Připojení služby Azure Stack Hub k Azure s využitím sítě VPN
Tento článek popisuje, jak vytvořit síť VPN typu site-to-site pro připojení virtuální sítě ve službě Azure Stack Hub k virtuální síti v Azure.
Než začnete
Před zahájením konfigurace připojení se ujistěte, že máte následující položky:
- Nasazení integrovaných systémů Azure Stack Hub (s více uzly), které je přímo připojené k internetu. Rozsah externích veřejných IP adres musí být přímo dostupný z veřejného internetu.
- Platné předplatné Azure. Pokud nemáte předplatné Azure, můžete si zde vytvořit bezplatný účet Azure.
Diagram připojení VPN
Následující obrázek ukazuje, jak by měla konfigurace připojení vypadat, až budete hotovi:
Ukázkové hodnoty konfigurace sítě
Tabulka příkladů konfigurace sítě ukazuje hodnoty, které se používají v příkladech v tomto článku. Můžete použít tyto hodnoty nebo na ně odkazovat, abyste lépe porozuměli příkladům v tomto článku:
Hodnota | Azure Stack Hub | Azure |
---|---|---|
Název virtuální sítě | Azs-VNet | AzureVNet |
Adresní prostor virtuální sítě | 10.1.0.0/16 | 10.100.0.0/16 |
Název podsítě | FrontEnd | FrontEnd |
Rozsah adres podsítě | 10.1.0.0/24 | 10.100.0.0/24 |
Podsíť brány | 10.1.1.0/24 | 10.100.1.0/24 |
Vytvoření síťových prostředků v Azure
Nejprve vytvořte síťové prostředky pro Azure. Následující pokyny ukazují, jak vytvořit prostředky pomocí Azure Portal.
Vytvoření virtuální sítě a podsítě virtuálního počítače
- Přihlaste se k Azure Portal pomocí svého účtu Azure.
- Na portálu User Portal vyberte + Vytvořit prostředek.
- Přejděte na Marketplace a pak vyberte Sítě.
- Vyberte Virtuální síť.
- Pomocí informací z tabulky konfigurace sítě identifikujte hodnoty pro Azure Name (Název Azure), Address space (Adresní prostor), Subnet name (Název podsítě) a Subnet address range (Rozsah adres podsítě).
- V části Skupina prostředků vytvořte novou skupinu prostředků, nebo pokud ji už máte, vyberte Použít existující.
- Vyberte Umístění vaší virtuální sítě. Pokud používáte ukázkové hodnoty, vyberte USA – východ nebo použijte jiné umístění.
- Zaškrtněte Připnout na řídicí panel.
- Vyberte Vytvořit.
Vytvoření podsítě brány
Na řídicím panelu otevřete prostředek virtuální sítě, který jste vytvořili (AzureVNet).
V části Nastavení vyberte Podsítě.
Vyberte Podsíť brány a přidejte podsíť brány do virtuální sítě.
Ve výchozím nastavení je název této podsítě nastavený na GatewaySubnet.
Důležité
Podsítě brány jsou speciální a musí mít tento konkrétní název, aby fungovaly správně.
V poli Rozsah adres ověřte, že adresa je 10.100.1.0/24.
Výběrem OK vytvořte podsíť brány.
Vytvoření brány virtuální sítě
- Na webu Azure Portal vyberte +Vytvořit prostředek.
- Přejděte na Marketplace a pak vyberte Sítě.
- V seznamu síťových prostředků vyberte Brána virtuální sítě.
- Do pole Název zadejte Azure-GW.
- Pokud chcete zvolit virtuální síť, vyberte Virtuální síť. Pak v seznamu vyberte AzureVnet .
- Vyberte Veřejná IP adresa. Po otevření části Zvolit veřejnou IP adresu vyberte Vytvořit novou.
- Do pole Název zadejte Azure-GW-PiP a pak vyberte OK.
- Ověřte, že nastavení Předplatné a Umístění jsou správná. Prostředek můžete připnout na řídicí panel. Vyberte Vytvořit.
Vytvoření prostředku brány místní sítě
Na webu Azure Portal vyberte +Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
V seznamu prostředků vyberte Brána místní sítě.
Do pole Název zadejte Azs-GW.
Do pole IP adresa zadejte veřejnou IP adresu služby Azure Stack Hub Virtual Network Gateway, která je uvedená dříve v tabulce konfigurace sítě.
Do pole Adresní prostor ve službě Azure Stack Hub zadejte adresní prostor 10.1.0.0/24 a 10.1.1.0/24 pro AzureVNet.
Ověřte správnost předplatného, skupiny prostředků a umístění a pak vyberte Vytvořit.
Vytvoření připojení
Na portálu User Portal vyberte + Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
V seznamu prostředků vyberte Připojení.
V části Základní nastavení jako Typ připojení zvolte Site-to-Site (IPSec).
Vyberte Předplatné, Skupinu prostředků a Umístění a pak vyberte OK.
V části Nastavení vyberte Brána virtuální sítě a pak vyberte Azure-GW.
Vyberte Brána místní sítě a pak vyberte Azs-GW.
Do pole Název připojení zadejte Azure-Azs.
Do části Sdílený klíč (PSK) zadejte 12345 a pak vyberte OK.
Poznámka
Pokud pro sdílený klíč použijete jinou hodnotu, nezapomeňte, že se musí shodovat s hodnotou sdíleného klíče, který vytvoříte na druhém konci připojení.
Zkontrolujte část Souhrn a pak vyberte OK.
Vytvoření vlastní zásady IPSec
Aby azure odpovídal službě Azure Stack Hub, je potřeba použít vlastní zásady protokolu IPSec.
Vytvoření vlastní zásady:
$IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384 ` -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 ` -SADataSizeKilobytes 102400000
Použijte zásadu na připojení:
$Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
Vytvoření virtuálního počítače
Teď vytvořte virtuální počítač v Azure a umístěte ho do podsítě virtuálního počítače ve virtuální síti.
Na webu Azure Portal vyberte +Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Compute.
V seznamu imagí virtuálních počítačů vyberte image Windows Server 2016 Datacenter Eval.
V části Základy jako Název zadejte AzureVM.
Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítači po jeho vytvoření.
Zadejte předplatné, skupinu prostředků a umístění a pak vyberte OK.
V části Velikost vyberte velikost virtuálního počítače pro tuto instanci a pak vyberte Vybrat.
V části Nastavení můžete použít výchozí nastavení. Než vyberete OK, potvrďte, že:
- Je vybraná virtuální síť AzureVnet .
- Podsíť je nastavená na 10.100.0.0/24.
Vyberte OK.
Zkontrolujte nastavení v části Souhrn a pak vyberte OK.
Vytvoření síťových prostředků ve službě Azure Stack Hub
Dále vytvořte síťové prostředky ve službě Azure Stack Hub.
Přihlášení jako uživatel
Správce služby se může přihlásit jako uživatel a otestovat plány, nabídky a předplatná, které můžou uživatelé používat. Pokud ho ještě nemáte, vytvořte si uživatelský účet před přihlášením.
Vytvoření virtuální sítě a podsítě virtuálního počítače
Pomocí uživatelského účtu se přihlaste k portálu User Portal.
Na portálu User Portal vyberte + Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
Vyberte Virtuální síť.
V polích Název, Adresní prostor, Název podsítě a Rozsah adres podsítě použijte hodnoty z tabulky konfigurace sítě.
V části Předplatné se zobrazí předplatné, které jste vytvořili dříve.
V části Skupina prostředků můžete buď vytvořit skupinu prostředků, nebo pokud ji už máte, vyberte Použít existující.
Ověřte výchozí umístění.
Zaškrtněte Připnout na řídicí panel.
Vyberte Vytvořit.
Vytvoření podsítě brány
Na řídicím panelu otevřete prostředek Azs-VNet virtuální sítě, který jste vytvořili.
V části Nastavení vyberte Podsítě.
Pokud chcete do virtuální sítě přidat podsíť brány, vyberte Podsíť brány.
Ve výchozím nastavení je název podsítě nastavený na GatewaySubnet. Aby podsítě brány správně fungovaly, musí používat název GatewaySubnet .
V části Rozsah adres ověřte, že adresa je 10.1.1.0/24.
Výběrem OK vytvořte podsíť brány.
Vytvoření brány virtuální sítě
Na portálu Azure Stack Hub vyberte + Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
V seznamu síťových prostředků vyberte Brána virtuální sítě.
Do pole Název zadejte Azs-GW.
Vyberte položku Virtuální síť a zvolte virtuální síť. V seznamu vyberte Azs-VNet .
Vyberte položku nabídky Veřejná IP adresa . Po otevření části Zvolit veřejnou IP adresu vyberte Vytvořit novou.
Do pole Název zadejte Azs-GW-PiP a pak vyberte OK.
Ve výchozím nastavení je jako typ sítě VPNvybraná možnost Route-based (Na základě směrování). Ponechte typ sítě VPN založené na trasách .
Ověřte, že nastavení Předplatné a Umístění jsou správná. Prostředek můžete připnout na řídicí panel. Vyberte Vytvořit.
Vytvoření brány místní sítě
Koncept brány místní sítě ve službě Azure Stack Hub se liší od nasazení v Azure.
V nasazení Azure představuje brána místní sítě (v umístění uživatele) fyzické zařízení, které připojíte k bráně virtuální sítě v Azure. Ve službě Azure Stack Hub jsou ale oba konce připojení bránami virtuální sítě.
Obecnější popis je, že prostředek brány místní sítě vždy označuje vzdálenou bránu na druhém konci připojení.
Vytvoření prostředku brány místní sítě
Přihlaste se k portálu Azure Stack Hub.
Na portálu User Portal vyberte + Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
V seznamu prostředků vyberte bránu místní sítě.
Do pole Název zadejte Azure-GW.
Do pole IP adresa zadejte veřejnou IP adresu brány virtuální sítě v Azure Azure-GW-PiP. Tato adresa se zobrazí dříve v tabulce konfigurace sítě.
Do pole Adresní prostor zadejte jako adresní prostor virtuální sítě Azure, kterou jste vytvořili, 10.100.0.0/24 a 10.100.1.0/24.
Ověřte správnost hodnot předplatného, skupiny prostředků a umístění a pak vyberte Vytvořit.
Vytvoření připojení
Na portálu User Portal vyberte + Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Sítě.
V seznamu prostředků vyberte Připojení.
V části Základní nastavení jako Typ připojení vyberte Site-to-Site (IPSec).
Vyberte Předplatné, Skupinu prostředků a Umístění a pak vyberte OK.
V části Nastavení vyberte Brána virtuální sítě a pak vyberte Azs-GW.
Vyberte Brána místní sítě a pak Vyberte Azure-GW.
Do pole Název připojení zadejte Azs-Azure.
Do části Sdílený klíč (PSK) zadejte 12345 a pak vyberte OK.
V části Souhrn vyberte OK.
Vytvoření virtuálního počítače
Pokud chcete zkontrolovat připojení VPN, vytvořte dva virtuální počítače: jeden v Azure a jeden ve službě Azure Stack Hub. Po vytvoření těchto virtuálních počítačů je můžete použít k odesílání a přijímání dat prostřednictvím tunelu VPN.
Na webu Azure Portal vyberte +Vytvořit prostředek.
Přejděte na Marketplace a pak vyberte Compute.
V seznamu imagí virtuálních počítačů vyberte image Windows Server 2016 Datacenter Eval.
V části Základy do pole Název zadejte Azs-VM.
Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítači po jeho vytvoření.
Zadejte předplatné, skupinu prostředků a umístění a pak vyberte OK.
V části Velikost vyberte pro tuto instanci velikost virtuálního počítače a pak vyberte Vybrat.
V části Nastavení přijměte výchozí hodnoty. Ujistěte se, že je vybraná virtuální síť Azs-VNet . Ověřte, že je podsíť nastavená na 10.1.0.0/24. Pak vyberte OK.
V části Souhrn zkontrolujte nastavení a pak vyberte OK.
Otestování připojení
Po navázání připojení typu site-to-site byste měli ověřit, že data můžou proudit v obou směrech. Nejjednodušší způsob, jak otestovat připojení, je provést test ping:
- Přihlaste se k virtuálnímu počítači, který jste vytvořili ve službě Azure Stack Hub, a odešlete příkaz ping na virtuální počítač v Azure.
- Přihlaste se k virtuálnímu počítači, který jste vytvořili v Azure, a ve službě Azure Stack Hub ho odešlete příkazem ping.
Poznámka
Pokud se chcete ujistit, že odesíláte provoz přes připojení typu site-to-site, odešlete příkazem ping adresu direct IP (DIP) virtuálního počítače ve vzdálené podsíti, nikoli virtuální IP adresu.
Přihlášení k uživatelskému virtuálnímu počítači ve službě Azure Stack Hub
Přihlaste se k portálu Azure Stack Hub.
V levém navigačním panelu vyberte Virtual Machines.
V seznamu virtuálních počítačů najděte Azs-VM , který jste vytvořili dříve, a pak ho vyberte.
V části virtuálního počítače vyberte Připojit a pak otevřete soubor Azs-VM.rdp.
Přihlaste se pomocí účtu, který jste nakonfigurovali při vytváření virtuálního počítače.
Otevřete výzvu Windows PowerShell se zvýšenými oprávněními.
Zadejte ipconfig /all.
Ve výstupu vyhledejte adresu IPv4 a uložte ji pro pozdější použití. Toto je adresa, kterou odešlete příkazem ping z Azure. V ukázkovém prostředí je adresa 10.1.0.4, ale ve vašem prostředí se může lišit. Měl by spadat do podsítě 10.1.0.0/24 , kterou jste vytvořili dříve.
Pokud chcete vytvořit pravidlo brány firewall, které virtuálnímu počítači umožní reagovat na příkazy ping, spusťte následující příkaz PowerShellu:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Přihlášení k virtuálnímu počítači tenanta v Azure
Přihlaste se k webu Azure Portal.
V levém navigačním panelu vyberte Virtual Machines.
V seznamu virtuálních počítačů vyhledejte azure-VM , který jste vytvořili dříve, a pak ho vyberte.
V části virtuálního počítače vyberte Připojit.
Přihlaste se pomocí účtu, který jste nakonfigurovali při vytváření virtuálního počítače.
Otevřete okno Windows PowerShell se zvýšenými oprávněními.
Zadejte ipconfig /all.
Měli byste vidět IPv4 adresu, která spadá do 10.100.0.0/24. V ukázkovém prostředí je adresa 10.100.0.4, ale vaše adresa se může lišit.
Pokud chcete vytvořit pravidlo brány firewall, které virtuálnímu počítači umožní reagovat na příkazy ping, spusťte následující příkaz PowerShellu:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Z virtuálního počítače v Azure odešlete příkaz ping virtuálního počítače ve službě Azure Stack Hub prostřednictvím tunelu. Provedete to tak, že příkazem ping odešlete příkaz DIP, který jste nahráli z Azs-VM. V ukázkovém prostředí je to 10.1.0.4, ale nezapomeňte zadat příkaz ping na adresu, kterou jste si poznamenali v testovacím prostředí. Měl by se zobrazit výsledek, který bude vypadat jako na následujícím snímku obrazovky:
Odpověď ze vzdáleného virtuálního počítače značí úspěšný test. Okno virtuálního počítače můžete zavřít.
Měli byste také provést přísnější testování přenosu dat (například kopírování souborů s různou velikostí v obou směrech).
Zobrazení statistiky přenosu dat prostřednictvím připojení brány
Pokud chcete zjistit, kolik dat prochází vaším připojením typu site-to-site, jsou tyto informace k dispozici v části Připojení . Tento test je také dalším způsobem, jak ověřit, že právě odeslaný příkaz ping skutečně prošel připojením VPN.
Když jste přihlášení k uživatelskému virtuálnímu počítači ve službě Azure Stack Hub, přihlaste se k portálu User Portal pomocí svého uživatelského účtu.
Přejděte na Všechny prostředky a vyberte připojení Azs-Azure . Zobrazí se připojení .
V části Připojení se zobrazí statistiky pro Data in (Příchozí) a Data out (Data out). Na následujícím snímku obrazovky se velká čísla přisuzují dalšímu přenosu souborů. Měli byste tam vidět některé nenulové hodnoty.