Erstellen eines VPN-Gateways mithilfe von PowerShell
In diesem Artikel erfahren Sie, wie Sie ein Azure-VPN-Gateway mithilfe von PowerShell erstellen. Ein VPN-Gateway wird beim Herstellen einer VPN-Verbindung mit Ihrem lokalen Netzwerk verwendet. Sie können Verbindungen mit VNets auch mit einem VPN-Gateway herstellen. Ausführlichere Informationen zu einigen Einstellungen in diesem Artikel finden Sie unter Erstellen eines VPN-Gateways – Portal.
Ein VPN-Gateway ist ein Teil einer Verbindungsarchitektur, mit der Sie sicher auf Ressourcen in einem virtuellen Netzwerk zugreifen können.
- Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
- Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.
Mit den Schritten in diesem Artikel werden ein VNet, ein Subnetz, ein Gatewaysubnetz und ein routingbasiertes, zonenredundantes Aktiv-Aktiv-VPN-Gateway (virtuelles Netzwerkgateway) mit der VpnGw2AZ SKU der Generation 2 erstellt. Wenn Sie stattdessen ein VPN-Gateway mit der Basic-SKU erstellen möchten, lesen Sie Erstellen eines Basic-SKU-VPN-Gateways. Wenn die Gatewayerstellung abgeschlossen ist, können Sie Verbindungen herstellen.
Aktiv-Aktiv-Gateways unterscheiden sich auf folgende Weise von Aktiv-Standby-Gateways:
- Aktiv/Aktiv-Gateways verfügen über zwei Gateway-IP-Konfigurationen und zwei öffentliche IP-Adressen.
- Für Aktiv/Aktiv-Gateways ist die Aktiv/Aktiv-Einstellung aktiviert.
- Die Gateway-SKU des virtuellen Netzwerks darf nicht Basic oder Standard sein.
Weitere Informationen zu Aktiv-Aktiv-Gateways finden Sie unter Standortübergreifende Verbindungen und VNet-zu-VNet-Verbindungen mit Hochverfügbarkeit. Weitere Informationen zu Verfügbarkeitszonen und redundanten Gateways für Zonen finden Sie unter Was sind Verfügbarkeitszonen.
Voraussetzungen
Diese Schritte erfordern ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Arbeiten mit Azure PowerShell
In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.
Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.
Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.
Erstellen einer Ressourcengruppe
Erstellen Sie mit New-AzResourceGroup eine Azure-Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Öffnen Sie bei lokaler Ausführung von PowerShell Ihre PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her, indem Sie den Befehl Connect-AzAccount verwenden.
New-AzResourceGroup -Name TestRG1 -Location EastUS
Erstellen eines virtuellen Netzwerks
Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. Im folgenden Beispiel wird ein virtuelles Netzwerk mit dem Namen VNet1 am Standort USA, Osten erstellt:
$virtualnetwork = New-AzVirtualNetwork `
-ResourceGroupName TestRG1 `
-Location EastUS `
-Name VNet1 `
-AddressPrefix 10.1.0.0/16
Erstellen Sie mit dem New-AzVirtualNetworkSubnetConfig-Cmdlet eine Subnetzkonfiguration.
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name Frontend `
-AddressPrefix 10.1.0.0/24 `
-VirtualNetwork $virtualnetwork
Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.
$virtualnetwork | Set-AzVirtualNetwork
Hinzufügen eines Gatewaysubnetzes
Das Gatewaysubnetz enthält die reservierten IP-Adressen, die von den Diensten des virtuellen Netzwerkgateways verwendet werden. Verwenden Sie die folgenden Beispiele, um ein Gatewaysubnetz hinzufügen:
Legen Sie eine Variable für Ihr virtuelles Netzwerk fest.
$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1
Erstellen Sie das Gatewaysubnetz mit dem Add-AzVirtualNetworkSubnetConfig-Cmdlet.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet
Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.
$vnet | Set-AzVirtualNetwork
Anfordern einer öffentlichen IP-Adresse
Jedes VPN-Gateway muss über eine zugewiesene öffentliche IP-Adresse verfügen. Wenn Sie eine Verbindung mit einem VPN-Gateway herstellen, geben Sie diese IP-Adresse an. In dieser Übung erstellen wir eine zonenredundante Aktiv-Aktiv-VPN-Gatewayumgebung. Dies bedeutet, dass zwei öffentliche Standard-IP-Adressen erforderlich sind, eine für jedes Gateway, und Sie müssen auch die Zoneneinstellung angeben. In diesem Beispiel wird eine zonenredundante Konfiguration angegeben, da sie alle drei regionalen Zonen angibt.
Verwenden Sie die folgenden Beispiele, um eine öffentliche IP-Adresse für jedes Gateway anzufordern. Die Zuordnungsmethode muss statisch sein.
$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3
$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3
Erstellen der Gateway-IP-Adresskonfiguration
Die Gatewaykonfiguration definiert das zu verwendende Subnetz und die zu verwendende öffentliche IP-Adresse. Verwenden Sie das folgende Beispiel, um Ihre Gatewaykonfiguration zu erstellen:
$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id
Erstellen des VPN-Gateways
Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Sobald das Gateway erstellt wurde, können Sie eine Verbindung zwischen Ihrem virtuellen Netzwerk und einem anderen virtuellen Netzwerk herstellen. Alternativ können Sie eine Verbindung zwischen dem virtuellen Netzwerk und einem lokalen Standort erstellen.
Erstellen Sie mit dem Cmdlet New-AzVirtualNetworkGateway ein VPN-Gateway. Beachten Sie in den Beispielen, dass auf beide öffentlichen IP-Adressen verwiesen wird und das Gateway als „Aktiv-Aktiv“ konfiguriert ist. Im Beispiel fügen wir den optionalen -Debug-Schalter hinzu.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug
Anzeigen des VPN-Gateways
Sie können das VPN-Gateway mit dem Get-AzVirtualNetworkGateway-Cmdlet anzeigen.
Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1
Anzeigen der öffentlichen IP-Adressen
Verwenden Sie zum Anzeigen der öffentlichen IP-Adresse für Ihr VPN-Gateway das Get-AzPublicIpAddress-Cmdlet. Beispiel:
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
Bereinigen von Ressourcen
Wenn Sie die erstellten Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe mit dem Befehl Remove-AzResourceGroup. Damit löschen Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen.
Remove-AzResourceGroup -Name TestRG1
Nächste Schritte
Sobald das Gateway fertig gestellt ist, können Sie eine Verbindung Ihres virtuellen Netzwerks mit einem anderen virtuellen Netzwerk herstellen. Alternativ können Sie eine Verbindung zwischen dem virtuellen Netzwerk und einem lokalen Standort erstellen.