Настройка VPN-шлюзов в режиме "активный — активный" с помощью портала
Эта статья поможет вам настроить шлюзы VPN в режиме "активный — активный" с высоким уровнем доступности с помощью модели развертывания Resource Manager и портала Azure. Кроме того, для настройки шлюза в режиме "активный — активный" можно использовать PowerShell.
Чтобы добиться высокого уровня доступности для подключений между локальными и виртуальными сетями, следует развернуть несколько VPN-шлюзов и установить несколько параллельных подключений между сетями и Azure. Сведения о вариантах и топологии подключений см. в статье Настройка высокодоступных подключений: распределенных и между виртуальными сетями.
Внимание
Режим "активный — активный" доступен для всех ценовых категорий, кроме "Базовый" и "Стандартный". Дополнительные сведения о номерах SKU шлюза, производительности и поддерживаемых функциях см . в статье об номерах SKU шлюза. Для этой конфигурации требуются общедоступные IP-адреса SKU уровня "Стандартный". Вы не можете использовать общедоступный IP-адрес SKU уровня "Базовый".
Описанные в этой статье шаги помогут вам настроить VPN-шлюз в режиме "активный — активный". Между режимами "активный — активный" и "активный — резервный" есть несколько отличий. Другие свойства такие же, как у шлюзов не в режиме "активный — активный".
- Шлюзы в режиме "активный — активный" используют две IP-конфигурации шлюза и два общедоступных IP-адреса.
- Для шлюзов в режиме "активный — активный" включен соответствующий параметр.
- Ценовая категория шлюза виртуальной сети не может быть "Базовый" или "Стандартный".
Если у вас уже есть VPN-шлюз, вы можете изменить для него режим "активный — активный" на "активный — резервный" или наоборот, как описано в разделе Обновление существующего VPN-шлюза.
Создание виртуальной сети
Если у вас еще нет виртуальной сети, которую вы хотите использовать, создайте виртуальную сеть с помощью следующих значений:
- Группа ресурсов: TestRG1
- Имя: VNet1
- Регион: (США) Восточная часть США
- Диапазон IPv4-адресов: 10.1.0.0/16.
- Имя подсети: FrontEnd.
- Диапазон адресов подсети: 10.1.0.0/24
Войдите на портал Azure.
В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .
На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".
На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке входных значений отображается зеленый флажок. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.
- Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
- Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
- Имя. Введите имя виртуальной сети.
- Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развернутые в этой виртуальной сети.
Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.
Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.
Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.
+ Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.
- Имя подсети: пример — FrontEnd.
- Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.
Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.
Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.
После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.
Создание VPN-шлюза в режиме "активный — активный"
На этом шаге описано, как создать для своей сети VPN-шлюз (шлюз виртуальной сети) в режиме "активный — активный". Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.
Создайте шлюз виртуальной сети, используя следующие значения:
- Имя: Vnet1GW
- Регион: восточная часть США.
- Тип шлюза: VPN
- Тип VPN: на основе маршрутов
- SKU: VpnGw2
- Поколение: Generation2
- Виртуальная сеть: VNet1
- Диапазон адресов подсети шлюза: 10.1.255.0/27
- Общедоступный IP-адрес: выберите вариант "Создать новый"
- Имя общедоступного IP-адреса: VNet1GWpip.
В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".
На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.
Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.
Группа ресурсов. Этот параметр автоматически заполняется при выборе виртуальной сети на этой странице.
Имя. Назовите свой шлюз. Именование шлюза не совпадает с именованием подсети шлюза. Это имя объекта шлюза, который вы создаете.
Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.
Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.
Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать. См . номера SKU шлюза. Номера SKU AZ поддерживают зоны доступности.
Поколение. Выберите поколение, которое необходимо использовать. Рекомендуется использовать номер SKU поколения 2. Дополнительные сведения см. в разделе о номерах SKU шлюзов.
Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, для которой вы хотите создать шлюз, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.
Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.
В настоящее время это поле может отображать различные параметры в зависимости от адресного пространства виртуальной сети и того, создали ли вы подсеть с именем GatewaySubnet для виртуальной сети.
Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.
Введите значения для общедоступного IP-адреса. Эти параметры задают объект общедоступного IP-адреса, который связывается с VPN-шлюзом. При создании объекта общедоступного IP-адреса ip-адрес назначается объекту IP-адрес. Затем объект общедоступного IP-адреса связан с шлюзом. Для шлюзов, которые не являются избыточными по зонам, единственным временем изменения общедоступного IP-адреса является удаление и повторное создание шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется. Необходимо связать объект общедоступного IP-адреса, использующий номер SKU уровня "Стандартный ". Объект общедоступного IP-адреса SKU уровня "Базовый" поддерживается только для VPN-шлюзов SKU уровня "Базовый".
- Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
- Имя общедоступного IP-адреса. В текстовом поле укажите имя общедоступного IP-адреса.
- Назначение: статический выбран автоматически.
- Включить режим "активный — активный". Выберите Включено.
- Второй общедоступный IP-адрес. Выберите Создать новый.
- Имя общедоступного IP-адреса. Задайте имя для второго общедоступного IP-адреса.
- Не выбирайте параметр Configure BGP (Настроить BGP), кроме случаев, когда его выбор обусловлен используемой конфигурацией. Если этот параметр требуется, значение ASN по умолчанию равно 65515, но другие ASN можно использовать.
Выберите Просмотр и создание, чтобы выполнить проверку.
Затем щелкните Создать, чтобы развернуть шлюз виртуальной частной сети.
Состояние развертывания можно отслеживать на странице обзора шлюза. После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале. Шлюз будет отображаться как подключенное устройство.
Внимание
Группы безопасности сети (NSG) в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Группа безопасности сети.
Обновление существующего VPN-шлюза
В этом разделе описано, как перевести существующий VPN-шлюз Azure из режима "активный — резервный" в режим "активный — активный" или наоборот. При изменении режима шлюза "активный — резервный" на "активный — активный" необходимо создать новый общедоступный IP-адрес и добавить вторую IP-конфигурацию шлюза.
Изменение режима "активный — резервный" на режим "активный — активный"
Следующий скрипт изменяет для шлюза режим "активный — резервный" на режим "активный — активный". Если для шлюза использовалась модель развертывания Resource Manager, на этой же странице вы можете изменить SKU.
Перейдите к странице шлюза виртуальной сети.
В меню слева выберите Конфигурация.
На странице Конфигурация настройте следующие параметры:
- Для режима "активный — активный" выберите Включено.
- Нажмите кнопку "Добавить новую" , чтобы добавить другой общедоступный IP-адрес. Если у вас уже есть СОЗДАННЫЙ ранее IP-адрес, который доступен для выделения этому ресурсу, его можно выбрать в раскрывающемся списке ВТОРОЙ ОБЩЕДОСТУПНЫЙ IP-адрес .
На странице Выбор общедоступного IP-адреса укажите соответствующий существующий общедоступный IP-адрес или щелкните Создать, чтобы получить новый общедоступный IP-адрес для использования для второго экземпляра VPN-шлюза. После указания второго общедоступного IP-адреса нажмите кнопку "ОК".
В верхней части страницы Конфигурация щелкните Сохранить. Обновление может занять около 30–45 минут.
Внимание
Если у вас запущены сеансы BGP, помните, что конфигурация BGP Azure VPN-шлюз BGP изменится, а два только что назначенных IP-адреса BGP будут подготовлены в диапазоне адресов подсети шлюза. Старый IP-адрес BGP azure VPN-шлюз больше не будет существовать. Это приведет к простою и обновлению одноранговых узлов BGP на локальных устройствах. После завершения подготовки шлюза новые IP-адреса BGP можно получить, а конфигурация локального устройства должна быть обновлена соответствующим образом. Это относится к IP-адресам BGP, не относящихся к APIPA. Сведения о настройке BGP в Azure см. в статье "Настройка BGP в azure VPN-шлюз".
Изменение режима "активный — активный" на режим "активный — резервный"
Следующий скрипт изменяет для шлюза режим "активный — активный" на режим "активный — резервный".
Перейдите к странице шлюза виртуальной сети.
В меню слева выберите Конфигурация.
На странице Конфигурация выберите для режима "активный — активный" значение Выключено.
В верхней части страницы Конфигурация щелкните Сохранить.
Внимание
Если у вас запущены сеансы BGP, помните, что конфигурация BGP Azure VPN-шлюз BGP изменится с двух IP-адресов BGP на один адрес BGP. Платформа обычно назначает последний доступный IP-адрес подсети шлюза. Это приведет к простою и обновлению одноранговых узлов BGP на локальных устройствах. Это относится к IP-адресам BGP, не относящихся к APIPA. Сведения о настройке BGP в Azure см. в статье "Настройка BGP в azure VPN-шлюз".
Следующие шаги
Сведения о настройке подключений см. в следующих статьях: