Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menunjukkan kepada Anda cara menggunakan Azure CLI untuk membuat koneksi VPN gateway site-to-site (S2S) dari jaringan lokal Anda ke jaringan virtual (VNet).
Koneksi gateway VPN site-to-site digunakan untuk menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Jenis koneksi ini memerlukan perangkat VPN yang berada di lokasi yang memiliki alamat IP publik yang menghadap ke luar yang telah ditetapkan. Langkah-langkah dalam artikel ini membuat koneksi antara gerbang VPN dan perangkat VPN di lokasi dengan menggunakan kunci bersama. Untuk informasi lebih lanjut tentang gateway VPN, lihat About VPN gateway.
Sebelum Anda memulai
Pastikan bahwa lingkungan Anda memenuhi kriteria berikut sebelum memulai konfigurasi:
Pastikan bahwa Anda memiliki gateway VPN berbasis rute yang berfungsi. Untuk membuat gateway VPN, lihat Membuat gateway VPN.
Jika Anda tidak familiar dengan rentang alamat IP yang terletak di konfigurasi jaringan lokal Anda, Anda perlu berkoordinasi dengan seseorang yang dapat memberikan detail tersebut untuk Anda. Ketika Anda membuat konfigurasi ini, Anda harus menentukan awalan rentang alamat IP yang dikirimkan oleh Azure ke lokasi di tempat Anda. Tidak ada subnet dari jaringan lokal Anda yang boleh tumpang tindih dengan subnet jaringan virtual yang ingin Anda hubungkan.
Perangkat VPN:
- Pastikan Anda memiliki perangkat VPN yang kompatibel dan seseorang yang dapat mengonfigurasinya. Untuk informasi lebih lanjut tentang perangkat VPN yang kompatibel dan konfigurasi perangkat, lihat Tentang perangkat VPN.
- Tentukan apakah perangkat VPN Anda mendukung gateway mode aktif-aktif. Artikel ini membuat gateway VPN dengan mode aktif-aktif, yang direkomendasikan untuk konektivitas dengan ketersediaan tinggi. Mode aktif-aktif menunjukkan bahwa kedua instance VM gateway tersebut aktif. Mode ini memerlukan dua alamat IP publik, satu untuk setiap instance VM gateway. Anda mengonfigurasi perangkat VPN Anda untuk terhubung ke alamat IP untuk setiap instance VM gerbang.
Jika perangkat VPN Anda tidak mendukung mode ini, jangan aktifkan mode ini untuk gateway Anda. Untuk informasi lebih lanjut, lihat Desain konektivitas yang sangat tersedia untuk koneksi lintas lokasi dan VNet-ke-VNet dan Tentang gateway VPN mode aktif-aktif.
Artikel ini memerlukan versi 2.0 atau yang lebih baru dari Azure CLI.
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai menggunakan Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menggunakan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam container Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI dalam wadah Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah az login. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Mengautentikasi ke Azure menggunakan Azure CLI.
Ketika diminta, pasang ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan dan mengelola ekstensi dengan Azure CLI.
Jalankan az version untuk menemukan versi dan pustaka yang bergantung yang terinstal. Untuk meningkatkan ke versi terbaru, jalankan az upgrade.
Buat gerbang jaringan lokal
Gerbang jaringan lokal biasanya merujuk ke lokasi fisik Anda. Anda memberikan nama untuk situs tersebut yang akan digunakan Azure, lalu menetapkan alamat IP dari perangkat VPN di lokasi yang akan Anda buat koneksi. Anda juga menentukan awalan alamat IP yang akan di-routing melalui gerbang VPN ke perangkat VPN. Prefiks alamat yang Anda tentukan adalah prefiks yang ada di jaringan lokal Anda. Jika jaringan lokal Anda berubah, Anda dapat dengan mudah memperbarui prefiks.
Gunakan nilai-nilai berikut:
- Alamat --gateway-ip-address adalah alamat IP dari perangkat VPN lokal Anda.
- --local-address-prefixes adalah ruang alamat lokal Anda.
Gunakan perintah az network local-gateway create untuk menambahkan local network gateway. Contoh berikut menunjukkan gerbang jaringan lokal dengan banyak awalan alamat. Ganti nilainya dengan nilai Anda sendiri.
az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24
Konfigurasi perangkat VPN Anda
Koneksi antar situs ke jaringan internal memerlukan perangkat VPN. Pada langkah ini, Anda mengkonfigurasi perangkat VPN Anda. Saat Anda mengkonfigurasi perangkat VPN Anda, Anda memerlukan nilai-nilai berikut:
Shared key: Kunci bersama ini adalah kunci yang sama yang Anda tentukan saat membuat koneksi VPN situs-ke-situs Anda. Dalam contoh kami, kami menggunakan kunci bersama yang sederhana. Kami menyarankan agar Anda membuat kunci yang lebih kompleks untuk digunakan.
Alamat IP publik dari instance gateway jaringan virtual Anda: Dapatkan alamat IP untuk setiap instance VM. Jika gateway Anda dalam mode aktif-aktif, Anda akan memiliki alamat IP untuk setiap instance VM gateway. Pastikan untuk mengonfigurasi perangkat Anda dengan kedua alamat IP, satu untuk setiap VM gateway aktif. Gateway dengan mode aktif-siap hanya memiliki satu alamat IP.
Untuk menemukan alamat IP publik dari gateway jaringan virtual Anda, gunakan perintah az network public-ip list. Untuk kemudahan membaca, output diformat agar menampilkan daftar IP publik dalam format tabel. Dalam contoh ini, VNet1GWpip1 adalah nama sumber daya alamat IP publik.
az network public-ip list --resource-group TestRG1 --output table
Bergantung pada perangkat VPN yang Anda miliki, Anda mungkin dapat mengunduh skrip konfigurasi perangkat VPN. Untuk informasi lebih lanjut, lihat Unduh skrip konfigurasi perangkat VPN.
Tautan berikut memberikan lebih banyak informasi tentang konfigurasi:
Untuk informasi tentang perangkat VPN yang kompatibel, lihat Tentang perangkat VPN.
Untuk tautan ke pengaturan konfigurasi perangkat, lihat Perangkat VPN yang Diverifikasi. Kami menyediakan tautan konfigurasi perangkat berdasarkan upaya terbaik, tetapi selalu yang terbaik untuk memeriksa dengan produsen perangkat Anda untuk informasi konfigurasi terbaru.
Daftar ini menunjukkan versi yang kami uji. Jika versi OS untuk perangkat VPN Anda tidak ada dalam daftar, mungkin masih kompatibel. Tanyakan kepada produsen perangkat Anda.
Untuk informasi dasar tentang konfigurasi perangkat VPN, lihat Ikhtisar dari konfigurasi perangkat VPN mitra.
Untuk informasi tentang mengedit contoh konfigurasi perangkat, lihat Mengedit contoh.
Untuk persyaratan kriptografi, lihat Tentang persyaratan kriptografi dan gerbang VPN Azure.
Untuk informasi tentang parameter yang Anda perlukan untuk menyelesaikan konfigurasi Anda, lihat Default IPsec/IKE parameters. Informasi tersebut termasuk versi IKE, grup Diffie-Hellman (DH), metode autentikasi, algoritma enkripsi dan hashing, masa pakai asosiasi keamanan (SA), perfect forward secrecy (PFS), dan Dead Peer Detection (DPD).
Untuk langkah-langkah konfigurasi kebijakan IPsec/IKE, lihat Konfigurasi kebijakan koneksi IPsec/IKE khusus untuk S2S VPN dan VNet-ke-VNet.
Untuk menghubungkan beberapa perangkat VPN berbasis kebijakan, lihat Menghubungkan gateway VPN ke beberapa perangkat VPN berbasis kebijakan di lokasi fisik.
Buat koneksi VPN
Buat koneksi VPN site-to-site antara gateway jaringan virtual Anda dan perangkat VPN lokal Anda. Jika Anda menggunakan gateway mode aktif-aktif (disarankan), setiap instance VM gateway memiliki alamat IP terpisah. Untuk mengonfigurasi konektivitas yang sangat tersedia dengan tepat, Anda harus membangun sebuah terowongan antara setiap instansi VM dan perangkat VPN Anda. Kedua terowongan adalah bagian dari sambungan yang sama.
Buat koneksi menggunakan perintah az network vpn-connection create. Kunci berbagi harus sesuai dengan nilai yang Anda gunakan untuk konfigurasi perangkat VPN Anda.
az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1
Setelah beberapa saat, koneksi akan terhubung.
Memverifikasi koneksi VPN
Anda dapat memverifikasi bahwa koneksi Anda berhasil dengan menggunakan perintah az network vpn-connection show. Dalam contoh ini, '--name' merujuk pada nama koneksi yang ingin Anda uji. Ketika koneksi sedang dalam proses penyambungan, status koneksinya menunjukkan 'Menghubungkan'. Setelah sambungan terhubung, status berubah menjadi 'Terhubung'. Ubah contoh berikut dengan nilai-nilai yang sesuai untuk lingkungan Anda.
az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>
Jika Anda ingin menggunakan metode lain untuk memverifikasi koneksi Anda, lihat Verifikasi koneksi Gateway VPN.
Tugas Umum
Bagian ini berisi perintah umum yang berguna ketika bekerja dengan konfigurasi situs-ke-situs. Untuk daftar lengkap perintah jaringan CLI, lihat Azure CLI - Networking.
Untuk melihat gateway jaringan lokal
Untuk melihat daftar gateway jaringan lokal, gunakan perintah az network local-gateway list.
az network local-gateway list --resource-group TestRG1
Untuk mengubah prefiks alamat IP gerbang jaringan lokal - tidak ada koneksi gerbang
Jika Anda ingin menambah atau menghapus awalan alamat IP dan gateway Anda belum memiliki koneksi, Anda dapat memperbarui awalan tersebut menggunakan az network local-gateway create. Untuk menimpa pengaturan saat ini, gunakan nama yang sudah ada dari gateway jaringan lokal Anda. Jika Anda menggunakan nama yang berbeda, Anda akan membuat gerbang jaringan lokal baru, bukan menimpa yang sudah ada. Anda juga dapat menggunakan perintah ini untuk memperbarui alamat IP gateway untuk perangkat VPN.
Setiap kali Anda melakukan perubahan, seluruh daftar prefiks harus ditentukan, bukan hanya prefiks yang ingin Anda ubah. Tentukan hanya awalan yang ingin Anda pertahankan. Dalam hal ini, 10.0.0.0/24 dan 10.3.0.0/16
az network local-gateway create --gateway-ip-address 203.0.113.34 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16
Untuk memodifikasi prefiks alamat IP gateway jaringan lokal - sambungan gateway yang ada
Jika Anda memiliki koneksi gateway dan ingin menambahkan atau menghapus awalan alamat IP, Anda dapat memperbarui awalan tersebut menggunakan az network local-gateway update. Hal ini menyebabkan beberapa waktu tidak aktif pada koneksi VPN Anda.
Setiap kali Anda melakukan perubahan, seluruh daftar prefiks harus ditentukan, bukan hanya prefiks yang ingin Anda ubah. Dalam contoh ini, 10.0.0.0/24 dan 10.3.0.0/16 sudah ada. Kami menambahkan prefiks 10.5.0.0/16 dan 10.6.0.0/16 serta menentukan keempat prefiks tersebut saat memperbarui.
az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1
Untuk memodifikasi gateway jaringan lokal 'gatewayIpAddress'
Jika Anda mengubah alamat IP publik perangkat VPN Anda, Anda perlu memodifikasi gateway jaringan lokal dengan alamat IP yang diperbarui. Saat memodifikasi gateway, pastikan untuk menyebutkan nama yang sudah ada dari gateway jaringan lokal Anda. Jika Anda menggunakan nama yang berbeda, Anda membuat gateway jaringan lokal baru, alih-alih menimpa informasi gateway yang ada.
Untuk memodifikasi alamat IP gateway, ganti nilai 'Site2' dan 'TestRG1' dengan milik Anda menggunakan perintah az network local-gateway update.
az network local-gateway update --gateway-ip-address 203.0.113.170 --name Site2 --resource-group TestRG1
Verifikasi bahwa alamat IP benar dalam keluaran:
"gatewayIpAddress": "203.0.113.170",
Untuk memverifikasi nilai kunci yang dibagikan
Pastikan bahwa nilai kunci bersama adalah nilai yang sama yang Anda gunakan untuk konfigurasi perangkat VPN Anda. Jika tidak, jalankan kembali koneksi menggunakan nilai dari perangkat, atau perbarui perangkat dengan nilai dari hasil pengembalian. Nilai-nilai harus cocok. Untuk melihat kunci yang dibagikan, gunakan az network vpn-connection-list.
az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1
Untuk melihat alamat IP Publik gateway VPN
Untuk menemukan alamat IP publik dari gateway jaringan virtual Anda, gunakan perintah az network public-ip list. Untuk kemudahan membaca, hasil keluaran dari contoh ini diformat untuk menampilkan daftar IP publik dalam format tabel.
az network public-ip list --resource-group TestRG1 --output table
Langkah berikutnya
- Untuk informasi mengenai BGP, lihat Gambaran Umum BGP dan Cara Mengonfigurasi BGP.
- Untuk informasi tentang tunneling paksa, lihat Tentang tunneling paksa.
- Untuk informasi tentang koneksi aktif-aktif yang sangat tersedia, lihat Konektivitas lintas tempat dan VNet-ke-VNet yang Sangat Tersedia.
- Untuk daftar perintah Azure CLI jaringan, lihat Azure CLI.
- Untuk informasi tentang membuat koneksi VPN site-to-site menggunakan template Azure Resource Manager, lihat Buat koneksi VPN site-to-site.
- Untuk informasi tentang cara membuat koneksi VPN VNet-ke-VNet menggunakan template Azure Resource Manager, lihat Deploy HBase geo replication.