Előző

Következő

Gyakorlat – Helyek közötti VPN-átjáró létrehozása Azure CLI-parancsokkal

Befejeződött

Most már felkészült rá, hogy a nyilvános IP-címek, virtuális hálózati átjárók és kapcsolatok létrehozásával elkészítse a helyek közötti VPN-átjárót. Ne feledje, hogy a helyi hálózati átjárók létrehozásakor megadott nyilvános IP-címek csupán helyőrzőként szolgáltak. Az egyik teendője most ezeknek az átjáróknak a módosítása lesz a virtuális hálózati átjáróihoz rendelt tényleges nyilvános IP-címekkel.

Ideális esetben a nyilvános IP-címeket és a virtuális hálózati átjárókat a helyi hálózati átjárók előtt kellene létrehozni. Ebben a gyakorlatban láthatja, hogyan frissítheti a helyi hálózati átjárókat. A helyi hálózati átjárók összes konfigurációs eleme ugyanazokkal a parancsokkal módosítható, beleértve a távoli hálózati címtartományokat is.

Az Azure-oldali VPN-átjáró létrehozása

Először hozza létre a VPN-átjárót a kapcsolat Azure-beli végéhez. Egy virtuális hálózati átjáró létrehozása akár 45 percet is igénybe vehet. Időt takaríthat meg, ha azure CLI-parancsokat használ a --no-wait paraméterrel. Ez a paraméter lehetővé teszi, hogy egyidejűleg hozza létre mindkét virtuális hálózati átjárót, így lecsökkentheti az erőforrások létrehozásához szükséges időt.

1. Futtassa a következő parancsot a Cloud Shellben a PIP-VNG-Azure-VNet-1 nyilvános IP-cím létrehozásához.

   az network public-ip create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name PIP-VNG-Azure-VNet-1 \
       --allocation-method Static
   

2. Futtassa a következő parancsot a Cloud Shellben a VNG-Azure-VNet-1 virtuális hálózat létrehozásához.

   az network vnet create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name VNG-Azure-VNet-1 \
       --subnet-name GatewaySubnet 
   

3. Futtassa a következő parancsot a Cloud Shellben a VNG-Azure-VNet-1 virtuális hálózati átjáró létrehozásához.

   az network vnet-gateway create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name VNG-Azure-VNet-1 \
       --public-ip-addresses PIP-VNG-Azure-VNet-1 \
       --vnet VNG-Azure-VNet-1 \
       --gateway-type Vpn \
       --vpn-type RouteBased \
       --sku VpnGw1 \
       --no-wait
   

A helyszíni VPN-átjáró létrehozása

Ezután létrehoz egy VPN-átjárót egy helyszíni VPN-eszköz szimulálásához.

1. Futtassa a következő parancsot a Cloud Shellben a PIP-VNG-HQ-Network nyilvános IP-cím létrehozásához.

   az network public-ip create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name PIP-VNG-HQ-Network \
       --allocation-method Static
   

2. Futtassa a következő parancsot a Cloud Shellben a VNG-HQ-Network virtuális hálózat létrehozásához.

   az network vnet create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name VNG-HQ-Network \
       --subnet-name GatewaySubnet 
   

3. Futtassa a következő parancsot a Cloud Shellben a VNG-HQ-Network virtuális hálózati átjáró létrehozásához.

   az network vnet-gateway create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name VNG-HQ-Network \
       --public-ip-addresses PIP-VNG-HQ-Network \
       --vnet VNG-HQ-Network \
       --gateway-type Vpn \
       --vpn-type RouteBased \
       --sku VpnGw1 \
       --no-wait
   

4. Az átjáró létrehozása körülbelül 30 percet vesz igénybe. Az átjáró létrehozásának folyamatának monitorozásához futtassa a következő parancsot. A Linux watch parancsot használjuk a az network vnet-gateway list parancs rendszeres futtatásához, amely lehetővé teszi a folyamat figyelésére.

   watch -d -n 5 az network vnet-gateway list \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --output table
   

5. A folytatáshoz várja meg, hogy az összes VPN-átjáró ProvisioningState (Kiépítés) állapota Succeeded (Sikeres) legyen. Miután az átjáró létrejött, a Ctrl+C billentyűkombinációval leállíthatja a parancs futtatását.

   ActiveActive    EnableBgp    EnablePrivateIpAddress   GatewayType    Location        Name              ProvisioningState    ResourceGroup                         ResourceGuid                          VpnType
   --------------  -----------  ------------------------ -------------  --------------  ----------------  -------------------  -----------------------------  ------------------------------------  ----------
   False           False        False                    Vpn            southcentralus  VNG-Azure-VNet-1  Succeeded            <rgn>[sandbox resource group name]</rgn>  48dc714e-a700-42ad-810f-a8163ee8e001  RouteBased
   False           False        False                    Vpn            southcentralus  VNG-HQ-Network    Succeeded            <rgn>[sandbox resource group name]</rgn>  49b3041d-e878-40d9-a135-58e0ecb7e48b  RouteBased
   

A helyi hálózati átjáró IP-hivatkozásainak frissítése

Fontos

A következő gyakorlathoz csak azután kezdjen hozzá, hogy virtuális hálózati átjárói üzembe helyezése sikeresen befejeződött. Az átjárók végrehajtása akár 30 percet is igénybe vehet. Ha a ProvisioningState még nem jeleníti meg a "Sikeres" értéket, várnia kell.

Ebben a szakaszban frissíti a helyi hálózati átjárókban definiált távoli átjáró IP-címhivatkozásait. A helyi hálózati átjárókat csak azután tudja frissíteni, miután a VPN-átjárókat létrehozta, majd hozzájuk rendelt és társított egy IPV4-címet.

1. Futtassa a következő Azure CLI-parancsot annak ellenőrzéséhez, hogy mindkét virtuális hálózati átjáró létrejött-e. A kezdeti állapot a Frissítés elemet jeleníti meg. A VNG-Azure-VNet-1 és a VNG-HQ-Network esetében is sikeresnek kell lennie.

   az network vnet-gateway list \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --output table
   

   Name              Location    GatewayType    VpnType     VpnGatewayGeneration    EnableBgp    EnablePrivateIpAddress    Active    ResourceGuid                        ProvisioningState    ResourceGroup
   ----------------  ----------  -------------  ----------  ----------------------  -----------  ------------------------  --------  ------------------------------------  -------------------  ------------------------------------------
   VNG-Azure-VNet-1  westus      Vpn            RouteBased  Generation1         False        False                     False     9a2e60e6-da57-4274-99fd-e1f8b2c0326d  Succeeded            learn-cfbcca66-16fd-423e-b688-66f242d8f09e
   VNG-HQ-Network    westus      Vpn            RouteBased  Generation1         False        False                     False     c36430ed-e6c0-4230-ae40-cf937a102bcd  Succeeded            learn-cfbcca66-16fd-423e-b688-66f242d8f09e
   

   Mindenképpen várja meg az átjárók listájának sikeres visszaadását. Arról se feledkezzen meg, hogy a helyi hálózati átjáró erőforrásai annak a távoli átjárónak és hálózatnak a beállításait határozzák meg, amelyről a nevét kapta. Az LNG-Azure-VNet-1 helyi hálózati átjáró például olyan információkat tartalmaz, mint az Azure-VNet-1 IP-címe és hálózatai.

2. Futtassa a következő parancsot a Cloud Shellben a PIP-VNG-Azure-VNet-1 szolgáltatáshoz rendelt IPv4-cím lekéréséhez és egy változóban való tárolásához.

   PIPVNGAZUREVNET1=$(az network public-ip show \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name PIP-VNG-Azure-VNet-1 \
       --query "[ipAddress]" \
       --output tsv)
   

3. Futtassa a következő parancsot a Cloud Shellben az LNG-Azure-VNet-1 helyi hálózati átjáró frissítéséhez, hogy az a VNG-Azure-VNet-1 virtuális hálózati átjáróhoz csatolt nyilvános IP-címre mutatjon.

   az network local-gateway update \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name LNG-Azure-VNet-1 \
       --gateway-ip-address $PIPVNGAZUREVNET1
   

4. Futtassa a következő parancsot a Cloud Shellben a PIP-VNG-HQ-Networkhez rendelt IPv4-cím lekéréséhez és egy változóban való tárolásához.

   PIPVNGHQNETWORK=$(az network public-ip show \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name PIP-VNG-HQ-Network \
       --query "[ipAddress]" \
       --output tsv)
   

5. Futtassa a következő parancsot a Cloud Shellben az LNG-HQ-Network helyi hálózati átjáró frissítéséhez, hogy az a VNG-HQ-Network virtuális hálózati átjáróhoz csatolt nyilvános IP-címre mutasson.

   az network local-gateway update \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name LNG-HQ-Network \
       --gateway-ip-address $PIPVNGHQNETWORK
   

A kapcsolatok létrehozása

A konfigurációt úgy hajthatja végre, hogy létrehozza az egyes VPN-átjárók és a helyi hálózati átjáró közötti kapcsolatokat, amelyek tartalmazzák az átjáró távoli hálózatához tartozó nyilvános IP-címhivatkozásokat.

1. A kapcsolatokhoz használandó megosztott kulcs létrehozása. Az alábbi parancsban cserélje le <shared key> az IPSec-előmegosztott kulcshoz használandó szöveges sztringre. Az előmegosztott kulcs egy nyomtatható ASCII-karakterekből álló sztring, amely legfeljebb 128 karakter hosszúságú lehet. Nem tartalmazhat speciális karaktereket, például kötőjeleket és tildeket. Ezt az előmegosztott kulcsot mindkét kapcsolaton használhatja.

   Megjegyzés:

   Ebben a példában a megosztott kulcsok számhalmaza működni fog: SHAREDKEY=123456789. Éles környezetben a nyomtatható ASCII-karakterek sztringje nem hosszabb 128 karakternél speciális karakterek nélkül, például kötőjelek vagy tildek nélkül .

   SHAREDKEY=<shared key>
   

2. Ne feledje, hogy az LNG-HQ-Network a szimulált helyszíni VPN-eszköz IP-címére mutató hivatkozást tartalmaz. Futtassa a következő parancsot a Cloud Shellben a VNG-Azure-VNet-1 és az LNG-HQ-Network közötti kapcsolat létrehozásához.

   az network vpn-connection create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name Azure-VNet-1-To-HQ-Network \
       --vnet-gateway1 VNG-Azure-VNet-1 \
       --shared-key $SHAREDKEY \
       --local-gateway2 LNG-HQ-Network
   

3. Ne feledje, hogy az LNG-Azure-VNet-1 a VNG-Azure-VNet-1 VPN-átjáróhoz rendelt nyilvános IP-címre mutató hivatkozást tartalmaz. Ezt a kapcsolatot valós helyzetben a helyszíni eszközről hozná létre. Futtassa a következő parancsot a Cloud Shellben a VNG-HQ-Network és az LNG-Azure-VNet-1 közötti kapcsolat létrehozásához.

   az network vpn-connection create \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name HQ-Network-To-Azure-VNet-1  \
       --vnet-gateway1 VNG-HQ-Network \
       --shared-key $SHAREDKEY \
       --local-gateway2 LNG-Azure-VNet-1
   

Ezzel befejezte a helyek közötti kapcsolat konfigurálását. Eltarthat néhány percig, de az alagutaknak automatikusan csatlakozniuk kell, és aktívvá kell válniuk.

Ellenőrzési lépések

Győződjön meg róla, hogy a VPN-alagutak csatlakoztak.

1. A következő parancs futtatásával erősítse meg, hogy az Azure-VNet-1-to-HQ-Network csatlakoztatva van.

   az network vpn-connection show \
       --resource-group <rgn>[sandbox resource group name]</rgn> \
       --name Azure-VNet-1-To-HQ-Network  \
       --output table \
       --query '{Name:name,ConnectionStatus:connectionStatus}'
   

   A kimenetnek az alábbihoz hasonlóan kell megjelennie, jelezve, hogy a kapcsolat sikeres. Ha a ConnectionStatus megjelenő vagy ConnectingUnknownaz, várjon egy-két percet, és futtassa újra a parancsot. A teljes csatlakozás eltarthat néhány percig.

   Name                        ConnectionStatus
   --------------------------  ------------------
   Azure-VNet-1-To-HQ-Network  Connected
   

Ezzel elkészült a helyek közötti kapcsolat konfigurálásával. A végleges topológia, beleértve az alhálózatokat és a logikai csatlakozási pontokat tartalmazó kapcsolatokat, megjelenik az alábbi ábrán. A Szolgáltatások és Alkalmazások alhálózatokban üzembe helyezett virtuális gépek mostantól kommunikálhatnak egymással a VPN-kapcsolatok sikeres beállításának köszönhetően.

Folytatás