Sdílet prostřednictvím

Kurz: Vytvoření a správa brány VPN pomocí webu Azure Portal

Tento kurz vám pomůže vytvořit a spravovat bránu virtuální sítě (bránu VPN) pomocí webu Azure Portal. Brána VPN je jednou z částí architektury připojení, která pomáhá bezpečně přistupovat k prostředkům ve virtuální síti pomocí služby VPN Gateway.

Diagram znázorňující virtuální síť a bránu VPN

  • Na levé straně diagramu se zobrazuje virtuální síť a brána VPN, kterou vytvoříte pomocí kroků v tomto článku.
  • Později můžete přidat různé typy připojení, jak je znázorněno na pravé straně diagramu. Můžete například vytvořit připojení typu site-to-site a point-to-site . Pokud chcete zobrazit různé architektury návrhu, které můžete sestavit, podívejte se na návrh brány VPN.
  • Další informace o službě Azure VPN Gateway najdete v tématu Co je Azure VPN Gateway? Pokud chcete získat další informace o nastavení konfigurace použitých v tomto kurzu, přečtěte si informace o nastavení konfigurace služby VPN Gateway.

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť.
  • Vytvořte zónově redundantní bránu VPN v režimu aktivní-aktivní.
  • Zobrazte veřejnou IP adresu brány.
  • Aktualizujte SKU brány VPN.
  • Resetujte bránu VPN.

Poznámka:

Kroky v tomto článku používají SKU VpnGw2AZ, což je SKU podporující zóny dostupnosti Azure. Od května 2025 budou všechny oblasti přijímat skladovou položku AZ bez ohledu na to, jestli jsou zóny dostupnosti v dané oblasti podporované. Další informace o SKU brány najdete v části O SKU brány.

Požadavky

Potřebujete účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si ho zdarma.

Vytvoření virtuální sítě

Tento článek používá web Azure Portal k vytvoření virtuální sítě. K vytvoření virtuální sítě můžete použít také jiný nástroj nebo metodu. Další informace nebo kroky najdete v tématu Vytvoření virtuální sítě. V tomto cvičení virtuální síť nevyžaduje konfiguraci dalších služeb, jako je Azure Bastion nebo DDoS Protection. Tyto služby ale můžete přidat, pokud je chcete použít.

Nastavení Příklad hodnoty
Skupina zdrojů TestRG1
Název virtuální sítě Virtuální síť 1
Región USA – východ​
Adresní prostor IPv4 10.1.0.0/16
Název podsítě Front-end
Adresní prostor podsítě 10.1.0.0/24
  1. Přihlaste se k portálu Azure.
  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Vyberte Virtuální síť z výsledků hledání na Marketplace pro otevření stránky Virtuální síť.
  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.
  4. Vyplňte požadované hodnoty na kartě Základy .
  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.
  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte požadovaná nastavení.
  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.
  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.
  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Vytvořte podsíť brány

Prostředky brány virtuální sítě se nasazují do konkrétní podsítě s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres virtuální sítě, který zadáte při konfiguraci virtuální sítě.

Pokud nemáte podsíť s názvem GatewaySubnet, při vytváření brány VPN se nezdaří. Doporučujeme vytvořit podsíť brány, která používá /27 (nebo větší). Například /27 nebo /26. Další informace o podsíti brány najdete v tématu Nastavení brány VPN Gateway – Podsíť brány.

  1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
  2. V horní části stránky vyberte + Podsíť a otevřete podokno Přidat podsíť .
  3. Pro účely podsítě vyberte v rozevíracím seznamu Bránu Virtuální Sítě.
  4. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte počáteční IP adresu a velikost. Například 10.1.255.0/27.
  5. Neupravujte ostatní hodnoty na stránce. Kliknutím na Přidat přidáte podsíť.

Další informace o přidání podsítě do virtuální sítě najdete v tématu Přidání, změna nebo odstranění podsítě virtuální sítě. Postup přidání rozsahu adres do virtuální sítě najdete v tématu Přidání nebo odebrání rozsahu adres.

Důležité

Skupiny zabezpečení sítě (NSG) v podsíti brány nejsou podporovány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Vytvoření brány VPN

V této části vytvoříte bránu virtuální sítě (bránu VPN) pro vaši virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Pomocí následujícího postupu vytvořte bránu VPN. Všimněte si, že skladová položka služby VPN Gateway Basic je dostupná jenom v PowerShellu nebo rozhraní příkazového řádku.

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

    Snímek obrazovky znázorňující pole Instance

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Nastavení Hodnota
    Název Příklad: VNet1GW
    Región Oblast brány musí být stejná jako virtuální síť.
    Typ brány Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.
    skladová jednotka (SKU) Příklad: VpnGw2AZ. Doporučujeme vybrat Gateway SKU, která končí na "AZ", pokud vaše oblast podporuje zóny dostupnosti.
    Generace Generace 2
    Virtuální síť Příklad: VNet1. Pokud vaše virtuální síť není v rozevíracím seznamu dostupná, musíte upravit oblast, kterou jste vybrali.
    Podsíť Příklad: 10.1.255.0/27 se k vytvoření brány VPN vyžaduje podsíť s názvem GatewaySubnet . Pokud se podsíť brány nevyplní automaticky a nevidíte možnost vytvořit ji na této stránce, vraťte se na stránku virtuální sítě a vytvořte podsíť brány.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekt veřejné IP adresy, který se přidružuje k bráně VPN. Při vytváření brány VPN se k tomuto objektu přiřadí veřejná IP adresa. Jedinou dobou, kdy se primární veřejná IP adresa změní, je odstranění a opětovné vytvoření brány.

    Nastavení Hodnota
    Název veřejné IP adresy Příklad: VNet1GWpip1
    Zóna dostupnosti Toto nastavení je k dispozici pro skladové položky AZ v oblastech, které podporují zóny dostupnosti. Příklad: Zónově redundantní.
    Povolení režimu aktivní-aktivní – Vyberte Povoleno, abyste mohli využívat výhody brány aktivní-aktivní. Brána typu aktivní-aktivní vyžaduje další veřejnou IP adresu.
    – Pokud plánujete používat tuto bránu pro připojení typu site-to-site, ověřte návrh , který chcete použít.
    – Připojení k místnímu zařízení VPN musí být nakonfigurovaná speciálně tak, aby využívala režim aktivní-aktivní.
    – Některá zařízení VPN nepodporují režim aktivní-aktivní. Pokud si nejste jistí, obraťte se na dodavatele zařízení VPN. Pokud používáte zařízení VPN, které nepodporuje režim aktivní-aktivní, můžete pro toto nastavení vybrat Zakázáno .
    Druhý název veřejné IP adresy K dispozici pouze pro brány v režimu aktivní-aktivní. Příklad: VNet1GWpip2
    Zóna dostupnosti Příklad: Zónově redundantní.
    Konfigurace protokolu BGP Pokud konfigurace nevyžaduje toto nastavení, vyberte Zakázáno. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515.
    Povolení přístupu ke službě Key Vault Pokud nemáte konkrétní požadavek na povolení tohoto nastavení, vyberte Zakázáno .

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete zobrazit IP adresu přiřazenou k ní tak, že se podíváte na virtuální síť na portálu. Brána se zobrazí jako připojené zařízení.

Zobrazení veřejné IP adresy

Pokud chcete zobrazit veřejné IP adresy přidružené k bráně virtuální sítě, přejděte na portálu na bránu.

  1. Na stránce portálu brány virtuální sítě v části Nastavení otevřete stránku Vlastnosti .
  2. Chcete-li zobrazit další informace o objektu IP adresy, klikněte na přidružený odkaz IP adresy.

Upgradovat SKU brány

Existují konkrétní pravidla pro upgrade SKU brány. Ne všechny skladové položky je možné upgradovat. Další informace najdete v tématu Upgrade skladové položky brány.

  1. Přejděte na stránku Konfigurace brány virtuální sítě.
  2. Na pravé straně stránky vyberte šipku rozevíracího seznamu a zobrazte seznam dostupných skladových položek. Všimněte si, že seznam naplní pouze skladové položky, které můžete vybrat.
  3. V rozevíracím seznamu vyberte skladovou položku a uložte provedené změny.

Resetujte bránu

Resetování brány se chová jinak v závislosti na konfiguraci brány. Další informace najdete v tématu Resetování brány VPN nebo připojení.

  1. Na portálu přejděte na bránu virtuální sítě, kterou chcete resetovat.
  2. Na stránce brány virtuální sítě se v levém podokně posuňte a vyhledejte nápovědu –> Resetovat.
  3. Na stránce Obnovit vyberte Obnovit. Po vydání příkazu se aktuální aktivní instance služby Azure VPN Gateway okamžitě restartuje. Resetování brány způsobí mezeru v připojení VPN a může omezit budoucí analýzu původní příčiny problému.

Vyčistit zdroje

Pokud nebudete tuto aplikaci dál používat nebo přejdete k dalšímu kurzu, odstraňte tyto prostředky.

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků a vyberte ji z výsledků hledání.
  2. Vyberte Odstranit skupinu prostředků.
  3. Zadejte název skupiny prostředků pro TYP NÁZVU SKUPINY PROSTŘEDKŮ a vyberte Odstranit.

Další kroky

Po vytvoření brány VPN můžete nakonfigurovat další nastavení a připojení brány. Následující články vám pomůžou vytvořit několik nejběžnějších konfigurací:

Připojení VPN typu Site-to-Site

Point-to-Site – VPN připojení s ověřováním certifikátem

Point-to-site – VPN připojení s ověřováním Microsoft Entra ID

  • Last updated on