Vytvoření připojení typu Site-to-Site pomocí webu Azure Portal (Classic)
Tento článek ukazuje, jak pomocí webu Azure Portal vytvořit připojení brány VPN typu Site-to-Site z místní sítě k virtuální síti. Kroky v tomto článku platí pro model nasazení Classic (starší verze) a nevztahují se na aktuální model nasazení Resource Manager. Podívejte se na verzi Resource Manageru tohoto článku .
Důležité
Už nemůžete vytvářet nové brány virtuální sítě pro virtuální sítě modelu nasazení Classic (správa služeb). Nové brány virtuální sítě je možné vytvořit pouze pro virtuální sítě Resource Manageru.
Připojení brány VPN typu Site-to-Site slouží k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu. Další informace o bránách VPN najdete v tématu Informace o službě VPN Gateway.
Poznámka:
Tento článek je napsaný pro model nasazení Classic (starší verze). Doporučujeme místo toho použít nejnovější model nasazení Azure. Model nasazení Resource Manager je nejnovější model nasazení a nabízí více možností a kompatibilitu funkcí než model nasazení Classic. Pokud chcete porozumět rozdílu mezi těmito dvěma modely nasazení, přečtěte si téma Principy modelů nasazení a stavu vašich prostředků.
Pokud chcete použít jinou verzi tohoto článku, použijte obsah v levém podokně.
Než začnete
Před zahájením konfigurace ověřte, že splňujete následující kritéria:
- Ujistěte se, že chcete pracovat v modelu nasazení Classic. Pokud chcete pracovat v modelu nasazení Resource Manager, přečtěte si téma Vytvoření připojení typu Site-to-Site (Resource Manager). Doporučujeme použít model nasazení Resource Manager, protože klasický model je starší.
- Ujistěte se, že máte kompatibilní zařízení VPN a někoho, kdo jej umí nakonfigurovat. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu Informace o zařízeních VPN.
- Ověřte, že máte veřejnou IPv4 adresu pro vaše zařízení VPN.
- Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, musíte se s někým, kdo vám tyto podrobnosti poskytne, koordinovat. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které bude Azure směrovat do vašeho místního umístění. Žádná z podsítí vaší místní sítě se nesmí překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.
- K zadání sdíleného klíče a vytvoření připojení brány VPN se vyžaduje PowerShell. Při práci s modelem nasazení Classic nemůžete použít Azure Cloud Shell. Místo toho musíte nainstalovat nejnovější verzi rutin PowerShellu pro správu služeb Azure (SM) místně do počítače. Tyto rutiny se liší od rutin AzureRM nebo Az. Pokud chcete nainstalovat rutiny SM, přečtěte si téma Instalace rutin správy služeb. Další informace o Azure PowerShellu obecně najdete v dokumentaci k Azure PowerShellu.
Ukázkové hodnoty konfigurace pro toto cvičení
V příkladech v tomto článku se používají následující hodnoty. Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku. Při práci s hodnotami IP adres pro adresní prostor obvykle chcete koordinovat správce sítě, aby nedocházelo k překrývání adresních prostorů, což může mít vliv na směrování. V tomto případě nahraďte hodnoty IP adres vlastními, pokud chcete vytvořit funkční připojení.
- Skupina prostředků: TestRG1
- Název virtuální sítě: TestVNet1
- Adresní prostor: 10.11.0.0/16
- Název podsítě: FrontEnd
- Rozsah adres podsítě: 10.11.0.0/24
- Podsíť brány: 10.11.255.0/27
- Oblast: USA – východ
- Název místní lokality: Site2
- Klientský adresní prostor: Adresní prostor umístěný ve vaší místní lokalitě.
Vytvoření virtuální sítě
Když vytvoříte virtuální síť, která se má použít pro připojení S2S, musíte zajistit, aby se adresní prostory, které zadáte, nepřekrývaly s žádnými adresními prostory klienta pro místní lokality, ke kterým se chcete připojit. Pokud se podsítě překrývají, připojení nebude fungovat správně.
Pokud již máte virtuální síť vytvořenou, ověřte, zda jsou nastavení kompatibilní s vaším návrhem brány VPN. Věnujte zvláštní pozornost všem podsítím, které se můžou překrývat s jinými sítěmi.
Pokud ještě nemáte virtuální síť, vytvořte si ji. Snímky obrazovek slouží jen jako příklady. Hodnoty na obrázcích nahraďte vlastními hodnotami.
Vytvoření virtuální sítě
- V prohlížeči přejděte na portál Azure Portal a v případě potřeby se přihlaste pomocí účtu Azure.
- Vyberte +Vytvořit prostředek. Do pole Hledat na Marketplace zadejte text „Virtuální síť“. Vyhledejte virtuální síť z vráceného seznamu a vyberte ji, aby se otevřela stránka Virtuální síť .
- Na stránce Virtuální síť pod tlačítkem Vytvořit se zobrazí "Nasazení pomocí Resource Manageru (změna na Classic)". Resource Manager je výchozí hodnota pro vytvoření virtuální sítě. Nechcete vytvořit virtuální síť Resource Manageru. Vyberte (změnit na Classic) a vytvořte virtuální síť Classic. Pak vyberte kartu Přehled a vyberte Vytvořit.
- Na stránce Vytvořit virtuální síť (Classic) na kartě Základy nakonfigurujte nastavení virtuální sítě s ukázkovými hodnotami.
- Vyberte Zkontrolovat a vytvořit a ověřte virtuální síť.
- Spustí se ověřování. Po ověření virtuální sítě vyberte Vytvořit.
Nastavení DNS není požadovaná součástí této konfigurace, ale pokud chcete překlad názvů mezi virtuálními počítači, je potřeba dns. Zadání hodnoty nevytvoří nový server DNS. Server DNS, jehož IP adresu zadáte, by měl být server DNS, který dokáže přeložit názvy pro prostředky, ke kterým se připojujete.
Po vytvoření virtuální sítě můžete přidat IP adresu serveru DNS, aby bylo možné zpracovávat překlad názvů. Otevřete nastavení pro virtuální síť, vyberte servery DNS a přidejte IP adresu serveru DNS, který chcete použít k překladu ip adres.
- Vyhledejte virtuální síť na portálu.
- Na stránce pro vaši virtuální síť v části Nastavení vyberte servery DNS.
- Přidejte server DNS.
- Pokud chcete nastavení uložit, vyberte Uložit v horní části stránky.
Konfigurace lokality a brány
Konfigurace lokality
Místní lokalita obvykle odkazuje na vaše místní umístění. Obsahuje IP adresu zařízení VPN, ke kterému vytvoříte připojení, a rozsahy IP adres, které se budou směrovat přes bránu VPN do zařízení VPN.
Na stránce vaší virtuální sítě v části Nastavení vyberte připojení typu Site-to-Site.
Na stránce Připojení typu Site-to-Site vyberte + Přidat.
Na stránce Konfigurace připojení VPN a brány pro typ Připojení ponechte vybranou možnost Site-to-Site. V tomto cvičení budete muset použít kombinaci ukázkových hodnot a vlastních hodnot.
IP adresa brány VPN: Toto je veřejná IP adresa zařízení VPN pro vaši místní síť. Zařízení VPN vyžaduje veřejnou IP adresu IPv4. Zadejte platnou veřejnou IP adresu pro zařízení VPN, ke kterému se chcete připojit. Musí být dostupný v Azure. Pokud neznáte IP adresu zařízení VPN, pořád můžete použít zástupnou hodnotu (pokud je ve formátu platné veřejné IP adresy) a změnit ji později.
Klientský adresní prostor: Vypište rozsahy IP adres, které chcete přes tuto bránu směrovat do místní sítě. Můžete přidat více různých rozsahů adres. Ujistěte se, že se zde zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se vaše virtuální síť připojuje, nebo s rozsahy adres samotné virtuální sítě.
V dolní části stránky nevybírejte Zkontrolovat a vytvořit. Místo toho vyberte Další: Brána>.
Konfigurace brány virtuální sítě
Na stránce Brána vyberte následující hodnoty:
Velikost: Jedná se o skladovou položku brány, kterou používáte k vytvoření brány virtuální sítě. Brány VPN Classic používají staré (starší) skladové položky brány. Další informace o starších skladových položkách brány najdete v tématu Práce se skladovými položkami bran virtuálních sítí (staré skladové položky). Pro toto cvičení můžete vybrat standard .
Podsíť brány: Velikost zadané podsítě brány závisí na konfiguraci brány VPN, kterou chcete vytvořit. I když je možné vytvořit podsíť brány tak malou jako /29, doporučujeme použít /27 nebo /28. Vytvoří se tak vetší podsíť zahrnující více adres. Použitím větší podsítě brány zajistíte dostatek IP adres pro případné další konfigurace.
Výběrem možnosti Zkontrolovat a vytvořit v dolní části stránky ověřte nastavení. Vyberte Vytvořit , které chcete nasadit. Vytvoření brány virtuální sítě může trvat až 45 minut v závislosti na vybrané SKU brány.
Konfigurace zařízení VPN
Připojení Site-to-Site k místní síti vyžadují zařízení VPN. V tomto kroku nakonfigurujete zařízení VPN. Při konfiguraci zařízení VPN potřebujete následující hodnoty:
- Sdílený klíč. Jedná se o stejný sdílený klíč, který zadáváte při vytváření připojení VPN Site-to-Site. V našich ukázkách používáme základní sdílený klíč. Doporučujeme, abyste pro použití vygenerovali složitější klíč.
- Veřejnou IP adresu vaší brány virtuální sítě. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku.
Stažení konfiguračních skriptů zařízení VPN:
V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.
Na následujících odkazech najdete další informace o konfiguraci:
Další informace o kompatibilních zařízeních VPN najdete v tématu s popisem zařízení VPN.
Před konfigurací zařízení VPN zkontrolujte známé problémy s kompatibilitou zařízení pro zařízení VPN, které chcete použít.
Odkazy na nastavení konfigurace zařízení najdete v popisu ověřených zařízení VPN. Při poskytování odkazů na konfigurace zařízení se snažíme maximálně vyhovět. Vždycky je nejlepší obrátit se na výrobce zařízení a vyžádat si nejnovější informace o konfiguraci. V seznamu se zobrazí verze, které jsme testovali. Verze může být kompatibilní i v případě, že se váš operační systém v seznamu nezobrazí. Obraťte se na výrobce vašeho zařízení a ověřte kompatibilitu verze operačního systému pro vaše zařízení VPN.
Přehled konfigurace zařízení VPN najdete v přehledu konfigurace zařízení VPN.
Informace o úpravách ukázek konfigurace zařízení najdete v tématu popisujícím úpravy ukázek.
Kryptografické požadavky najdete v tématu O kryptografických požadavcích a branách Azure VPN.
Informace o parametrech IPsec/IKE najdete v tématu O zařízeních VPN a o parametrech protokolu IPsec/IKE pro připojení typu Site-to-Site ke službě VPN Gateway. Na tomto odkazu najdete informace o verzi IKE, skupině Diffie-Hellman, metodě ověřování, algoritmu šifrování a hashovacím algoritmu, životnosti SA, PFS a DPD a také informace o dalších parametrech, které potřebujete k dokončení konfigurace.
Postup konfigurace zásad protokolu IPsec/IKE najdete v tématu Konfigurace zásad IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet k síti VPN.
Informace o připojení několika zařízení VPN na základě zásad najdete v tématu Připojení bran VPN Azure k několika místním zařízením VPN založeným na zásadách s využitím PowerShellu.
Načtení hodnot
Když vytváříte klasické virtuální sítě na webu Azure Portal, název, který zobrazíte, není úplný název, který používáte pro PowerShell. Například virtuální síť, která se zdá být na portálu pojmenovaná TestVNet1 , může mít v konfiguračním souboru sítě mnohem delší název. Název virtuální sítě ve skupině prostředků ClassicRG může vypadat nějak takto: Group ClassicRG TestVNet1. Při vytváření připojení je důležité použít hodnoty, které vidíte v konfiguračním souboru sítě.
V následujících krocích se připojíte ke svému účtu Azure a stáhnete a zobrazíte konfigurační soubor sítě, abyste získali hodnoty potřebné pro vaše připojení.
Stáhněte a nainstalujte nejnovější verzi rutin PowerShellu pro správu služeb Azure. Většina lidí má místně nainstalované moduly Resource Manageru, ale nemají moduly Service Management. Moduly Service Management jsou starší verze a musí se instalovat samostatně. Další informace najdete v tématu Instalace rutin správy služeb.
Otevřete konzolu PowerShellu se zvýšenými oprávněními a připojte se ke svému účtu. S připojením vám pomůžou následující příklady. Tyto příkazy musíte spouštět místně pomocí modulu Správa služby PowerShellu. Připojte se ke svému účtu. Připojení vám usnadní následující ukázka:
Add-AzureAccount
Zkontrolujte předplatná pro příslušný účet.
Get-AzureSubscription
Máte-li více předplatných, vyberte předplatné, které chcete použít.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Vytvořte adresář v počítači. Například C:\AzureVNet
Exportujte konfigurační soubor sítě do adresáře. V tomto příkladu se konfigurační soubor sítě exportuje do C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Otevřete soubor pomocí textového editoru a prohlédněte si názvy virtuálních sítí a webů. Tyto názvy budou názvy, které použijete při vytváření připojení.
Názvy virtuálních sítí jsou uvedeny jako název VirtualNetworkSite =
Názvy webů jsou uvedeny jako LocalNetworkSiteRef name =
Vytvoření připojení
Poznámka:
U modelu nasazení Classic není tento krok k dispozici na webu Azure Portal ani přes Azure Cloud Shell. Musíte použít verzi Service Management (SM) rutin Azure PowerShellu místně z počítače.
V tomto kroku pomocí hodnot z předchozích kroků nastavíte sdílený klíč a vytvoříte připojení. Klíč, který jste nastavili, musí být stejný jako klíč použitý v konfiguraci zařízení VPN.
Nastavte sdílený klíč a vytvořte připojení.
- Změňte hodnotu -VNetName a hodnotu -LocalNetworkSiteName. Pokud zadáváte název, který obsahuje mezery, zadejte hodnotu v jednoduchých uvozovkách.
- -SharedKey je hodnota, kterou vygenerujete, a pak zadejte. V příkladu jsme použili "abc123", ale můžete (a měli byste) vygenerovat něco složitějšího. Důležité je, aby hodnota, kterou zde zadáte, byla stejná jako hodnota, kterou jste zadali při konfiguraci zařízení VPN.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Jakmile se připojení vytvoří, výsledkem bude: Stav: Úspěch.
Ověření stavu připojení
Na webu Azure Portal můžete zobrazit stav připojení VPN Gateway klasické virtuální sítě otevřením připojení. Následující postup ukazuje jeden ze způsobů přechodu k připojení a jeho ověření.
- Na webu Azure Portal přejděte do klasické virtuální sítě (VNet).
- Na stránce virtuální sítě klikněte na typ připojení, které chcete zobrazit. Například připojení typu Site-to-Site.
- Na stránce Připojení typu Site-to-Site v části Název vyberte připojení lokality, které chcete zobrazit.
- Na stránce Vlastnosti zobrazte informace o připojení.
Pokud máte potíže s připojením, přečtěte si část Řešení potíží s obsahem v levém podokně.
Resetování brány VPN
Resetování brány Azure VPN je užitečné v případě ztráty připojení VPN mezi lokalitami na jednom nebo více tunelech VPN typu Site-to-Site. V takové situaci vaše místní zařízení VPN fungují správně, ale nejsou schopná vytvořit tunelová propojení prostřednictvím protokolu IPsec s branami Azure VPN. Pokyny najdete v tématu Resetování brány VPN.
Změna velikosti skladové položky brány
Pokud chcete změnit velikost brány pro model nasazení Classic, musíte použít rutiny Prostředí PowerShell pro správu služeb. Použijte následující příkaz:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Další kroky
- Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Další informace najdete v tématu Virtuální počítače.
- Informace o vynuceném tunelování najdete v tématu Informace o vynuceném tunelování.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro