Mengonfigurasi koneksi gateway VPN VNet-ke-VNet - portal Azure

Artikel ini membantu Anda menghubungkan jaringan virtual (VNet) dengan menggunakan jenis koneksi VNet-ke-VNet menggunakan portal Microsoft Azure. Jaringan virtual dapat berada di wilayah dan dari langganan yang berbeda. Saat Anda menyambungkan VNet dari langganan yang berbeda, langganan tidak perlu dikaitkan dengan penyewa yang sama. Jenis konfigurasi ini menciptakan koneksi antara dua gateway jaringan virtual. Artikel ini tidak berlaku untuk peering VNet. Untuk informasi tentang peering VNet, lihat artikel peering Microsoft Azure Virtual Network.

VNet to VNet diagram.

Anda dapat membuat konfigurasi ini menggunakan berbagai alat, tergantung pada model penyebaran VNet Anda. Langkah-langkah dalam artikel ini berlaku untuk model penyebaran Azure Resource Manager dan menggunakan portal Microsoft Azure. Untuk beralih ke model penyebaran atau artikel metode penyebaran yang berbeda, gunakan dropdown.

Tentang menyambungkan VNet

Bagian berikut ini menjelaskan berbagai cara untuk menyambungkan jaringan virtual.

VNet-ke-VNet

Mengonfigurasikan koneksi VNet-ke-VNet adalah cara paling sederhana untuk menyambungkan VNet. Saat Anda menyambungkan jaringan virtual ke jaringan virtual lain menggunakan jenis koneksi VNet-ke-VNet (VNet2VNet), hal ini mirip dengan pembuatan koneksi IPsec Situs-ke-Situs ke lokasi lokal. Kedua jenis koneksi menggunakan VPN gateway untuk menyediakan terowongan aman dengan IPsec/IKE, dan berfungsi dengan cara yang sama saat berkomunikasi. Namun, keduanya berbeda dalam cara pengonfigurasian gateway jaringan lokal.

Saat Anda membuat koneksi VNet-ke-VNet, ruang alamat gateway jaringan lokal terbuat dan terisi secara otomatis. Jika Anda memperbarui ruang alamat untuk satu VNet, VNet lainnya membuat rute ke ruang alamat yang diperbarui secara otomatis. Biasanya membuat koneksi VNet-ke-VNet lebih cepat dan lebih mudah dibandingkan membuat koneksi Situs-ke-Situs. Namun, gateway jaringan lokal tidak terlihat dalam konfigurasi ini.

  • Jika Anda tahu ingin menentukan lebih banyak ruang alamat untuk gateway jaringan lokal, atau berencana untuk menambahkan lebih banyak koneksi nanti dan perlu menyesuaikan gateway jaringan lokal, Anda harus membuat konfigurasi menggunakan langkah-langkah Situs-ke-Situs.
  • Koneksi VNet-to-VNet tidak termasuk ruang alamat kumpulan klien Titik-ke-Situs. Jika Anda memerlukan perutean transitif untuk klien Point-to-Site, buat koneksi Situs-ke-Situs antara gateway jaringan virtual, atau gunakan VNet peering.

Situs ke Situs (IPsec)

Jika Anda bekerja dengan konfigurasi jaringan yang rumit, Anda mungkin lebih suka menyambungkan VNet dengan menggunakan koneksi Situs-ke-Situs sebagai gantinya. Saat Anda mengikuti langkah-langkah IPsec Situs-ke-Situs, Anda membuat dan mengonfigurasikan gateway jaringan lokal secara manual. Gateway jaringan lokal untuk setiap VNet memperlakukan VNet lainnya sebagai situs lokal. Langkah-langkah ini memungkinkan Anda menentukan lebih banyak ruang alamat untuk gateway jaringan lokal untuk merutekan lalu lintas. Jika ruang alamat untuk VNet berubah, Anda harus memperbarui gateway jaringan lokal terkait secara manual.

Peering VNET

Anda juga dapat menyambungkan VNet menggunakan peering VNet.

Mengapa membuat koneksi VNet-ke-VNet?

Anda mungkin ingin menyambungkan jaringan virtual dengan menggunakan koneksi VNet-ke-VNet karena alasan berikut:

Geo-redundansi lintas wilayah dan geo-kehadiran

  • Anda dapat menyiapkan replikasi geografis atau sinkronisasi Anda sendiri dengan konektivitas aman tanpa melewati titik akhir yang menghadap internet.
  • Dengan Azure Traffic Manager dan Azure Load Balancer, Anda dapat menyiapkan beban kerja yang sangat tersedia dengan geo-redundansi di beberapa wilayah Azure. Misalnya, Anda dapat menyiapkan Grup Ketersediaan AlwaysOn SQL Server di beberapa wilayah Azure.

Aplikasi multi-tingkat regional dengan batas isolasi atau administrasi

  • Dalam wilayah yang sama, Anda dapat mengatur aplikasi multi-tingkat dengan beberapa jaringan virtual yang tersambung bersama karena persyaratan isolasi atau administrasi.

Komunikasi VNet-ke-VNet dapat dikombinasikan dengan konfigurasi multi-situs. Konfigurasi ini memungkinkan Anda membuat topologi jaringan yang menggabungkan konektivitas lintas lokasi dengan konektivitas jaringan antar-virtual, seperti yang ditunjukkan pada diagram berikut:

VNet connections diagram.

Artikel ini menunjukkan kepada Anda cara menyambungkan VNet menggunakan jenis koneksi VNet-ke-VNet. Saat Anda mengikuti langkah-langkah ini sebagai latihan, Anda dapat menggunakan nilai pengaturan contoh berikut. Pada contoh, jaringan virtual berada dalam langganan yang sama, tetapi dalam grup sumber daya yang berbeda. Jika VNet Anda berada dalam langganan yang berbeda, Anda tidak dapat membuat koneksi dalam portal Microsot Azure. Gunakan PowerShell atau CLI sebagai gantinya. Untuk informasi selengkapnya tentang koneksi VNet-ke-VNet, lihatlah Tanya Jawab Umum VNet-ke-VNet.

Contoh pengaturan

Nilai untuk VNet1:

  • Pengaturan jaringan virtual

    • Nama: VNet1
    • Ruang alamat: 10.1.0.0/16
    • Langganan: Pilih langganan yang ingin Anda gunakan.
    • Grup sumber daya: TestRG1
    • Lokasi: US Timur
    • Subnet
      • Nama: FrontEnd
      • Rentang alamat: 10.1.0.0/24
  • Pengaturan gateway jaringan virtual

    • Nama: VNet1GW
    • Grup sumber daya: US Timur
    • Generasi: Generasi 2
    • Jenis gateway: Pilih VPN.
    • Jenis VPN: Pilih Berbasis rute.
    • SKU: VpnGw2
    • Generasi: Generation2
    • Jaringan virtual: VNet1
    • Rentang alamat subnet Gateway: 10.1.255.0/27
    • Alamat IP publik: Buat baru
    • Nama alamat IP publik: VNet1GWpip
    • Aktifkan mode aktif-aktif: Nonaktifkan
    • Konfigurasikan BGP: Nonaktifkan
  • Koneksi

    • Name: VNet1toVNet4
    • Kunci bersama: Anda dapat membuat kunci bersama sendiri. Saat Anda membuat koneksi antar VNet, nilai harus cocok. Untuk latihan ini, gunakan abc123.

Nilai untuk VNet4:

  • Pengaturan jaringan virtual

    • Nama: VNet4
    • Ruang alamat: 10.41.0.0/16
    • Langganan: Pilih langganan yang ingin Anda gunakan.
    • Grup sumber daya: TestRG4
    • Lokasi: US Barat
    • Subnet
    • Nama: FrontEnd
    • Rentang alamat: 10.41.0.0/24
  • Pengaturan gateway jaringan virtual

    • Nama: VNet4GW
    • Grup sumber daya: US Barat
    • Generasi: Generasi 2
    • Jenis gateway: Pilih VPN.
    • Jenis VPN: Pilih Berbasis rute.
    • SKU: VpnGw2
    • Generasi: Generation2
    • Jaringan virtual: VNet4
    • Rentang alamat subnet gateway: 10.41.255.0/27
    • Alamat IP publik: Buat baru
    • Nama alamat IP publik: VNet4GWpip
    • Aktifkan mode aktif-aktif: Nonaktifkan
    • Konfigurasikan BGP: Nonaktifkan
  • Koneksi

    • Nama: VNet4toVNet1
    • Kunci bersama: Anda dapat membuat kunci bersama sendiri. Saat Anda membuat koneksi antar VNet, nilai harus cocok. Untuk latihan ini, gunakan abc123.

Membuat dan mengonfigurasikan VNet1

Jika Anda sudah memiliki VNet, pastikan pengaturannya kompatibel dengan desain VPN gateway Anda. Perhatikan subnet apa pun yang mungkin tumpang tindih dengan jaringan lain. Koneksi Anda tidak akan berfungsi dengan baik jika Anda memiliki subnet yang tumpang tindih.

Untuk membuat jaringan virtual

Catatan

Saat Anda menggunakan jaringan virtual sebagai bagian dari arsitektur lintas lokasi, pastikan untuk berkoordinasi dengan administrator jaringan lokal Anda untuk mengukir rentang alamat IP yang dapat Anda gunakan secara khusus untuk jaringan virtual ini. Jika rentang alamat duplikat ada di kedua sisi koneksi VPN, lalu lintas akan merutekan dengan cara yang tidak terduga. Selain itu, jika Anda ingin menyambungkan jaringan virtual ini ke jaringan virtual lain, ruang alamat tidak dapat tumpang tindih dengan jaringan virtual lainnya. Rencanakan konfigurasi jaringan Anda dengan hati-hati.

  1. Masuk ke portal Azure.

  2. Di Cari sumber daya, layanan, dan dokumen (G+/) di bagian atas halaman portal, masukkan jaringan virtual. Pilih Jaringan virtual dari hasil pencarian Marketplace untuk membuka halaman Jaringan virtual .

  3. Pada halaman Jaringan virtual , pilih Buat untuk membuka halaman Buat jaringan virtual.

  4. Pada tab Dasar , konfigurasikan pengaturan jaringan virtual untuk detail Proyek dan Detail instans. Anda melihat tanda centang hijau saat nilai yang Anda masukkan divalidasi. Anda dapat menyesuaikan nilai yang ditampilkan dalam contoh sesuai dengan pengaturan yang Anda butuhkan.

    Screenshot that shows the Basics tab.

    • Langganan: Verifikasi bahwa langganan yang tercantum adalah yang benar. Anda dapat mengubah langganan dengan menggunakan kotak dropdown.
    • Grup sumber daya: Pilih grup sumber daya yang sudah ada atau pilih Buat baru untuk membuat yang baru. Untuk mengetahui informasi lengkap tentang grup sumber daya, lihat Gambaran umum Azure Resource Manager.
    • Nama: Masukkan nama untuk jaringan virtual Anda.
    • Wilayah: Pilih lokasi untuk jaringan virtual Anda. Lokasi menentukan di mana sumber daya yang Anda sebarkan ke jaringan virtual ini akan hidup.
  5. Pilih Berikutnya atau Keamanan untuk masuk ke tab Keamanan . Untuk latihan ini, biarkan nilai default untuk semua layanan di halaman ini.

  6. Pilih Alamat IP untuk masuk ke tab Alamat IP. Pada tab Alamat IP, konfigurasikan pengaturan.

    • Ruang alamat IPv4: Ruang alamat dibuat secara otomatis secara default. Anda bisa memilih ruang alamat dan menyesuaikannya untuk mencerminkan nilai Anda sendiri. Anda juga dapat menambahkan ruang alamat yang berbeda dan menghapus default yang dibuat secara otomatis. Misalnya, Anda dapat menentukan alamat awal sebagai 10.1.0.0 dan menentukan ukuran ruang alamat sebagai /16. Lalu pilih Tambahkan untuk menambahkan ruang alamat tersebut.

    • +Tambahkan subnet: Jika Anda menggunakan ruang alamat default, subnet default dibuat secara otomatis. Jika Anda mengubah ruang alamat, tambahkan subnet baru dalam ruang alamat tersebut. Pilih + Tambahkan subnet untuk membuka jendela Tambahkan subnet. Konfigurasikan pengaturan berikut, lalu pilih Tambahkan di bagian bawah halaman untuk menambahkan nilai.

      • Nama subnet: Contohnya adalah FrontEnd.
      • Rentang alamat subnet: Rentang alamat untuk subnet ini. Contohnya adalah 10.1.0.0 dan /24.
  7. Tinjau halaman alamat IP dan hapus ruang alamat atau subnet apa pun yang tidak Anda butuhkan.

  8. Pilih Tinjau + buat untuk memvalidasi pengaturan jaringan virtual.

  9. Setelah pengaturan divalidasi, pilih Buat untuk membuat jaringan virtual.

Buatlah gateway VNet1

Dalam langkah ini, Anda membuat gateway jaringan virtual untuk VNet Anda. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Untuk harga SKU gateway, lihat Harga. Jika Anda membuat konfigurasi ini sebagai latihan, lihat Pengaturan contoh.

Gateway jaringan virtual memerlukan subnet tertentu bernama GatewaySubnet. Subnet gateway adalah bagian dari rentang alamat IP untuk jaringan virtual Anda dan berisi alamat IP yang digunakan sumber daya dan layanan gateway jaringan virtual.

Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Jumlah alamat IP yang diperlukan tergantung pada konfigurasi gateway VPN yang ingin Anda buat. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain. Yang terbaik adalah menentukan /27 atau lebih besar (/26, /25, dll.) untuk subnet gateway Anda.

Jika Anda melihat kesalahan yang menentukan bahwa ruang alamat tumpang tindih dengan subnet, atau bahwa subnet tidak terkandung dalam ruang alamat untuk jaringan virtual Anda, periksa rentang alamat jaringan virtual Anda. Anda mungkin tidak memiliki cukup alamat IP yang tersedia dalam rentang alamat yang Anda buat untuk jaringan virtual Anda. Misalnya, jika subnet default Anda mencakup seluruh rentang alamat, tidak ada alamat IP yang tersisa untuk membuat lebih banyak subnet. Anda dapat menyesuaikan subnet dalam ruang alamat yang ada untuk mengosongkan alamat IP atau menentukan rentang alamat lain dan membuat subnet gateway di sana.

Untuk membuat gateway jaringan virtual

  1. Di Cari sumber daya, layanan, dan dokumen (G+/), masukkan gateway jaringan virtual. Temukan Gateway jaringan virtual di hasil pencarian Marketplace dan pilih untuk membuka halaman Buat gateway jaringan virtual.

    Screenshot that shows the Search field.

  2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

    Screenshot that shows the Instance fields.

    • Langganan: Pilih langganan yang ingin Anda gunakan dari daftar dropdown.

    • Grup sumber daya: Pengaturan ini diisi otomatis saat Anda memilih jaringan virtual Anda di halaman ini.

    • Nama: Beri nama gateway Anda. Penamaan gateway Anda tidak sama dengan penamaan subnet gateway. Ini adalah nama objek gateway yang Anda buat.

    • Wilayah: Pilih wilayah tempat Anda ingin membuat sumber daya ini. Wilayah untuk gateway harus sama dengan jaringan virtual.

    • Jenis gateway: Pilih VPN. VPN Gateway menggunakan gateway virtual jenis VPN.

    • SKU: Dari daftar dropdown, pilih SKU gateway yang mendukung fitur yang ingin Anda gunakan. Lihat SKU Gateway. Di portal, SKU yang tersedia di daftar dropdown bergantung pada yang VPN type Anda pilih. SKU Dasar hanya dapat dikonfigurasi menggunakan Azure CLI atau PowerShell. Anda tidak dapat mengonfigurasi SKU Dasar di portal Azure.

    • Generasi: Pilih generasi yang ingin Anda gunakan. Sebaiknya gunakan SKU Generasi2. Untuk informasi selengkapnya, lihat SKU Gateway.

    • Jaringan virtual: Dari daftar dropdown, pilih jaringan virtual yang ingin Anda tambahkan gateway ini. Jika Anda tidak dapat melihat jaringan virtual yang ingin Anda buat gatewaynya, pastikan Anda memilih langganan dan wilayah yang benar di pengaturan sebelumnya.

    • Rentang alamat subnet gateway atau Subnet: Subnet gateway diperlukan untuk membuat gateway VPN.

      Saat ini, bidang ini memiliki beberapa perilaku yang berbeda, tergantung pada ruang alamat jaringan virtual dan apakah Anda sudah membuat subnet bernama GatewaySubnet untuk jaringan virtual Anda.

      Jika Anda tidak memiliki subnet gateway dan tidak melihat opsi untuk membuatnya di halaman ini, kembali ke jaringan virtual Anda dan buat subnet gateway. Kemudian, kembali ke halaman ini dan konfigurasikan gateway VPN.

  1. Tentukan nilai untuk alamat IP Publik. Pengaturan ini menentukan objek alamat IP publik yang terkait dengan gateway VPN. Alamat IP publik ditetapkan ke objek ini ketika gateway VPN dibuat. Satu-satunya waktu alamat IP publik utama berubah adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh pengubahan ukuran, pengaturan ulang, atau pemeliharaan/peningkatan internal lainnya dari gateway VPN Anda.

    Screenshot that shows the Public IP address field.

    • Jenis alamat IP publik: Untuk latihan ini, jika Anda memiliki opsi untuk memilih jenis alamat, pilih Standar.
    • Alamat IP Publik: Biarkan Buat baru terpilih.
    • Nama alamat IP publik: Dalam kotak teks, masukkan nama untuk instans alamat IP publik Anda.
    • SKU alamat IP publik: Pengaturan dipilih secara otomatis.
    • Penugasan: Penugasan biasanya dipilih secara otomatis dan dapat bersifat Dinamis atau Statis.
    • Aktifkan mode aktif-aktif: Pilih Dinonaktifkan. Hanya aktifkan pengaturan ini jika Anda membuat konfigurasi gateway aktif-aktif.
    • Konfigurasikan BGP: Pilih Dinonaktifkan, kecuali konfigurasi Anda secara khusus memerlukan pengaturan ini. Jika Anda memerlukan pengaturan ini, ASN defaultnya adalah 65515, meskipun nilai ini dapat diubah.
  2. Pilihlah Tinjau + buat untuk menjalankan validasi.

  3. Setelah validasi lolos, pilih Buat untuk menyebarkan gateway VPN.

Anda dapat melihat status penyebaran di halaman Ringkasan untuk gateway Anda. Mungkin butuh waktu 45 menit atau lebih untuk membuat dan menyebarkan gateway sepenuhnya. Setelah gateway dibuat, Anda dapat melihat alamat IP yang telah ditetapkan untuk itu dengan melihat jaringan virtual di portal. Gateway muncul sebagai perangkat yang tersambung.

Penting

Saat Anda bekerja dengan subnet gateway, hindari mengaitkan grup keamanan jaringan (NSG) ke subnet gateway. Mengaitkan grup keamanan jaringan ke subnet ini dapat menyebabkan gateway jaringan virtual Anda (gateway VPN dan ExpressRoute) berhenti berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang grup keamanan jaringan, lihat Apa itu grup keamanan jaringan?.

Buat dan konfigurasikan VNet4

Setelah mengonfigurasikan VNet1, buat VNet4 dan gateway VNet4 dengan mengulangi langkah-langkah sebelumnya dan mengganti nilai dengan nilai VNet4. Anda tidak perlu menunggu hingga gateway jaringan virtual untuk VNet1 selesai dibuat sebelum mengonfigurasikan VNet4. Jika Anda menggunakan nilai Anda sendiri, pastikan ruang alamat tidak tumpang tindih dengan VNet mana pun yang ingin Anda sambungkan.

Mengonfigurasi koneksi Anda

Ketika gateway VPN untuk VNet1 dan VNet4 telah selesai, Anda dapat membuat koneksi gateway jaringan virtual Anda.

VNet dalam langganan yang sama dapat disambungkan menggunakan portal, meskipun berada di grup sumber daya yang berbeda. Jika VNet Anda berada di langganan yang berbeda, Anda harus menggunakan PowerShell untuk membuat koneksi.

Anda dapat membuat koneksi dua arah, atau satu arah. Untuk latihan ini, kita akan menentukan koneksi dua arah. Nilai koneksi dua arah membuat dua koneksi terpisah sehingga lalu lintas dapat mengalir ke kedua arah.

  1. Di portal, buka VNet1GW.

  2. Pada halaman gateway jaringan virtual, buka Koneksi. Pilih + Tambahkan.

    Screenshot showing the connections page.

  3. Pada halaman Buat koneksi , isi nilai koneksi.

    Screenshot showing the Create Connection page.

    • Tipe koneksi: Pilih VNet-ke-VNet dari menu pilihan.
    • Menetapkan konektivitas dua arah: Pilih nilai ini
    • Nama koneksi pertama: VNet1-ke-VNet4
    • Nama koneksi kedua: VNet4-ke-VNet1
    • Wilayah: US Timur (wilayah untuk VNet1GW)
  4. Klik Berikutnya : Pengaturan > di bagian bawah halaman untuk melanjutkan ke halaman Pengaturan.

  5. Pada halaman Pengaturan, tentukan nilai berikut:

    • Gateway jaringan virtual pertama: Pilih VNet1GW dari menu dropdown.
    • Gateway jaringan virtual kedua: Pilih VNet4GW dari menu dropdown.
    • Kunci bersama (PSK): Pada bidang ini, masukkan kunci bersama untuk koneksi Anda. Anda dapat menghasilkan atau membuat kunci ini sendiri. Dalam koneksi situs-ke-situs, kunci yang Anda gunakan sama untuk perangkat lokal dan koneksi gateway jaringan virtual Anda. Konsepnya mirip di sini, kecuali bahwa Anda terhubung ke gateway jaringan virtual lainnya, bukan terhubung ke perangkat VPN.
    • Protokol IKE: IKEv2
  6. Untuk latihan ini, Anda dapat membiarkan pengaturan lainnya sebagai nilai defaultnya.

  7. Pilih Tinjau + buat, lalu Buat untuk memvalidasi dan membuat koneksi Anda.

Verifikasi koneksi Anda

  1. Temukan gateway jaringan virtual di portal Microsoft Azure. Misalnya, VNet1GW

  2. Pada halaman Gateway jaringan virtual, pilih Koneksi untuk menampilkan halaman Koneksi untuk gateway jaringan virtual. Setelah koneksi dibuat, Anda akan melihat nilai Status berubah menjadi Tersambung.

    Screenshot connection status.

  3. Pada kolom Nama, pilih salah satu koneksi untuk menampilkan informasi selengkapnya. Saat data mulai mengalir, Anda akan melihat nilai untuk Data masuk dan Data keluar.

    Screenshot shows a resource group with values for Data in and Data out.

Menambahkan lebih banyak koneksi

Jika Anda ingin menambahkan lebih banyak koneksi, navigasikan ke gateway jaringan virtual tempat Anda ingin membuat koneksi, lalu pilih Koneksi ion. Anda dapat membuat koneksi VNet-ke-VNet lain, atau membuat koneksi Situs-ke-Situs IPsec ke lokasi lokal. Pastikan untuk menyesuaikan Jenis koneksi agar sesuai dengan jenis koneksi yang ingin Anda buat. Sebelum Anda membuat lebih banyak koneksi, verifikasi bahwa ruang alamat untuk jaringan virtual Anda tidak tumpang tindih dengan ruang alamat apa pun yang ingin Anda sambungkan. Untuk langkah pembuatan koneksi Situs-ke-Situs, lihat Membuat koneksi Situs-ke-Situs.

Tanya Jawab Umum VNet-ke-VNet

Lihat FAQ VPN Gateway untuk tanya jawab umum VNet-ke-VNet.

Langkah berikutnya

  • Untuk informasi tentang cara agar Anda dapat membatasi lalu lintas jaringan ke sumber daya dalam jaringan virtual, lihat Keamanan Jaringan.

  • Untuk informasi tentang cara Azure merutekan lalu lintas antara Azure, lokal, dan sumber daya Internet, lihat Perutean lalu lintas jaringan virtual.