Konfigurieren einer VNet-zu-VNet-VPN-Gatewayverbindung mithilfe von PowerShell
In diesem Artikel erfahren Sie, wie Sie zwischen virtuellen Netzwerken eine VNet-zu-VNet-Verbindung herstellen. Die virtuellen Netzwerke können sich in derselben oder in unterschiedlichen Regionen befinden und aus demselben oder unterschiedlichen Abonnements stammen. Wenn Sie virtuelle Netzwerke aus unterschiedlichen Abonnements verbinden, müssen die Abonnements nicht demselben Mandanten zugeordnet sein. Wenn Sie bereits über VNets verfügen, die Sie verbinden möchten und die sich im selben Abonnement befinden, sollten Sie stattdessen die Schritte für das Azure-Portal verwenden, weil dieser Prozess einfacher ist. Beachten Sie, dass Sie keine VNets aus verschiedenen Abonnements über das Azure-Portal verbinden können.
In dieser Übung erstellen Sie die erforderlichen virtuellen Netzwerke (VNets) und VPN-Gateways. Es werden Schritte zum Verbinden von VNets innerhalb desselben Abonnements sowie Schritte und Befehle für das kompliziertere Szenario des Verbindens von VNets in verschiedenen Abonnements beschrieben. Das PowerShell-Cmdlet zum Erstellen einer Verbindung heißt New-AzVirtualNetworkGatewayConnection. -ConnectionType
ist Vnet2Vnet
.
Informationen zum Verbinden von VNETs
VNets können auf unterschiedliche Weise verbunden werden. In den folgenden Abschnitten werden die unterschiedlichen Methoden zum Verbinden virtueller Netzwerke beschrieben.
VNet-zu-VNet
Durch Konfigurieren einer VNet-zu-VNet-Verbindung können Sie sehr einfach eine Verbindung zwischen VNets herstellen. Eine VNet-zu-VNet-Verbindung (VNet2VNet) zwischen zwei virtuellen Netzwerken ist vergleichbar mit einer S2S-IPsec-Verbindung mit einem lokalen Standort. Bei beiden Verbindungstypen wird ein VPN-Gateway verwendet, um per IPsec/IKE einen sicheren Tunnel zu erstellen, und auch die Kommunikation läuft jeweils gleich ab. Der Unterschied zwischen den Verbindungstypen liegt in der Konfiguration des Gateways für das lokale Netzwerk. Beim Erstellen einer VNet-zu-VNet-Verbindung wird der Adressraum des Gateways für das lokale Netzwerk nicht angezeigt. Er wird automatisch erstellt und mit Adressen gefüllt. Wenn Sie den Adressraum für ein VNet aktualisieren, leitet das andere VNet den Datenverkehr automatisch an den aktualisierten Adressraum weiter. Das Erstellen einer VNet-zu-VNet-Verbindung ist in der Regel schneller und einfacher als das Erstellen einer Site-to-Site-Verbindung zwischen VNets.
Site-to-Site (IPsec)
Wenn Sie mit einer komplizierten Netzwerkkonfiguration arbeiten, empfiehlt es sich, die Verbindung zwischen den VNets nicht unter Verwendung der VNet-zu-VNet-Schritte, sondern der Schritte für eine Site-to-Site-Verbindung herzustellen. Bei Verwendung der Site-to-Site-Schritte erstellen und konfigurieren Sie die lokalen Netzwerkgateways manuell. Das lokale Netzwerkgateway für die einzelnen VNets behandelt das andere VNet als lokalen Standort. Hierbei können Sie einen zusätzlichen Adressraum für das Gateway des lokalen Netzwerks angeben, um Datenverkehr weiterzuleiten. Wenn sich der Adressraum für ein VNet ändert, müssen Sie das dazugehörige lokale Netzwerkgateway entsprechend aktualisieren. Die Aktualisierung erfolgt nicht automatisch.
VNet-Peering
Unter Umständen empfiehlt es sich, VNets per VNet-Peering zu verbinden. Beim VNET-Peering wird kein VPN-Gateway verwendet, und es gelten andere Einschränkungen. Außerdem werden die Preise für VNet-Peering anders berechnet als die Preise für VPN Gateway (VNet-zu-VNet). Weitere Informationen finden Sie unter VNet-Peering.
Gründe für das Herstellen einer VNET-zu-VNET-Verbindung
Aus folgende Gründen kann das Herstellen einer VNet-zu-VNet-Verbindung zwischen virtuellen Netzwerken sinnvoll sein:
Regionsübergreifende Georedundanz und Geopräsenz
- Sie können Ihre eigene Georeplikation oder -synchronisierung mit sicheren Verbindungen einrichten, ohne Endpunkte mit Internetzugriff verwenden zu müssen.
- Mit Azure Traffic Manager und Load Balancer können Sie eine hoch verfügbare Workload mit Georedundanz über mehrere Azure-Regionen hinweg einrichten. Ein wichtiges Beispiel ist die Einrichtung von SQL Always On mit Verfügbarkeitsgruppen, die sich über mehrere Azure-Regionen erstrecken.
Regionale Anwendungen mit mehreren Ebenen und Isolation oder Verwaltungsgrenze
- In derselben Region können Sie Anwendungen mit mehreren Ebenen und mehreren virtuellen Netzwerken einrichten, die aufgrund von Isolations- oder Verwaltungsanforderungen miteinander verbunden sind.
Die VNET-zu-VNET-Kommunikation kann mit Konfigurationen für mehrere Standorte kombiniert werden. Auf diese Weise können Sie Netzwerktopologien einrichten, die standortübergreifende Konnektivität mit Konnektivität zwischen virtuellen Netzwerken kombinieren.
Welche VNet-zu-VNet-Schritte soll ich verwenden?
In diesem Artikel finden Sie zwei unterschiedliche Anleitungen: Schritte für VNets, die sich unter demselben Abonnement befinden, und Schritte für VNets, die sich unter verschiedenen Abonnements befinden. Der Hauptunterschied zwischen den beiden Vorgehensweisen besteht darin, dass Sie separate PowerShell-Sitzungen verwenden müssen, wenn Sie die Verbindungen für VNets konfigurieren, die sich unter verschiedenen Abonnements befinden.
Für diese Übung können Sie Konfigurationen kombinieren oder nur die gewünschte Konfiguration auswählen. Für alle Konfigurationen wird der Verbindungstyp „VNet-zu-VNet“ verwendet. Der Netzwerkdatenverkehr fließt zwischen den VNets, die direkt miteinander verbunden sind. In dieser Übung wird Datenverkehr von TestVNet4 nicht an TestVNet5 weitergeleitet.
VNETs im gleichen Abonnement: Die Schritte für diese Konfiguration verwenden TestVNet1 und TestVNet4.
VNETs in unterschiedlichen Abonnements: In den Schritten für diese Konfiguration werden TestVNet1 und TestVNet5 verwendet.
Verbinden von VNets in demselben Abonnement
Sie können die folgenden Schritte mit Azure Cloud Shell durchführen. Wenn Sie lieber die neueste Version des Azure PowerShell-Moduls lokal installieren möchten, und sie Ihrem Azure-Abonnement zuzuordnen, lesen Sie Installieren und Konfigurieren von Azure PowerShell.
Da die Erstellung eines Gateways mindestens 45 Minuten in Anspruch nimmt, kommt es während dieser Übung regelmäßig zu Timeouts bei Azure Cloud Shell. Sie können Cloud Shell neu starten, indem Sie auf die obere linke Ecke des Terminals klicken. Stellen Sie sicher, dass Sie alle Variablen erneut deklarieren, wenn Sie das Terminal neu starten.
Schritt 1: Planen der IP-Adressbereiche
In den folgenden Schritten erstellen Sie zwei virtuelle Netzwerke sowie die jeweiligen Gatewaysubnetze und Konfigurationen. Anschließend erstellen Sie eine VPN-Verbindung zwischen den beiden VNets. Es ist wichtig, die IP-Adressbereiche für Ihre Netzwerkkonfiguration zu planen. Denken Sie daran, dass Sie sicherstellen müssen, dass keiner der VNet-Bereiche oder der Bereiche des lokalen Netzwerks Überschneidungen aufweist. In diesen Beispielen verwenden wir keinen DNS-Server. Wenn Sie eine Namensauflösung für die virtuellen Netzwerke möchten, finden Sie unter Namensauflösung Informationen dazu.
In den Beispielen werden die folgenden Werte verwendet:
Werte für TestVNet1:
- VNET-Name: TestVNet1
- Ressourcengruppe: TestRG1
- Standort: East US
- TestVNet1: 10.1.0.0/16
- FrontEnd: 10.1.0.0/24
- GatewaySubnet: 10.1.255.0/27
- Gatewayname: VNet1GW
- Öffentliche IP-Adresse: VNet1GWIP
- VPN-Typ: RouteBased
- Verbindung (1 bis 4): VNet1toVNet4
- Verbindung (1 bis 5): VNet1toVNet5 (für VNETs in verschiedenen Abonnements)
- Verbindungstyp: VNet2VNet
Werte für TestVNet4:
- VNET-Name: TestVNet4
- TestVNet2: 10.41.0.0/16
- Front-End: 10.41.0.0/24
- GatewaySubnet: 10.41.255.0/27
- Ressourcengruppe: TestRG4
- Standort: USA (Westen)
- Gatewayname: VNet4GW
- Öffentliche IP-Adresse: VNet4GWIP
- VPN-Typ: RouteBased
- Verbindung: VNet4toVNet1
- Verbindungstyp: VNet2VNet
Schritt 2: Erstellen und Konfigurieren von TestVNet1
Für die folgenden Schritte können Sie entweder Azure Cloud Shell verwenden oder PowerShell lokal ausführen. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Azure PowerShell.
Hinweis
Möglicherweise werden Warnungen wie die Folgende angezeigt: „Der Ausgabeobjekttyp dieses Cmdlets wird in einer zukünftigen Version geändert“. Dies ist das erwartete Verhalten. Sie können diese Warnungen einfach ignorieren.
Deklarieren Sie Ihre Variablen. Im Beispiel werden die Variablen mit den Werten für diese Übung deklariert. In den meisten Fällen sollten Sie die Werte durch Ihre eigenen Werte ersetzen. Sie können diese Variablen jedoch verwenden, wenn Sie die Schritte durchgehen, um sich mit dieser Art von Konfiguration vertraut zu machen. Ändern Sie die Variablen ggf., kopieren Sie sie, und fügen Sie sie in die PowerShell-Konsole ein.
$RG1 = "TestRG1" $Location1 = "East US" $VNetName1 = "TestVNet1" $FESubName1 = "FrontEnd" $VNetPrefix1 = "10.1.0.0/16" $FESubPrefix1 = "10.1.0.0/24" $GWSubPrefix1 = "10.1.255.0/27" $GWName1 = "VNet1GW" $GWIPName1 = "VNet1GWIP" $GWIPconfName1 = "gwipconf1" $Connection14 = "VNet1toVNet4" $Connection15 = "VNet1toVNet5"
Erstellen Sie eine Ressourcengruppe.
New-AzResourceGroup -Name $RG1 -Location $Location1
Erstellen Sie die Subnetzkonfigurationen für „TestVNet1“. In diesem Beispiel werden ein virtuelles Netzwerk mit dem Namen „TestVNet1“ und zwei Subnetze namens „GatewaySubnet“ und „FrontEnd“ erstellt. Beim Ersetzen der Werte ist es wichtig, dass Sie Ihrem Gatewaysubnetz immer den Namen „GatewaySubnet“ geben. Wenn Sie einen anderen Namen verwenden, tritt beim Erstellen des Gateways ein Fehler auf. Aus diesem Grund wird es im Beispiel nicht über eine Variable zugewiesen.
Im folgenden Beispiel werden die zuvor festgelegten Variablen verwendet. Im Beispiel wird ein Gatewaysubnetz mit einem Subnetz der Größe /27 verwendet. Es ist zwar möglich, für diese Konfiguration ein Gatewaysubnetz mit /28 zu erstellen, es wird jedoch empfohlen, ein größeres Subnetz mit mehr Adressen zu erstellen, indem Sie mindestens /27 auswählen. Damit stehen Ihnen genügend Adressen für mögliche zusätzliche Konfigurationen zur Verfügung, die Sie zukünftig vielleicht benötigen.
$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1 $gwsub1 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $GWSubPrefix1
Erstellen Sie „TestVNet1“.
New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 ` -Location $Location1 -AddressPrefix $VNetPrefix1 -Subnet $fesub1,$gwsub1
Ein VPN-Gateway muss über eine zugewiesene öffentliche IP-Adresse verfügen. Wenn Sie eine Verbindung mit einem VPN-Gateway herstellen, geben Sie diese IP-Adresse an. Verwenden Sie das folgende Beispiel, um eine öffentliche IP-Adresse anzufordern.
$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 ` -Location $Location1 -AllocationMethod Static -Sku Standard
Erstellen Sie die Gatewaykonfiguration. Die Gatewaykonfiguration definiert das zu verwendende Subnetz und die zu verwendende öffentliche IP-Adresse. Verwenden Sie das Beispiel, um Ihre Gatewaykonfiguration zu erstellen.
$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 $subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1 $gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 ` -Subnet $subnet1 -PublicIpAddress $gwpip1
Erstellen Sie das Gateway für „TestVNet1“. In diesem Schritt erstellen Sie das virtuelle Netzwerkgateway für TestVNet1. VNet-zu-VNet-Konfigurationen erfordern einen routenbasierten VPN-Typ. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.
New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 ` -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn ` -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Nachdem Sie die Befehle ausgeführt haben, dauert es mindestens 45 Minuten, um dieses Gateway zu erstellen. Wenn Sie Azure Cloud Shell verwenden, können Sie Ihre Cloud Shell-Sitzung neu starten, indem Sie auf die linke obere Ecke des Cloud Shell-Terminals klicken und dann „TestVNet4“ konfigurieren. Sie müssen nicht warten, bis das Gateway „TestVNet1“ fertig ist.
Schritt 3: Erstellen und Konfigurieren von „TestVNet4“
Erstellen Sie „TestVNet4“. Führen Sie die folgenden Schritte aus, und ersetzen Sie die Werte bei Bedarf durch Ihre eigenen Werte.
Verbinden Sie, und deklarieren Sie Ihre Variablen. Achten Sie darauf, dass Sie die Werte durch die Werte ersetzen, die Sie für die Konfiguration verwenden möchten.
$RG4 = "TestRG4" $Location4 = "West US" $VnetName4 = "TestVNet4" $FESubName4 = "FrontEnd" $VnetPrefix4 = "10.41.0.0/16" $FESubPrefix4 = "10.41.0.0/24" $GWSubPrefix4 = "10.41.255.0/27" $GWName4 = "VNet4GW" $GWIPName4 = "VNet4GWIP" $GWIPconfName4 = "gwipconf4" $Connection41 = "VNet4toVNet1"
Erstellen Sie eine Ressourcengruppe.
New-AzResourceGroup -Name $RG4 -Location $Location4
Erstellen Sie die Subnetzkonfigurationen für „TestVNet4“.
$fesub4 = New-AzVirtualNetworkSubnetConfig -Name $FESubName4 -AddressPrefix $FESubPrefix4 $gwsub4 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $GWSubPrefix4
Erstellen Sie „TestVNet4“.
New-AzVirtualNetwork -Name $VnetName4 -ResourceGroupName $RG4 ` -Location $Location4 -AddressPrefix $VnetPrefix4 -Subnet $fesub4,$gwsub4
Fordern Sie eine öffentliche IP-Adresse an.
$gwpip4 = New-AzPublicIpAddress -Name $GWIPName4 -ResourceGroupName $RG4 ` -Location $Location4 -AllocationMethod Static -Sku Standard
Erstellen Sie die Gatewaykonfiguration.
$vnet4 = Get-AzVirtualNetwork -Name $VnetName4 -ResourceGroupName $RG4 $subnet4 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet4 $gwipconf4 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName4 -Subnet $subnet4 -PublicIpAddress $gwpip4
Erstellen Sie das Gateway „TestVNet4“. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.
New-AzVirtualNetworkGateway -Name $GWName4 -ResourceGroupName $RG4 ` -Location $Location4 -IpConfigurations $gwipconf4 -GatewayType Vpn ` -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Schritt 4: Erstellen der Verbindungen
Warten Sie, bis beide Gateways fertig sind. Starten Sie Ihre Azure Cloud Shell-Sitzung neu, kopieren Sie die Variablen vom Anfang in Schritt2 und Schritt 3, und fügen Sie sie in die Konsole ein, um Werte erneut zu deklarieren.
Rufen Sie die beiden virtuellen Netzwerkgateways ab.
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 $vnet4gw = Get-AzVirtualNetworkGateway -Name $GWName4 -ResourceGroupName $RG4
Erstellen Sie die Verbindung zwischen TestVNet1 und TestVNet4. In diesem Schritt erstellen Sie die Verbindung von TestVNet1 mit TestVNet4. In den Beispielen wird auf einen gemeinsam verwendeten Schlüssel verwiesen. Sie können eigene Werte für den gemeinsam verwendeten Schlüssel verwenden. Wichtig ist dabei, dass der gemeinsam verwendete Schlüssel für beide Verbindungen übereinstimmen muss. Das Erstellen einer Verbindung kann etwas dauern.
New-AzVirtualNetworkGatewayConnection -Name $Connection14 -ResourceGroupName $RG1 ` -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet4gw -Location $Location1 ` -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
Erstellen Sie die Verbindung zwischen TestVNet4 und TestVNet1. Dieser Schritt ähnelt dem obigen Schritt, aber hier erstellen Sie jetzt die Verbindung von „TestVNet4“ mit „TestVNet1“. Stellen Sie sicher, dass die freigegebenen Schlüssel übereinstimmen. Nach einigen Minuten wird die Verbindung hergestellt.
New-AzVirtualNetworkGatewayConnection -Name $Connection41 -ResourceGroupName $RG4 ` -VirtualNetworkGateway1 $vnet4gw -VirtualNetworkGateway2 $vnet1gw -Location $Location4 ` -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
Überprüfen Sie die Verbindung. Informationen hierzu finden Sie im Abschnitt Überprüfen der Verbindung.
Verbinden von VNets aus unterschiedlichen Abonnements
In diesem Szenario verbinden Sie TestVNet1 und TestVNet5. TestVNet1 und TestVNet5 befinden sich in unterschiedlichen Abonnements. Die Abonnements müssen nicht demselben Mandanten zugeordnet werden.
Der Unterschied zwischen diesen und den vorherigen Schritten besteht darin, dass ein Teil der Konfigurationsschritte in einer separaten PowerShell-Sitzung im Kontext des zweiten Abonnements ausgeführt werden muss. Dies gilt insbesondere dann, wenn die beiden Abonnements unterschiedlichen Organisationen gehören.
Da sich der Abonnementkontext in dieser Übung ändert, ist es möglicherweise einfacher, PowerShell lokal auf Ihrem Computer zu verwenden, als Azure Cloud Shell zu nutzen, wenn zu Schritt 8 kommen.
Schritt 5: Erstellen und Konfigurieren von TestVNet1
Sie müssen Schritt 1 und Schritt 2 aus dem vorherigen Abschnitt ausführen, um „TestVNet1“ und das VPN Gateway für „TestVNet1“ zu erstellen und zu konfigurieren. Für diese Konfiguration ist es nicht erforderlich TestVNet4 aus dem vorherigen Abschnitt zu erstellen. Wenn Sie es dennoch erstellen, entstehen aber keine Konflikte mit den folgenden Schritten. Nachdem Sie die Schritte 1 und 2 ausgeführt haben, fahren Sie mit Schritt 6 fort, um TestVNet5 zu erstellen.
Schritt 6: Überprüfen der IP-Adressbereiche
Sie müssen sicherzustellen, dass sich der IP-Adressbereich des neuen virtuellen Netzwerks (TestVNet5) nicht mit einem Ihrer VNet-Bereiche oder Gatewaybereiche des lokalen Netzwerks überlappt. In diesem Beispiel können die virtuellen Netzwerke zu unterschiedlichen Organisationen gehören. Bei dieser Übung können Sie für TestVNet5 die folgenden Werte verwenden:
Werte für TestVNet5:
- VNET-Name: TestVNet5
- Ressourcengruppe: TestRG5
- Standort: Japan, Osten
- TestVNet5: 10.51.0.0/16
- Front-End: 10.51.0.0/24
- GatewaySubnet: 10.51.255.0.0/27
- Gatewayname: VNet5GW
- Öffentliche IP-Adresse: VNet5GWIP
- VPN-Typ: RouteBased
- Verbindung: VNet5toVNet1
- Verbindungstyp: VNet2VNet
Schritt 7: Erstellen und Konfigurieren von „TestVNet5“
Dieser Schritt muss im Kontext des neuen Abonnements ausgeführt werden. Dieser Teil kann von dem Administrator bzw. der Administratorin in einer anderen Organisation, die Besitzer des Abonnements ist, durchgeführt werden.
Deklarieren Sie Ihre Variablen. Achten Sie darauf, dass Sie die Werte durch die Werte ersetzen, die Sie für die Konfiguration verwenden möchten.
$Sub5 = "Replace_With_the_New_Subscription_Name" $RG5 = "TestRG5" $Location5 = "Japan East" $VnetName5 = "TestVNet5" $FESubName5 = "FrontEnd" $GWSubName5 = "GatewaySubnet" $VnetPrefix5 = "10.51.0.0/16" $FESubPrefix5 = "10.51.0.0/24" $GWSubPrefix5 = "10.51.255.0/27" $GWName5 = "VNet5GW" $GWIPName5 = "VNet5GWIP" $GWIPconfName5 = "gwipconf5" $Connection51 = "VNet5toVNet1"
Stellen Sie eine Verbindung mit Abonnement 5 her. Öffnen Sie die PowerShell-Konsole, und stellen Sie eine Verbindung mit Ihrem Konto her. Verwenden Sie das folgende Beispiel, um eine Verbindung herzustellen:
Connect-AzAccount
Überprüfen Sie die Abonnements für das Konto.
Get-AzSubscription
Geben Sie das Abonnement an, das Sie verwenden möchten.
Select-AzSubscription -SubscriptionName $Sub5
Erstellen Sie eine neue Ressourcengruppe.
New-AzResourceGroup -Name $RG5 -Location $Location5
Erstellen Sie die Subnetzkonfigurationen für „TestVNet5“.
$fesub5 = New-AzVirtualNetworkSubnetConfig -Name $FESubName5 -AddressPrefix $FESubPrefix5 $gwsub5 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName5 -AddressPrefix $GWSubPrefix5
Erstellen Sie „TestVNet5“.
New-AzVirtualNetwork -Name $VnetName5 -ResourceGroupName $RG5 -Location $Location5 ` -AddressPrefix $VnetPrefix5 -Subnet $fesub5,$gwsub5
Fordern Sie eine öffentliche IP-Adresse an.
$gwpip5 = New-AzPublicIpAddress -Name $GWIPName5 -ResourceGroupName $RG5 ` -Location $Location5 -AllocationMethod Static -Sku Standard
Erstellen Sie die Gatewaykonfiguration.
$vnet5 = Get-AzVirtualNetwork -Name $VnetName5 -ResourceGroupName $RG5 $subnet5 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet5 $gwipconf5 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName5 -Subnet $subnet5 -PublicIpAddress $gwpip5
Erstellen Sie das TestVNet5-Gateway.
New-AzVirtualNetworkGateway -Name $GWName5 -ResourceGroupName $RG5 -Location $Location5 ` -IpConfigurations $gwipconf5 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"
Schritt 8: Erstellen der Verbindungen
Da sich die Gateways in diesem Beispiel in unterschiedlichen Abonnements befinden, haben wir diesen Schritt in zwei PowerShell-Sitzungen mit den Bezeichnungen [Abonnement 1] und [Abonnement 5] aufgeteilt.
[Abonnement 1] Rufen Sie das virtuelle Netzwerkgateway für Abonnement 1 ab. Melden Sie sich an, und stellen Sie eine Verbindung mit Abonnement 1 her, bevor Sie das folgende Beispiel ausführen:
$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
Kopieren Sie die Ausgabe der folgenden Elemente, und senden Sie diese per E-Mail oder auf anderem Wege an den Administrator von Abonnement 5.
$vnet1gw.Name $vnet1gw.Id
Diese beiden Elemente weisen Werte auf, die den Werten in der folgenden Beispielausgabe ähneln:
PS D:\> $vnet1gw.Name VNet1GW PS D:\> $vnet1gw.Id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroupsTestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
[Abonnement 5] Rufen Sie das virtuelle Netzwerkgateway für Abonnement 5 ab. Melden Sie sich an, und stellen Sie eine Verbindung mit Abonnement 5 her, bevor Sie das folgende Beispiel ausführen:
$vnet5gw = Get-AzVirtualNetworkGateway -Name $GWName5 -ResourceGroupName $RG5
Kopieren Sie die Ausgabe der folgenden Elemente, und senden Sie diese per E-Mail oder auf anderem Wege an den Administrator von Abonnement 1.
$vnet5gw.Name $vnet5gw.Id
Diese beiden Elemente weisen Werte auf, die den Werten in der folgenden Beispielausgabe ähneln:
PS C:\> $vnet5gw.Name VNet5GW PS C:\> $vnet5gw.Id /subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
[Abonnement 1] Erstellen Sie die Verbindung zwischen „TestVNet1“ und „TestVNet5“. In diesem Schritt erstellen Sie die Verbindung von TestVNet1 mit TestVNet5. Der Unterschied besteht darin, dass „$vnet5gw“ nicht direkt abgerufen werden kann, da es sich in einem anderen Abonnement befindet. Sie müssen ein neues PowerShell-Objekt mit den Werten erstellen, die in den vorherigen Schritten aus Abonnement 1 übermittelt wurden. Verwenden Sie das folgende Beispiel. Ersetzen Sie Name, ID und gemeinsam verwendete Schlüssel durch Ihre eigenen Werte. Wichtig ist dabei, dass der gemeinsam verwendete Schlüssel für beide Verbindungen übereinstimmen muss. Das Erstellen einer Verbindung kann etwas dauern.
Stellen Sie eine Verbindung mit Abonnement 1 her, bevor Sie das folgende Beispiel ausführen:
$vnet5gw = New-Object -TypeName Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway $vnet5gw.Name = "VNet5GW" $vnet5gw.Id = "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW" $Connection15 = "VNet1toVNet5" New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet5gw -Location $Location1 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
[Abonnement 5] Erstellen Sie die Verbindung zwischen „TestVNet5“ und „TestVNet1“. Dieser Schritt ähnelt dem vorherigen Schritt, nur erstellen Sie jetzt die Verbindung von TestVNet5 mit TestVNet1. Auch hier gilt der gleiche Prozess zur Erstellung eines PowerShell-Objekts basierend auf den Werten, die aus Abonnement 1 abgerufen wurden. Stellen Sie in diesem Schritt sicher, dass die freigegebenen Schlüssel übereinstimmen.
Stellen Sie eine Verbindung mit Abonnement 5 her, bevor Sie das folgende Beispiel ausführen:
$vnet1gw = New-Object -TypeName Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway $vnet1gw.Name = "VNet1GW" $vnet1gw.Id = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW " $Connection51 = "VNet5toVNet1" New-AzVirtualNetworkGatewayConnection -Name $Connection51 -ResourceGroupName $RG5 -VirtualNetworkGateway1 $vnet5gw -VirtualNetworkGateway2 $vnet1gw -Location $Location5 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
Überprüfen einer Verbindung
Wichtig
Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.
Sie können überprüfen, ob die Verbindungserstellung erfolgreich war, indem Sie das Cmdlet „Get-AzVirtualNetworkGatewayConnection“ mit oder ohne den Zusatz „-Debug“ verwenden.
Verwenden Sie das folgende Cmdlet-Beispiel, und konfigurieren Sie die Werte so, dass sie Ihren eigenen Werten entsprechen. Wählen Sie ggf. die Option „A“ für „Alle ausführen“ aus. In dem Beispiel verweist „-Name“ auf den Namen der Verbindung, die Sie testen möchten.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
Sehen Sie sich nach Abschluss des Cmdlets die Werte an. Im Beispiel weiter unten ist der Verbindungsstatus als „Connected“ (Verbunden) angegeben, und Sie sehen die Eingangs- und Ausgangsbytes.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
FAQs zu VNet-zu-VNet
Weitere Informationen zu VNet-to-VNet-Verbindungen finden Sie unter Häufig gestellte Fragen zum VPN Gateway.
Nächste Schritte
- Sobald die Verbindung hergestellt ist, können Sie Ihren virtuellen Netzwerken virtuelle Computer hinzufügen. Weitere Informationen finden Sie unter Dokumentation zu Virtual Machines.
- Informationen zu BGP finden Sie in der Übersicht über BGP und unter Konfigurieren von BGP.