Oktatóanyag: Helyek közötti VPN-kapcsolat létrehozása az Azure Portalon
Ebben az oktatóanyagban az Azure Portal használatával hoz létre egy helyek közötti (S2S) VPN Gateway-kapcsolatot a helyszíni hálózat és egy virtuális hálózat között. Ezt a konfigurációt az Azure PowerShell vagy az Azure CLI használatával is létrehozhatja.
Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:
- Hozzon létre egy virtuális hálózatot.
- Hozzon létre egy VPN-átjárót.
- Hozzon létre egy helyi hálózati átjárót.
- Hozzon létre egy VPN-kapcsolatot.
- Ellenőrizze a kapcsolatot.
- Csatlakozás virtuális géphez.
Előfeltételek
Aktív előfizetéssel rendelkező Azure-fiókra van szüksége. Ha még nem rendelkezik fiókkal, ingyen létrehozhat egyet.
Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, egyeztetnie kell valakivel, aki meg tudja adni önnek ezeket az adatokat. A konfiguráció létrehozásakor meg kell adnia azokat az IP-címtartomány-előtagokat, amelyeket az Azure a helyszíni helyre irányít. A helyszíni hálózat egyik alhálózata sem fedheti át azokat a virtuális hálózati alhálózatokat, amelyekhez csatlakozni szeretne.
VPN-eszközök:
- Győződjön meg arról, hogy kompatibilis VPN-eszközzel rendelkezik, és van valaki, aki konfigurálhatja. A kompatibilis VPN-eszközökről és az eszközkonfigurációról további információt a VPN-eszközökről szóló cikkben talál.
- Győződjön meg arról, hogy rendelkezik egy kifelé irányuló, nyilvános IPv4-címmel a VPN-eszköz számára.
- Ellenőrizze, hogy a VPN-eszköz támogatja-e az aktív-aktív módú átjárókat. Ez a cikk egy aktív-aktív módú VPN-átjárót hoz létre, amely a magas rendelkezésre állású kapcsolatokhoz ajánlott. Az aktív-aktív mód azt határozza meg, hogy mindkét átjáró virtuálisgép-példány aktív, és két nyilvános IP-címet használ, egyet minden átjáró virtuálisgép-példányhoz. Úgy konfigurálja a VPN-eszközt, hogy csatlakozzon az egyes átjáró virtuálisgép-példányok IP-címéhez. Ha a VPN-eszköz nem támogatja ezt a módot, ne engedélyezze ezt a módot az átjáróhoz. További információ: Magas rendelkezésre állású kapcsolatok tervezése a helyek közötti és virtuális hálózatok közötti kapcsolatokhoz , valamint az aktív-aktív módú VPN-átjárókról.
Virtuális hálózat létrehozása
Ebben a szakaszban a következő értékekkel hozhat létre virtuális hálózatot:
- Erőforráscsoport: TestRG1
- Név: VNet1
- Régió: (USA) USA keleti régiója
- IPv4-címtér: 10.1.0.0/16
- Alhálózat neve: FrontEnd
- Alhálózati címtér:
Feljegyzés
Ha egy virtuális hálózatot használ egy helyszíni architektúra részeként, mindenképpen koordinálja a helyszíni hálózati rendszergazdával, hogy kifaragjon egy IP-címtartományt, amelyet kifejezetten ehhez a virtuális hálózathoz használhat. Ha a VPN-kapcsolat mindkét oldalán ismétlődő címtartomány található, a rendszer nem várt módon fogja irányítani a forgalmat. Továbbá, ha ezt a virtuális hálózatot egy másik virtuális hálózathoz szeretné csatlakoztatni, a címtér nem fedheti át a másik virtuális hálózatot. Ennek megfelelően tervezze meg a hálózati konfigurációt.
Jelentkezzen be az Azure Portalra.
Az Erőforrások, szolgáltatások és dokumentumok keresése (G+/) portállap tetején adja meg a virtuális hálózatot. A Virtuális hálózat lap megnyitásához válassza a Virtuális hálózat lehetőséget a Marketplace keresési eredményei közül.
A Virtuális hálózat lapon válassza a Létrehozás lehetőséget a Virtuális hálózat létrehozása lap megnyitásához.
Az Alapszintű beállítások lapon konfigurálja a virtuális hálózati beállításokat a Project részleteihez és a Példány részleteihez. A beírt értékek érvényesítésekor zöld pipa jelenik meg. A példában látható értékeket a szükséges beállításoknak megfelelően módosíthatja.
- Előfizetés: ellenőrizze, hogy a megfelelő előfizetés jelenik-e meg a listában. Az előfizetéseket a legördülő listával módosíthatja.
- Erőforráscsoport: Válasszon ki egy meglévő erőforráscsoportot, vagy válassza az Új létrehozása lehetőséget egy új létrehozásához. További információ az erőforráscsoportokkal kapcsolatban: Az Azure Resource Manager áttekintése.
- Név: adja meg a virtuális hálózat nevét.
- Régió: Válassza ki a virtuális hálózat helyét. A hely határozza meg, hogy a virtuális hálózaton üzembe helyezendő erőforrások hol találhatók.
Válassza a Tovább vagy a Biztonság lehetőséget a Biztonság lapra való ugráshoz. Ebben a gyakorlatban hagyja meg az összes szolgáltatás alapértelmezett értékeit ezen a lapon.
Válassza ki az IP-címeket az IP-címek lapra való ugráshoz. Az IP-címek lapon konfigurálja a beállításokat.
IPv4-címtér: Alapértelmezés szerint a rendszer automatikusan létrehoz egy címteret. Kiválaszthatja a címteret, és módosíthatja a saját értékeinek megfelelően. Hozzáadhat egy másik címteret is, és eltávolíthatja az automatikusan létrehozott alapértelmezett helyet. Megadhatja például a kezdőcímet 10.1.0.0-ként, és megadhatja a címtér méretét /16 értékként. Ezután válassza a Hozzáadás lehetőséget a címtér hozzáadásához.
+ Alhálózat hozzáadása: Ha az alapértelmezett címteret használja, a rendszer automatikusan létrehoz egy alapértelmezett alhálózatot. Ha módosítja a címteret, adjon hozzá egy új alhálózatot a címtéren belül. Az Alhálózat hozzáadása ablak megnyitásához válassza az + Alhálózat hozzáadása lehetőséget. Konfigurálja a következő beállításokat, majd az értékek hozzáadásához válassza a lap alján található Hozzáadás lehetőséget.
- Alhálózat neve: Használhatja az alapértelmezett nevet, vagy megadhatja a nevet. Példa: FrontEnd.
- Alhálózati címtartomány: Az alhálózat címtartománya. Ilyen például a 10.1.0.0 és a /24.
Tekintse át az IP-címek lapot, és távolítsa el azokat a címtereket vagy alhálózatokat, amelyekre nincs szüksége.
A virtuális hálózati beállítások érvényesítéséhez válassza a Véleményezés + létrehozás lehetőséget .
A beállítások érvényesítése után válassza a Létrehozás lehetőséget a virtuális hálózat létrehozásához.
A virtuális hálózat létrehozása után igény szerint konfigurálhatja az Azure DDoS Protectiont. Az Azure DDoS Protection egyszerűen engedélyezve van bármely új vagy meglévő virtuális hálózaton, és nem igényel alkalmazás- vagy erőforrásmódosítást. További információ az Azure DDoS Protectionről: Mi az Az Azure DDoS Protection?.
Átjáróalhálózat létrehozása
A virtuális hálózati átjáróhoz egy GatewaySubnet nevű alhálózat szükséges. Az átjáró alhálózata a virtuális hálózat IP-címtartományának része, és tartalmazza a virtuális hálózati átjáró erőforrásai és szolgáltatásai által használt IP-címeket.
Az átjáróalhálózat létrehozásakor meg kell adnia, hogy hány IP-címet tartalmaz az alhálózat. A szükséges IP-címek száma a létrehozni kívánt VPN-átjárókonfigurációtól függ. Egyes konfigurációknak a többinél nagyobb számú IP-címre van szükségük. A legjobb, ha /27 vagy nagyobb (/26, /25 stb.) értéket ad meg az átjáró alhálózatához.
- A virtuális hálózat lapjának bal oldali ablaktábláján válassza az Alhálózatok lehetőséget az Alhálózatok lap megnyitásához.
- A lap tetején válassza az + Átjáró alhálózat lehetőséget az Alhálózat hozzáadása panel megnyitásához.
- A rendszer automatikusan GatewaySubnet néven adja meg a nevet. Szükség esetén módosítsa az IP-címtartomány értékét. Ilyen például a 10.1.255.0/27.
- Ne módosítsa a lap többi értékét. Az alhálózat mentéséhez válassza a lap alján található Mentés lehetőséget.
Fontos
Az átjáró alhálózatán lévő hálózati biztonsági csoportok (NSG-k) nem támogatottak. Ha hálózati biztonsági csoportot társít ehhez az alhálózathoz, a virtuális hálózati átjáró (VPN- és ExpressRoute-átjárók) működése a várt módon leállhat. A hálózati biztonsági csoportokkal kapcsolatos további információért tekintse meg a Mi az a hálózati biztonsági csoport? című cikket.
VPN-átjáró létrehozása
Ebben a lépésben létrehoz egy virtuális hálózati átjárót (VPN Gateway) a virtuális hálózathoz. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően.
VPN-átjáró létrehozása
Hozzon létre egy virtuális hálózati átjárót (VPN Gateway) a következő értékekkel:
- Név: VNet1GW
- Átjáró típusa: VPN
- Termékváltozat: VpnGw2AZ
- Generáció: 2. generáció
- Virtuális hálózat: VNet1
- Átjáró alhálózati címtartománya: 10.1.255.0/27
- Nyilvános IP-cím: Új létrehozása
- Nyilvános IP-cím neve: VNet1GWpip1
- Nyilvános IP-cím termékváltozata: Standard
- Hozzárendelés: Statikus
- Második nyilvános IP-cím neve: VNet1GWpip2
- Aktív-aktív mód engedélyezése: Engedélyezve
- BGP konfigurálása: Letiltva
Az Erőforrások, szolgáltatások és dokumentumok keresése (G+/) mezőbe írja be a virtuális hálózati átjárót. Keresse meg a Virtuális hálózati átjárót a Marketplace keresési eredményei között, és válassza ki a virtuális hálózati átjáró létrehozása lap megnyitásához.
Az Alapszintű beállítások lapon adja meg a Projekt részleteinek és a Példány részleteinek értékeit.
Előfizetés: Válassza ki a használni kívánt előfizetést a legördülő listából.
Erőforráscsoport: Ezt az értéket a rendszer automatikusan kitölti, amikor kiválasztja a virtuális hálózatot ezen a lapon.
Név: Ez a létrehozott átjáróobjektum neve. Ez eltér attól az átjáróalhálózattól, amelyre az átjáróerőforrások üzembe lesznek helyezve.
Régió: Válassza ki azt a régiót, amelyben létre szeretné hozni ezt az erőforrást. Az átjáró régiójának meg kell egyeznie a virtuális hálózatával.
Átjáró típusa: válassza ki a VPN elemet. A VPN-átjárók a VPN virtuális hálózati átjárótípust használják.
Termékváltozat: A legördülő listában válasszon egy átjáró termékváltozatot , amely támogatja a használni kívánt funkciókat.
- Javasoljuk, hogy lehetőség szerint válassza ki az AZ-ban végződő termékváltozatot. Az AZ termékváltozatok támogatják a rendelkezésre állási zónákat.
- Az alapszintű termékváltozat nem érhető el a portálon. Alapszintű termékváltozat-átjáró konfigurálásához PowerShellt vagy parancssori felületet kell használnia.
Generáció: Válassza ki a 2 . generációt a legördülő listából.
Virtuális hálózat: A legördülő listában válassza ki azt a virtuális hálózatot, amelyhez hozzá szeretné adni ezt az átjárót. Ha nem látja a használni kívánt virtuális hálózatot, győződjön meg arról, hogy a megfelelő előfizetést és régiót választotta ki az előző beállítások között.
Átjáró alhálózati címtartománya vagy alhálózata: A VPN-átjáró létrehozásához az átjáró alhálózata szükséges.
Ez a mező jelenleg különböző beállításokat jeleníthet meg a virtuális hálózat címterétől és attól függően, hogy létrehozott-e már gatewaySubnet nevű alhálózatot a virtuális hálózathoz.
Ha nem rendelkezik átjáróalhálózattal , és nem látja a lehetőséget, hogy ezen a lapon hozzon létre egyet, térjen vissza a virtuális hálózathoz, és hozza létre az átjáró alhálózatát. Ezután térjen vissza erre a lapra, és konfigurálja a VPN-átjárót.
Adja meg a nyilvános IP-cím értékeit. Ezek a beállítások határozzák meg a VPN-átjáróhoz társított nyilvános IP-címobjektumokat. A VPN-átjáró létrehozásakor a rendszer minden nyilvános IP-címobjektumhoz hozzárendel egy nyilvános IP-címet. A hozzárendelt nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Az IP-címek nem változnak a VPN-átjáró átméretezése, alaphelyzetbe állítása vagy más belső karbantartása/frissítése során.
Nyilvános IP-cím típusa: Ha ez a beállítás jelenik meg, válassza a Standard lehetőséget.
Nyilvános IP-cím: Hagyja kijelölve az Új létrehozása lehetőséget.
Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
Nyilvános IP-cím termékváltozata: A beállítás automatikusan standard termékváltozatra van kiválasztva.
Hozzárendelés: A hozzárendelés általában automatikusan ki van jelölve, és statikusnak kell lennie.
Rendelkezésre állási zóna: Ez a beállítás a rendelkezésre állási zónákat támogató régiókban elérhető az AZ-átjáró termékváltozatai számára. Válassza a Zónaredundáns lehetőséget, hacsak nem tudja, hogy zónát szeretne megadni.
Aktív-aktív mód engedélyezése: Javasoljuk, hogy válassza az Engedélyezve lehetőséget az aktív-aktív módú átjáró előnyeinek kihasználásához. Ha ezt az átjárót egy helyek közötti kapcsolathoz szeretné használni, vegye figyelembe a következőket:
- Ellenőrizze a használni kívánt aktív-aktív kialakítást . A helyszíni VPN-eszközzel létesített kapcsolatokat kifejezetten úgy kell konfigurálni, hogy kihasználják az aktív-aktív üzemmód előnyeit.
- Egyes VPN-eszközök nem támogatják az aktív-aktív módot. Ha nem biztos benne, forduljon a VPN-eszköz gyártójához. Ha olyan VPN-eszközt használ, amely nem támogatja az aktív-aktív módot, akkor ehhez a beállításhoz válassza a Letiltva lehetőséget.
Második nyilvános IP-cím: Válassza az Új létrehozása lehetőséget. Ez csak akkor érhető el, ha az Aktív-aktív mód engedélyezése beállítást választotta.
Nyilvános IP-cím neve: A szövegmezőbe írja be a nyilvános IP-címpéldány nevét.
Nyilvános IP-cím termékváltozata: A beállítás automatikusan standard termékváltozatra van kiválasztva.
Rendelkezésre állási zóna: Válassza a Zónaredundáns lehetőséget, hacsak nem tudja, hogy zónát szeretne megadni.
BGP konfigurálása: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten erre a beállításra van szükség. Ha ehhez a beállításhoz van szükség, az alapértelmezett ASN 65515, bár ez az érték módosítható.
Key Vault-hozzáférés engedélyezése: Válassza a Letiltva lehetőséget, kivéve, ha a konfigurációhoz kifejezetten erre a beállításra van szükség.
Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget .
Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a VPN-átjáró üzembe helyezéséhez.
Az átjárók létrehozása és üzembe helyezése akár 45 percet is igénybe vehet. Az üzembe helyezés állapotát az átjáró Áttekintés lapján tekintheti meg.
Fontos
Az átjáró alhálózatán lévő hálózati biztonsági csoportok (NSG-k) nem támogatottak. Ha hálózati biztonsági csoportot társít ehhez az alhálózathoz, a virtuális hálózati átjáró (VPN- és ExpressRoute-átjárók) működése a várt módon leállhat. A hálózati biztonsági csoportokkal kapcsolatos további információért tekintse meg a Mi az a hálózati biztonsági csoport? című cikket.
Nyilvános IP-cím megtekintése
Az egyes virtuális hálózati átjáró virtuálisgép-példányokhoz társított IP-cím megtekintéséhez nyissa meg a virtuális hálózati átjárót a portálon.
- Nyissa meg a virtuális hálózati átjáró tulajdonságok lapját (nem az Áttekintés lapot). Előfordulhat, hogy ki kell bontania a Beállítások elemet a Tulajdonságok lap megjelenítéséhez a listában.
- Ha az átjáró aktív-passzív módban van, csak egy IP-cím jelenik meg. Ha az átjáró aktív-aktív módban van, két nyilvános IP-cím jelenik meg a listában, egyet minden átjáró virtuálisgép-példányhoz. Helyek közötti kapcsolat létrehozásakor minden IP-címet meg kell adnia a VPN-eszköz konfigurálásakor, mert mindkét átjáró virtuális gép aktív.
- Az IP-cím objektumával kapcsolatos további információk megtekintéséhez kattintson a társított IP-cím hivatkozására.
Helyi hálózati átjáró létrehozása
A helyi hálózati átjáró egy, az Azure-ban üzembe helyezett objektum, amely útválasztási célokra a helyszíni helyet (a helyet) jelöli. Adjon egy nevet a webhelynek, amellyel az Azure hivatkozhat rá, majd megadhatja annak a helyszíni VPN-eszköznek az IP-címét, amelyhez kapcsolatot hoz létre. Meg kell adnia a VPN-átjárón keresztül a VPN-eszközre irányított IP-címelőtagokat is. Az Ön által meghatározott címelőtagok a helyszíni hálózatán található előtagok. Ha a helyszíni hálózat megváltozik, vagy módosítania kell a VPN-eszköz nyilvános IP-címét, könnyen frissítheti az értékeket később. Minden olyan VPN-eszközhöz külön helyi hálózati átjárót hoz létre, amelyhez csatlakozni szeretne. Egyes magas rendelkezésre állású kapcsolati tervek több helyszíni VPN-eszközt is meghatároznak.
Hozzon létre egy helyi hálózati átjárót a következő értékekkel:
- Név: Site1
- Erőforráscsoport: TestRG1
- - Autorisez les plages d’adresses IP de toutes les régions Gov US (Virginie, Texas, Arizona et Iowa) afin de garantir la prise en charge des URL requises pour Azure Active Directory, la sauvegarde, la réplication et le stockage.
Konfigurációs szempontok:
- A VPN Gateway minden teljes tartománynévhez csak egy IPv4-címet támogat. Ha a tartománynév több IP-címre is feloldható, a VPN Gateway a DNS-kiszolgálók által visszaadott első IP-címet használja. A bizonytalanság kiküszöbölése érdekében javasoljuk, hogy a teljes tartománynév mindig egyetlen IPv4-címre oldódjon fel. Az IPv6 nem támogatott.
- A VPN Gateway 5 percenként frissít egy DNS-gyorsítótárat. Az átjáró csak a leválasztott alagutak teljes tartományneveit próbálja feloldani. Az átjáró alaphelyzetbe állítása az FQDN-felbontást is aktiválja.
- Bár a VPN Gateway több kapcsolatot is támogat különböző, különböző teljes tartománynevekkel rendelkező helyi hálózati átjárókkal, minden teljes tartománynévnek különböző IP-címekre kell feloldania.
A portálon lépjen a Helyi hálózati átjárók elemre, és nyissa meg a Helyi hálózati átjáró létrehozása lapot.
Az Alapadatok lapon adja meg a helyi hálózati átjárója értékeit.
- Előfizetés: Ellenőrizze, hogy a megfelelő előfizetés jelenik-e meg.
- Erőforráscsoport: Válassza ki a használni kívánt erőforráscsoportot. Létrehozhat egy új erőforráscsoportot, vagy kiválaszthatja azt, amelyet már létrehozott.
- Régió: Válassza ki az objektumhoz tartozó régiót. Előfordulhat, hogy ugyanazt a helyet szeretné kiválasztani, ahol a virtuális hálózat található, de erre nincs szükség.
- Név: Adja meg a helyi hálózati átjáróobjektum nevét.
- Végpont: Válassza ki a helyszíni VPN-eszköz végponttípusát IP-címként vagy teljes tartománynévként (teljes tartománynév).
- IP-cím: Ha a VPN-eszközhöz az internetszolgáltatótól (ISP) van lefoglalva egy statikus nyilvános IP-cím, válassza az IP-cím lehetőséget. Adja meg az IP-címet a példában látható módon. Ez a cím annak a VPN-eszköznek a nyilvános IP-címe, amelyhez az Azure VPN Gateway csatlakozni szeretne. Ha jelenleg nem rendelkezik az IP-címmel, használhatja a példában látható értékeket. Később vissza kell lépnie, és le kell cserélnie a helyőrző IP-címét a VPN-eszköz nyilvános IP-címére. Ellenkező esetben az Azure nem tud csatlakozni.
- Teljes tartománynév: Ha olyan dinamikus nyilvános IP-címmel rendelkezik, amely bizonyos idő elteltével megváltozhat, amelyet gyakran az internetszolgáltató határoz meg, használhat állandó DNS-nevet egy dinamikus DNS-szolgáltatással, hogy a VPN-eszköz aktuális nyilvános IP-címére mutasson. Az Azure VPN Gateway feloldja a teljes tartománynevet, hogy meghatározza a nyilvános IP-címet, amelyhez csatlakozni szeretne.
- Címtér: A címtér a helyi hálózat által képviselt hálózat címtartományára utal. Több címtartományt is felvehet. Ügyeljen arra, hogy az itt megadott címtartományok ne legyenek átfedésben olyan más hálózatok címtartományaival, amelyekhez csatlakozni kíván. Az Azure a megadott címtartományt a helyszíni VPN-eszköz IP-címére irányítja. A saját értékeit használja itt a helyszíni hellyel való kapcsolódáshoz, ne a példában látható értékeket.
A Speciális lapon szükség esetén konfigurálhatja a BGP beállításait.
Az értékek megadása után válassza a Lap alján található Véleményezés + létrehozás lehetőséget az oldal ellenőrzéséhez.
Kattintson a Létrehozás gombra a helyi hálózati átjáró létrehozásához.
VPN-eszköz konfigurálása
A helyszíni hálózat helyek közötti kapcsolataihoz VPN-eszközre van szükség. Ebben a lépésben a VPN-eszköz konfigurálása következik. A VPN-eszköz konfigurálásakor a következő értékekre lesz szüksége:
- Megosztott kulcs: Ez a megosztott kulcs ugyanaz, amelyet a helyek közötti VPN-kapcsolat létrehozásakor ad meg. Példáinkban egy egyszerű megosztott kulcsot használunk. Javasoljuk egy ennél összetettebb kulcs létrehozását.
- A virtuális hálózati átjáró példányainak nyilvános IP-címei: Szerezze be az egyes virtuálisgép-példányok IP-címét. Ha az átjáró aktív-aktív módban van, minden egyes átjáró virtuálisgép-példányhoz rendelkeznie kell egy IP-címmel. Mindenképpen konfigurálja az eszközt mindkét IP-címmel, egy-egy aktív átjáró virtuális géphez. Az aktív készenléti módú átjárók csak egy IP-címmel rendelkeznek.
Feljegyzés
Az aktív-aktív módú VPN-átjáróval rendelkező S2S-kapcsolatok esetében győződjön meg arról, hogy az alagutak minden átjáró virtuálisgép-példányhoz létrejönnek. Ha csak egy átjáró virtuálisgép-példány számára hoz létre alagutat, a kapcsolat megszakad a karbantartás során. Ha a VPN-eszköz nem támogatja ezt a beállítást, konfigurálja inkább az átjárót aktív készenléti üzemmódra.
A vpn-eszköztől függően előfordulhat, hogy letölthet egy VPN-eszközkonfigurációs szkriptet. További információ: VPN-eszközök konfigurációs szkriptjeinek letöltése.
További konfigurációs információkért tekintse meg az alábbi hivatkozásokat:
- A kompatibilis VPN-eszközökkel kapcsolatos információkért lásd a VPN-eszközöket.
- A VPN-eszköz konfigurálása előtt ellenőrizze a használni kívánt VPN-eszköz ismert eszközkompatibilitási problémáit .
- Az eszközkonfigurációs beállításokra mutató hivatkozásokért tekintse meg az érvényesített VPN-eszközöket. Az eszközkonfigurációs hivatkozásokat képességeinkhez mérten biztosítjuk. A legfrissebb konfigurációs információkért érdemes az eszköz gyártójához fordulni. A listában a tesztelt verziók láthatók. Ha az operációs rendszer nem szerepel a listán, akkor is lehetséges, hogy a verzió kompatibilis. Ellenőrizze, hogy a VPN-eszköz operációsrendszer-verziója kompatibilis-e az eszköz gyártójával.
- A VPN-eszközök konfigurálásának áttekintéséhez tekintse meg a külső VPN-eszközök konfigurációinak áttekintését.
- Az eszközök konfigurációs mintáinak szerkesztésével kapcsolatos információkért tekintse meg a minták szerkesztésével kapcsolatos részt.
- A titkosítási követelményekért lásd a titkosítási követelményeket és az Azure VPN-átjárókat ismertető cikket.
- Az IPsec/IKE-paraméterekkel kapcsolatos információkért lásd : A HELYEK KÖZÖTTI VPN-átjárókapcsolatok VPN-eszközeinek és IPsec/IKE-paramétereinek ismertetése. Ez a hivatkozás az IKE-verzióról, a Diffie-Hellman-csoportról, a hitelesítési módszerről, a titkosítási és kivonatolási algoritmusokról, az SA élettartamáról, a PFS-ről és a DPD-ről, valamint a konfiguráció befejezéséhez szükséges egyéb paraméterinformációkról is tartalmaz információkat.
- Az IPsec-/IKE-házirendkonfigurációs lépésekért lásd : IPsec/IKE-szabályzat konfigurálása helyek közötti VPN- vagy VNet–VNet-kapcsolatokhoz.
- A több házirendalapú VPN-eszköz csatlakoztatásával kapcsolatos részletekért tekintse meg az Azure VPN-átjárók több helyszíni házirendalapú VPN-eszközhöz való csatlakoztatása a PowerShell-lel című cikket.
VPN-kapcsolatok létrehozása
Hozzon létre egy helyek közötti VPN-kapcsolatot a virtuális hálózati átjáró és a helyszíni VPN-eszköz között. Ha aktív-aktív módú átjárót használ (ajánlott), minden átjáró virtuálisgép-példánynak külön IP-címe van. A magas rendelkezésre állású kapcsolatok megfelelő konfigurálásához létre kell hoznia egy alagutat az egyes virtuálisgép-példányok és a VPN-eszköz között. Mindkét alagút ugyanahhoz a kapcsolathoz tartozik.
Hozzon létre egy kapcsolatot a következő értékekkel:
- Helyi hálózati átjáró neve: Site1
- Kapcsolat neve: VNet1toSite1
- Megosztott kulcs: Ebben a példában az abc123-at használja. De bármilyen kompatibilist használhat a VPN-hardverrel. A lényeg az, hogy az értékek azonosak legyenek a kapcsolat két oldalán.
A portálon nyissa meg a virtuális hálózati átjárót, és nyissa meg.
Az átjáró oldalán válassza a Csatlakozások lehetőséget.
A Kapcsolatok lap tetején válassza a + Hozzáadás lehetőséget a Kapcsolat létrehozása lap megnyitásához.
A Kapcsolat létrehozása lap Alapszintű beállítások lapján konfigurálja a kapcsolat értékeit:
A Project részletei csoportban válassza ki azt az előfizetést és erőforráscsoportot, amelyben az erőforrások találhatók.
A Példány részletei csoportban konfigurálja a következő beállításokat:
- Kapcsolat típusa: Válassza a Helyek közötti (IPSec) lehetőséget.
- Név: Nevezze el a kapcsolatot.
- Régió: Válassza ki a régiót ehhez a kapcsolathoz.
Válassza a Beállítások lapot, és konfigurálja a következő értékeket:
- Virtuális hálózati átjáró: Válassza ki a virtuális hálózati átjárót a legördülő listából.
- Helyi hálózati átjáró: Válassza ki a helyi hálózati átjárót a legördülő listából.
- Megosztott kulcs: Az itt megadott értéknek meg kell egyeznie a helyi helyszíni VPN-eszközhöz használt értékkel. Ha ez a mező nem jelenik meg a portállapon, vagy később frissíteni szeretné ezt a kulcsot, ezt a kapcsolatobjektum létrehozása után is megteheti. Lépjen a létrehozott kapcsolati objektumra (példanév: VNet1toSite1), és frissítse a kulcsot a Hitelesítés lapon.
- IKE-protokoll: Válassza az IKEv2 lehetőséget.
- Az Azure Privát IP-cím használata: Ne válassza ki.
- BGP engedélyezése: Ne válassza ki.
- FastPath: Ne válassza ki.
- IPsec/IKE-szabályzat: Válassza az Alapértelmezett lehetőséget.
- Szabályzatalapú forgalomválasztó használata: Válassza a Letiltás lehetőséget.
- DPD időtúllépés másodpercben: Válassza a 45 lehetőséget.
- Kapcsolati mód: Válassza az Alapértelmezett lehetőséget. Ezzel a beállítással adhatja meg, hogy melyik átjáró kezdeményezheti a kapcsolatot. További információ: VPN Gateway-beállítások – Kapcsolati módok.
NAT-szabályok társítása esetén hagyja a bejövő és a kimenő forgalmat is 0-ként kijelölve.
Válassza a Véleményezés + létrehozás lehetőséget a kapcsolati beállítások érvényesítéséhez.
Válassza a Létrehozás lehetőséget a kapcsolat létrehozásához.
Az üzembe helyezés befejezése után a kapcsolatot a virtuális hálózati átjáró Kapcsolatok lapján tekintheti meg. Az állapot ismeretlenről csatlakozásra, majd sikeresre változik.
További kapcsolati beállítások konfigurálása (opcionális)
Szükség esetén további beállításokat is konfigurálhat a kapcsolathoz. Ellenkező esetben hagyja ki ezt a szakaszt, és hagyja meg az alapértelmezett értékeket. További információ: Egyéni IPsec-/IKE-kapcsolati szabályzatok konfigurálása.
Nyissa meg a virtuális hálózati átjárót, és válassza a Kapcsolatok lehetőséget a Kapcsolatok lap megnyitásához.
Válassza ki annak a kapcsolatnak a nevét, amelyet konfigurálni szeretne a Kapcsolat lap megnyitásához.
A Kapcsolat lap bal oldalán válassza a Konfiguráció lehetőséget a Konfiguráció lap megnyitásához. Végezze el a szükséges módosításokat, majd válassza a Mentés lehetőséget.
Az alábbi képernyőképeken a beállítások engedélyezve vannak, így megtekintheti a portálon elérhető konfigurációs beállításokat. A kibontott nézet megtekintéséhez válassza a képernyőképet. Amikor konfigurálja a kapcsolatokat, csak a szükséges beállításokat konfigurálja. Ellenkező esetben hagyja meg az alapértelmezett beállításokat.
A VPN-kapcsolat ellenőrzése
Az Azure Portalon megtekintheti egy VPN-átjáró kapcsolati állapotát a kapcsolatra való ugrással. Az alábbi lépések egy módot mutatnak a kapcsolat eléréséhez és ellenőrzéséhez.
- Az Azure Portal menüjében válassza a Minden erőforrás lehetőséget, vagy keresse meg és válassza az Összes erőforrást bármelyik lapról.
- Válassza ki a virtuális hálózati átjárót.
- A virtuális hálózati átjáró paneljén válassza a Kapcsolatok lehetőséget. Láthatja az egyes kapcsolatok állapotát.
- Válassza ki annak a kapcsolatnak a nevét, amelyet ellenőrizni szeretne az Essentials megnyitásához. Az Essentials panelen további információkat tekinthet meg a kapcsolatról. A sikeres kapcsolat létrehozása után az állapot sikeres és csatlakoztatva van.
Csatlakozás virtuális géphez
A virtuális hálózathoz üzembe helyezett virtuális géphez távoli asztali kapcsolat létrehozásával csatlakozhat a virtuális géphez. A legjobb mód arra, hogy először ellenőrizze, hogy tud-e csatlakozni a virtuális géphez, ha egy magánhálózati IP-címet használ a számítógép neve helyett. Így teszteli, hogy tud-e csatlakozni, nem pedig azt, hogy a névfeloldás megfelelően van-e konfigurálva.
Keresse meg a magánhálózati IP-címet. A virtuális gép magánhálózati IP-címét az Azure Portalon vagy a PowerShell használatával tekintheti meg.
Azure Portal: Keresse meg a virtuális gépet az Azure Portalon. Tekintse meg a virtuális gép tulajdonságait. A magánhálózati IP-cím a listában szerepel.
PowerShell: A példában megtekintheti az erőforráscsoportok virtuális gépeinek és magánhálózati IP-címeinek listáját. Ezt a példát nem kell használat előtt módosítania.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
Ellenőrizze, hogy csatlakozik-e a virtuális hálózathoz.
Nyissa meg a Távoli asztali kapcsolatot a tálcán lévő keresőmezőbe az RDP vagy távoli asztali kapcsolat megadásával. Ezután válassza a Távoli asztali kapcsolat lehetőséget. A Távoli asztali kapcsolatot
mstsc
a PowerShellben található paranccsal is megnyithatja.Távoli asztali kapcsolat esetén adja meg a virtuális gép magánhálózati IP-címét. A Megjelenítési beállítások lehetőséget választva módosíthatja a többi beállítást, majd csatlakozhat.
Ha nem tud csatlakozni egy virtuális géphez a VPN-kapcsolaton keresztül, ellenőrizze az alábbi pontokat:
- Ellenőrizze, hogy a VPN-kapcsolat sikeresen létrejött-e.
- Ellenőrizze, hogy csatlakozik-e a virtuális gép magánhálózati IP-címéhez.
- Ha a magánhálózati IP-címmel tud csatlakozni a virtuális géphez, de nem a számítógép nevével, ellenőrizze, hogy megfelelően konfigurálta-e a DNS-t. A virtuális gépek névfeloldásáról további információt a virtuális gépek névfeloldása című témakörben talál.
Az RDP-kapcsolatokkal kapcsolatos további információkért lásd a virtuális gép távoli asztali kapcsolatainak hibaelhárításával foglalkozó cikket.
Választható lépések
Átjáró alaphelyzetbe állítása
Az Azure VPN Gateway alaphelyzetbe állítása akkor hasznos, ha egy vagy több helyek közötti VPN-alagúton elveszíti a létesítmények közötti VPN-kapcsolatot. Ebben az esetben a helyszíni VPN-eszközei megfelelően működnek, de nem tudnak Ipsec-alagutakat létesíteni az Azure VPN Gateway-átjárókkal. Ha alaphelyzetbe kell állítania egy aktív-aktív átjárót, a portál használatával mindkét példányt alaphelyzetbe állíthatja. A PowerShell vagy a parancssori felület használatával külön is alaphelyzetbe állíthatja az egyes átjárópéldányokat a példány-IP-címek használatával. További információ: Kapcsolat vagy átjáró alaphelyzetbe állítása.
- A portálon lépjen az alaphelyzetbe állítani kívánt virtuális hálózati átjáróra.
- A Virtuális hálózati átjáró lap bal oldali ablaktábláján görgessen és keresse meg a Súgó –> Alaphelyzetbe állítás parancsot.
- Az Alaphelyzetbe állítás lapon válassza az Alaphelyzetbe állítás lehetőséget. A parancs kiadása után az Azure VPN Gateway aktuális aktív példánya azonnal újraindul. Az átjáró alaphelyzetbe állítása megszakad a VPN-kapcsolatban, és korlátozhatja a probléma későbbi kiváltó okainak elemzését.
Másik kapcsolat hozzáadása
Az átjárók több kapcsolattal is rendelkezhetnek. Ha ugyanabból a VPN-átjáróból több helyszíni helyhez szeretne kapcsolatot konfigurálni, a címterek nem lehetnek átfedésben egyik kapcsolat között sem.
- Ha helyek közötti VPN használatával csatlakozik, és nem rendelkezik helyi hálózati átjáróval ahhoz a helyhez, amelyhez csatlakozni szeretne, hozzon létre egy másik helyi hálózati átjárót, és adja meg a hely adatait. További információ: Helyi hálózati átjáró létrehozása.
- Kapcsolat hozzáadásához nyissa meg a VPN-átjárót, majd válassza a Kapcsolatok lehetőséget a Kapcsolatok lap megnyitásához.
- Válassza a + Hozzáadás lehetőséget a kapcsolat hozzáadásához. Állítsa be a kapcsolat típusát úgy, hogy tükrözze a virtuális hálózatok közötti kapcsolatot (ha másik virtuális hálózati átjáróhoz csatlakozik) vagy helyek közötti kapcsolatot.
- Adja meg a használni kívánt megosztott kulcsot, majd kattintson az OK gombra a kapcsolat létrehozásához.
Megosztott kapcsolatkulcs frissítése
Másik megosztott kulcsot is megadhat a kapcsolathoz.
- A portálon lépjen a kapcsolatra.
- Módosítsa a megosztott kulcsot a Hitelesítés lapon.
- Mentse a módosításokat.
- Szükség esetén frissítse a VPN-eszközt az új megosztott kulccsal.
Átjáró termékváltozatának átméretezése vagy módosítása
Átméretezheti az átjáró termékváltozatát, vagy módosíthatja az átjáró termékváltozatát. Az átjáró által jelenleg használt termékváltozattól függően meghatározott szabályok vonatkoznak arra, hogy melyik lehetőség érhető el. További információ: Átjáró-termékváltozatok átméretezése vagy módosítása.
További konfigurációs szempontok
A helyek közötti konfigurációkat különböző módokon szabhatja testre. További információért tekintse át az alábbi cikkeket:
- A BGP-vel kapcsolatos információkért tekintse meg a BGP áttekintését és a BGP konfigurálását.
- Információk a kényszerített bújtatásról: Információk a kényszerített bújtatásról.
- A magas rendelkezésre állású aktív-aktív kapcsolatokról további információt a magas rendelkezésre állású helyek közötti és a virtuális hálózatok közötti kapcsolatokról talál.
- A virtuális hálózat erőforrásaira irányuló hálózati forgalom korlátozásáról további információt a Hálózatbiztonság című témakörben talál.
- További információ arról, hogy az Azure hogyan irányítja a forgalmat az Azure, a helyszíni és az internetes erőforrások között, lásd a virtuális hálózati forgalom útválasztását.
Az erőforrások eltávolítása
Ha nem folytatja az alkalmazás használatát, vagy a következő oktatóanyagra lép, törölje ezeket az erőforrásokat.
- Írja be az erőforráscsoport nevét a portál tetején található Keresőmezőbe , és válassza ki a keresési eredmények közül.
- Válassza az Erőforráscsoport törlése elemet.
- Írja be az erőforráscsoportot az ERŐFORRÁSCSOPORT NEVÉNEK beírásához, és válassza a Törlés lehetőséget.
Következő lépések
A helyek közötti kapcsolat konfigurálása után hozzáadhat egy pont–hely kapcsolatot ugyanahhoz az átjáróhoz.