Dela via

Skapa en VPN-gateway med CLI

  • Artikel

Den här artikeln hjälper dig att skapa en Azure VPN-gateway med Hjälp av Azure CLI. En VPN-gateway används när du skapar en VPN-anslutning till ditt lokala nätverk. Du kan också använda en VPN-gateway för att ansluta virtuella nätverk. Mer omfattande information om några av inställningarna i den här artikeln finns i Skapa en VPN-gateway – portal.

Diagram som visar ett virtuellt nätverk och en VPN-gateway.

  • Till vänster i diagrammet visas det virtuella nätverket och den VPN-gateway som du skapar med hjälp av stegen i den här artikeln.
  • Du kan senare lägga till olika typer av anslutningar, som visas till höger i diagrammet. Du kan till exempel skapa plats-till-plats - och punkt-till-plats-anslutningar . Information om hur du visar olika designarkitekturer som du kan skapa finns i DESIGN av VPN-gateway.

Stegen i den här artikeln skapar ett virtuellt nätverk, ett undernät, ett gateway-undernät och en routningsbaserad, zonredundant VPN-gateway i aktivt-aktivt läge (virtuell nätverksgateway) med hjälp av SKU:n Generation 2 VpnGw2AZ. Stegen i den här artikeln skapar ett virtuellt nätverk, ett undernät, ett gateway-undernät och en routningsbaserad, zonredundant VPN-gateway i aktivt-aktivt läge (virtuell nätverksgateway) med hjälp av SKU:n Generation 2 VpnGw2AZ. När gatewayen har skapats kan du konfigurera anslutningar.

  • Om du vill skapa en VPN-gateway med hjälp av Basic SKU i stället kan du läsa Skapa en Grundläggande SKU VPN-gateway.
  • Vi rekommenderar att du skapar en VPN-gateway i aktivt aktivt läge när det är möjligt. VPN-gatewayer i aktivt aktivt läge ger bättre tillgänglighet och prestanda än VPN-gatewayer i standardläge. Mer information om aktiva-aktiva gatewayer finns i Om aktiv-aktiva lägesgatewayer.
  • Information om tillgänglighetszoner och zonredundanta gatewayer finns i Vad är tillgänglighetszoner?

Kommentar

Stegen i den här artikeln använder gateway-SKU VpnGw2AZ, som är en SKU som stöder Azure-tillgänglighetszoner. Om tillgänglighetszoner inte stöds för din region använder du en icke-AZ SKU i stället. Mer information om SKU:er finns i Om gateway-SKU:er.

Innan du börjar

De här stegen kräver en Azure-prenumeration. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • Den här artikeln kräver version 2.0.4 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.

Skapa en resursgrupp

Skapa en resursgrupp med hjälp av kommandot az group create. En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

az group create --name TestRG1 --location eastus

Skapa ett virtuellt nätverk

Om du inte redan har ett virtuellt nätverk skapar du ett med kommandot az network vnet create. När du skapar ett virtuellt nätverk kontrollerar du att adressutrymmena du anger inte överlappar något av de adressutrymmen som du har i ditt lokala nätverk. Om det finns ett duplicerat adressintervall på båda sidor av VPN-anslutningen dirigeras inte trafiken som du kan förvänta dig. Om du vill ansluta det här virtuella nätverket till ett annat virtuellt nätverk kan adressutrymmet inte överlappa med andra virtuella nätverk. Var noga med att planera din nätverkskonfiguration på lämpligt sätt.

I följande exempel skapas ett virtuellt nätverk med namnet "VNet1" och ett undernät, "FrontEnd". FrontEnd-undernätet används inte i den här övningen. Du kan ersätta ditt eget undernätsnamn.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Lägga till ett gatewayundernät

Virtuella nätverksgatewayresurser distribueras till ett specifikt undernät med namnet GatewaySubnet. Gateway-undernätet är en del av ip-adressintervallet för det virtuella nätverket som du anger när du konfigurerar det virtuella nätverket.

Om du inte har ett undernät med namnet GatewaySubnet misslyckas det när du skapar din VPN-gateway. Vi rekommenderar att du skapar ett gateway-undernät som använder en /27 (eller större). Till exempel /27 eller /26. Mer information finns i VPN Gateway-inställningar – Gateway-undernät.

Viktigt!

Nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet stöds inte. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?

Använd följande exempel för att lägga till ett gateway-undernät:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Begära offentliga IP-adresser

En VPN-gateway måste ha en offentlig IP-adress. När du skapar en anslutning till en VPN-gateway är det den IP-adress som du anger. För aktiv-aktiva lägesgatewayer har varje gatewayinstans en egen offentlig IP-adressresurs. Först begär du IP-adressresursen och sedan hänvisar du till den när du skapar din virtuella nätverksgateway. För alla gateway-SKU:er som slutar i AZ måste du också ange inställningen Zon. Det här exemplet anger en zonredundant konfiguration eftersom den anger alla tre regionala zoner.

IP-adressen tilldelas till resursen när VPN-gatewayen skapas. Den enda gången som den offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. Den ändras inte vid storleksändring, återställning eller annat internt underhåll/uppgraderingar av din VPN-gateway.

Använd kommandot az network public-ip create för att begära en offentlig IP-adress:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Om du vill skapa en aktiv-aktiv gateway (rekommenderas) begär du en andra offentlig IP-adress:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Skapa VPN-gatewayen

Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU. När gatewayen har skapats kan du skapa en anslutning mellan ditt virtuella nätverk och din lokala plats. Eller skapa en anslutning mellan ditt virtuella nätverk och ett annat virtuellt nätverk.

Skapa en VPN-gateway med kommandot az network vnet-gateway create. Om du kör det här kommandot med hjälp av parametern --no-wait ser du ingen feedback eller några utdata. Parametern --no-wait gör att gatewayen kan skapas i bakgrunden. Det betyder inte att VPN-gatewayen skapas omedelbart. Om du vill skapa en gateway med en annan SKU kan du läsa Om gateway-SKU:er för att fastställa vilken SKU som passar dina konfigurationskrav bäst.

Aktiv-aktiv lägesgateway

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway i aktivt vänteläge

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Det kan ta minst 45 minuter att skapa en VPN-gateway.

Visa VPN-gatewayen

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Visa gateway-IP-adresser

Varje VPN-gatewayinstans tilldelas en offentlig IP-adressresurs. Om du vill visa IP-adressen som är associerad med resursen använder du följande kommando. Upprepa för varje gatewayinstans.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Rensa resurser

När du inte längre behöver de resurser som du har skapat använder du az group delete för att ta bort resursgruppen. Detta tar bort resursgruppen och alla resurser som den innehåller.

az group delete --name TestRG1 --yes

Nästa steg

När gatewayen har skapats kan du konfigurera anslutningar.