Helyek közötti kapcsolat hozzáadása meglévő VPN-átjárókapcsolattal rendelkező virtuális hálózathoz (klasszikus)
Ez a cikk bemutatja, hogyan vehet fel helyek közötti (S2S-) kapcsolatokat egy olyan VPN-átjáróhoz a PowerShell használatával, amely meglévő kapcsolatot használ a klasszikus (örökölt) üzemi modell használatával. Ezt a kapcsolattípust néha "többhelyes" konfigurációnak is nevezik. Ezek a lépések nem vonatkoznak az ExpressRoute/Helyek közötti egyidejű kapcsolatkonfigurációkra.
A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Hacsak nem kifejezetten a klasszikus üzemi modellben szeretne dolgozni, javasoljuk, hogy a cikk Resource Manager-verzióját használja.
Megjegyzés:
Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.
Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.
Tudnivalók a csatlakozásról
Több helyszíni helyet is csatlakoztathat egyetlen virtuális hálózathoz. Ez különösen vonzó hibrid felhőmegoldások készítéséhez. Az Azure-beli virtuális hálózati átjáróval való többhelyes kapcsolat létrehozása hasonló más helyek közötti kapcsolatok létrehozásához. Valójában használhat egy meglévő Azure VPN-átjárót, amennyiben az átjáró dinamikus (útvonalalapú).
Ha már van statikus átjárója a virtuális hálózathoz csatlakoztatva, az átjáró típusát dinamikusra módosíthatja anélkül, hogy újra kellene építenie a virtuális hálózatot a többhelyes elhelyezés érdekében. Az útválasztás típusának módosítása előtt győződjön meg arról, hogy a helyszíni VPN-átjáró támogatja az útvonalalapú VPN-konfigurációkat.
Megfontolandó szempontok
A portál használatával nem módosíthatja ezt a virtuális hálózatot. A portál használata helyett módosítania kell a hálózati konfigurációs fájlt. Ha módosítja a portált, felülírják a virtuális hálózat többhelyes referenciabeállításait.
A többhelyes eljárás befejezéséig nyugodtan használhatja a hálózati konfigurációs fájlt. Ha azonban többen dolgoznak a hálózati konfiguráción, győződjön meg arról, hogy mindenki ismeri ezt a korlátozást. Ez nem jelenti azt, hogy egyáltalán nem használhatja a portált. Minden máshoz használhatja, kivéve, ha konfigurációs módosításokat hajt végre ezen a virtuális hálózaton.
Előkészületek
A konfigurálás megkezdése előtt ellenőrizze, hogy rendelkezik-e az alábbiakval:
- Kompatibilis VPN-hardver minden helyszíni helyhez. Ellenőrizze a virtuális hálózati VPN-eszközökkel kapcsolatos Csatlakozás tivitást annak ellenőrzéséhez, hogy a használni kívánt eszköz kompatibilis-e.
- Egy külső elérésű nyilvános IPv4 IP-cím minden VPN-eszközhöz. Az IP-cím nem található NAT mögött. Ez egy követelmény.
- Valaki, aki jártas a VPN-hardver konfigurálásához. Alapos ismeretekkel kell rendelkeznie a VPN-eszköz konfigurálásáról, vagy olyannal kell dolgoznia, aki igen.
- A virtuális hálózathoz használni kívánt IP-címtartományok (ha még nem hozott létre egyet).
- A csatlakozni kívánt helyi hálózati helyek IP-címtartományai. Győződjön meg arról, hogy a csatlakozni kívánt helyi hálózati helyek IP-címtartományai nem fedik egymást. Ellenkező esetben a portál vagy a REST API elutasítja a feltöltés alatt álló konfigurációt.
Ha például két olyan helyi hálózati telephelye van, amely mindkettő a 10.2.3.0/24 IP-címtartományt tartalmazza, és van egy 10.2.3.3-ás célcímmel rendelkező csomagja, az Azure nem tudná, hogy melyik helyre szeretné elküldeni a csomagot, mert a címtartományok átfedésben vannak. Az útválasztási problémák elkerülése érdekében az Azure nem teszi lehetővé olyan konfigurációs fájl feltöltését, amely átfedésben lévő tartományokkal rendelkezik.
Az Azure PowerShell használata
A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.
1. Helyek közötti VPN létrehozása
Ha már rendelkezik helyek közötti VPN-vel dinamikus útválasztási átjáróval, nagyszerű! Folytathatja a virtuális hálózat konfigurációs beállításainak exportálását. Ha nem, tegye a következőket:
Ha már rendelkezik helyek közötti virtuális hálózattal, de statikus (szabályzatalapú) útválasztási átjáróval rendelkezik:
- Módosítsa az átjáró típusát dinamikus útválasztásra. A többhelyes VPN-hez dinamikus (más néven útvonalalapú) útválasztási átjáró szükséges. Az átjáró típusának módosításához először törölnie kell a meglévő átjárót, majd létre kell hoznia egy újat.
- Konfigurálja az új átjárót, és hozza létre a VPN-alagutat. Útmutatásért lásd : Termékváltozat és VPN-típus megadása. Győződjön meg arról, hogy az útválasztási típust dinamikusként adja meg.
Ha nem rendelkezik helyek közötti virtuális hálózatokkal:
- Hozza létre a helyek közötti virtuális hálózatot az alábbi utasításokat követve: Virtuális hálózat létrehozása helyek közötti VPN-Csatlakozás ion használatával.
- Konfiguráljon egy dinamikus útválasztási átjárót az alábbi utasítások használatával: VPN-átjáró konfigurálása. Ügyeljen arra, hogy az átjárótípushoz válassza ki a dinamikus útválasztást .
2. A hálózati konfigurációs fájl exportálása
Nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal. Szolgáltatásfelügyeletre váltáshoz használja a következő parancsot:
azure config mode asm
Csatlakozás a fiókhoz. A következő példa segít a kapcsolódásban:
Add-AzureAccount
Exportálja az Azure hálózati konfigurációs fájlját az alábbi parancs futtatásával. Szükség esetén módosíthatja a fájl helyét egy másik helyre való exportáláshoz.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
3. A hálózati konfigurációs fájl megnyitása
Nyissa meg az utolsó lépésben letöltött hálózati konfigurációs fájlt. Használjon tetszőleges xml-szerkesztőt. A fájlnak a következőhöz hasonlóan kell kinéznie:
<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
<VirtualNetworkConfiguration>
<LocalNetworkSites>
<LocalNetworkSite name="Site1">
<AddressSpace>
<AddressPrefix>10.0.0.0/16</AddressPrefix>
<AddressPrefix>10.1.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
</LocalNetworkSite>
<LocalNetworkSite name="Site2">
<AddressSpace>
<AddressPrefix>10.2.0.0/16</AddressPrefix>
<AddressPrefix>10.3.0.0/16</AddressPrefix>
</AddressSpace>
<VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
</LocalNetworkSite>
</LocalNetworkSites>
<VirtualNetworkSites>
<VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
<AddressSpace>
<AddressPrefix>10.20.0.0/16</AddressPrefix>
<AddressPrefix>10.21.0.0/16</AddressPrefix>
</AddressSpace>
<Subnets>
<Subnet name="FE">
<AddressPrefix>10.20.0.0/24</AddressPrefix>
</Subnet>
<Subnet name="BE">
<AddressPrefix>10.20.1.0/24</AddressPrefix>
</Subnet>
<Subnet name="GatewaySubnet">
<AddressPrefix>10.20.2.0/29</AddressPrefix>
</Subnet>
</Subnets>
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1">
<Connection type="IPsec" />
</LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
</VirtualNetworkSite>
</VirtualNetworkSites>
</VirtualNetworkConfiguration>
</NetworkConfiguration>
4. Több webhelyhivatkozás hozzáadása
Webhelyhivatkozási adatok hozzáadásakor vagy eltávolításakor konfigurációs módosításokat hajt végre a Csatlakozás ionsToLocalNetwork/LocalNetworkSiteRef fájlon. Új helyi helyhivatkozás hozzáadása aktiválja az Azure-t egy új alagút létrehozásához. Az alábbi példában a hálózati konfiguráció egy egyhelyes kapcsolatra vonatkozik. Ha végzett a módosításokkal, mentse a fájlt.
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
További helyhivatkozások hozzáadásához (többhelyes konfiguráció létrehozásához) egyszerűen adjon hozzá további "LocalNetworkSiteRef" sorokat az alábbi példában látható módon:
<Gateway>
<ConnectionsToLocalNetwork>
<LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
<LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
</ConnectionsToLocalNetwork>
</Gateway>
5. A hálózati konfigurációs fájl importálása
Importálja a hálózati konfigurációs fájlt. Amikor a módosításokkal együtt importálja ezt a fájlt, az új alagutak lesznek hozzáadva. Az alagutak a korábban létrehozott dinamikus átjárót használják. A PowerShell használatával importálhatja a fájlt.
6. Kulcsok letöltése
Az új alagutak hozzáadása után a Get-AzureVNetGatewayKey PowerShell-parancsmaggal szerezze be az egyes alagutakhoz tartozó IPsec/IKE-előmegosztott kulcsokat.
Például:
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"
Ha szeretné, a Virtuális hálózati átjáró megosztott kulcsú REST API-jának lekérésével is lekérheti az előmegosztott kulcsokat.
7. A kapcsolatok ellenőrzése
Ellenőrizze a többhelyes alagút állapotát. Miután letöltötte az egyes alagút kulcsait, ellenőriznie kell a kapcsolatokat. A "Get-AzureVnet Csatlakozás ion" használatával lekérheti a virtuális hálózati alagutak listáját az alábbi példában látható módon. A VNet1 a virtuális hálózat neve.
Get-AzureVnetConnection -VNetName VNET1
Példa a visszatérésre:
ConnectivityState : Connected
EgressBytesTransferred : 661530
IngressBytesTransferred : 519207
LastConnectionEstablished : 5/2/2014 2:51:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site1
OperationDescription : Get-AzureVNetConnection
OperationId : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
ConnectivityState : Connected
EgressBytesTransferred : 789398
IngressBytesTransferred : 143908
LastConnectionEstablished : 5/2/2014 3:20:40 PM
LastEventID : 23401
LastEventMessage : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
LastEventTimeStamp : 5/2/2014 2:51:40 PM
LocalNetworkSiteName : Site2
OperationDescription : Get-AzureVNetConnection
OperationId : 7893b329-51e9-9db4-88c2-16b8067fed7f
OperationStatus : Succeeded
Következő lépések
A VPN-átjárókkal kapcsolatos további információkért lásd a VPN-átjárókról szóló témakört.