Menambahkan koneksi Situs-ke-Situs ke VNet dengan koneksi gateway VPN yang sudah ada (klasik)

Artikel ini memanah Anda menggunakan PowerShell untuk menambahkan koneksi Situs-ke-Situs (S2S) ke gateway VPN yang memiliki koneksi yang sudah ada menggunakan model penyebaran klasik (warisan). Jenis koneksi ini terkadang disebut sebagai konfigurasi "multi-situs". Langkah-langkah ini tidak berlaku untuk konfigurasi koneksi yang berdampingan dengan ExpressRoute/Site-to-Site.

Langkah-langkah dalam artikel ini berlaku untuk model penyebaran klasik (warisan) dan tidak berlaku untuk model penyebaran saat ini, Resource Manager. Kecuali Anda ingin bekerja dalam model penyebaran klasik secara khusus, kami sarankan Anda menggunakan versi Resource Manager dari artikel ini.

Catatan

Artikel ini ditulis untuk model penyebaran klasik (warisan). Kami menyarankan agar Anda menggunakan model penyebaran Azure terbaru sebagai gantinya. Model penyebaran Resource Manager adalah model penyebaran terbaru dan menawarkan lebih banyak opsi dan kompatibilitas fitur daripada model penyebaran klasik. Untuk memahami perbedaan antara kedua model penyebaran ini, lihat Memahami model penyebaran dan status sumber daya Anda.

Jika Anda ingin menggunakan versi lain dari artikel ini, gunakan daftar isi di panel kiri.

Tentang menyambungkan

Anda dapat menyambungkan beberapa situs lokal ke satu jaringan virtual. Tindakan ini sangat membantu untuk membangun solusi cloud hibrid. Cara membuat koneksi multisitus ke gateway jaringan virtual Azure mirip dengan membuat koneksi Situs-ke-Situs lainnya. Anda bahkan dapat menggunakan gateway VPN Azure yang ada, selama gateway tersebut bersifat dinamis (berbasis rute).

Jika sudah memiliki gateway statis yang terhubung ke jaringan virtual, Anda dapat mengubah jenis gateway menjadi dinamis tanpa perlu membangun kembali jaringan virtual untuk memungkinkan koneksi multisitus. Sebelum mengubah jenis perutean, pastikan gateway VPN lokal Anda mendukung konfigurasi VPN berbasis rute.

Diagram showing classic multi-site connection architecture.

Poin yang perlu dipertimbangkan

Anda tidak dapat menggunakan portal untuk melakukan perubahan pada jaringan virtual ini. Anda perlu membuat perubahan pada file konfigurasi jaringan, bukan menggunakan portal. Jika Anda melakukan perubahan di portal, pengaturan referensi multisitus untuk jaringan virtual ini akan ditimpa.

Anda nantinya akan memahami cara menggunakan file konfigurasi jaringan setelah menyelesaikan prosedur multisitus. Namun, jika ada banyak orang yang menangani konfigurasi jaringan Anda, pastikan bahwa semuanya mengetahui batasan ini. Hal ini bukan berarti Anda tidak dapat menggunakan portal sama sekali. Anda dapat menggunakannya untuk segala hal lain, kecuali melakukan perubahan konfigurasi pada jaringan virtual tersebut.

Sebelum Anda mulai

Sebelum memulai konfigurasi, pastikan bahwa Anda memiliki hal berikut:

  • Perangkat keras VPN yang kompatibel untuk setiap lokasi lokal. Lihat Tentang Perangkat VPN untuk Konektivitas Komputer Virtual guna memastikan apakah perangkat yang akan Anda gunakan sudah kompatibel.
  • Alamat IP IPv4 publik yang mengarah secara eksternal untuk setiap perangkat VPN. Alamat IP tidak dapat ditemukan di belakang NAT. Ini adalah persyaratan.
  • Seseorang yang sudah ahli untuk mengonfigurasi perangkat keras VPN. Anda harus benar-benar memahami cara mengonfigurasikan perangkat VPN, atau bekerjalah dengan seseorang yang sudah ahli.
  • Rentang alamat IP yang ingin Anda gunakan untuk jaringan virtual (jika belum dibuat).
  • Rentang Alamat IP untuk setiap situs jaringan lokal yang akan Anda sambungkan. Anda harus memastikan bahwa rentang alamat IP untuk setiap situs jaringan lokal yang ingin Anda sambungkan tidak tumpang tindih. Jika tidak, portal atau REST API menolak konfigurasi yang diunggah.
    Misalnya, jika ada dua situs jaringan lokal yang keduanya memiliki rentang alamat IP 10.2.3.0/24 dan Anda memiliki paket dengan alamat tujuan 10.2.3.3, Azure tidak akan tahu situs mana yang ingin Anda kirimi paket karena rentang alamatnya tumpang tindih. Untuk mencegah masalah perutean, Azure tidak mengizinkan Anda mengunggah file konfigurasi yang memiliki rentang tumpang tindih.

Bekerja dengan Azure PowerShell

Saat bekerja dengan model penyebaran klasik, Anda tidak dapat menggunakan Azure Cloud Shell. Sebagai gantinya, Anda harus menginstal versi terbaru cmdlet PowerShell Azure Service Management (SM) secara lokal di komputer Anda. Cmdlet ini berbeda dari cmdlet AzureRM atau Az. Untuk menginstal cmdlet SM, lihat Menginstal cmdlet Manajemen Layanan. Untuk informasi selengkapnya tentang Azure PowerShell secara umum, lihat Dokumentasi Microsoft Azure PowerShell.

1. Buat VPN Situs-ke-Situs

Jika Anda sudah memiliki VPN Situs-ke-Situs dengan gateway perutean dinamis, bagus! Anda dapat lanjut ke Ekspor pengaturan konfigurasi jaringan virtual. Jika tidak, lakukan hal berikut:

Jika Anda sudah memiliki jaringan virtual Situs-ke-Situs, tetapi memiliki gateway perutean statis (berbasis kebijakan):

  1. Ubah jenis gateway Anda menjadi perutean dinamis. VPN multisitus perlu gateway perutean dinamis (juga dikenal sebagai berbasis rute). Untuk mengubah jenis gateway, Anda harus menghapus gateway yang ada terlebih dahulu, lalu membuat gateway baru.
  2. Konfigurasikan gateway yang baru dan buat tunnel VPN. Untuk petunjuknya, baca Menentukan jenis SKU dan VPN. Pastikan Anda menentukan Jenis Perutean sebagai 'Dinamis'.

Jika Anda tidak memiliki jaringan virtual Situs-ke-Situs:

  1. Buat jaringan virtual Situs-ke-Situs menggunakan petunjuk berikut: Membuat Jaringan Virtual dengan Koneksi VPN Situs-ke-Situs.
  2. Konfigurasikan gateway perutean dinamis menggunakan petunjuk berikut: Mengonfigurasikan Gateway VPN. Pastikan untuk memilih perutean dinamis bagi jenis gateway Anda.

2. Ekspor file konfigurasi jaringan

Buka konsol PowerShell Anda dengan hak yang ditinggikan. Untuk beralih ke manajemen layanan, gunakan perintah ini:

azure config mode asm

Sambungkan ke akun Anda. Gunakan contoh berikut untuk membantu Anda tersambung:

Add-AzureAccount

Ekspor file konfigurasi jaringan Azure dengan menjalankan perintah berikut ini. Anda dapat mengubah lokasi file untuk diekspor ke lokasi lain jika perlu.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Buka file konfigurasi jaringan

Buka file konfigurasi jaringan yang Anda unduh di langkah terakhir. Gunakan editor xml apa pun yang Anda suka. File akan terlihat seperti berikut:

<NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
  <VirtualNetworkConfiguration>
    <LocalNetworkSites>
      <LocalNetworkSite name="Site1">
        <AddressSpace>
          <AddressPrefix>10.0.0.0/16</AddressPrefix>
          <AddressPrefix>10.1.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
      </LocalNetworkSite>
      <LocalNetworkSite name="Site2">
        <AddressSpace>
          <AddressPrefix>10.2.0.0/16</AddressPrefix>
          <AddressPrefix>10.3.0.0/16</AddressPrefix>
        </AddressSpace>
        <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
      </LocalNetworkSite>
    </LocalNetworkSites>
    <VirtualNetworkSites>
      <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
        <AddressSpace>
          <AddressPrefix>10.20.0.0/16</AddressPrefix>
          <AddressPrefix>10.21.0.0/16</AddressPrefix>
        </AddressSpace>
        <Subnets>
          <Subnet name="FE">
            <AddressPrefix>10.20.0.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="BE">
            <AddressPrefix>10.20.1.0/24</AddressPrefix>
          </Subnet>
          <Subnet name="GatewaySubnet">
            <AddressPrefix>10.20.2.0/29</AddressPrefix>
          </Subnet>
        </Subnets>
        <Gateway>
          <ConnectionsToLocalNetwork>
            <LocalNetworkSiteRef name="Site1">
              <Connection type="IPsec" />
            </LocalNetworkSiteRef>
          </ConnectionsToLocalNetwork>
        </Gateway>
      </VirtualNetworkSite>
    </VirtualNetworkSites>
  </VirtualNetworkConfiguration>
</NetworkConfiguration>

4. Tambahkan beberapa referensi situs

Saat Anda menambahkan atau menghapus informasi referensi situs, perubahan konfigurasi akan dilakukan pada ConnectionsToLocalNetwork/LocalNetworkSiteRef. Menambahkan referensi situs lokal baru memicu Azure untuk membuat tunnel baru. Dalam contoh di bawah ini, konfigurasi jaringan ditujukan bagi koneksi situs tunggal. Simpan file setelah Anda selesai melakukan perubahan.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Untuk menambahkan referensi situs (membuat konfigurasi multisitus), cukup tambahkan baris "LocalNetworkSiteRef", seperti pada contoh di bawah ini:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Impor file konfigurasi jaringan

Impor file konfigurasi jaringan. Ketika Anda mengimpor file ini dengan perubahan, terowongan baru ditambahkan. Terowongan menggunakan gateway dinamis yang Anda buat sebelumnya. Anda dapat menggunakan PowerShell untuk mengimpor file.

6. Unduh kunci

Setelah terowongan baru Anda ditambahkan, gunakan cmdlet PowerShell 'Get-AzureVNetGatewayKey' untuk mendapatkan kunci preshared IPsec/IKE untuk setiap terowongan.

Contohnya:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Jika mau, Anda juga dapat menggunakan Get Virtual Network Gateway Shared Key REST API untuk mendapatkan kunci yang telah dibagikan sebelumnya.

7. Verifikasikan koneksi Anda

Periksa status tunnel multisitus. Setelah mengunduh kunci untuk setiap tunnel, Anda harus memverifikasi koneksi. Gunakan 'Get-AzureVnet Koneksi ion' untuk mendapatkan daftar terowongan jaringan virtual, seperti yang ditunjukkan dalam contoh berikut. VNet1 adalah nama VNet.

Get-AzureVnetConnection -VNetName VNET1

Contoh hasil:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Gateway VPN, baca Tentang Gateway VPN.