إضافة اتصال من موقع إلى موقع إلى شبكة VNet من خلال الاتصال ببوابة VPN موجودة (كلاسيكي)

ترشدك هذه المقالة خلال استخدام PowerShell لإضافة اتصالات من موقع إلى موقع (S2S) إلى بوابة VPN التي تحتوي على اتصال موجود باستخدام نموذج التوزيع الكلاسيكي (القديم). يشار إلى هذا النوع من الاتصال أحيانا باسم تكوين "متعدد المواقع". لا تنطبق هذه الخطوات على تكوينات الاتصال المتعايشة ExpressRoute/Site-to-Site.

تنطبق الخطوات الواردة في هذه المقالة على نموذج النشر الكلاسيكي (القديم) ولا تنطبق على نموذج التوزيع الحالي، Resource Manager. ما لم ترغب في العمل في نموذج التوزيع الكلاسيكي على وجه التحديد، نوصي باستخدام إصدار Resource Manager من هذه المقالة.

إشعار

تمت كتابة هذه المقالة لنموذج النشر الكلاسيكي (القديم). نوصي باستخدام أحدث نموذج توزيع Azure بدلا من ذلك. نموذج توزيع Resource Manager هو أحدث نموذج نشر ويوفر المزيد من الخيارات وتوافق الميزات من نموذج التوزيع الكلاسيكي. لفهم الفرق بين نموذجي التوزيع هذين، راجع فهم نماذج التوزيع وحالة الموارد الخاصة بك.

إذا كنت تريد استخدام إصدار مختلف من هذه المقالة، فاستخدم جدول المحتويات في الجزء الأيمن.

نبذة عن التوصيل

يمكنك توصيل مواقع محلية متعددة بشبكة افتراضية واحدة. هذا جذاب بشكل خاص لبناء حلول سحابية مختلطة. يشبه إنشاء اتصال متعدد المواقع ببوابة شبكة Azure الظاهرية إنشاء اتصالات أخرى من موقع إلى موقع. في الواقع، يمكنك استخدام بوابة Azure VPN موجودة، طالما أن البوابة ديناميكية (تستند إلى المسار).

إذا كان لديك بالفعل بوابة ثابتة متصلة بشبكتك الظاهرية، فيمكنك تغيير نوع البوابة إلى ديناميكي دون الحاجة إلى إعادة إنشاء الشبكة الظاهرية لاستيعاب مواقع متعددة. قبل تغيير نوع التوجيه، تأكد من أن بوابة VPN المحلية تدعم تكوينات VPN المستندة إلى المسار.

رسم تخطيطي يوضح بنية الاتصال الكلاسيكية متعددة المواقع.

النقاط الواجب مراعاتها

لن تتمكن من استخدام البوابة الإلكترونية لإجراء تغييرات على هذه الشبكة الظاهرية. تحتاج إلى إجراء تغييرات على ملف تكوين الشبكة بدلًا من استخدام البوابة الإلكترونية. إذا قمت بإجراء تغييرات في البوابة الإلكترونية، فستقوم هذه الإعدادات بالكتابة فوق الإعدادات المرجعية متعددة المواقع لهذه الشبكة الظاهرية.

يجب أن تشعر بالراحة عند استخدام ملف تكوين الشبكة بحلول الوقت الذي تكمل فيه الإجراء متعدد المواقع. ومع ذلك، إذا كان لديك عدة أشخاص يعملون على تكوين الشبكة، فستحتاج إلى التأكد من أن الجميع على علم بهذا القيد. هذا لا يعني أنه لا يمكنك استخدام البوابة الإلكترونية على الإطلاق. يمكنك استخدامه لكل شيء آخر، باستثناء إجراء تغييرات التكوين على هذه الشبكة الافتراضية المحددة.

قبل البدء

قبل بدء التكوين، تحقق من أن لديك ما يلي:

  • أجهزة VPN متوافقة لكل موقع محلي. تحقق من حول أجهزة VPN للاتصال بالشبكة الافتراضية للتحقق مما إذا كان الجهاز الذي تريد استخدامه شيئًا معروفًا بأنه متوافق.
  • عنوان IP عام يواجه خارجيًا IPv4 لكل جهاز VPN. لا يمكن تحديد موقع عنوان IP خلف NAT. هذا متطلب.
  • شخص بارع في تكوين أجهزة VPN الخاصة بك. يجب أن يكون لديك فهم قوي لكيفية تكوين جهاز VPN الخاص بك، أو العمل مع شخص يفعل ذلك.
  • نطاقات عناوين IP التي تريد استخدامها لشبكتك الظاهرية (إذا لم تكن قد أنشأت واحدة بالفعل).
  • نطاقات عناوين IP لكل موقع من مواقع الشبكة المحلية التي ستتصل بها. ستحتاج إلى التأكد من أن نطاقات عناوين IP لكل موقع من مواقع الشبكة المحلية التي تريد الاتصال بها لا تتداخل. وإلا، يرفض المدخل أو واجهة برمجة تطبيقات REST التكوين الذي يتم تحميله.
    على سبيل المثال، إذا كان لديك موقعان محليان على الشبكة يحتويان على نطاق عنوان IP 10.2.3.0/24 وكان لديك حزمة بعنوان وجهة 10.2.3.3، فلن يعرف Azure الموقع الذي تريد إرسال الحزمة إليه لأن نطاقات العناوين متداخلة. لمنع حدوث مشكلات في التوجيه، لا يسمح لك Azure بتحميل ملف تكوين يحتوي على نطاقات متداخلة.

إدارة باستخدام Azure PowerShell

لا يمكنك استخدام Azure Cloud Shell في حالة استخدام نموذج التوزيع الكلاسيكي. ولكن، يجب تثبيت أحدث إصدار لأمر PowerShell cmdlets لإدارة خدمة Azure (SM) محليا على جهاز الكمبيوتر الخاص بك. تختلف أوامر cmdlets هذه عن AzureRM أو Az cmdlets. لتثبيت cmdlets SM، راجع تثبيت cmdlets الخاص بإدارة الخدمة. لمزيد من المعلومات حول Azure PowerShell، راجع وثائق Azure PowerShell.

1. إنشاء VPN من موقع إلى موقع

إذا كان لديك بالفعل VPN من موقع إلى موقع مع بوابة توجيه ديناميكية، فهذا رائع! يمكنك المتابعة إلى تصدير إعدادات تكوين الشبكة الظاهرية. إذا لم يكن الأمر كذلك، فقم بما يلي:

إذا كان لديك بالفعل شبكة ظاهرية من موقع إلى موقع، ولكنها تحتوي على بوابة توجيه ثابتة (تستند إلى السياسة):

  1. قم بتغيير نوع البوابة إلى التوجيه الديناميكي. تتطلب الشبكة الافتراضية الخاصة متعددة المواقع بوابة توجيه ديناميكية (تعرف أيضًا باسم المسار). لتغيير نوع البوابة، ستحتاج أولًا إلى حذف البوابة الحالية، ثم إنشاء بوابة جديدة.
  2. قم بتكوين بوابتك الجديدة وإنشاء نفق VPN الخاص بك. للحصول على التعليمات، راجع تحديد نوع SKU وVPN. تأكد من تحديد نوع التوجيه كـ"ديناميكي".

إذا لم يكن لديك شبكة افتراضية من موقع إلى موقع:

  1. قم بإنشاء شبكة افتراضية من موقع إلى موقع باستخدام هذه الإرشادات: قم بإنشاء شبكة افتراضية مع اتصال VPN من موقع إلى موقع.
  2. تكوين بوابة توجيه ديناميكية باستخدام هذه التعليمات: تكوين بوابة VPN. تأكد من تحديد التوجيه الديناميكي لنوع البوابة.

2. تصدير ملف تكوين الشبكة

افتح وحدة تحكم PowerShell الخاصة بك بصلاحيات غير مقيدة. للتبديل إلى إدارة الخدمة، استخدم هذا الأمر:

azure config mode asm

الاتصال إلى حساب الخاص. استخدم المثال التالي لمساعدتك على الاتصال:

Add-AzureAccount

تصدير ملف تكوين شبكة Azure عن طريق تشغيل الأمر التالي. يمكنك تغيير موقع الملف للتصدير إلى موقع مختلف إذا لزم الأمر.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. فتح ملف تكوين الشبكة

افتح ملف تكوين الشبكة الذي قمت بتنزيله في الخطوة الأخيرة. استخدم أي محرر xml يعجبك. ينبغي أن يتشابه الملف مع المثال التالي:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. إضافة مراجع مواقع متعددة

عند إضافة معلومات مرجعية للموقع أو إزالتها، ستقوم بإجراء تغييرات تكوين على ConnectionsToLocalNetwork/LocalNetworkSiteRef. تؤدي إضافة مرجع موقع محلي جديد إلى تشغيل Azure لإنشاء نفق جديد. في المثال أدناه، يكون تكوين الشبكة لاتصال موقع واحد. احفظ الملف بمجرد الانتهاء من إجراء التغييرات.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

لإضافة مراجع مواقع إضافية (إنشاء تكوين متعدد المواقع)، ما عليك سوى إضافة أسطر "LocalNetworkSiteRef" إضافية، كما هو موضح في المثال أدناه:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. استيراد ملف تكوين الشبكة

استيراد ملف تكوين الشبكة. عند استيراد هذا الملف مع التغييرات، تتم إضافة الأنفاق الجديدة. تستخدم الأنفاق البوابة الديناميكية التي قمت بإنشائها سابقا. يمكنك استخدام PowerShell لاستيراد الملف.

6. تنزيل المفاتيح

بمجرد إضافة الأنفاق الجديدة، استخدم PowerShell cmdlet 'Get-AzureVNetGatewayKey' للحصول على مفاتيح IPsec/IKE المشتركة مسبقا لكل نفق.

على سبيل المثال:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

إذا كنت تفضل ذلك، يمكنك أيضا استخدام واجهة برمجة تطبيقات Get Virtual Network Gateway Shared Key REST للحصول على المفاتيح المشتركة مسبقا.

7. التحقق من الاتصال الخاص بك

تحقق من حالة النفق متعدد المواقع. بعد تنزيل المفاتيح لكل نفق، ستحتاج إلى التحقق من الاتصالات. استخدم "Get-AzureVnetConnection" للحصول على قائمة بأنفاق الشبكة الظاهرية، كما هو موضح في المثال التالي. VNet1 هو اسم VNet.

Get-AzureVnetConnection -VNetName VNET1

مثال على الإرجاع:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

الخطوات التالية

لمعرفة المزيد حول بوابات VPN، راجع حول بوابات VPN.