Dela via

Skapa en VPN-gateway med PowerShell

  • Artikel

Den här artikeln hjälper dig att skapa en Azure VPN-gateway med Hjälp av PowerShell. En VPN-gateway används när du skapar en VPN-anslutning till ditt lokala nätverk. Du kan också använda en VPN-gateway för att ansluta virtuella nätverk. Mer omfattande information om några av inställningarna i den här artikeln finns i Skapa en VPN-gateway – portal.

Diagram som visar ett virtuellt nätverk och en VPN-gateway.

  • Till vänster i diagrammet visas det virtuella nätverket och den VPN-gateway som du skapar med hjälp av stegen i den här artikeln.
  • Du kan senare lägga till olika typer av anslutningar, som visas till höger i diagrammet. Du kan till exempel skapa plats-till-plats - och punkt-till-plats-anslutningar . Information om hur du visar olika designarkitekturer som du kan skapa finns i DESIGN av VPN-gateway.

Stegen i den här artikeln skapar ett virtuellt nätverk, ett undernät, ett gateway-undernät och en routningsbaserad, zonredundant VPN-gateway i aktivt-aktivt läge (virtuell nätverksgateway) med hjälp av SKU:n Generation 2 VpnGw2AZ. När gatewayen har skapats kan du konfigurera anslutningar.

  • Om du vill skapa en VPN-gateway med hjälp av Basic SKU i stället kan du läsa Skapa en Grundläggande SKU VPN-gateway.
  • Vi rekommenderar att du skapar en VPN-gateway i aktivt aktivt läge när det är möjligt. VPN-gatewayer i aktivt aktivt läge ger bättre tillgänglighet och prestanda än VPN-gatewayer i standardläge. Mer information om aktiva-aktiva gatewayer finns i Om aktiv-aktiva lägesgatewayer.
  • Information om tillgänglighetszoner och zonredundanta gatewayer finns i Vad är tillgänglighetszoner?

Kommentar

Stegen i den här artikeln använder gateway-SKU VpnGw2AZ, som är en SKU som stöder Azure-tillgänglighetszoner. Om tillgänglighetszoner inte stöds för din region använder du en icke-AZ SKU i stället. Mer information om SKU:er finns i Om gateway-SKU:er.

Innan du börjar

De här stegen kräver en Azure-prenumeration. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Den här artikeln använder PowerShell-cmdletar. Om du vill köra cmdletarna kan du använda Azure Cloud Shell. Cloud Shell är ett kostnadsfritt interaktivt gränssnitt som du kan använda för att köra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto.

Öppna Cloud Shell genom att välja Öppna Cloudshell i det övre högra hörnet i ett kodblock. Du kan också öppna Cloud Shell på en separat webbläsarflik genom att gå till https://shell.azure.com/powershell. Välj Kopiera för att kopiera kodblocken, klistra in dem i Cloud Shell och välj returnyckeln för att köra dem.

Du kan också installera och köra Azure PowerShell-cmdletarna lokalt på datorn. PowerShell-cmdletar uppdateras ofta. Om du inte har installerat den senaste versionen kan de värden som anges i anvisningarna misslyckas. Om du vill hitta versionerna av Azure PowerShell installerade på datorn använder du cmdleten Get-Module -ListAvailable Az . Information om hur du installerar eller uppdaterar finns i Installera Azure PowerShell-modulen.

Skapa en resursgrupp

Skapa en Azure-resursgrupp med kommandot New-AzResourceGroup . En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Om du kör PowerShell lokalt öppnar du PowerShell-konsolen med utökade privilegier och ansluter till Azure med kommandot Connect-AzAccount .

New-AzResourceGroup -Name TestRG1 -Location EastUS

Skapa ett virtuellt nätverk

Om du inte redan har ett virtuellt nätverk skapar du ett med New-AzVirtualNetwork. När du skapar ett virtuellt nätverk kontrollerar du att adressutrymmena du anger inte överlappar något av de adressutrymmen som du har i ditt lokala nätverk. Om det finns ett duplicerat adressintervall på båda sidor av VPN-anslutningen dirigeras inte trafiken som du kan förvänta dig. Om du vill ansluta det här virtuella nätverket till ett annat virtuellt nätverk kan adressutrymmet inte överlappa med andra virtuella nätverk. Var noga med att planera din nätverkskonfiguration på lämpligt sätt.

I följande exempel skapas ett virtuellt nätverk med namnet VNet1platsen EastUS :

$virtualnetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Skapa en undernätskonfiguration med cmdleten New-AzVirtualNetworkSubnetConfig . FrontEnd-undernätet används inte i den här övningen. Du kan ersätta ditt eget undernätsnamn.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name FrontEnd `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualnetwork

Ange undernätskonfigurationen för det virtuella nätverket med hjälp av cmdleten Set-AzVirtualNetwork .

$virtualnetwork | Set-AzVirtualNetwork

Lägga till ett gatewayundernät

Virtuella nätverksgatewayresurser distribueras till ett specifikt undernät med namnet GatewaySubnet. Gateway-undernätet är en del av ip-adressintervallet för det virtuella nätverket som du anger när du konfigurerar det virtuella nätverket.

Om du inte har ett undernät med namnet GatewaySubnet misslyckas det när du skapar din VPN-gateway. Vi rekommenderar att du skapar ett gateway-undernät som använder en /27 (eller större). Till exempel /27 eller /26. Mer information finns i VPN Gateway-inställningar – Gateway-undernät.

Viktigt!

Nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet stöds inte. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?

Ange en variabel för ditt virtuella nätverk.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Skapa gatewayundernätet med hjälp av cmdleten Add-AzVirtualNetworkSubnetConfig .

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Ange undernätskonfigurationen för det virtuella nätverket med hjälp av cmdleten Set-AzVirtualNetwork .

$vnet | Set-AzVirtualNetwork

Begära offentliga IP-adresser

En VPN-gateway måste ha en offentlig IP-adress. När du skapar en anslutning till en VPN-gateway är det den IP-adress som du anger. För aktiv-aktiva lägesgatewayer har varje gatewayinstans en egen offentlig IP-adressresurs. Först begär du IP-adressresursen och sedan hänvisar du till den när du skapar din virtuella nätverksgateway. För alla gateway-SKU:er som slutar i AZ måste du också ange inställningen Zon. Det här exemplet anger en zonredundant konfiguration eftersom den anger alla tre regionala zoner.

IP-adressen tilldelas till resursen när VPN-gatewayen skapas. Den enda gången som den offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. Den ändras inte vid storleksändring, återställning eller annat internt underhåll/uppgraderingar av din VPN-gateway.

Använd följande exempel för att begära en statisk offentlig IP-adress för varje gatewayinstans.

$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Om du vill skapa en aktiv-aktiv gateway (rekommenderas) begär du en andra offentlig IP-adress:

$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Skapa gatewayens IP-adresskonfiguration

Gateway-konfigurationen definierar undernätet och den offentliga IP-adress som ska användas. Använd följande exempel för att skapa din gatewaykonfiguration.

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id

Skapa VPN-gatewayen

Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU. När gatewayen har skapats kan du skapa en anslutning mellan ditt virtuella nätverk och din lokala plats. Eller skapa en anslutning mellan ditt virtuella nätverk och ett annat virtuellt nätverk.

Skapa en VPN-gateway med cmdleten New-AzVirtualNetworkGateway. Observera i exemplen att båda offentliga IP-adresserna refereras och att gatewayen konfigureras som aktiv-aktiv med hjälp av växeln EnableActiveActiveFeature . I exemplet lägger vi till den valfria -Debug växeln. Om du vill skapa en gateway med en annan SKU kan du läsa Om gateway-SKU:er för att fastställa vilken SKU som passar dina konfigurationskrav bäst.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug

Visa VPN-gatewayen

Du kan visa VPN-gatewayen med cmdleten Get-AzVirtualNetworkGateway .

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Visa gateway-IP-adresser

Varje VPN-gatewayinstans tilldelas en offentlig IP-adressresurs. Om du vill visa IP-adressen som är associerad med resursen använder du cmdleten Get-AzPublicIpAddress . Upprepa för varje gatewayinstans. Aktiva-aktiva gatewayer har en annan offentlig IP-adress tilldelad till varje instans.

Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

Rensa resurser

När du inte längre behöver de resurser som du har skapat kan du ta bort resursgruppen med kommandot Remove-AzResourceGroup. Detta tar bort resursgruppen och alla resurser som den innehåller.

Remove-AzResourceGroup -Name TestRG1

Nästa steg

När gatewayen har skapats kan du konfigurera anslutningar.