Helyek közötti kapcsolat hozzáadása meglévő VPN-átjárókapcsolattal rendelkező virtuális hálózathoz (klasszikus)

  • Cikk

Ez a cikk bemutatja, hogyan vehet fel helyek közötti (S2S-) kapcsolatokat egy olyan VPN-átjáróhoz a PowerShell használatával, amely meglévő kapcsolatot használ a klasszikus (örökölt) üzemi modell használatával. Ezt a kapcsolattípust néha "többhelyes" konfigurációnak is nevezik. Ezek a lépések nem vonatkoznak az ExpressRoute/Helyek közötti egyidejű kapcsolatkonfigurációkra.

A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Hacsak nem kifejezetten a klasszikus üzemi modellben szeretne dolgozni, javasoljuk, hogy a cikk Resource Manager-verzióját használja.

Megjegyzés:

Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.

Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.

Tudnivalók a csatlakozásról

Több helyszíni helyet is csatlakoztathat egyetlen virtuális hálózathoz. Ez különösen vonzó hibrid felhőmegoldások készítéséhez. Az Azure-beli virtuális hálózati átjáróval való többhelyes kapcsolat létrehozása hasonló más helyek közötti kapcsolatok létrehozásához. Valójában használhat egy meglévő Azure VPN-átjárót, amennyiben az átjáró dinamikus (útvonalalapú).

Ha már van statikus átjárója a virtuális hálózathoz csatlakoztatva, az átjáró típusát dinamikusra módosíthatja anélkül, hogy újra kellene építenie a virtuális hálózatot a többhelyes elhelyezés érdekében. Az útválasztás típusának módosítása előtt győződjön meg arról, hogy a helyszíni VPN-átjáró támogatja az útvonalalapú VPN-konfigurációkat.

Diagram showing classic multi-site connection architecture.

Megfontolandó szempontok

A portál használatával nem módosíthatja ezt a virtuális hálózatot. A portál használata helyett módosítania kell a hálózati konfigurációs fájlt. Ha módosítja a portált, felülírják a virtuális hálózat többhelyes referenciabeállításait.

A többhelyes eljárás befejezéséig nyugodtan használhatja a hálózati konfigurációs fájlt. Ha azonban többen dolgoznak a hálózati konfiguráción, győződjön meg arról, hogy mindenki ismeri ezt a korlátozást. Ez nem jelenti azt, hogy egyáltalán nem használhatja a portált. Minden máshoz használhatja, kivéve, ha konfigurációs módosításokat hajt végre ezen a virtuális hálózaton.

Előkészületek

A konfigurálás megkezdése előtt ellenőrizze, hogy rendelkezik-e az alábbiakval:

  • Kompatibilis VPN-hardver minden helyszíni helyhez. Ellenőrizze a virtuális hálózati VPN-eszközökkel kapcsolatos Csatlakozás tivitást annak ellenőrzéséhez, hogy a használni kívánt eszköz kompatibilis-e.
  • Egy külső elérésű nyilvános IPv4 IP-cím minden VPN-eszközhöz. Az IP-cím nem található NAT mögött. Ez egy követelmény.
  • Valaki, aki jártas a VPN-hardver konfigurálásához. Alapos ismeretekkel kell rendelkeznie a VPN-eszköz konfigurálásáról, vagy olyannal kell dolgoznia, aki igen.
  • A virtuális hálózathoz használni kívánt IP-címtartományok (ha még nem hozott létre egyet).
  • A csatlakozni kívánt helyi hálózati helyek IP-címtartományai. Győződjön meg arról, hogy a csatlakozni kívánt helyi hálózati helyek IP-címtartományai nem fedik egymást. Ellenkező esetben a portál vagy a REST API elutasítja a feltöltés alatt álló konfigurációt.
    Ha például két olyan helyi hálózati telephelye van, amely mindkettő a 10.2.3.0/24 IP-címtartományt tartalmazza, és van egy 10.2.3.3-ás célcímmel rendelkező csomagja, az Azure nem tudná, hogy melyik helyre szeretné elküldeni a csomagot, mert a címtartományok átfedésben vannak. Az útválasztási problémák elkerülése érdekében az Azure nem teszi lehetővé olyan konfigurációs fájl feltöltését, amely átfedésben lévő tartományokkal rendelkezik.

Az Azure PowerShell használata

A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.

1. Helyek közötti VPN létrehozása

Ha már rendelkezik helyek közötti VPN-vel dinamikus útválasztási átjáróval, nagyszerű! Folytathatja a virtuális hálózat konfigurációs beállításainak exportálását. Ha nem, tegye a következőket:

Ha már rendelkezik helyek közötti virtuális hálózattal, de statikus (szabályzatalapú) útválasztási átjáróval rendelkezik:

  1. Módosítsa az átjáró típusát dinamikus útválasztásra. A többhelyes VPN-hez dinamikus (más néven útvonalalapú) útválasztási átjáró szükséges. Az átjáró típusának módosításához először törölnie kell a meglévő átjárót, majd létre kell hoznia egy újat.
  2. Konfigurálja az új átjárót, és hozza létre a VPN-alagutat. Útmutatásért lásd : Termékváltozat és VPN-típus megadása. Győződjön meg arról, hogy az útválasztási típust dinamikusként adja meg.

Ha nem rendelkezik helyek közötti virtuális hálózatokkal:

  1. Hozza létre a helyek közötti virtuális hálózatot az alábbi utasításokat követve: Virtuális hálózat létrehozása helyek közötti VPN-Csatlakozás ion használatával.
  2. Konfiguráljon egy dinamikus útválasztási átjárót az alábbi utasítások használatával: VPN-átjáró konfigurálása. Ügyeljen arra, hogy az átjárótípushoz válassza ki a dinamikus útválasztást .

2. A hálózati konfigurációs fájl exportálása

Nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal. Szolgáltatásfelügyeletre váltáshoz használja a következő parancsot:

azure config mode asm

Csatlakozás a fiókhoz. A következő példa segít a kapcsolódásban:

Add-AzureAccount

Exportálja az Azure hálózati konfigurációs fájlját az alábbi parancs futtatásával. Szükség esetén módosíthatja a fájl helyét egy másik helyre való exportáláshoz.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. A hálózati konfigurációs fájl megnyitása

Nyissa meg az utolsó lépésben letöltött hálózati konfigurációs fájlt. Használjon tetszőleges xml-szerkesztőt. A fájlnak a következőhöz hasonlóan kell kinéznie:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Több webhelyhivatkozás hozzáadása

Webhelyhivatkozási adatok hozzáadásakor vagy eltávolításakor konfigurációs módosításokat hajt végre a Csatlakozás ionsToLocalNetwork/LocalNetworkSiteRef fájlon. Új helyi helyhivatkozás hozzáadása aktiválja az Azure-t egy új alagút létrehozásához. Az alábbi példában a hálózati konfiguráció egy egyhelyes kapcsolatra vonatkozik. Ha végzett a módosításokkal, mentse a fájlt.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

További helyhivatkozások hozzáadásához (többhelyes konfiguráció létrehozásához) egyszerűen adjon hozzá további "LocalNetworkSiteRef" sorokat az alábbi példában látható módon:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. A hálózati konfigurációs fájl importálása

Importálja a hálózati konfigurációs fájlt. Amikor a módosításokkal együtt importálja ezt a fájlt, az új alagutak lesznek hozzáadva. Az alagutak a korábban létrehozott dinamikus átjárót használják. A PowerShell használatával importálhatja a fájlt.

6. Kulcsok letöltése

Az új alagutak hozzáadása után a Get-AzureVNetGatewayKey PowerShell-parancsmaggal szerezze be az egyes alagutakhoz tartozó IPsec/IKE-előmegosztott kulcsokat.

Például:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Ha szeretné, a Virtuális hálózati átjáró megosztott kulcsú REST API-jának lekérésével is lekérheti az előmegosztott kulcsokat.

7. A kapcsolatok ellenőrzése

Ellenőrizze a többhelyes alagút állapotát. Miután letöltötte az egyes alagút kulcsait, ellenőriznie kell a kapcsolatokat. A "Get-AzureVnet Csatlakozás ion" használatával lekérheti a virtuális hálózati alagutak listáját az alábbi példában látható módon. A VNet1 a virtuális hálózat neve.

Get-AzureVnetConnection -VNetName VNET1

Példa a visszatérésre:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Következő lépések

A VPN-átjárókkal kapcsolatos további információkért lásd a VPN-átjárókról szóló témakört.