представлены следующие параметры:

• Сведения о конфигурации подключения Vpngateway, такие как BGP, предварительный ключ и т. д. PSK — это стандартный ключ, который автоматически создается для вас. Вы всегда можете изменить подключение на странице обзора для пользовательского предварительно общего ключа (PSK).
  

Пример файла конфигурации устройства

{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }

Настройка VPN-устройства

Примечание.

Если вы работаете с партнерским решением Виртуальной глобальной сети, VPN-устройство будет настроено автоматически. Контроллер устройства получает файл конфигурации из Azure и применяет его к устройству, чтобы настроить подключение к Azure. Это означает, что вам не нужно вручную настраивать VPN-устройство.

Просмотр или изменение параметров шлюза

Посмотреть или изменить параметры VPN-шлюза можно в любое время. Перейдите к виртуальному концентратору ->VPN (сайт на сайт) и выберите "Вид или настройка".

На странице Изменение VPN-шлюза можно посмотреть следующие параметры: