Bagikan melalui


Mengonfigurasi koneksi VPN VNet-ke-VNet - portal Azure

Artikel ini membantu Anda menyambungkan jaringan virtual menggunakan jenis koneksi VNet-ke-VNet di portal Azure. Saat Anda menggunakan portal untuk menyambungkan jaringan virtual menggunakan VNet-ke-VNet, jaringan virtual dapat berada di wilayah yang berbeda, tetapi harus berada dalam langganan yang sama. Jika jaringan virtual Anda berada dalam langganan yang berbeda, gunakan instruksi PowerShell sebagai gantinya. Artikel ini tidak berlaku untuk peering jaringan virtual. Untuk peering jaringan virtual, lihat artikel peering Virtual Network.

Diagram koneksi VNet-ke-VNet.

Tentang koneksi VNet-ke-VNet

Mengonfigurasi koneksi VNet-ke-VNet adalah cara sederhana untuk menyambungkan jaringan virtual. Saat Anda menyambungkan jaringan virtual ke jaringan virtual lain dengan jenis koneksi VNet-ke-VNet, itu mirip dengan membuat koneksi IPsec situs-ke-situs ke lokasi lokal. Kedua jenis koneksi menggunakan VPN gateway untuk menyediakan terowongan aman dengan IPsec/IKE, dan berfungsi dengan cara yang sama saat berkomunikasi. Namun, keduanya berbeda dalam cara pengonfigurasian gateway jaringan lokal.

  • Saat Anda membuat koneksi VNet-ke-VNet, ruang alamat gateway jaringan lokal terbuat dan terisi secara otomatis. Namun, gateway jaringan lokal tidak terlihat dalam konfigurasi ini. Itu berarti Anda tidak dapat mengonfigurasinya secara manual.

  • Jika Anda memperbarui ruang alamat untuk satu VNet, VNet lainnya membuat rute ke ruang alamat yang diperbarui secara otomatis.

  • Biasanya lebih cepat dan lebih mudah untuk membuat koneksi VNet-ke-VNet daripada koneksi situs-ke-situs.

  • Jika Anda tahu ingin menentukan lebih banyak ruang alamat untuk gateway jaringan lokal, atau berencana untuk menambahkan lebih banyak koneksi nanti dan perlu menyesuaikan gateway jaringan lokal, buat konfigurasi menggunakan langkah-langkah koneksi situs-ke-situs sebagai gantinya.

  • Koneksi VNet-ke-VNet tidak menyertakan ruang alamat kumpulan klien titik-ke-situs. Jika Anda memerlukan perutean transitif untuk klien titik-ke-situs, buat koneksi situs-ke-situs antara gateway jaringan virtual, atau gunakan peering jaringan virtual.

Mengapa membuat koneksi VNet-ke-VNet?

Anda mungkin ingin menyambungkan jaringan virtual dengan menggunakan koneksi VNet-ke-VNet karena alasan berikut:

  • Geo-redundansi lintas wilayah dan geo-kehadiran

    • Anda dapat menyiapkan replikasi geografis atau sinkronisasi Anda sendiri dengan konektivitas aman tanpa melewati titik akhir yang menghadap internet.
    • Dengan Azure Traffic Manager dan Azure Load Balancer, Anda dapat menyiapkan beban kerja yang sangat tersedia dengan geo-redundansi di beberapa wilayah Azure. Misalnya, Anda dapat menyiapkan Grup Ketersediaan AlwaysOn SQL Server di beberapa wilayah Azure.
  • Aplikasi multi-tingkat regional dengan batas isolasi atau administrasi

    Dalam wilayah yang sama, Anda dapat mengatur aplikasi multi-tingkat dengan beberapa jaringan virtual yang tersambung bersama karena persyaratan isolasi atau administrasi. Komunikasi VNet-ke-VNet dapat dikombinasikan dengan konfigurasi multi-situs. Konfigurasi ini memungkinkan Anda membuat topologi jaringan yang menggabungkan konektivitas lintas lokasi dengan konektivitas jaringan antar-virtual, seperti yang ditunjukkan pada diagram berikut:

    Diagram koneksi VNet-ke-VNet memperlihatkan beberapa langganan.

Membuat dan mengonfigurasikan VNet1

Jika Anda sudah memiliki VNet, pastikan pengaturannya kompatibel dengan desain VPN gateway Anda. Perhatikan subnet apa pun yang mungkin tumpang tindih dengan jaringan lain. Koneksi Anda tidak akan berfungsi dengan baik jika Anda memiliki subnet yang tumpang tindih.

Di bagian ini, buat VNet1 menggunakan nilai berikut. Jika Anda menggunakan nilai Anda sendiri, pastikan ruang alamat tidak tumpang tindih dengan salah satu jaringan virtual yang ingin Anda sambungkan.

  • Pengaturan jaringan virtual
    • Nama: VNet1
    • Ruang alamat: 10.1.0.0/16
    • Langganan: Pilih langganan yang ingin Anda gunakan.
    • Grup sumber daya: TestRG1
    • Lokasi: US Timur
    • Subnet
      • Nama: FrontEnd
      • Rentang alamat: 10.1.0.0/24
  1. Masuk ke portal Azure.

  2. Di Cari sumber daya, layanan, dan dokumen (G+/) di bagian atas halaman portal, masukkan jaringan virtual. Pilih Jaringan virtual dari hasil pencarian Marketplace untuk membuka halaman Jaringan virtual .

  3. Pada halaman Jaringan virtual , pilih Buat untuk membuka halaman Buat jaringan virtual.

  4. Pada tab Dasar , konfigurasikan pengaturan jaringan virtual untuk detail Proyek dan Detail instans. Anda melihat tanda centang hijau saat nilai yang Anda masukkan divalidasi. Anda dapat menyesuaikan nilai yang ditampilkan dalam contoh sesuai dengan pengaturan yang Anda butuhkan.

    Cuplikan layar yang memperlihatkan tab Dasar.

    • Langganan: Verifikasi bahwa langganan yang tercantum adalah yang benar. Anda dapat mengubah langganan dengan menggunakan kotak dropdown.
    • Grup sumber daya: Pilih grup sumber daya yang sudah ada atau pilih Buat baru untuk membuat yang baru. Untuk mengetahui informasi lengkap tentang grup sumber daya, lihat Gambaran umum Azure Resource Manager.
    • Nama: Masukkan nama untuk jaringan virtual Anda.
    • Wilayah: Pilih lokasi untuk jaringan virtual Anda. Lokasi menentukan di mana sumber daya yang Anda sebarkan ke jaringan virtual ini akan berada.
  5. Pilih Berikutnya atau Keamanan untuk masuk ke tab Keamanan . Untuk latihan ini, biarkan nilai default untuk semua layanan di halaman ini.

  6. Pilih Alamat IP untuk masuk ke tab Alamat IP. Pada tab Alamat IP, konfigurasikan pengaturan.

    • Ruang alamat IPv4: Ruang alamat dibuat secara otomatis secara default. Anda bisa memilih ruang alamat dan menyesuaikannya untuk mencerminkan nilai Anda sendiri. Anda juga dapat menambahkan ruang alamat yang berbeda dan menghapus default yang dibuat secara otomatis. Misalnya, Anda dapat menentukan alamat awal sebagai 10.1.0.0 dan menentukan ukuran ruang alamat sebagai /16. Lalu pilih Tambahkan untuk menambahkan ruang alamat tersebut.

    • +Tambahkan subnet: Jika Anda menggunakan ruang alamat default, subnet default dibuat secara otomatis. Jika Anda mengubah ruang alamat, tambahkan subnet baru dalam ruang alamat tersebut. Pilih + Tambahkan subnet untuk membuka jendela Tambahkan subnet. Konfigurasikan pengaturan berikut, lalu pilih Tambahkan di bagian bawah halaman untuk menambahkan nilai.

      • Nama subnet: Anda dapat menggunakan default, atau menentukan nama. Contoh: FrontEnd.
      • Rentang alamat subnet: Rentang alamat untuk subnet ini. Contohnya adalah 10.1.0.0 dan /24.
  7. Tinjau halaman alamat IP dan hapus ruang alamat atau subnet apa pun yang tidak Anda butuhkan.

  8. Pilih Tinjau + buat untuk memvalidasi pengaturan jaringan virtual.

  9. Setelah pengaturan divalidasi, pilih Buat untuk membuat jaringan virtual.

Buat subnet gateway

Gateway jaringan virtual memerlukan subnet tertentu bernama GatewaySubnet. Subnet gateway adalah bagian dari rentang alamat IP untuk jaringan virtual Anda dan berisi alamat IP yang digunakan sumber daya dan layanan gateway jaringan virtual.

Saat Anda membuat subnet gateway, Anda menentukan jumlah alamat IP yang ditampung subnet. Jumlah alamat IP yang diperlukan tergantung pada konfigurasi gateway VPN yang ingin Anda buat. Beberapa konfigurasi memerlukan lebih banyak alamat IP daripada yang lain. Yang terbaik adalah menentukan /27 atau lebih besar (/26, /25, dll.) untuk subnet gateway Anda.

  1. Pada halaman untuk jaringan virtual Anda, di panel kiri, pilih Subnet untuk membuka halaman Subnet .
  2. Di bagian atas halaman, pilih + Subnet Gateway untuk membuka panel Tambahkan subnet .
  3. Nama secara otomatis dimasukkan sebagai GatewaySubnet. Sesuaikan nilai rentang alamat IP, jika perlu. Contohnya adalah 10.1.255.0/27.
  4. Jangan sesuaikan nilai lain di halaman. Pilih Simpan di bagian bawah halaman untuk menyimpan subnet.

Penting

Grup keamanan jaringan (NSG) pada subnet gateway tidak didukung. Mengaitkan grup keamanan jaringan ke subnet ini dapat menyebabkan gateway jaringan virtual Anda (gateway VPN dan ExpressRoute) berhenti berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang aturan kelompok keamanan jaringan, lihat Apa yang dimaksud dengan kelompok keamanan jaringan?

Membuat gateway VPN VNet1

Dalam langkah ini, Anda membuat gateway jaringan virtual untuk jaringan virtual Anda. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Untuk harga SKU gateway, lihat Harga.

Buat gateway jaringan virtual (gateway VPN) dengan menggunakan nilai berikut:

  • Nama: VNet1GW
  • Jenis gateway: VPN
  • SKU: VpnGw2AZ
  • Generasi: Generasi 2
  • Jaringan virtual: VNet1
  • Rentang alamat subnet Gateway: 10.1.255.0/27
  • Alamat IP publik: Buat baru
  • Nama alamat IP publik: VNet1GWpip1
  • SKU alamat IP publik: Standar
  • Penugasan: Statis
  • Nama alamat IP Publik Kedua: VNet1GWpip2
  • Mengaktifkan mode aktif-aktif: Diaktifkan
  1. Di Cari sumber daya, layanan, dan dokumen (G+/), masukkan gateway jaringan virtual. Temukan Gateway jaringan virtual di hasil pencarian Marketplace dan pilih untuk membuka halaman Buat gateway jaringan virtual.

  2. Pada tab Dasar-Dasar, isi nilai untuk Detail proyek dan Detail instans.

    Cuplikan layar yang memperlihatkan bidang Instans.

    • Langganan: Pilih langganan yang ingin Anda gunakan dari daftar dropdown.

    • Grup sumber daya: Nilai ini diisi otomatis saat Anda memilih jaringan virtual Anda di halaman ini.

    • Nama: Ini adalah nama objek gateway yang Sedang Anda buat. Ini berbeda dari subnet gateway tempat sumber daya gateway akan disebarkan.

    • Wilayah: Pilih wilayah tempat Anda ingin membuat sumber daya ini. Wilayah untuk gateway harus sama dengan jaringan virtual.

    • Jenis gateway: Pilih VPN. VPN Gateway menggunakan gateway virtual jenis VPN.

    • SKU: Dari daftar dropdown, pilih SKU gateway yang mendukung fitur yang ingin Anda gunakan.

      • Kami menyarankan agar Anda memilih SKU yang berakhiran AZ jika memungkinkan. SKU AZ mendukung zona ketersediaan.
      • SKU Dasar tidak tersedia di portal. Untuk mengonfigurasi gateway SKU Dasar, Anda harus menggunakan PowerShell atau CLI.
    • Generasi: Pilih Generasi2 dari menu dropdown.

    • Jaringan virtual: Dari daftar dropdown, pilih jaringan virtual yang ingin Anda tambahkan gateway ini. Jika Anda tidak dapat melihat jaringan virtual yang ingin Anda gunakan, pastikan Anda memilih langganan dan wilayah yang benar di pengaturan sebelumnya.

    • Rentang alamat subnet gateway atau Subnet: Subnet gateway diperlukan untuk membuat gateway VPN.

      Saat ini, bidang ini dapat menampilkan opsi pengaturan yang berbeda, tergantung pada ruang alamat jaringan virtual dan apakah Anda sudah membuat subnet bernama GatewaySubnet untuk jaringan virtual Anda.

      Jika Anda tidak memiliki subnet gateway dan tidak melihat opsi untuk membuatnya di halaman ini, kembali ke jaringan virtual Anda dan buat subnet gateway. Kemudian, kembali ke halaman ini dan konfigurasikan gateway VPN.

  1. Tentukan nilai untuk alamat IP Publik. Pengaturan ini menentukan objek alamat IP publik yang akan dikaitkan dengan gateway VPN. Alamat IP publik ditetapkan ke setiap objek alamat IP publik saat gateway VPN dibuat. Satu-satunya waktu alamat IP publik yang ditetapkan berubah adalah saat gateway dihapus dan dibuat ulang. Alamat IP tidak berubah di seluruh mengubah ukuran, mengatur ulang, atau pemeliharaan/peningkatan internal gateway VPN Anda lainnya.

    Cuplikan layar yang memperlihatkan bidang Alamat IP Publik.

    • Jenis alamat IP publik: Jika opsi ini muncul, pilih Standar.

    • Alamat IP Publik: Biarkan Buat baru terpilih.

    • Nama alamat IP publik: Dalam kotak teks, masukkan nama untuk instans alamat IP publik Anda.

    • SKU alamat IP publik: Pengaturan dipilih secara otomatis ke SKU Standar.

    • Penugasan: Penugasan biasanya dipilih secara otomatis dan harus Statis.

    • Zona ketersediaan: Pengaturan ini tersedia untuk SKU gateway AZ di wilayah yang mendukung zona ketersediaan. Pilih Zona-redundan, kecuali Anda tahu ingin menentukan zona.

    • Aktifkan mode aktif-aktif: Kami sarankan Anda memilih Diaktifkan untuk memanfaatkan manfaat gateway mode aktif-aktif. Jika Anda berencana menggunakan gateway ini untuk koneksi situs-ke-situs, pertimbangkan hal berikut:

      • Verifikasi desain aktif-aktif yang ingin Anda gunakan. Koneksi dengan perangkat VPN lokal Anda harus dikonfigurasi secara khusus untuk memanfaatkan mode aktif-aktif.
      • Beberapa perangkat VPN tidak mendukung mode aktif-aktif. Jika Anda tidak yakin, tanyakan kepada vendor perangkat VPN Anda. Jika Anda menggunakan perangkat VPN yang tidak mendukung mode aktif-aktif, Anda dapat memilih Dinonaktifkan untuk pengaturan ini.
    • Alamat IP publik kedua: Pilih Buat baru. Ini hanya tersedia jika Anda memilih Diaktifkan untuk pengaturan Aktifkan mode aktif-aktif.

    • Nama alamat IP publik: Dalam kotak teks, masukkan nama untuk instans alamat IP publik Anda.

    • SKU alamat IP publik: Pengaturan dipilih secara otomatis ke SKU Standar.

    • Zona ketersediaan: Pilih Zona-redundan, kecuali Anda tahu ingin menentukan zona.

    • Mengonfigurasi BGP: Pilih Dinonaktifkan kecuali konfigurasi Anda secara khusus memerlukan pengaturan ini. Jika Anda memerlukan pengaturan ini, ASN defaultnya adalah 65515, meskipun nilai ini dapat diubah.

    • Aktifkan Akses Key Vault: Pilih Dinonaktifkan kecuali konfigurasi Anda secara khusus memerlukan pengaturan ini.

  2. Pilihlah Tinjau + buat untuk menjalankan validasi.

  3. Setelah validasi lolos, pilih Buat untuk menyebarkan gateway VPN.

Mungkin butuh waktu 45 menit atau lebih untuk membuat dan menyebarkan gateway sepenuhnya. Anda dapat melihat status penyebaran di halaman Gambaran Umum untuk gateway Anda. Setelah gateway dibuat, Anda dapat melihat alamat IP yang telah ditetapkan untuk itu dengan melihat jaringan virtual di portal. Gateway muncul sebagai perangkat yang tersambung.

Penting

Grup keamanan jaringan (NSG) pada subnet gateway tidak didukung. Mengaitkan grup keamanan jaringan ke subnet ini dapat menyebabkan gateway jaringan virtual Anda (gateway VPN dan ExpressRoute) berhenti berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang aturan kelompok keamanan jaringan, lihat Apa yang dimaksud dengan kelompok keamanan jaringan?

Buat dan konfigurasikan VNet4

Setelah mengonfigurasikan VNet1, buat VNet4 dan gateway VNet4 dengan mengulangi langkah-langkah sebelumnya dan mengganti nilai dengan nilai VNet4. Anda tidak perlu menunggu hingga gateway jaringan virtual untuk VNet1 selesai dibuat sebelum mengonfigurasikan VNet4. Jika Anda menggunakan nilai Anda sendiri, pastikan ruang alamat tidak tumpang tindih dengan salah satu jaringan virtual yang ingin Anda sambungkan.

Anda dapat menggunakan nilai contoh berikut untuk mengonfigurasi VNet4 dan gateway VNet4.

  • Pengaturan jaringan virtual
    • Nama: VNet4
    • Ruang alamat: 10.41.0.0/16
    • Langganan: Pilih langganan yang ingin Anda gunakan.
    • Grup sumber daya: TestRG4
    • Lokasi: US Barat 2
    • Subnet
      • Nama: FrontEnd
      • Rentang alamat: 10.41.0.0/24

Tambahkan subnet gateway:

  • Nama: GatewaySubnet
  • Rentang alamat subnet gateway: 10.41.255.0/27

Mengonfigurasi gateway VPN VNet4

Anda dapat menggunakan nilai contoh berikut untuk mengonfigurasi gateway VPN VNet4.

  • Pengaturan gateway jaringan virtual
    • Nama: VNet4GW
    • Grup sumber daya: US Barat 2
    • Generasi: Generasi 2
    • Jenis gateway: Pilih VPN.
    • Jenis VPN: Pilih Berbasis rute.
    • SKU: VpnGw2AZ
    • Generasi: Generation2
    • Jaringan virtual: VNet4
    • Nama alamat IP publik: VNet4GWpip1
    • SKU alamat IP publik: Standar
    • Penugasan: Statis
    • Nama alamat IP Publik Kedua: VNet4GWpip2
    • Mengaktifkan mode aktif-aktif: Diaktifkan

Mengonfigurasi koneksi Anda

Ketika gateway VPN untuk VNet1 dan VNet4 telah selesai, Anda dapat membuat koneksi gateway jaringan virtual Anda.

Jaringan virtual dalam langganan yang sama dapat dihubungkan menggunakan portal, bahkan jika berada di grup sumber daya yang berbeda. Namun, jika jaringan virtual Anda berada dalam langganan yang berbeda, Anda harus menggunakan PowerShell untuk membuat koneksi.

Anda dapat membuat koneksi dua arah, atau satu arah. Untuk latihan ini, kita akan menentukan koneksi dua arah. Nilai koneksi dua arah membuat dua koneksi terpisah sehingga lalu lintas dapat mengalir ke kedua arah.

  1. Di portal, buka VNet1GW.

  2. Pada halaman gateway jaringan virtual, di panel kiri, pilih Koneksi untuk membuka halaman Koneksi. Lalu pilih + Tambahkan untuk membuka halaman Buat koneksi .

  3. Pada halaman Buat koneksi , isi nilai koneksi.

    Cuplikan layar memperlihatkan halaman Buat Koneksi.

    • Tipe koneksi: Pilih VNet-ke-VNet dari menu pilihan.
    • Menetapkan konektivitas dua arah: Pilih nilai ini jika Anda ingin menetapkan arus lalu lintas di kedua arah. Jika Anda tidak memilih pengaturan ini dan nantinya ingin menambahkan koneksi ke arah yang berlawanan, Anda harus membuat koneksi baru yang berasal dari gateway jaringan virtual lainnya.
    • Nama koneksi pertama: VNet1-ke-VNet4
    • Nama koneksi kedua: VNet4-ke-VNet1
    • Wilayah: US Timur (wilayah untuk VNet1GW)
  4. Klik Berikutnya : Pengaturan > di bagian bawah halaman untuk melanjutkan ke halaman Pengaturan .

  5. Pada halaman Pengaturan , tentukan nilai berikut ini:

    • Gateway jaringan virtual pertama: Pilih VNet1GW dari menu dropdown.
    • Gateway jaringan virtual kedua: Pilih VNet4GW dari menu dropdown.
    • Kunci bersama (PSK): Pada bidang ini, masukkan kunci bersama untuk koneksi Anda. Anda dapat menghasilkan atau membuat kunci ini sendiri. Dalam koneksi situs-ke-situs, kunci yang Anda gunakan sama untuk perangkat lokal dan koneksi gateway jaringan virtual Anda. Konsepnya mirip di sini, kecuali bahwa Anda terhubung ke gateway jaringan virtual lainnya, bukan terhubung ke perangkat VPN. Hal penting saat menentukan kunci bersama adalah bahwa kunci tersebut sama persis untuk kedua sisi koneksi.
    • Protokol IKE: IKEv2
  6. Untuk latihan ini, Anda dapat membiarkan pengaturan lainnya sebagai nilai defaultnya.

  7. Pilih Tinjau + buat, lalu Buat untuk memvalidasi dan membuat koneksi Anda.

Verifikasi koneksi Anda

  1. Temukan gateway jaringan virtual di portal Microsoft Azure. Misalnya, VNet1GW.

  2. Pada halaman Gateway jaringan virtual, pilih Koneksi untuk menampilkan halaman Koneksi untuk gateway jaringan virtual. Setelah koneksi dibuat, Anda akan melihat nilai Status berubah menjadi Tersambung.

  3. Pada kolom Nama, pilih salah satu koneksi untuk menampilkan informasi selengkapnya. Saat data mulai mengalir, Anda akan melihat nilai untuk Data masuk dan Data keluar.

Menambahkan lebih banyak koneksi

Anda dapat membuat koneksi VNet-ke-VNet lain, atau membuat koneksi situs-ke-situs IPsec ke lokasi lokal.

  • Sebelum Anda membuat lebih banyak koneksi, verifikasi bahwa ruang alamat untuk jaringan virtual Anda tidak tumpang tindih dengan ruang alamat apa pun yang ingin Anda sambungkan.

  • Saat Anda mengonfigurasi koneksi baru, pastikan untuk menyesuaikan jenis Koneksi agar sesuai dengan jenis koneksi yang ingin Anda buat. Jika Anda menambahkan koneksi situs-ke-situs, Anda harus membuat gateway jaringan lokal sebelum Anda bisa membuat koneksi.

  • Saat Anda mengonfigurasi koneksi yang menggunakan kunci bersama, pastikan bahwa kunci bersama sama persis untuk kedua sisi koneksi.

Untuk membuat koneksi lainnya, ikuti langkah-langkah berikut:

  1. Di portal Azure, buka gateway VPN tempat Anda ingin membuat koneksi.
  2. Di panel kiri, pilih Koneksi. Lihat koneksi yang ada.
  3. Buat koneksi baru.

Tanya Jawab Umum VNet-ke-VNet

Lihat FAQ VPN Gateway untuk tanya jawab umum VNet-ke-VNet.

Langkah berikutnya

  • Untuk informasi tentang cara agar Anda dapat membatasi lalu lintas jaringan ke sumber daya dalam jaringan virtual, lihat Keamanan Jaringan.

  • Untuk informasi tentang cara Azure merutekan lalu lintas antara Azure, lokal, dan sumber daya Internet, lihat Perutean lalu lintas jaringan virtual.