Share via

Sambungkan Azure Stack Hub ke Azure menggunakan VPN

  • Artikel

Artikel ini menjelaskan cara membuat VPN situs ke situs untuk menyambungkan jaringan virtual di Azure Stack Hub ke jaringan virtual di Azure.

Sebelum Anda mulai

Untuk menyelesaikan konfigurasi koneksi, pastikan Anda memiliki item berikut sebelum memulai:

  • Penyebaran sistem terintegrasi Azure Stack Hub (multi-node) yang terhubung langsung ke internet. Rentang alamat IP publik eksternal Anda harus dapat dijangkau langsung dari internet publik.
  • Langganan Azure yang valid. Jika Anda tidak memiliki langganan Azure, Anda dapat membuat akun Azure gratis di sini.

Diagram koneksi VPN

Gambar berikut menunjukkan bentuk konfigurasi koneksi saat Anda selesai:

Konfigurasi koneksi VPN situs-ke-situs

Nilai contoh konfigurasi jaringan

Tabel contoh konfigurasi jaringan memperlihatkan nilai yang digunakan untuk contoh dalam artikel ini. Anda dapat menggunakan nilai-nilai tersebut, atau Anda dapat merujuknya untuk lebih memahami contoh dalam artikel ini:

Nilai Azure Stack Hub Azure
Nama jaringan virtual Azs-VNet AzureVNet
Ruang alamat jaringan virtual 10.1.0.0/16 10.100.0.0/16
Nama subnet FrontEnd FrontEnd
Rentang alamat subnet 10.1.0.0/24 10.100.0.0/24
Subnet gateway 10.1.1.0/24 10.100.1.0/24

Membuat sumber daya jaringan di Azure

Pertama, buat sumber daya jaringan untuk Azure. Petunjuk berikut menunjukkan cara membuat sumber daya menggunakan portal Microsoft Azure.

Buat subnet jaringan virtual dan mesin virtual (VM)

  1. Masuk ke portal Microsoft Azure menggunakan akun Azure Anda.
  2. Di portal pengguna, pilih + Buat sumber daya.
  3. Buka Marketplace, kemudian pilih Jaringan.
  4. Pilih Jaringan virtual.
  5. Gunakan informasi dan tabel konfigurasi jaringan untuk mengidentifikasi nilai Name Azure, ruang Alamat, nama Subnet, dan rentang alamat Subnet.
  6. Untuk Grup Sumber Daya, buat grup sumber daya baru atau, jika Anda sudah memilikinya. pilihGunakan yang sudah ada.
  7. Pilih Lokasi VNet Anda. Jika Anda menggunakan nilai contoh, pilih US Timur atau gunakan lokasi lain.
  8. Pilih Sematkan ke dasbor.
  9. Pilih Buat.

Membuat subnet gateway

  1. Buka sumber daya jaringan virtual yang Anda buat (AzureVNet) dari dasbor.

  2. Di bagian Pengaturan, pilih Subnet.

  3. Pilih Subnet gateway untuk menambahkan subnet gateway ke jaringan virtual.

  4. Nama subnet diatur ke GatewaySubnet secara default.

    Penting

    Subnet gateway bersifat khusus dan harus memiliki nama khusus ini agar dapat berfungsi dengan baik.

  5. Di bidang Rentang alamat, verifikasi alamat adalah 10.100.1.0/24.

  6. Pilih OK untuk membuat subnet gateway.

Membuat gateway virtual network

  1. Di Azure Portal, pilih + Buat sumber daya.
  2. Buka Marketplace, kemudian pilih Jaringan.
  3. Dari daftar sumber daya jaringan, pilih gateway jaringan Virtual.
  4. Di bidang Nama, ketik Azure-GW.
  5. Untuk memilih jaringan virtual, pilih Jaringan virtual. Kemudian pilih AzureVnet dari daftar.
  6. Pilih Alamat IP publik. Saat bagian Pilih alamat IP publik terbuka, pilih Buat baru.
  7. Di bidang Nama, ketik Azure-GW-PiP, kemudian pilih OK.
  8. Pastikan langganan dan Lokasi sudah benar. Anda dapat menyematkan sumber daya ke dasbor. Pilih Buat.

Buat sumber daya gateway jaringan lokal

  1. Di Azure Portal, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Jaringan.

  3. Dari daftar sumber daya, pilih Gateway jaringan lokal.

  4. Di bidang Nama, ketik Azs-GW.

  5. Di bidang alamat IP, ketik alamat IP publik untuk Azure Stack Hub Virtual Network Gateway Anda yang tercantum sebelumnya dalam tabel konfigurasi jaringan.

  6. Di bidang Ruang Alamat, dari Azure Stack Hub, ketik ruang alamat 10.1.0.0/24 dan 10.1.1.0/24 untuk AzureVNet.

  7. Verifikasi bahwa Langganan, Group Sumber Daya, dan Lokasi Anda sudah benar, kemudian pilih Buat.

Buat koneksi

  1. Di portal pengguna, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Jaringan.

  3. Dari daftar sumber daya, pilih Sambungan.

  4. Pada bagian pengaturanDasar, untuk Jenis sambungan, pilih Site-to-site (IPSec).

  5. Pilih Langganan, Grup Sumber Daya, dan Lokasi, kemudian pilih OK.

  6. Di bagian Pengaturan, pilih Gateway jaringan virtual, kemudian pilih Azure-GW.

  7. Pilih Gateway jaringan lokal, kemudian pilih Azs-GW.

  8. Di dalam Nama Sambungan, ketik Azure-Azs.

  9. Pada Kunci Bersama (PSK), ketik 12345, kemudian pilih OK.

    Catatan

    Jika Anda menggunakan nilai yang berbeda untuk kunci bersama, ingatlah bahwa nilai tersebut harus cocok dengan nilai untuk kunci bersama yang Anda buat di ujung koneksi lainnya.

  10. Tinjau bagian Ringkasan, kemudian pilih OK.

Buat kebijakan IPSec kustom

Kebijakan IPSec kustom diperlukan agar Azure dapat mencocokkan Azure Stack Hub.

  1. Buat kebijakan kustom:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Terapkan kebijakan pada sambungan:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Buat VM

Sekarang buat mesin virtual (VM) di Azure, dan letakkan di subnet mesin virtual Anda di jaringan virtual Anda.

  1. Di Azure Portal, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Azure Compute.

  3. Dalam daftar gambar mesin virtual, pilih gambarWindows Server 2016 Datacenter Eval.

  4. Pada bagian Dasar, untuk Nama, ketik AzureVM.

  5. Ketikkan nama pengguna dan kata sandi yang valid. Anda menggunakan akun ini untuk masuk ke mesin virtual setelah dibuat.

  6. Isi Langganan, Grup Sumber Daya, dan Lokasi, kemudian pilih OK.

  7. Di bagian Ukuran, pilih ukuran mesin virtual untuk instans ini, kemudian klik Pilih.

  8. Di bagian Pengaturan, Anda dapat menggunakan pengaturan default. Sebelum memilih OK, konfirmasikan bahwa:

    • Jaringan virtual AzureVnet telah dipilih.
    • Subnet diatur ke 10.100.0.0/24.

    PilihOK.

  9. Tinjau pengaturan pada bagianRingkasan, kemudian pilih OK.

Membuat sumber jaringan di Azure Stack Hub

Selanjutnya, buat sumber jaringan di Azure Stack Hub.

Masuk sebagai pengguna

Admin layanan dapat masuk sebagai pengguna untuk menguji paket, penawaran, dan langganan yang mungkin digunakan pengguna mereka. Jika Anda belum memilikinya, buat akun pengguna sebelum masuk.

Buat jaringan virtual dan subnet mesin virtual

  1. Gunakan akun pengguna untuk masuk ke port pengguna.

  2. Di portal pengguna, pilih + Buat sumber daya.

    Membuat jaringan virtual baru

  3. Buka Marketplace, kemudian pilih Jaringan.

  4. Pilih Jaringan virtual.

  5. Untuk Nama, Ruang alamat, Nama subnet, dan Rentang alamat Subnet, gunakan nilai dari tabel konfigurasi jaringan.

  6. Di Langganan, langganan yang Anda buat sebelumnya muncul.

  7. Untuk Grup Sumber Daya, Anda dapat membuat sumber daya baru atau jika Anda sudah memilikinya, pilihGunakan yang sudah ada.

  8. Memverifikasi lokasi default.

  9. Pilih Sematkan ke dasbor.

  10. Pilih Buat.

Membuat subnet gateway

  1. Di dasbor, buka sumber daya jaringan virtual Azs-VNet yang Anda buat.

  2. Di bagian Pengaturan, pilih Subnet.

  3. Untuk menambahkan subnet gateway ke jaringan virtual, pilih Gateway Subnet.

    Menambahkan subnet gateway

  4. Secara default, nama subnet diatur ke GatewaySubnet. Agar subnet gateway berfungsi dengan baik, subnet harus menggunakan nama GatewaySubnet.

  5. Pada Rentang alamat, verifikasi bahwa alamatnya adalah 10.1.1.0/24.

  6. Pilih OK untuk membuat subnet gateway.

Membuat gateway virtual network

  1. Di portal Azure Stack Hub, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Jaringan.

  3. Dari daftar sumber daya jaringan, pilih gateway jaringan Virtual.

  4. Pada bagian Nama, ketik Azs-GW.

  5. Pilih item Jaringan virtual untuk memilih jaringan virtual. Pilih Azs-VNet dari daftar.

  6. Pilih item menu Alamat IP publik. Saat bagian Pilih alamat IP publik terbuka, pilih Buat baru.

  7. Pada bagian Nama, ketik Azs-GW-PiP, kemudian pilih OK.

  8. Secara default, Berbasis rute dipilih untuk jenis VPN. Pertahankan jenis VPNBerbasis rute.

  9. Pastikan langganan dan Lokasi sudah benar. Anda dapat menyematkan sumber daya ke dasbor. Pilih Buat.

Membuat gateway jaringan lokal

Konsep dari gateway jaringan lokal di Azure Stack Hub berbeda dengan yang ada di penyebaran Azure.

Dalam penyebaran Azure, gateway jaringan lokal mewakili perangkat fisik lokal (di lokasi pengguna) yang Anda sambungkan ke gateway jaringan virtual di Azure. Namun, di Azure Stack Hub kedua ujung sambungan adalah gateway jaringan virtual.

Deskripsi yang lebih umum adalah bahwa sumber daya gateway jaringan lokal selalu menunjukkan gateway jarak jauh di ujung koneksi lain.

Membuat sumber daya gateway jaringan lokal

  1. Masuk ke portal Azure Stack Hub.

  2. Di portal pengguna, pilih + Buat sumber daya.

  3. Buka Marketplace, kemudian pilih Jaringan.

  4. Dari daftar sumber daya, pilih gateway jaringan lokal.

  5. Di bidang Nama, ketik Azure-GW.

  6. Di bidang alamat IP, ketik alamat IP publik untuk gateway jaringan virtual di Azure-GW-PiP Azure. Alamat ini muncul lebih awal di tabel konfigurasi jaringan.

  7. Di bidang Ruang Alamat, untuk ruang alamat Azure VNET yang Anda buat, ketik 10.100.0.0/24 dan 10.100.1.0/24.

  8. Verifikasi bahwa Langganan, Grup Sumber Daya, dan nilailokasi Anda sudah benar, kemudian pilih Buat.

Buat koneksi

  1. Di portal pengguna, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Jaringan.

  3. Dari daftar sumber daya, pilih Sambungan.

  4. Pada bagian pengaturan Dasar, untuk Jenis sambungan, pilih Site-to-site (IPSec).

  5. Pilih Langganan, Grup Sumber Daya, dan Lokasi, kemudian pilih OK.

  6. Di bagian Pengaturan, pilih Gateway jaringan virtual, kemudian pilih Azure-GW.

  7. Pilih gateway jaringan lokal, kemudian pilih Azure-GW.

  8. Di dalam Nama Koneksi, ketik Azure-Azs.

  9. Pada bagian Kunci bersama (PSK), ketik 12345, kemudian pilihOK.

  10. Pada bagian Ringkasan, pilih OK.

Buat VM

Untuk memeriksa koneksi VPN, buat dua mesin virtual: satu di Azure, dan satu lagi di Azure Stack Hub. Setelah Anda membuat mesin virtual ini, Anda dapat menggunakannya untuk mengirim dan menerima data melalui tunnel VPN.

  1. Di Azure Portal, pilih + Buat sumber daya.

  2. Buka Marketplace, kemudian pilih Azure Compute.

  3. Dalam daftar gambar mesin virtual, pilih gambarWindows Server 2016 Datacenter Eval.

  4. Pada bagian Dasar, di bagianNama, ketik Azs-VM.

  5. Ketikkan nama pengguna dan kata sandi yang valid. Anda menggunakan akun ini untuk masuk ke mesin virtual setelah dibuat.

  6. Isi Langganan, Grup Sumber Daya, dan Lokasi, kemudian pilih OK.

  7. Di bagian Ukuran, untuk instans ini, pilih ukuran mesin virtual, kemudian klik Pilih.

  8. Di bagian Pengaturan, terima default. Pastikan jaringan virtual Azs-VNet dipilih. Pastikan subnet diatur ke 10.1.0.0/24. Kemudian, pilih OK.

  9. Pada bagian Ringkasan, tinjau pengaturan, kemudian pilihOK.

Menguji sambungan

Setelah koneksi situs ke situs dibuat, Anda harus memverifikasi bahwa Anda bisa mendapatkan data yang mengalir di kedua arah. Cara termudah untuk menguji koneksi adalah dengan melakukan tes ping:

  • Masuk ke mesin virtual yang Anda buat di Azure Stack Hub dan ping mesin virtual di Azure.
  • Masuk ke mesin virtual yang Anda buat di Azure dan ping mesin virtual di Azure Stack Hub.

Catatan

Untuk memastikan bahwa Anda mengirim lalu lintas melalui koneksi situs-ke-situs, ping alamat Direct IP (DIP) dari mesin virtual pada subnet jarak jauh, bukan pada VIP.

Masuk ke mesin virtual pengguna di Azure Stack Hub

  1. Masuk ke portal Azure Stack Hub.

  2. Di bilah navigasi kiri, pilih Virtual Machines.

  3. Dalam daftar mesin virtual, temukan Azs-VM yang Anda buat sebelumnya, kemudian pilih.

  4. Pada bagian untuk mesin virtual, pilih Sambungan, kemudian buka file Azs-VM.rdp.

    Tombol Sambungkan

  5. Masuk dengan akun yang Anda konfigurasikan saat membuat mesin virtual.

  6. Buka prompt Windows PowerShell yang ditinggikan.

  7. Ketikkan ipconfig /all.

  8. Dalam output, temukan Alamat IPv4, kemudian simpan alamat untuk digunakan nanti. Ini adalah alamat yang Anda ping dari Azure. Di lingkungan contoh, alamatnya adalah 10.1.0.4, tetapi di lingkungan Anda mungkin berbeda. Ini harus termasuk dalam subnet 10.1.0.0/24 yang Anda buat sebelumnya.

  9. Untuk membuat aturan firewall yang memungkinkan mesin virtual merespons ping, jalankan perintah PowerShell berikut:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Masuk ke mesin virtual penyewa di Azure

  1. Masuk ke portal Azure.

  2. Di bilah navigasi kiri, pilih Virtual Machines.

  3. Dari daftar mesin virtual, temukan Azure-VM yang Anda buat sebelumnya, kemudian pilih.

  4. Pada bagian untuk mesin virtual, pilih Sambungan.

  5. Masuk dengan akun yang Anda konfigurasikan saat membuat mesin virtual.

  6. Buk jendela Windows PowerShell yang ditinggikan.

  7. Ketikkan ipconfig /all.

  8. Anda akan melihat alamat IPv4 yang berada dalam 10.100.0.0/24. Di lingkungan contoh, alamatnya adalah 10.100.0.4, tetapi alamat Anda mungkin berbeda.

  9. Untuk membuat aturan firewall yang memungkinkan mesin virtual merespons ping, jalankan perintah PowerShell berikut:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Dari mesin virtual di Azure, ping mesin virtual di Azure Stack Hub melalui tunnel. Untuk melakukannya, Anda melakukan ping DIP yang Anda rekam dari Azs-VM. Di lingkungan contoh, ini adalah 10.1.0.4, tetapi pastikan untuk melakukan ping alamat yang Anda catat di lab Anda. Anda akan melihat hasil yang terlihat seperti tangkapan layar berikut:

    Ping berhasil

  11. Balasan dari mesin virtual jarak jauh menunjukkan tes yang berhasil. Anda dapat menutup jendela mesin virtual.

Anda juga harus melakukan pengujian transfer data yang lebih teliti (misalnya, menyalin file berukuran berbeda di kedua arah).

Menampilkan statistik transfer data melalui koneksi gateway

Jika Anda ingin mengetahui berapa banyak data yang melewati koneksi situs ke situs Anda, informasi ini tersedia di bagian Sambungan. Tes ini juga merupakan cara lain untuk memverifikasi ping yang baru saja Anda kirim benar-benar melalui koneksi VPN.

  1. Saat masuk ke mesin virtual pengguna di Azure Stack Hub, gunakan akun pengguna Anda untuk masuk ke portal pengguna.

  2. Buka Semua sumber daya, kemudian pilih koneksi Azs-Azure. Koneksi muncul.

  3. Pada bagian Koneksi, statistik untuk Data masuk dan Data keluar muncul. Dalam tangkapan layar berikut, angka besar dikaitkan dengan transfer file tambahan. Anda akan melihat beberapa nilai bukan nol di sana.

    Data masuk dan keluar

Langkah berikutnya