Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La opción de VPN proporciona una segunda capa de cifrado para los datos en movimiento a través de TLS desde el dispositivo de Azure Stack Edge Pro R a Azure. Puede configurar una VPN en el dispositivo de Azure Stack Edge Pro R a través de Azure Portal o Azure PowerShell.
En este artículo se describen los pasos necesarios para configurar una VPN en el dispositivo de Azure Stack Edge Pro R mediante Azure PowerShell para crear la configuración en la nube.
Acerca de la configuración de VPN
Una conexión VPN entre locales consta de una puerta de enlace de VPN de Azure, un dispositivo VPN local y un túnel VPN S2S de IPsec que conecta los dos. El flujo de trabajo típico incluye los siguientes pasos:
- Configurar los requisitos previos.
- Configurar los recursos necesarios en Azure.
- Crear y configurar una instancia de Azure VPN Gateway (puerta de enlace de red virtual).
- Crear y configurar una puerta de enlace de red local de Azure que representa la red local y el dispositivo VPN.
- Crear y configurar una conexión VPN de Azure entre Azure VPN Gateway y la puerta de enlace de red local.
- Configurar Azure Firewall y agregar reglas de red y aplicación.
- Crear tablas de enrutamiento de Azure y agregar rutas.
- Configurar una VPN en la interfaz de usuario web local del dispositivo. Configure el dispositivo VPN local representado por la puerta de enlace de red local para establecer el túnel VPN S2S real con Azure VPN Gateway.
En las secciones siguientes se proporcionan los pasos detallados.
Configurar los requisitos previos
Debe tener acceso a un dispositivo Azure Stack Edge Pro R que se instale según las instrucciones incluidas en el artículo sobre cómo instalar el dispositivo Azure Stack Edge Pro R. Este dispositivo actuará como el dispositivo VPN local para crear la conexión VPN con Azure.
El dispositivo VPN debe tener una dirección IP pública estática (externa). Esta dirección no debe ser una NAT.
Debe tener acceso a una suscripción de Azure válida habilitada para el servicio Azure Stack Edge en Azure. Use esta suscripción para crear un recurso correspondiente en Azure a fin de administrar el dispositivo de Azure Stack Edge Pro R.
Tiene acceso a un cliente Windows que usará para tener acceso al dispositivo de Azure Stack Edge Pro R. Usará este cliente para crear mediante programación la configuración en la nube.
Para instalar la versión necesaria de PowerShell en el cliente Windows, ejecute los siguientes comandos:
Install-Module -Name Az -AllowClobber -Scope CurrentUser Import-Module Az.AccountsPara conectarse a su cuenta y suscripción de Azure, ejecute los siguientes comandos:
Connect-AzAccount Set-AzContext -Subscription "<Your subscription name>"Proporcione el nombre de la suscripción de Azure que usa con el dispositivo de Azure Stack Edge Pro R para configurar la VPN.
Descargue el script necesario para crear la configuración en la nube. Este script le permitirá hacer lo siguiente:
- Cree una red virtual de Azure y las siguientes subredes: GatewaySubnet y AzureFirewallSubnet.
- Crear y configurar una instancia de Azure VPN Gateway.
- Crear y configurar una puerta de enlace de red local de Azure.
- Crear y configurar una conexión VPN de Azure entre Azure VPN Gateway y la puerta de enlace de red local.
- Crear una instancia de Azure Firewall y agregar reglas de red y aplicación.
- Crear una tabla de enrutamiento de Azure y agregarle rutas.
Uso del script
En primer lugar, modifique el archivo parameters.json para escribir los parámetros. A continuación, ejecute el script con el archivo JSON modificado.
En las siguientes secciones se explican cada uno de estos pasos.
Descarga del archivo de etiquetas de servicio
Es posible que ya tenga un archivo ServiceTags.json en la carpeta en la que descargó el script. Si no es así, puede descargar el archivo de etiquetas de servicio.
Descargue las etiquetas de servicio de Azure en el cliente local y guárdelas como archivo json en la misma carpeta donde están los scripts: https://www.microsoft.com/download/details.aspx?id=56519.
Este archivo se carga en la interfaz de usuario web local en un paso posterior.
Modificación del archivo de parámetros
El primer paso sería modificar el archivo parameters.json y guardar los cambios.
Para los recursos de Azure que cree, proporcionará los siguientes nombres:
| Nombre de parámetro | Descripción |
|---|---|
| virtualNetworks_vnet_name | Nombre de Azure Virtual Network |
| azureFirewalls_firewall_name | Nombre de Azure Firewall |
| routeTables_routetable_name | Nombre de tabla de enrutamiento de Azure |
| publicIPAddresses_VNGW_public_ip_name | Nombre de dirección IP pública de la puerta de enlace de red virtual |
| virtualNetworkGateways_VNGW_name | Nombre de Azure VPN Gateway (puerta de enlace de red virtual) |
| publicIPAddresses_firewall_public_ip_name | Nombre de dirección IP pública de su instancia de Azure Firewall |
| localNetworkGateways_LNGW_name | Nombre de puerta de enlace de red local de Azure |
| connections_vngw_lngw_name | Nombre de la conexión VPN de Azure. Esta es la conexión entre la puerta de enlace de red virtual y la puerta de enlace de red local. |
| ubicación | Esta es la región en la que quiere crear la red virtual. Seleccione la misma región que la asociada al dispositivo. |
Las siguientes direcciones IP y espacios de direcciones corresponden a los recursos de Azure creados, entre los que se incluyen la red virtual y las subredes asociadas (predeterminada, de firewall y GatewaySubnet).
| Nombre de parámetro | Descripción |
|---|---|
| VnetIPv4AddressSpace | Este es el espacio de direcciones asociado a la red virtual. |
| DefaultSubnetIPv4AddressSpace | Este es el espacio de direcciones asociado a la subred Default de la red virtual. |
| FirewallSubnetIPv4AddressSpace | Este es el espacio de direcciones asociado a la subred Firewall de la red virtual. |
| GatewaySubnetIPv4AddressSpace | Este es el espacio de direcciones asociado a la subred GatewaySubnet de la red virtual. |
| GatewaySubnetIPv4bgpPeeringAddress | Esta es la dirección IP que se reserva para la comunicación BGP y se basa en el espacio de direcciones asociado a la subred GatewaySubnet de la red virtual. |
Las siguientes direcciones IP y espacios de direcciones pertenecen a la red local (en la que está implementado el dispositivo de Azure Stack Edge Pro R).
| Nombre de parámetro | Descripción |
|---|---|
| CustomerNetworkAddressSpace | Este es el espacio de direcciones para la dirección IP privada. |
| CustomerPublicNetworkAddressSpace | Este es el espacio de direcciones para la dirección IP pública. |
| DbeIOTNetworkAddressSpace | Esta dirección IP está reservada para el servicio IoT. No cambie este parámetro. |
| AzureVPNsharedKey | Esta clave compartida se usa durante la creación del recurso de conexión VPN de Azure. Esta clave también se proporciona como secreto compartido de VPN durante la configuración de la VPN de la interfaz de usuario web local. |
| DBE-Gateway-ipaddress | Dirección IP pública de un dispositivo de Azure Stack Edge Pro R. Esta puede no ser conocida y puede ejecutar el script con una dirección IP de marcador de posición. Edite la puerta de enlace de red local más adelante con la dirección IP real. |
Salvedades que debe tener en cuenta:
- No tendrá la dirección IP del dispositivo de Azure Stack Edge Pro R. Puede usar una dirección IP de marcador de posición para crear el recurso y, posteriormente, modificar la puerta de enlace de red local de Azure para asignar la dirección IP del dispositivo real y el espacio de direcciones de la red local del dispositivo.
- En función de la dirección de IETF en Internet Assigned Numbers Authority (IANA), use cualquier subred de 172.16.x.y a 172.24.z.a. Reservamos los intervalos de direcciones IPv4 172.24 para la red de Azure.
Ejecute el script.
Siga estos pasos para usar el archivo parameters.json modificado y ejecutar el script para crear recursos de Azure.
Ejecute PowerShell como administrador.
Cambie al directorio en el que se encuentra el script.
Ejecute el script.
.\AzDeployVpn.ps1 -Location <Location> -AzureAppRuleFilePath "appRule.json" -AzureIPRangesFilePath "<Service tag json file>" -ResourceGroupName "<Resource group name>" -AzureDeploymentName "<Deployment name>" -NetworkRuleCollectionName "<Name for collection of network rules>" -Priority 115 -AppRuleCollectionName "<Name for collection of app rules>"A continuación se muestra una salida de ejemplo.
.\AzDeployVpn.ps1 -Location eastus -AzureAppRuleFilePath "appRule.json" -AzureIPRangesFilePath "ServiceTags_Public_20191216.json" -ResourceGroupName "devtestrg4" -AzureDeploymentName "dbetestdeployment20" -NetworkRuleCollectionName "testnrc20" -Priority 115 -AppRuleCollectionName "testarc20"El script tarda 90 minutos aproximadamente en ejecutarse. Una vez completado el script, se genera un registro de implementación en la misma carpeta en la que reside el script.
Comprobación de los recursos de Azure
Una vez que haya ejecutado correctamente el script, compruebe que todos los recursos se crearon en Azure.
Después, configurará la VPN en la interfaz de usuario web local del dispositivo.
Configuración de VPN en el dispositivo
Realice los pasos siguientes en la interfaz de usuario web local del dispositivo. Este paso tarda unos 15 minutos, incluida la carga del archivo de configuración de VPN (o el archivo de etiqueta de servicio).
Vaya a Configuración > VPN. Seleccione Configurar.
En la hoja Configure VPN (Configurar VPN):
Habilite Configuración de VPN.
Proporcione el valor de VPN shared secret (Secreto compartido de VPN). Esta es la clave compartida que proporcionó al crear el recurso de conexión de la VPN de Azure.
Proporcione la dirección para VPN gateway IP (Dirección IP de VPN Gateway). Esta es la dirección IP de la puerta de enlace de red local de Azure.
En Grupo PFS, seleccione Ninguno.
En Grupo DH, seleccione Group2.
Para IPsec integrity method (Método de integridad de IPsec), seleccione SHA256.
Para IPsec cipher transform constants (Constantes de transformación de cifrado de IPsec), seleccione GCMAES256.
Para IPsec authentication transform constants (Constantes de transformación de autenticación de IPsec), seleccione GCMAES256.
Para IKE encryption method (Método de cifrado de IKE), seleccione AES256.
Seleccione Aplicar.
Para obtener más información sobre los algoritmos criptográficos admitidos, diríjase a Acerca de los requisitos criptográficos y las instancias de Azure VPN Gateway.
Para cargar el archivo de configuración de la ruta de VPN, seleccione Cargar.
Vaya al archivo json de etiquetas de servicio que descargó en el sistema local en el paso anterior.
Seleccione la región como la región de Azure asociada con el dispositivo, la red virtual y las puertas de enlace.
Seleccione Aplicar.
La carga tarda aproximadamente entre 7 y 8 minutos en el dispositivo.
Para agregar rutas específicas del cliente, configure los intervalos de direcciones IP a los que se va a tener acceso solo mediante VPN.
En IP address ranges to be accessed using VPN only (Intervalos de direcciones IP a los que acceder solo mediante VPN), seleccione Configure (Configurar).
Especifique un intervalo IPv4 válido y seleccione Agregar. Repita los pasos para agregar otros intervalos.
Seleccione Aplicar.
Comprobación de VPN
Para comprobar la red privada virtual, puede crear una cuenta de almacenamiento a la que solo pueda acceder la red virtual que creó. Siga estos pasos para crear y asociar esta cuenta de almacenamiento con la red virtual que creó:
Cree una cuenta de almacenamiento. Puede usar la cuenta de almacenamiento que planea usar con el dispositivo Azure Stack Edge. Intente acceder a la cuenta de almacenamiento desde una red externa (fuera de la red seleccionada). Se debería poder acceder a la red.
En Azure Portal, vaya a la cuenta de almacenamiento.
Vaya a Firewalls y redes virtuales. En el panel de la derecha de Permitir acceso desde, elija Redes seleccionadas. En Proteja su cuenta de almacenamiento con redes virtuales, elija + Agregar red virtual existente.
En la hoja Agregar redes:
- Seleccione la suscripción. Se trata de la misma suscripción que está asociada con el recurso de Azure Stack Edge/Data Box Gateway.
- En la lista desplegable, elija la red virtual que se va a asociar con esta cuenta de almacenamiento. Seleccione la red virtual que creó en el paso anterior.
- En Subnets (Subredes), elija default y GatewaySubnet. Los puntos de conexión de servicio se habilitarán para las combinaciones de esta red virtual/subred. El proceso para habilitar el acceso tarda hasta 15 minutos en completarse.
- Seleccione Habilitar.
Guarde la configuración.
Una vez guardada la configuración, puede ver las subredes para las que está habilitada la red virtual.
Para comprobar que los datos ahora solo van a través de la red privada virtual, siga estos pasos:
- Intente acceder a la cuenta de almacenamiento desde una red externa (fuera de la red seleccionada). No se debería poder acceder a la red.
- Intente acceder a la cuenta de almacenamiento desde la red virtual/subredes que habilitó en las redes seleccionadas. Se debería poder acceder a la red.
Solo puede acceder a esta cuenta de almacenamiento si tiene habilitada la VPN. Si deshabilita la VPN, también tendrá que ajustar la configuración de red de la cuenta de almacenamiento.
Para más información, vaya a Configuración de Firewalls y redes virtuales de Azure Storage.
Validación de la transferencia de datos a través de VPN
Para confirmar que la VPN funciona, copie los datos en un recurso compartido SMB. Siga los pasos descritos en Agregar un recurso compartido en el dispositivo de Azure Stack Edge Pro R.
- Copie un archivo, por ejemplo \data\pictures\waterfall.jpg en el recurso compartido SMB que montó en el sistema cliente.
- Compruebe que este archivo se muestra en la cuenta de almacenamiento de la nube.
Para validar que los datos se pasan a través de VPN:
Abra el recurso de conexión presente en el grupo de recursos.
Compruebe el valor de datos de entrada y datos de salida.
Abra la instancia de Virtual Network Gateway en el grupo de recursos. Vea los gráficos de Total de entrada del túnel y Total de salida del túnel.
Depuración de problemas
Para depurar cualquier problema, use los siguientes comandos:
Get-AzResourceGroupDeployment -DeploymentName $deploymentName -ResourceGroupName $ResourceGroupName
A continuación se muestra la salida de ejemplo:
PS C:\Projects\VPN\Azure-VpnDeployment> Get-AzResourceGroupDeployment -DeploymentName "aseprorvpnrg14_deployment" -ResourceGroupName "aseprorvpnrg14"
DeploymentName : aseprorvpnrg14_deployment
ResourceGroupName : aseprorvpnrg14
ProvisioningState : Succeeded
Timestamp : 10/21/2020 6:23:13 PM
Mode : Incremental
TemplateLink :
Parameters :
Name Type Value
=========================================== ========================= ==========
virtualNetworks_vnet_name String aseprorvpnrg14_vnet
azureFirewalls_firewall_name String aseprorvpnrg14_firewall
routeTables_routetable_name String aseprorvpnrg14_routetable
publicIPAddresses_VNGW_public_ip_name String aseprorvpnrg14_vngwpublicip
virtualNetworkGateways_VNGW_name String aseprorvpnrg14_vngw
publicIPAddresses_firewall_public_ip_name String aseprorvpnrg14_fwpip
localNetworkGateways_LNGW_name String aseprorvpnrg14_lngw
connections_vngw_lngw_name String aseprorvpnrg14_connection
location String East US
vnetIPv4AddressSpace String 172.24.0.0/16
defaultSubnetIPv4AddressSpace String 172.24.0.0/24
firewallSubnetIPv4AddressSpace String 172.24.1.0/24
gatewaySubnetIPv4AddressSpace String 172.24.2.0/24
gatewaySubnetIPv4bgpPeeringAddress String 172.24.2.254
customerNetworkAddressSpace String 10.0.0.0/18
customerPublicNetworkAddressSpace String 207.68.128.0/24
dbeIOTNetworkAddressSpace String 10.139.218.0/24
azureVPNsharedKey String 1234567890
dbE-Gateway-ipaddress String 207.68.128.113
Outputs :
Name Type Value
======================= ========================= ==========
virtualNetwork Object {
"provisioningState": "Succeeded",
"resourceGuid": "dcf673d3-5c73-4764-b077-77125eda1303",
"addressSpace": {
"addressPrefixes": [
"172.24.0.0/16"
]
================= CUT ============================= CUT ===========================
Get-AzResourceGroupDeploymentOperation -ResourceGroupName $ResourceGroupName -DeploymentName $AzureDeploymentName