Az Azure Stack Hub csatlakoztatása az Azure-hoz VPN használatával

Ez a cikk azt ismerteti, hogyan hozhat létre helyek közötti VPN-t az Azure Stack Hub virtuális hálózatának azure-beli virtuális hálózathoz való csatlakoztatásához.

Előkészületek

A kapcsolat konfigurálásának befejezéséhez a kezdés előtt győződjön meg arról, hogy rendelkezik a következő elemekkel:

• Azure Stack Hub integrált rendszerek (többcsomópontos) üzembe helyezése, amely közvetlenül csatlakozik az internethez. A külső nyilvános IP-címtartománynak közvetlenül elérhetőnek kell lennie a nyilvános internetről.
• Érvényes Azure-előfizetés. Ha nem rendelkezik Azure-előfizetéssel, itt létrehozhat egy ingyenes Azure-fiókot.

VPN-kapcsolat diagramja

Az alábbi ábra bemutatja, hogyan kell kinéznie a kapcsolatkonfigurációnak, amikor elkészült:

Példaértékek a hálózatkonfigurációra

A hálózati konfigurációs példák táblázata az ebben a cikkben szereplő példákhoz használt értékeket mutatja be. Használhatja ezeket az értékeket, vagy hivatkozhat rájuk, hogy jobban megértse a cikkben szereplő példákat:

Érték	Azure Stack Hub	Azure
Virtuális hálózat neve	Azs-VNet	AzureVNet
Virtuális hálózat címtartománya	10.1.0.0/16	10.100.0.0/16
Alhálózat neve	Előtér	Előtér
Alhálózati címtartomány	10.1.0.0/24	10.100.0.0/24
Átjáró alhálózata	10.1.1.0/24	10.100.1.0/24

A hálózati erőforrások létrehozása az Azure-ban

Először hozza létre az Azure hálózati erőforrásait. Az alábbi utasítások bemutatják, hogyan hozhatja létre az erőforrásokat a Azure Portal használatával.

A virtuális hálózat és a virtuális gép (VM) alhálózatának létrehozása

1. Jelentkezzen be a Azure Portal az Azure-fiókjával.
2. A felhasználói portálon válassza a + Erőforrás létrehozása lehetőséget.
3. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.
4. Válassza a Virtuális hálózat lehetőséget.
5. A hálózati konfigurációs táblából származó információk segítségével azonosíthatja az Azure-név, a címtér, az alhálózat neve és az alhálózat címtartományának értékeit.
6. Erőforráscsoport esetén hozzon létre egy új erőforráscsoportot, vagy ha már van ilyenje, válassza a Meglévő használata lehetőséget.
7. Válassza ki a virtuális hálózat helyét . Ha a példaértékeket használja, válassza az USA keleti régiója lehetőséget, vagy használjon másik helyet.
8. Válassza a Rögzítés az irányítópulton lehetőséget.
9. Válassza a Létrehozás lehetőséget.

Az átjáróalhálózat létrehozása

1. Nyissa meg a létrehozott virtuális hálózati erőforrást (AzureVNet) az irányítópulton.

2. A Beállítások szakaszban válassza az Alhálózatok lehetőséget.

3. Az Átjáró-alhálózat lehetőséget választva adjon hozzá egy átjáróalhálózatot a virtuális hálózathoz.

4. Az alhálózat neve alapértelmezés szerint GatewaySubnet.

   Fontos

   Az átjáró-alhálózatok egyediek, és a megfelelő működéshez ezzel az adott névvel kell rendelkezniük.

5. A Címtartomány mezőben ellenőrizze, hogy a cím 10.100.1.0/24-e.

6. Válassza az OK gombot az átjáróalhálózat létrehozásához.

Virtuális hálózati átjáró létrehozása

1. Az Azure Portalon kattintson az + Erőforrás létrehozása elemre.
2. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.
3. A hálózati erőforrások listájában válassza a Virtuális hálózati átjáró lehetőséget.
4. A Név mezőbe írja be az Azure-GW nevet.
5. Virtuális hálózat kiválasztásához válassza a Virtuális hálózat lehetőséget. Ezután válassza az AzureVnet elemet a listából.
6. Válassza a Nyilvános IP-cím elemet. Amikor megnyílik a Nyilvános IP-cím kiválasztása szakasz, válassza az Új létrehozása lehetőséget.
7. A Név mezőbe írja be az Azure-GW-PiP kifejezést, majd válassza az OK gombot.
8. Ellenőrizze, hogy az Előfizetés és a Hely mező értéke helyes-e. Az erőforrást rögzítheti az irányítópulton. Válassza a Létrehozás lehetőséget.

A helyi hálózati átjáró erőforrásának létrehozása

1. Az Azure Portalon kattintson az + Erőforrás létrehozása elemre.

2. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

3. Az erőforrások listájában válassza a Helyi hálózati átjáró lehetőséget.

4. A Név mezőbe írja be az Azs-GW nevet.

5. Az IP-cím mezőbe írja be az Azure Stack Hub Virtual Network Gateway nyilvános IP-címét, amely korábban szerepel a hálózati konfigurációs táblában.

6. Az Azure Stack Hub címtartomány mezőjébe írja be az AzureVNet10.1.0.0/24 és 10.1.1.0/24 címterét.

7. Ellenőrizze, hogy az előfizetés, az erőforráscsoport és a hely helyes-e, majd válassza a Létrehozás lehetőséget.

A kapcsolat létrehozása

1. A felhasználói portálon válassza a + Erőforrás létrehozása lehetőséget.

2. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

3. Az erőforrások listájában válassza a Kapcsolat lehetőséget.

4. Az Alapszintű beállítások szakaszban a Kapcsolat típusa területen válassza a Helyek közötti (IPSec) lehetőséget.

5. Válassza az Előfizetés, az Erőforráscsoport és a Hely lehetőséget, majd kattintson az OK gombra.

6. A Beállítások szakaszban válassza a Virtuális hálózati átjáró, majd az Azure-GW lehetőséget.

7. Válassza a Helyi hálózati átjáró, majd az Azs-GW lehetőséget.

8. A Kapcsolat neve mezőbe írja be az Azure-Azs nevet.

9. A Megosztott kulcs (PSK) mezőbe írja be az 12345 értéket, majd kattintson az OK gombra.

   Megjegyzés

   Ha más értéket használ a megosztott kulcshoz, ne feledje, hogy annak meg kell egyeznie a kapcsolat másik végén létrehozott megosztott kulcs értékével.

10. Tekintse át az Összefoglalás szakaszt, majd kattintson az OK gombra.

Egyéni IPSec-szabályzat létrehozása

Egyéni IPSec-szabályzatra van szükség ahhoz, hogy az Azure megfeleljen az Azure Stack Hubnak.

Az modulok

1. Egyéni szabályzat létrehozása:

   $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
   -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
   -SADataSizeKilobytes 102400000
   

2. Alkalmazza a szabályzatot a kapcsolatra:

   $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
   Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
   

AzureRM-modulok

1. Egyéni szabályzat létrehozása:

   $IPSecPolicy = New-AzureRMIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
   -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
   -SADataSizeKilobytes 102400000
   

2. Alkalmazza a szabályzatot a kapcsolatra:

   $Connection = Get-AzureRMVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
   Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
   

Virtuális gép létrehozása

Most hozzon létre egy virtuális gépet az Azure-ban, és helyezze el a virtuális hálózat virtuálisgép-alhálózatán.

1. Az Azure Portalon kattintson az + Erőforrás létrehozása elemre.

2. Nyissa meg a Marketplace-t, majd válassza a Számítás lehetőséget.

3. A virtuálisgép-rendszerképek listájában válassza ki a Windows Server 2016 Datacenter Eval rendszerképet.

4. Az Alapvető beállítások szakaszban a Név mezőbe írja be az AzureVM nevet.

5. Adjon meg érvényes felhasználónevet és jelszót. Ezzel a fiókkal jelentkezhet be a virtuális gépre a létrehozása után.

6. Adjon meg egy előfizetést, egy erőforráscsoportot és egy helyet, majd kattintson az OK gombra.

7. A Méret szakaszban válassza ki a példányhoz tartozó virtuálisgép-méretet, majd válassza a Kiválasztás lehetőséget.

8. A Beállítások szakaszban az alapértelmezett beállításokat használhatja. Az OK gomb kiválasztása előtt ellenőrizze, hogy:

   • Az AzureVnet virtuális hálózat van kiválasztva.
   • Az alhálózat értéke 10.100.0.0/24.

   Válassza az OK lehetőséget.

9. Tekintse át a beállításokat az Összefoglalás szakaszban, majd kattintson az OK gombra.

A hálózati erőforrások létrehozása az Azure Stack Hubban

Ezután hozza létre a hálózati erőforrásokat az Azure Stack Hubban.

Bejelentkezés felhasználóként

A szolgáltatásadminisztrátor felhasználóként bejelentkezve tesztelheti a felhasználók által esetleg használt csomagokat, ajánlatokat és előfizetéseket. Ha még nem rendelkezik ilyen fiókkal, hozzon létre egy felhasználói fiókot , mielőtt bejelentkezik.

A virtuális hálózat és egy virtuálisgép-alhálózat létrehozása

1. Jelentkezzen be a felhasználói portálra egy felhasználói fiókkal.

2. A felhasználói portálon válassza a + Erőforrás létrehozása lehetőséget.

   

3. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

4. Válassza a Virtuális hálózat lehetőséget.

5. A Név, a Címtér, az Alhálózat neve és az Alhálózat címtartománya beállításnál használja a hálózati konfigurációs táblázat értékeit.

6. Az Előfizetés területen megjelenik a korábban létrehozott előfizetés.

7. Erőforráscsoportként létrehozhat egy erőforráscsoportot, vagy ha már van ilyenje, válassza a Meglévő használata lehetőséget.

8. Ellenőrizze az alapértelmezett helyet.

9. Válassza a Rögzítés az irányítópulton lehetőséget.

10. Válassza a Létrehozás lehetőséget.

Az átjáróalhálózat létrehozása

1. Az irányítópulton nyissa meg a létrehozott Azs-VNet virtuális hálózati erőforrást.

2. A Beállítások szakaszban válassza az Alhálózatok lehetőséget.

3. Ha átjáróalhálózatot szeretne hozzáadni a virtuális hálózathoz, válassza az Átjáróalhálózat lehetőséget.

   

4. Alapértelmezés szerint az alhálózat neve GatewaySubnet értékre van állítva. Ahhoz, hogy az átjáróalhálózatok megfelelően működjenek, a GatewaySubnet nevet kell használniuk.

5. A Címtartomány területen ellenőrizze, hogy a cím 10.1.1.0/24-e.

6. Válassza az OK gombot az átjáróalhálózat létrehozásához.

Virtuális hálózati átjáró létrehozása

1. Az Azure Stack Hub portálon válassza a + Erőforrás létrehozása lehetőséget.

2. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

3. A hálózati erőforrások listájában válassza a Virtuális hálózati átjáró lehetőséget.

4. A Név mezőbe írja be az Azs-GW nevet.

5. Virtuális hálózat kiválasztásához válassza ki a Virtuális hálózat elemet. Válassza az Azs-VNet elemet a listából.

6. Válassza a Nyilvános IP-cím menüpontot. Amikor megnyílik a Nyilvános IP-cím kiválasztása szakasz, válassza az Új létrehozása lehetőséget.

7. A Név mezőbe írja be az Azs-GW-PiP nevet, majd kattintson az OK gombra.

8. Alapértelmezés szerint az Útvonalalapú beállítás van kiválasztva a VPN-típushoz. Tartsa meg az útvonalalapú VPN-típust .

9. Ellenőrizze, hogy az Előfizetés és a Hely mező értéke helyes-e. Az erőforrást rögzítheti az irányítópulton. Válassza a Létrehozás lehetőséget.

A helyi hálózati átjáró létrehozása

Az Azure Stack Hub helyi hálózati átjárójának fogalma eltér az Azure üzemelő példányaitól.

Az Azure-beli üzemelő példányokban a helyi hálózati átjáró egy helyszíni (a felhasználói helyen) fizikai eszközt jelöl, amelyet az Azure-beli virtuális hálózati átjáróhoz csatlakoztat. Az Azure Stack Hubban azonban a kapcsolat mindkét vége virtuális hálózati átjáró.

Általánosabb leírás, hogy a helyi hálózati átjáró erőforrása mindig a kapcsolat másik végén lévő távoli átjárót jelzi.

A helyi hálózati átjáró erőforrásának létrehozása

1. Jelentkezzen be az Azure Stack Hub portálra.

2. A felhasználói portálon válassza a + Erőforrás létrehozása lehetőséget.

3. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

4. Az erőforrások listájában válassza a helyi hálózati átjáró lehetőséget.

5. A Név mezőbe írja be az Azure-GW nevet.

6. Az IP-cím mezőbe írja be a virtuális hálózati átjáró nyilvános IP-címét az Azure-GW-PiP-ben. Ez a cím korábban megjelenik a hálózati konfigurációs táblában.

7. A Címtér mezőbe a létrehozott Azure-beli virtuális hálózat címteréhez írja be a 10.100.0.0/24 és a 10.100.1.0/24 címet.

8. Ellenőrizze, hogy az előfizetés, az erőforráscsoport és a hely értékei helyesek-e, majd válassza a Létrehozás lehetőséget.

A kapcsolat létrehozása

1. A felhasználói portálon válassza a + Erőforrás létrehozása lehetőséget.

2. Nyissa meg a Marketplace-t, majd válassza a Hálózatkezelés lehetőséget.

3. Az erőforrások listájában válassza a Kapcsolat lehetőséget.

4. Az Alapvető beállítások szakaszban a Kapcsolat típusa területen válassza a Helyek közötti (IPSec) lehetőséget.

5. Válassza az Előfizetés, az Erőforráscsoport és a Hely lehetőséget, majd kattintson az OK gombra.

6. A Beállítások szakaszban válassza a Virtuális hálózati átjáró, majd az Azs-GW lehetőséget.

7. Válassza a Helyi hálózati átjáró, majd az Azure-GW lehetőséget.

8. A Kapcsolat neve mezőbe írja be az Azs-Azure nevet.

9. A Megosztott kulcs (PSK) mezőbe írja be az 12345 értéket, majd kattintson az OK gombra.

10. Az Összefoglalás szakaszban válassza az OK gombot.

Virtuális gép létrehozása

A VPN-kapcsolat ellenőrzéséhez hozzon létre két virtuális gépet: egyet az Azure-ban, egyet pedig az Azure Stack Hubban. Miután létrehozta ezeket a virtuális gépeket, azokkal adatokat küldhet és fogadhat a VPN-alagúton keresztül.

1. Az Azure Portalon kattintson az + Erőforrás létrehozása elemre.

2. Nyissa meg a Marketplace-t, majd válassza a Számítás lehetőséget.

3. A virtuálisgép-rendszerképek listájában válassza ki a Windows Server 2016 Datacenter Eval rendszerképet.

4. Az Alapvető beállítások szakasz Név területén írja be az Azs-VM kifejezést.

5. Adjon meg érvényes felhasználónevet és jelszót. Ezzel a fiókkal jelentkezhet be a virtuális gépre a létrehozása után.

6. Adjon meg egy előfizetést, egy erőforráscsoportot és egy helyet, majd kattintson az OK gombra.

7. A Méret szakaszban ehhez a példányhoz válassza ki a virtuálisgép-méretet, majd válassza a Kiválasztás lehetőséget.

8. A Beállítások szakaszban fogadja el az alapértelmezett beállításokat. Győződjön meg arról, hogy az Azs-VNet virtuális hálózat van kiválasztva. Ellenőrizze, hogy az alhálózat értéke 10.1.0.0/24. Ez után válassza az OK gombot.

9. Az Összefoglalás szakaszban tekintse át a beállításokat, majd kattintson az OK gombra.

A kapcsolat tesztelése

A helyek közötti kapcsolat létrejötte után ellenőriznie kell, hogy az adatok mindkét irányban áramlanak-e. A kapcsolat tesztelésének legegyszerűbb módja egy pingelési teszt:

• Jelentkezzen be az Azure Stack Hubban létrehozott virtuális gépre, és pingelje a virtuális gépet az Azure-ban.
• Jelentkezzen be az Azure-ban létrehozott virtuális gépre, és pingelje a virtuális gépet az Azure Stack Hubban.

Megjegyzés

Ha meg szeretné győződni arról, hogy a forgalmat a helyek közötti kapcsolaton keresztül küldi el, pingelje a virtuális gép közvetlen IP-címét (DIP) a távoli alhálózaton, nem pedig a VIRTUÁLIS IP-címet.

Bejelentkezés a felhasználói virtuális gépre az Azure Stack Hubban

1. Jelentkezzen be az Azure Stack Hub portálra.

2. A bal oldali navigációs sávon válassza a Virtual Machines lehetőséget.

3. A virtuális gépek listájában keresse meg a korábban létrehozott Azs-VM elemet, majd válassza ki.

4. A virtuális gép szakaszában válassza a Csatlakozás lehetőséget, majd nyissa meg az Azs-VM.rdp fájlt.

   

5. Jelentkezzen be azzal a fiókkal, amelyet a virtuális gép létrehozásakor konfigurált.

6. Nyisson meg egy emelt szintű Windows PowerShell parancssort.

7. Írja be az ipconfig /all parancsot.

8. A kimenetben keresse meg az IPv4-címet, majd mentse a címet későbbi használatra. Ezt a címet pingeli az Azure-ból. A példakörnyezetben a cím 10.1.0.4, de a környezetében eltérő lehet. Ennek a korábban létrehozott 10.1.0.0/24 alhálózatba kell tartoznia.

9. Ha olyan tűzfalszabályt szeretne létrehozni, amely lehetővé teszi, hogy a virtuális gép válaszoljon a pingekre, futtassa a következő PowerShell-parancsot:

   New-NetFirewallRule `
    -DisplayName "Allow ICMPv4-In" `
    -Protocol ICMPv4
   

Bejelentkezés a bérlői virtuális gépre az Azure-ban

1. Jelentkezzen be az Azure Portalra.

2. A bal oldali navigációs sávon válassza a Virtual Machines lehetőséget.

3. A virtuális gépek listájában keresse meg a korábban létrehozott Azure-VM-et , majd válassza ki.

4. A virtuális gép szakaszában válassza a Csatlakozás lehetőséget.

5. Jelentkezzen be azzal a fiókkal, amelyet a virtuális gép létrehozásakor konfigurált.

6. Nyisson meg egy emelt szintű Windows PowerShell ablakot.

7. Írja be az ipconfig /all parancsot.

8. Egy 10.100.0.0/24-es IPv4-címnek kell megjelennie. A példakörnyezetben a cím 10.100.0.4, de a cím eltérhet.

9. Ha olyan tűzfalszabályt szeretne létrehozni, amely lehetővé teszi, hogy a virtuális gép válaszoljon a pingekre, futtassa a következő PowerShell-parancsot:

   New-NetFirewallRule `
    -DisplayName "Allow ICMPv4-In" `
    -Protocol ICMPv4
   

10. Az Azure-beli virtuális gépről pingelje a virtuális gépet az Azure Stack Hubban az alagúton keresztül. Ehhez pingelje az Azs-VM-ből rögzített DIP-et. A példakörnyezetben ez a 10.1.0.4, de mindenképpen pingelje a laborban feljegyzett címet. A következő képernyőfelvételhez hasonló eredményt kell látnia:

    

11. A távoli virtuális gép válasza sikeres tesztet jelez. Bezárhatja a virtuális gép ablakát.

Emellett szigorúbb adatátviteli tesztelést is el kell végeznie (például különböző méretű fájlok másolása mindkét irányban).

Adatátviteli statisztika megtekintése az átjárókapcsolaton keresztül

Ha tudni szeretné, hogy mennyi adat halad át a helyek közötti kapcsolaton, ezek az információk a Kapcsolat szakaszban érhetők el. Ez a teszt egy másik módszer annak ellenőrzésére is, hogy az imént elküldött ping valóban áthaladt-e a VPN-kapcsolaton.

1. Miközben bejelentkezett a felhasználói virtuális gépre az Azure Stack Hubban, a felhasználói fiókjával jelentkezzen be a felhasználói portálra.

2. Lépjen a Minden erőforrás elemre, majd válassza ki az Azs-Azure kapcsolatot. Ekkor megjelennek a kapcsolatok .

3. A Kapcsolat szakaszban megjelennek a Be- és kimenő adatok statisztikái. A következő képernyőfelvételen a nagy számok további fájlátvitelnek vannak tulajdoníthatók. Itt meg kell jelennie néhány nonzero értéknek.

   

Következő lépések

• Alkalmazások üzembe helyezése az Azure-ban és az Azure Stack Hubban