Mengonfigurasi koneksi VNet-ke-VNet (klasik)

  • Artikel

Artikel ini membantu Anda membuat koneksi VPN gateway antara jaringan virtual. Jaringan virtual dapat berada di wilayah yang sama atau berbeda, serta dari langganan yang sama atau berbeda.

Langkah-langkah dalam artikel ini berlaku untuk model penyebaran klasik (warisan) dan tidak berlaku untuk model penyebaran saat ini, Resource Manager. Anda tidak dapat lagi membuat gateway menggunakan model penyebaran klasik. Lihat versi Resource Manager dari artikel ini sebagai gantinya.

Penting

Anda tidak dapat lagi membuat gateway jaringan virtual baru untuk jaringan virtual model penyebaran klasik (manajemen layanan). Gateway jaringan virtual baru hanya dapat dibuat untuk jaringan virtual Resource Manager.

Diagram showing classic VNet-to-VNet architecture.

Catatan

Artikel ini ditulis untuk model penyebaran klasik (warisan). Kami menyarankan agar Anda menggunakan model penyebaran Azure terbaru sebagai gantinya. Model penyebaran Resource Manager adalah model penyebaran terbaru dan menawarkan lebih banyak opsi dan kompatibilitas fitur daripada model penyebaran klasik. Untuk memahami perbedaan antara kedua model penyebaran ini, lihat Memahami model penyebaran dan status sumber daya Anda.

Jika Anda ingin menggunakan versi lain dari artikel ini, gunakan daftar isi di panel kiri.

Tentang koneksi VNet-ke-VNet

Menyambungkan jaringan virtual ke jaringan virtual lain (VNet-ke-VNet) dalam model penyebaran klasik dengan VPN gateway mirip dengan menyambungkan jaringan virtual ke lokasi situs lokal. Kedua jenis konektivitas menggunakan gateway VPN untuk menyediakan terowongan aman menggunakan IPsec/IKE.

VNet yang Anda sambungkan bisa berada di langganan yang berbeda dan wilayah yang berbeda. Anda dapat menggabungkan komunikasi VNet ke VNet dengan konfigurasi multi-situs. Ini membuat Anda dapat membangun topologi jaringan yang menggabungkan konektivitas lintas lokasi dengan konektivitas antara jaringan virtual.

Diagram showing VNet-VNet connections.

Mengapa menyambungkan jaringan virtual?

Anda mungkin ingin menyambungkan jaringan virtual karena alasan berikut:

  • Geo-redundansi lintas wilayah dan geo-kehadiran

    • Anda dapat mengatur replikasi geografis atau sinkronisasi Anda sendiri dengan konektivitas yang aman tanpa melewati titik akhir yang menghadap internet.
    • Dengan Azure Load Balancer dan Microsoft atau teknologi pengklusteran pihak ketiga, Anda dapat menyiapkan beban kerja yang sangat tersedia dengan geo-redundansi di beberapa wilayah Azure. Salah satu contoh penting adalah menyiapkan SQL Always On dengan Grup Ketersediaan yang tersebar di beberapa wilayah Azure.

  • Aplikasi multi-tingkat regional dengan batas isolasi yang kuat

    • Dalam wilayah yang sama, Anda dapat menyiapkan aplikasi multi-tingkat dengan beberapa VNet yang tersambung bersama dengan isolasi yang kuat dan komunikasi antar tingkat yang aman.

  • Lintas langganan, komunikasi antar organisasi di Azure

    • Jika Anda memiliki beberapa langganan Azure, Anda dapat menyambungkan beban kerja dari langganan yang berbeda bersama-sama dengan aman di antara jaringan virtual.
    • Untuk perusahaan atau penyedia layanan, Anda dapat mengaktifkan komunikasi lintas organisasi dengan teknologi VPN yang aman dalam Azure.

Untuk informasi selengkapnya tentang koneksi VNet-ke-VNet, lihat Pertimbangan VNet-ke-VNet di akhir artikel ini.

Prasyarat

Kami menggunakan portal untuk sebagian besar langkah, tetapi Anda harus menggunakan PowerShell untuk membuat koneksi di antara VNet. Anda tidak dapat membuat koneksi menggunakan portal Azure karena tidak ada cara untuk menentukan kunci bersama di portal. Saat bekerja dengan model penyebaran klasik, Anda tidak dapat menggunakan Azure Cloud Shell. Sebagai gantinya, Anda harus menginstal versi terbaru cmdlet PowerShell Azure Service Management (SM) secara lokal di komputer Anda. Cmdlet ini berbeda dari cmdlet AzureRM atau Az. Untuk menginstal cmdlet SM, lihat Menginstal cmdlet Manajemen Layanan. Untuk informasi selengkapnya tentang Azure PowerShell secara umum, lihat Dokumentasi Microsoft Azure PowerShell.

Perencanaan

Penting untuk memutuskan rentang yang akan Anda gunakan untuk mengonfigurasi jaringan virtual. Untuk konfigurasi ini, Anda harus memastikan bahwa tidak ada rentang VNet yang saling tumpang tindih atau tumpang tindih dengan salah satu jaringan lokal yang tersambung dengannya.

VNet

Untuk latihan ini, kami menggunakan contoh nilai berikut:

Nilai untuk TestVNet1

Nama: TestVNet1
Ruang alamat: 10.11.0.0/16, 10.12.0.0/16 (opsional)
Nama subnet: default
Rentang alamat subnet: 10.11.0.0/24
Grup sumber daya: ClassicRG
Lokasi: AS Timur
GatewaySubnet: 10.11.1.0/27

Nilai untuk TestVNet4

Nama: TestVNet4
Ruang alamat: 10.41.0.0/16, 10.42.0.0/16 (opsional)
Nama subnet: default
Rentang alamat subnet: 10.41.0.0/24
Grup sumber daya: ClassicRG
Lokasi: US Barat
GatewaySubnet: 10.41.1.0/27

Koneksi

Tabel berikut ini memperlihatkan contoh cara Anda menyambungkan VNet. Gunakan rentang tersebut sebagai sekadar panduan. Tuliskan rentang untuk jaringan virtual Anda. Anda memerlukan informasi ini untuk langkah selanjutnya.

Dalam contoh ini, TestVNet1 membentuk sambungan ke situs jaringan lokal yang Anda buat bernama 'VNet4Local'. Pengaturan untuk VNet4Local berisi prefiks alamat untuk TestVNet4. Situs lokal untuk setiap VNet adalah VNet lainnya. Contoh nilai berikut digunakan untuk konfigurasi kami:

Contoh

Virtual Network Ruang Alamat Lokasi Menyambungkan ke situs jaringan lokal
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 AS Timur SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 US Barat SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Membuat jaringan virtual

Dalam langkah ini, Anda membuat dua jaringan virtual klasik, TestVNet1 dan TestVNet4. Jika Anda menggunakan artikel ini sebagai latihan, gunakan contoh nilai.

Saat membuat VNet Anda, ingatlah pengaturan berikut:

  • Ruang Alamat Virtual Network – Pada halaman Ruang Alamat Virtual Network, tentukan rentang alamat yang ingin Anda gunakan untuk jaringan virtual. Ini adalah alamat IP dinamis yang akan ditetapkan ke VM dan instans peran lain yang Anda terapkan ke jaringan virtual ini.
    Ruang alamat yang Anda pilih tidak dapat tumpang tindih dengan ruang alamat untuk salah satu VNet lain atau lokasi lokal yang akan disambungkan oleh VNet ini.

  • Lokasi – Saat membuat jaringan virtual, Anda mengaitkannya dengan lokasi (wilayah) Azure. Misalnya, jika Anda ingin VM yang diterapkan ke jaringan virtual Anda agar secara fisik terletak di US Barat, pilih lokasi tersebut. Anda tidak dapat mengubah lokasi yang terkait dengan jaringan virtual setelah selesai dibuat.

Setelah membuat VNet, Anda dapat menambahkan pengaturan berikut:

  • Ruang alamat – Ruang alamat tambahan tidak diperlukan untuk konfigurasi ini, tetapi Anda dapat menambahkan ruang alamat tambahan setelah membuat VNet.

  • Subnet – Subnet tambahan tidak diperlukan untuk konfigurasi ini, tetapi Anda mungkin ingin memiliki VM Anda dalam subnet yang terpisah dari instans peran Anda yang lain.

  • Server DNS – Masukkan nama server DNS dan alamat IP. Pengaturan ini tidak membuat server DNS. Ini memungkinkan Anda untuk menentukan server DNS yang ingin Anda gunakan untuk resolusi nama pada jaringan virtual ini.

Untuk membuat jaringan virtual klasik

  1. Dari browser, masuk portal Microsoft Azure dan, jika perlu, masuk dengan akun Azure Anda.
  2. Pilih +Buat sumber daya. Di bidang Cari marketplace, ketik 'Virtual Network'. Temukan Jaringan Virtual dari daftar yang dikembalikan dan pilih untuk membuka halaman Jaringan Virtual.
  3. Pada halaman Jaringan Virtual, di bawah tombol Buat, Anda melihat "Terapkan dengan Manajer Sumber Daya (ubah ke Klasik)". Resource Manager adalah default untuk membuat VNet. Anda tidak ingin membuat Resource Manager VNet. Pilih (ubah ke Klasik) untuk membuat VNet Klasik. Lalu, pilih tab Gambaran Umum dan pilih Buat.
  4. Di halaman Buat jaringan virtual (klasik), pada tab Dasar, konfigurasikan pengaturan VNet dengan nilai contoh.
  5. Pilih Tinjau + buat untuk memvalidasi VNet Anda.
  6. Validasi berjalan. Setelah VNet divalidasi, pilih Buat.

Pengaturan DNS bukan merupakan bagian yang diperlukan dari konfigurasi ini, tetapi DNS diperlukan jika Anda ingin resolusi nama di antara VM Anda. Menentukan nilai tidak membuat server DNS baru. Alamat IP server DNS yang Anda tentukan harus server DNS yang dapat menyelesaikan nama untuk sumber daya yang Anda hubungkan.

Setelah membuat jaringan virtual, Anda dapat menambahkan alamat IP server DNS untuk menangani resolusi nama. Buka pengaturan untuk jaringan virtual Anda, pilih server DNS, dan tambahkan alamat IP server DNS yang ingin Anda gunakan untuk resolusi nama.

  1. Temukan jaringan virtual di portal.
  2. Pada halaman untuk jaringan virtual Anda, di bawah bagian Setelan, pilih server DNS.
  3. Tambahkan server DNS.
  4. Untuk menyimpan pengaturan Anda, pilih Simpan di bagian atas halaman.

Mengonfigurasi situs dan gateway

Azure menggunakan pengaturan yang ditentukan di setiap situs jaringan lokal untuk menentukan cara melakukan perutean lalu lintas antar VNet. Setiap VNet harus menunjuk ke jaringan lokal masing-masing yang ingin Anda rutekan lalu lintasnya. Anda menentukan nama yang ingin Anda gunakan untuk merujuk ke setiap situs jaringan lokal. Sebaiknya gunakan nama yang deskriptif.

Misalnya, TestVNet1 tersambung ke situs jaringan lokal yang Anda buat bernama 'VNet4Local'. Pengaturan untuk VNet4Local berisi prefiks alamat untuk TestVNet4.

Perlu diingat, situs lokal untuk setiap VNet adalah VNet lainnya.

Virtual Network Ruang Alamat Lokasi Menyambungkan ke situs jaringan lokal
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 AS Timur SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 US Barat SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Untuk mengonfigurasi situs

Situs lokal biasanya mengacu ke lokasi lokal Anda. Ini berisi alamat IP perangkat VPN tempat Anda akan membuat koneksi, dan rentang alamat IP yang dirutekan melalui gateway VPN ke perangkat VPN.

  1. Di halaman untuk VNet Anda, pada Pengaturan, pilih Koneksi situs-ke-situs.

  2. Pada halaman Koneksi situs-ke-situs, pilihlah + Tambahkan.

  3. Pada halaman Konfigurasi koneksi VPN dan gateway, untuk Tipe koneksi, biarkan Situs-ke-situs terpilih.

    • Alamat IP VPN gateway: Ini adalah alamat IP publik perangkat VPN untuk jaringan lokal Anda. Untuk latihan ini, Anda dapat memasukkan alamat dummy karena Anda belum memiliki alamat IP untuk gateway VPN untuk situs lain. Misalnya, 5.4.3.2. Nantinya, setelah mengonfigurasi gateway untuk VNet lain, Anda dapat menyesuaikan nilai ini.

    • Ruang Alamat Klien: Cantumkan rentang alamat IP yang ingin Anda rutekan ke VNet lain melalui gateway ini. Anda dapat menambahkan beberapa rentang ruang alamat. Pastikan rentang yang Anda tentukan di sini tidak tumpang tindih dengan rentang jaringan lain yang terhubung dengan jaringan virtual Anda, atau dengan rentang alamat jaringan virtual itu sendiri.

  4. Di bagian bawah halaman, JANGAN pilih Tinjau + buat. Sebagai gantinya, pilih Berikutnya: Gateway>.

Untuk mengonfigurasi gateway jaringan virtual

  1. Di halaman Gateway, pilih nilai berikut ini:

    • Ukuran: Ini adalah SKU gateway yang Anda gunakan untuk membuat gateway jaringan virtual Anda. VPN gateway klasik menggunakan SKU gateway lama (warisan). Untuk informasi selengkapnya tentang SKU gateway warisan, lihat Bekerja dengan SKU gateway jaringan virtual (SKU lama). Anda dapat memilih Standar untuk latihan ini.

    • Subnet gateway: Ukuran subnet gateway yang Anda tentukan tergantung pada konfigurasi VPN gateway yang ingin Anda buat. Meskipun dimungkinkan untuk membuat subnet gateway sekurang /29, kami sarankan Anda menggunakan /27 atau /28. Cara ini membuat subnet lebih besar yang mencakup lebih banyak alamat. Dengan menggunakan subnet gateway yang lebih besar, Anda akan memiliki alamat IP yang cukup untuk mengakomodasi potensi konfigurasi di masa mendatang.

  2. Pilihlah Tinjau + buat di bagian bawah halaman untuk memvalidasi pengaturan Anda. Pilih Buat untuk menyebarkan. Diperlukan waktu hingga 45 menit untuk membuat gateway jaringan virtual, tergantung pada SKU gateway yang Anda pilih.

  3. Anda bisa mulai melanjutkan ke langkah berikutnya saat gateway ini sedang dibuat.

Konfigurasikan pengaturan TestVNet4

Ulangi langkah-langkah untuk Membuat situs dan gateway untuk mengonfigurasi TestVNet4, dengan mengganti nilai jika perlu. Jika Anda melakukan ini sebagai latihan, gunakan nilai contoh.

Memperbarui situs lokal

Setelah gateway jaringan virtual Anda dibuat untuk kedua VNet, Anda harus menyesuaikan properti situs lokal untuk alamat IP VPN gateway .

Nama VNet Situs yang tersambung Alamat IP gateway
TestVNet1 VNet4Local Alamat IP gateway VPN untuk TestVNet4
TestVNet4 VNet1Local Alamat IP gateway VPN untuk TestVNet1

Bagian 1 - Mendapatkan alamat IP publik gateway jaringan virtual

  1. Navigasikan ke VNet Anda dengan masuk ke Grup sumber daya dan pilih jaringan virtual.
  2. Pada halaman untuk jaringan virtual Anda, di panel Penting di sebelah kanan, temukan alamat IP Gateway dan salin ke clipboard.

Bagian 2 - Mengubah properti situs lokal

  1. Di bawah Koneksi situs-ke-situs, pilih koneksi. Misalnya, SiteVNet4.
  2. Pada halaman Properti untuk Koneksi situs-ke-situs, pilih Edit situs lokal.
  3. Di bidang alamat IP VPN gateway , tempelkan alamat IP VPN gateway yang Anda salin di bagian sebelumnya.
  4. Pilih OK.
  5. Bidang diperbarui di sistem. Anda juga dapat menggunakan metode ini untuk menambahkan alamat IP tambahan yang ingin Anda rutekan ke situs ini.

Bagian 3 - Mengulangi langkah-langkah untuk VNet lainnya

Ulangi langkah-langkah untuk TestVNet4.

Mengambil nilai konfigurasi

Saat Anda membuat VNet klasik di portal Azure, nama yang Anda lihat bukan nama lengkap yang Anda gunakan untuk PowerShell. Misalnya, VNet yang tampaknya bernama TestVNet1 di portal, mungkin memiliki nama yang lebih panjang dalam file konfigurasi jaringan. Untuk VNet di grup sumber, nama "ClassicRG" mungkin terlihat seperti: Group ClassicRG TestVNet1. Saat Anda membuat koneksi, penting untuk menggunakan nilai yang Anda lihat dalam file konfigurasi jaringan.

Dalam langkah-langkah berikut, Anda akan tersambung ke akun Azure Anda dan mengunduh serta melihat file konfigurasi jaringan untuk mendapatkan nilai yang diperlukan untuk koneksi Anda.

  1. Unduh dan instal versi terbaru Azure Service Management (SM) PowerShell cmdlet. Kebanyakan orang memiliki modul Resource Manager yang diinstal secara lokal, tetapi tidak memiliki modul Manajemen Layanan. Modul Manajemen Layanan adalah legacy dan harus diinstal secara terpisah. Untuk informasi selengkapnya, lihat Instal Manajemen Layanan cmdlet.

  2. Buka konsol PowerShell Anda dengan hak yang ditinggikan dan sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda terhubung. Anda harus menjalankan perintah ini secara lokal menggunakan modul Manajemen Layanan PowerShell. Sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda tersambung:

    Add-AzureAccount

  3. Periksa langganan untuk akun tersebut.

    Get-AzureSubscription

  4. Jika Anda memiliki lebih dari satu langganan, pilih langganan yang ingin Anda gunakan.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Buat direktori pada komputer Anda. Misalnya, C:\AzureVNet

  6. Ekspor file konfigurasi jaringan ke direktori. Dalam contoh ini, file konfigurasi jaringan diekspor ke C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Buka file dengan editor teks dan tampilkan nama-nama untuk VNet dan situs Anda. Nama-nama ini akan menjadi nama yang Anda gunakan ketika Anda membuat koneksi.
    Nama-nama VNet tercantum sebagai Nama VirtualNetworkSite =
    Nama-nama situs tercantum sebagai Nama LocalNetworkSiteRef =

Buat koneksi

Ketika semua langkah sebelumnya telah selesai, Anda dapat mengatur kunci IPsec/IKE yang telah dibagikan sebelumnya dan membuat koneksi. Set langkah ini menggunakan PowerShell. Koneksi VNet-ke-VNet untuk model penyebaran klasik tidak dapat dikonfigurasi di portal Azure karena kunci bersama tidak dapat ditentukan di portal.

Dalam contoh, perhatikan bahwa kunci bersama persis sama. Kunci bersama harus selalu cocok. Pastikan Anda telah mengganti nilai dalam contoh ini dengan nama yang tepat untuk VNet dan Situs Jaringan Lokal Anda.

  1. Buat koneksi TestVNet1 ke TestVNet4. Pastikan untuk mengubah nilai.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Buat koneksi TestVNet4 ke TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Tunggu koneksi untuk diinisialisasi. Setelah gateway diinisialisasi, Statusnya adalah 'Berhasil'.

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

Tanya Jawab Umum dan pertimbangan

Pertimbangan ini berlaku untuk jaringan virtual klasik dan gateway jaringan virtual klasik.

  • Jaringan virtual dapat berada di langganan yang sama atau berbeda.
  • Jaringan virtual dapat berada di wilayah (lokasi) Azure yang sama atau berbeda.
  • Layanan cloud atau endpoint load-balancing tidak dapat menjangkau seluruh jaringan virtual, meskipun terhubung bersama.
  • Menghubungkan beberapa jaringan virtual bersama-sama tidak memerlukan perangkat VPN apa pun.
  • VNet-ke-VNet mendukung penyambungan Azure Virtual Network. Ini tidak mendukung menghubungkan komputer virtual atau layanan cloud yang tidak disebarkan ke jaringan virtual.
  • VNet-ke-VNet memerlukan gateway perutean dinamis. Gateway perutean statis Azure tidak didukung.
  • Konektivitas jaringan virtual dapat digunakan secara bersamaan dengan VPN multi-situs. Ada maksimum 10 terowongan VPN untuk VPN gateway jaringan virtual yang tersambung ke jaringan virtual lain atau situs lokal.
  • Ruang alamat jaringan virtual dan situs jaringan lokal tidak boleh tumpang tindih. Ruang alamat yang tumpang tindih menyebabkan pembuatan jaringan virtual atau mengunggah file konfigurasi netcfg gagal.
  • Terowongan redundan antara sepasang jaringan virtual tidak didukung.
  • Semua terowongan VPN untuk VNet, termasuk VPN P2S, berbagi bandwidth yang tersedia untuk VPN gateway, dan SLA waktu aktif gateway VPN yang sama di Azure.
  • Lalu lintas VNet-ke-VNet berjalan melintasi backbone Azure.

Langkah berikutnya

Verifikasi sambungan Anda. Lihat Memverifikasi koneksi VPN Gateway.