Helyek közötti kapcsolat létrehozása az Azure Portal használatával (klasszikus)
Ez a cikk bemutatja, hogyan használhatja az Azure Portalt egy helyek közötti VPN-átjárókapcsolat létrehozására egy helyszíni hálózat és a Vnet között. A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Ehelyett tekintse meg a cikk Resource Manager-verzióját.
Fontos
A továbbiakban nem hozhat létre új virtuális hálózati átjárókat a klasszikus üzemi modellhez (szolgáltatásfelügyeleti) virtuális hálózatokhoz. Új virtuális hálózati átjárók csak Resource Manager-alapú virtuális hálózatokhoz hozhatók létre.
A helyek közötti VPN-átjárókapcsolat használatával kapcsolat hozható létre a helyszíni hálózat és egy Azure-beli virtuális hálózat között egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Az ilyen típusú kapcsolatokhoz egy helyszíni VPN-eszközre van szükség, amelyhez hozzá van rendelve egy kifelé irányuló, nyilvános IP-cím. További információk a VPN-átjárókról: Információk a VPN Gatewayről.
Megjegyzés:
Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.
Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.
Előkészületek
A konfigurálás megkezdése előtt győződjön meg a következő feltételek teljesüléséről:
- Erősítse meg, hogy a klasszikus üzemi modellt kívánja használni. Ha a Resource Manager-alapú üzemi modellben szeretne dolgozni, olvassa el a Helyek közötti kapcsolat létrehozása (Resource Manager) című témakört. Javasoljuk, hogy a Resource Manager-alapú üzemi modellt használja, mivel a klasszikus modell örökölt.
- Győződjön meg arról, hogy rendelkezésre áll egy kompatibilis VPN-eszköz és egy azt konfigurálni képes személy. További információk a kompatibilis VPN-eszközökről és az eszközkonfigurációról: Tudnivalók a VPN-eszközökről.
- Győződjön meg arról, hogy rendelkezik egy kifelé irányuló, nyilvános IPv4-címmel a VPN-eszköz számára.
- Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, egyeztetnie kell valakivel, aki meg tudja adni önnek ezeket az adatokat. Amikor létrehozza ezt a konfigurációt, meg kell határoznia az IP-címtartományok előtagjait, amelyeket az Azure majd a helyszínre irányít. A helyszíni hálózat egyik alhálózata sem lehet átfedésben azokkal a virtuális alhálózatokkal, amelyekhez csatlakozni kíván.
- A megosztott kulcs megadásához és a VPN Gateway-kapcsolat létrehozásához PowerShell szükséges. A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.
Konfigurációs mintaértékek ehhez a gyakorlathoz
A cikkben szereplő példák a következő értékeket használják. Ezekkel az értékekkel létrehozhat egy tesztkörnyezetet, vagy a segítségükkel értelmezheti a cikkben szereplő példákat. Ha a címtér IP-címértékeivel dolgozik, általában a hálózati rendszergazdával szeretne egyeztetni, hogy elkerülje az átfedésben lévő címtereket, ami befolyásolhatja az útválasztást. Ebben az esetben cserélje le az IP-címértékeket a saját értékére, ha munkakapcsolatot szeretne létrehozni.
- Erőforráscsoport: TestRG1
- Virtuális hálózat neve: TestVNet1
- Címtér: 10.11.0.0/16
- Alhálózat neve: FrontEnd
- Alhálózati címtartomány: 10.11.0.0/24
- Átjáróalhálózat: 10.11.255.0/27
- Régió: (USA) USA keleti régiója
- Helyi hely neve: Site2
- Ügyfélcímtér: A helyszíni helyen található címtér.
Virtuális hálózat létrehozása
Amikor S2S-kapcsolathoz használandó virtuális hálózatot hoz létre, győződjön meg arról, hogy a megadott címterek nem fedik egymást azoknak a helyi webhelyeknek az ügyfélcímtereivel, amelyekhez csatlakozni szeretne. Egymást átfedő alhálózatok esetén a kapcsolat nem fog megfelelően működni.
Ha már rendelkezik egy virtuális hálózattal, győződjön meg arról, hogy a beállításai kompatibilisek a VPN-átjáró kialakításával. Különös figyelmet kell fordítani minden olyan alhálózatra, amely átfedésben lehet más hálózatokkal.
Ha még nem rendelkezik virtuális hálózattal, akkor hozzon létre egyet. A képernyőképek csak példaként szolgálnak. Ne felejtse el ezeket az értékeket a saját értékeire cserélni.
Virtuális hálózat létrehozása
- Egy böngészőből keresse fel az Azure portált, majd jelentkezzen be az Azure-fiókjával, ha szükséges.
- Válassza az +Erőforrás létrehozása lehetőséget. A Piactér keresése mezőbe írja be a „Virtuális hálózat” kifejezést. Keresse meg a virtuális hálózatot a visszaadott listából, és válassza ki a virtuális hálózat lap megnyitásához.
- A Virtuális hálózat lapon, a Létrehozás gomb alatt megjelenik a "Telepítés a Resource Managerrel (váltás klasszikusra)". A Resource Manager az alapértelmezett virtuális hálózat létrehozásához. Nem szeretne Resource Manager virtuális hálózatot létrehozni. Klasszikus virtuális hálózat létrehozásához válassza a (klasszikusra váltás) lehetőséget. Ezután válassza az Áttekintés lapot, és válassza a Létrehozás lehetőséget.
- A Virtuális hálózat létrehozása (klasszikus) lap Alapszintű beállítások lapján konfigurálja a virtuális hálózat beállításait a példaértékekkel.
- Válassza a Véleményezés + létrehozás lehetőséget a virtuális hálózat ellenőrzéséhez.
- Az érvényesítés lefut. A virtuális hálózat ellenőrzése után válassza a Létrehozás lehetőséget.
A dns-beállítások nem szükségesek a konfigurációhoz, de a DNS-re akkor van szükség, ha névfeloldást szeretne a virtuális gépek között. Az érték megadásával nem jön létre új DNS-kiszolgáló. A megadott DNS-kiszolgáló IP-címének olyan DNS-kiszolgálónak kell lennie, amely fel tudja oldani azoknak az erőforrásoknak a nevét, amelyekkel Ön kapcsolatot fog létesíteni.
Miután létrehozta a virtuális hálózatot, hozzáadhatja a DNS-kiszolgáló IP-címét a névfeloldás kezelésének érdekében. Nyissa meg a virtuális hálózat beállításait, válassza ki a DNS-kiszolgálókat, és adja hozzá a névfeloldáshoz használni kívánt DNS-kiszolgáló IP-címét.
- Keresse meg a virtuális hálózatot a portálon.
- A virtuális hálózat lapjának Gépház szakaszában válassza ki a DNS-kiszolgálókat.
- Adjon meg egy DNS-kiszolgálót.
- A beállítások mentéséhez válassza a Lap tetején található Mentés lehetőséget.
A hely és az átjáró konfigurálása
A webhely konfigurálása
A helyi hely általában a használat helyszínét jelenti. Tartalmazza annak a VPN-eszköznek az IP-címét, amelyhez létre fog hozni egy kapcsolatot, valamint azOKAT az IP-címtartományokat, amelyek a VPN-átjárón keresztül a VPN-eszközre lesznek irányítva.
A virtuális hálózat lapjának Gépház területén válassza a Helyek közötti kapcsolatok lehetőséget.
A Helyek közötti kapcsolatok lapon válassza a + Hozzáadás lehetőséget.
A VPN-kapcsolat és az átjáró konfigurálása lapon a Csatlakozás ion típusnál hagyja bejelölve a helyek közötti kapcsolatot. Ebben a gyakorlatban a példaértékek és a saját értékek kombinációját kell használnia.
VPN-átjáró IP-címe: Ez a helyszíni hálózaton található VPN-eszköz nyilvános IP-címe. A VPN-eszköznek nyilvános IPv4 IP-címmel kell rendelkeznie. Adjon meg egy érvényes nyilvános IP-címet azon VPN-eszköznek, amelyhez csatlakozni kíván. Az Azure-nak elérhetőnek kell lennie. Ha nem ismeri a VPN-eszköz IP-címét, használhat egy helyőrző értéket (érvényes nyilvános IP-cím formátumban), amelyet később módosíthat.
Ügyfélcímtér: A helyszíni hálózatra ezen az átjárón keresztül átirányítani kívánt IP-címtartományok listája. Több címtartományt is felvehet. Győződjön meg arról, hogy az itt megadott tartományok nem fedik át azokat a tartományokat, amelyekhez a virtuális hálózat csatlakozik, vagy magának a virtuális hálózatnak a címtartományaival.
A lap alján NE válassza a Véleményezés + létrehozás lehetőséget. Ehelyett válassza a Tovább: Átjáró> lehetőséget.
A virtuális hálózati átjáró konfigurálása
Az Átjáró lapon válassza ki a következő értékeket:
Méret: Ez az átjáró termékváltozata, amelyet a virtuális hálózati átjáró létrehozásához használ. A klasszikus VPN-átjárók a régi (örökölt) átjáró-termékváltozatokat használják. Az átjárók örökölt termékváltozatairól a virtuális hálózati átjárók termékváltozatainak (régi termékváltozatok) használatát bemutató cikkben talál további információt. Ehhez a gyakorlathoz kiválaszthatja a Standard lehetőséget.
Átjáró alhálózata: A megadott átjáróalhálózat mérete a létrehozni kívánt VPN-átjáró konfigurációjától függ. Bár az átjáró alhálózata akár /29-ben is létrehozható, javasoljuk, hogy a /27-et vagy a /28-at használja. Ez nagyobb, több címet tartalmazó alhálózatot hoz létre. Nagyobb átjáróalhálózat használatával elegendő IP-cím áll rendelkezésre az esetleges jövőbeni konfigurációk megvalósításához.
A beállítások érvényesítéséhez válassza a Lap alján található Véleményezés + létrehozás lehetőséget. Válassza a Létrehozás lehetőséget az üzembe helyezéshez. A kiválasztott átjáró termékváltozatától függően a virtuális hálózati átjáró létrehozása akár 45 percet is igénybe vehet.
VPN-eszköz konfigurálása
A helyszíni hálózaton a helyek közötti kapcsolatok létesítéséhez VPN-eszközre van szükség. Ebben a lépésben a VPN-eszköz konfigurálása következik. A VPN-eszköz konfigurálásakor a következő értékekre van szüksége:
- Megosztott kulcs. Ez ugyanaz a megosztott kulcs, amelyet a helyek közötti VPN-kapcsolat létrehozásakor ad meg. A példákban alapvető megosztott kulcsot használunk. Javasoljuk egy ennél összetettebb kulcs létrehozását.
- A virtuális hálózati átjáró nyilvános IP-címe. A nyilvános IP-címet az Azure Portalon, valamint a PowerShell vagy a CLI használatával is megtekintheti.
VPN-eszközök konfigurációs szkriptjeinek letöltése:
A meglévő VPN-eszköztől függően lehet, hogy letölthet egy VPN-eszközhöz kapcsolódó konfigurációs szkriptet. További információ: VPN-eszközök konfigurációs szkriptjeinek letöltése.
További konfigurációs információért lásd az alábbi hivatkozásokat:
A kompatibilis VPN-eszközökkel kapcsolatos információért tekintse meg a VPN-eszközökkel foglalkozó szakaszt.
A VPN-eszköz konfigurálása előtt ellenőrizze, hogy a használni kívánt VPN-eszközre nem vonatkoznak-e ismert eszközkompatibilitási problémák.
Az eszköz konfigurációs beállításaira mutató hivatkozásokért tekintse meg az ellenőrzött VPN-eszközökkel kapcsolatos témakört. Az eszközkonfigurációs hivatkozásokat képességeinkhez mérten biztosítjuk. A legfrissebb konfigurációs információkért érdemes az eszköz gyártójához fordulni. A listán az általunk tesztelt verziók láthatók. Ha az operációs rendszere nem szerepel a listán, attól még lehetséges, hogy a verzió kompatibilis. Forduljon az eszköz gyártójához annak ellenőrzéséhez, hogy a VPN-eszköz operációs rendszerének verziója kompatibilis-e.
A VPN-eszközök konfigurálásának áttekintéséhez tekintse meg a VPN-eszközök konfigurációjának áttekintését.
Az eszközök konfigurációs mintáinak szerkesztésével kapcsolatos információkért tekintse meg a minták szerkesztésével kapcsolatos részt.
A titkosítási követelményekért lásd a titkosítási követelményeket és az Azure VPN-átjárókat ismertető cikket.
Az IPsec/IKE-paraméterekkel kapcsolatban lásd a helyek közötti VPN Gateway-kapcsolatok VPN-eszközeinek IPsec/IKE-paramétereiről szóló információkat. Ez a hivatkozás információkat jelenít meg az IKE-verzióról, a Diffie-Hellman csoportról, a hitelesítési módszerről, a titkosítási és kivonatoló algoritmusokról, az SA élettartamáról, a PFS-ről és DPD-ről, valamint egyéb paraméterekről, amelyekre szüksége van a konfigurálás befejezéséhez.
Az IPsec/IKE-szabályzat konfigurálásának lépéseivel kapcsolatban lásd az IPsec/IKE-szabályzat S2S VPN- vagy VNet–VNet-kapcsolatokhoz történő konfigurálását ismertető cikket.
A több házirendalapú VPN-eszköz csatlakoztatásával kapcsolatos részletekért tekintse meg az Azure VPN-átjárók több helyszíni házirendalapú VPN-eszközhöz való csatlakoztatása a PowerShell-lel című cikket.
Értékek lekérése
Amikor klasszikus virtuális hálózatokat hoz létre az Azure Portalon, a megjelenített név nem a PowerShellhez használt teljes név. Előfordulhat például, hogy a portálon TestVNet1 nevű virtuális hálózat neve sokkal hosszabb lehet a hálózati konfigurációs fájlban. A "ClassicRG" erőforráscsoportban lévő virtuális hálózatok neve a következőhöz hasonló lehet: Group ClassicRG TestVNet1. A kapcsolatok létrehozásakor fontos, hogy a hálózati konfigurációs fájlban látható értékeket használja.
A következő lépésekben csatlakozni fog az Azure-fiókjához, és letölti és megtekinti a hálózati konfigurációs fájlt a kapcsolatokhoz szükséges értékek beszerzéséhez.
Töltse le és telepítse az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját. A legtöbben helyileg telepítették a Resource Manager-modulokat, de nem rendelkeznek Service Management-modulokkal. A szolgáltatásfelügyeleti modulok régiek, és külön kell telepíteni. További információ: Service Management-parancsmagok telepítése.
Nyissa meg emelt szintű jogosultságokkal a PowerShell konzolt, és csatlakozzon a fiókjához. A csatlakozáshoz használja az alábbi példákat. Ezeket a parancsokat helyileg kell futtatnia a PowerShell szolgáltatásfelügyeleti modul használatával. Csatlakozás a fiókhoz. A következő példa segít a kapcsolódásban:
Add-AzureAccount
Keresse meg a fiókot az előfizetésekben.
Get-AzureSubscription
Ha egynél több előfizetéssel rendelkezik, akkor válassza ki azt, amelyiket használni szeretné.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Hozzon létre egy könyvtárat a számítógépen. Például: C:\AzureVNet
Exportálja a hálózati konfigurációs fájlt a könyvtárba. Ebben a példában a hálózati konfigurációs fájl a C:\AzureNetbe lesz exportálva.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Nyissa meg a fájlt egy szövegszerkesztővel, és tekintse meg a virtuális hálózatok és webhelyek nevét. Ezek a nevek lesznek a kapcsolatok létrehozásakor használt nevek.
A virtuális hálózatok nevei VirtualNetworkSite név =
A helyneveka LocalNetworkSiteRef név =
A kapcsolat létrehozása
Megjegyzés:
A klasszikus üzemi modell esetében ez a lépés nem érhető el az Azure Portalon vagy az Azure Cloud Shellen keresztül. Az Azure PowerShell-parancsmagok szolgáltatásfelügyeleti (SM) verzióját helyileg kell használnia az asztalról.
Ebben a lépésben az előző lépések értékeit használva beállítja a megosztott kulcsot, és létrehozza a kapcsolatot. A beállított kulcsnak meg kell egyeznie a VPN-eszköz konfigurációjában használt kulccsal.
Állítsa be a megosztott kulcsot, és hozza létre a kapcsolatot.
- Módosítsa a -VNetName és a -LocalNetworkSiteName értéket. Amikor szóközt tartalmazó nevet ad meg, zárja az értéket szimpla idézőjelek közé.
- A "-SharedKey" egy létrehozott érték, majd adja meg. A példában az "abc123" kifejezést használtuk, de létrehozhat (és kellene) valami összetettebbet. Vegye figyelembe, hogy az itt megadott értéknek meg kell egyeznie a VPN-eszköz konfigurálásakor meghatározott értékkel.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Amikor létrejött a kapcsolat, az eredmény Status: Successful (Állapot: Sikeres) lesz.
A kapcsolat ellenőrzése
Az Azure Portalon a kapcsolatra lépve tekintheti meg a klasszikus virtuális hálózat VPN-átjárójának kapcsolati állapotát. Az alábbi lépések a kapcsolat megkeresését és ellenőrzését mutatják be.
- Az Azure Portalon lépjen a klasszikus virtuális hálózatra (VNet).
- A virtuális hálózat lapján kattintson a megtekinteni kívánt kapcsolat típusára. Például helyek közötti kapcsolatok.
- A Helyek közötti kapcsolatok lap Név területén válassza ki a megtekinteni kívánt webhelykapcsolatot.
- A Tulajdonságok lapon tekintse meg a kapcsolat adatait.
Ha problémát tapasztal a csatlakozás során, tekintse meg a bal oldali panel tartalomjegyzékének Hibaelhárítás szakaszát.
VPN-átjáró alaphelyzetbe állítása
Az Azure VPN Gateway alaphelyzetbe állítása akkor hasznos, ha egy vagy több helyek közötti VPN-alagúton elveszíti a létesítmények közötti VPN-kapcsolatot. Ebben az esetben a helyszíni VPN-eszközei megfelelően működnek, de nem tudnak Ipsec-alagutakat létesíteni az Azure VPN Gateway átjárókkal. A lépéseket lásd: VPN Gateway alaphelyzetbe állítása.
Átjáró termékváltozatának átméretezése
A klasszikus üzemi modell átjárójának átméretezéséhez a Service Management PowerShell-parancsmagokat kell használnia. Használja az alábbi parancsot:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
További lépések
- Miután a kapcsolat létrejött, hozzáadhat virtuális gépeket a virtuális hálózataihoz. További információkért lásd: Virtuális gépek.
- Információk a kényszerített bújtatásról: Információk a kényszerített bújtatásról.