Azure Stack Hub verbinden met Azure met behulp van VPN
In dit artikel wordt beschreven hoe u een site-naar-site-VPN maakt om een virtueel netwerk in Azure Stack Hub te verbinden met een virtueel netwerk in Azure.
Voordat u begint
Als u de configuratie van de verbinding wilt voltooien, moet u de volgende items hebben voordat u begint:
- Een implementatie van geïntegreerde Azure Stack Hub-systemen (meerdere knooppunten) die rechtstreeks is verbonden met internet. Uw externe openbare IP-adresbereik moet rechtstreeks bereikbaar zijn vanaf het openbare internet.
- Een geldig Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u hier een gratis Azure-account maken.
VPN-verbindingsdiagram
In de volgende afbeelding ziet u hoe de verbindingsconfiguratie eruit moet zien wanneer u klaar bent:
Voorbeeldwaarden van netwerkconfiguratie
In de tabel met voorbeelden van netwerkconfiguraties ziet u de waarden die worden gebruikt voor voorbeelden in dit artikel. U kunt deze waarden gebruiken of u kunt ernaar verwijzen om de voorbeelden in dit artikel beter te begrijpen:
Waarde | Azure Stack Hub | Azure |
---|---|---|
Naam van virtueel netwerk | Azs-VNet | AzureVNet |
Adresruimte van virtueel netwerk | 10.1.0.0/16 | 10.100.0.0/16 |
Subnetnaam | FrontEnd | FrontEnd |
Subnetadresbereik | 10.1.0.0/24 | 10.100.0.0/24 |
Gatewaysubnet | 10.1.1.0/24 | 10.100.1.0/24 |
Maak de netwerkresources in Azure
Maak eerst de netwerkresources voor Azure. De volgende instructies laten zien hoe u de resources maakt met behulp van de Azure Portal.
Het virtuele netwerk en het subnet van de virtuele machine (VM) maken
- Meld u aan bij de Azure Portal met uw Azure-account.
- Selecteer in de gebruikersportal + Een resource maken.
- Ga naar Marketplace en selecteer Netwerken.
- Selecteer Virtueel netwerk.
- Gebruik de informatie uit de netwerkconfiguratietabel om de waarden voor Azure-naam, adresruimte, subnetnaam en subnetadresbereik te identificeren.
- Maak voor Resourcegroep een nieuwe resourcegroep of selecteer Bestaande gebruiken als u er al een hebt.
- Selecteer de locatie van uw VNet. Als u de voorbeeldwaarden gebruikt, selecteert u VS - oost of gebruikt u een andere locatie.
- Selecteer Vastmaken aan dashboard.
- Selecteer Maken.
Her gatewaysubnet maken
Open de virtuele netwerkresource die u hebt gemaakt (AzureVNet) vanuit het dashboard.
Selecteer In de sectie Instellingende optie Subnetten.
Selecteer Gatewaysubnet om een gatewaysubnet toe te voegen aan het virtuele netwerk.
De naam van het subnet is standaard ingesteld op Gatewaysubnet.
Belangrijk
Gatewaysubnetten zijn speciaal en hebben deze specifieke naam nodig om goed te functioneren.
Controleer in het veld Adresbereik of het adres 10.100.1.0/24 is.
Selecteer OK om het gatewaysubnet te maken.
De gateway van het virtuele netwerk maken
- Selecteer in Azure Portal + Een resource maken.
- Ga naar Marketplace en selecteer Netwerken.
- Selecteer Virtuele netwerkgateway in de lijst met netwerkresources.
- Typ Azure-GW in het veld Naam.
- Als u een virtueel netwerk wilt kiezen, selecteert u Virtueel netwerk. Selecteer vervolgens AzureVnet in de lijst.
- Selecteer Openbaar IP-adres. Wanneer de sectie Openbaar IP-adres kiezen wordt geopend, selecteert u Nieuwe maken.
- Typ Azure-GW-PiP in het veld Naam en selecteer VERVOLGENS OK.
- Controleer of Abonnement en Locatie juist zijn. U kunt de resource vastmaken aan het dashboard. Selecteer Maken.
De resource voor de lokale netwerkgateway maken
Selecteer in Azure Portal + Een resource maken.
Ga naar Marketplace en selecteer Netwerken.
Selecteer Lokale netwerkgateway in de lijst met resources.
Typ Azs-GW in het veld Naam.
Typ in het veld IP-adres het openbare IP-adres voor uw Azure Stack Hub Virtual Network Gateway dat eerder is vermeld in de netwerkconfiguratietabel.
Typ in het veld Adresruimte van Azure Stack Hub de adresruimte 10.1.0.0/24 en 10.1.1.0/24 voor AzureVNet.
Controleer of uw abonnement, resourcegroep en locatie juist zijn en selecteer vervolgens Maken.
De verbinding maken
Selecteer in de gebruikersportal + Een resource maken.
Ga naar Marketplace en selecteer Netwerken.
Selecteer Verbinding in de lijst met resources.
Kies in de sectie Basisinstellingen voor Verbindingstype de optie Site-naar-site (IPSec).
Selecteer abonnement,resourcegroep en locatie en selecteer vervolgens OK.
Selecteer in de sectie Instellingende optie Gateway van virtueel netwerk en selecteer vervolgens Azure-GW.
Selecteer Lokale netwerkgateway en selecteer vervolgens Azs-GW.
Bij Verbindingsnaamtypt u Azure-Azs.
Typ in Gedeelde sleutel (PSK)12345 en selecteer vervolgens OK.
Notitie
Als u een andere waarde voor de gedeelde sleutel gebruikt, moet deze overeenkomen met de waarde voor de gedeelde sleutel die u aan het andere uiteinde van de verbinding maakt.
Bekijk de sectie Samenvatting en selecteer VERVOLGENS OK.
Een aangepast IPSec-beleid maken
Er is een aangepast IPSec-beleid nodig om Ervoor te zorgen dat Azure overeenkomt met Azure Stack Hub.
Een aangepast beleid maken:
$IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384 ` -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 ` -SADataSizeKilobytes 102400000
Pas het beleid toe op de verbinding:
$Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
Een virtuele machine maken
Maak nu een virtuele machine in Azure en plaats deze in uw VM-subnet in uw virtuele netwerk.
Selecteer in Azure Portal + Een resource maken.
Ga naar Marketplace en selecteer vervolgens Compute.
Selecteer in de lijst met VM-installatiekopieën de installatiekopie Windows Server 2016 Datacenter Eval.
Typ azureVM in de sectie Basisbeginselen bij Naam.
Typ een geldige gebruikersnaam en een geldig wachtwoord. U gebruikt dit account om u aan te melden bij de VM nadat deze is gemaakt.
Geef een abonnement, resourcegroep en locatie op en selecteer vervolgens OK.
Selecteer in de sectie Grootte een VM-grootte voor dit exemplaar en selecteer vervolgens Selecteren.
In de sectie Instellingen kunt u de standaardinstellingen gebruiken. Voordat u OK selecteert, bevestigt u het volgende:
- Het virtuele netwerk AzureVnet is geselecteerd.
- Het subnet is ingesteld op 10.100.0.0/24.
Selecteer OK.
Controleer de instellingen in de sectie Samenvatting en selecteer vervolgens OK.
De netwerkresources maken in Azure Stack Hub
Maak vervolgens de netwerkresources in Azure Stack Hub.
Aanmelden als gebruiker
Een servicebeheerder kan zich aanmelden als gebruiker om de plannen, aanbiedingen en abonnementen te testen die hun gebruikers mogelijk gebruiken. Als u nog geen gebruikersaccount hebt, maakt u een gebruikersaccount voordat u zich aanmeldt.
Het virtuele netwerk en een VM-subnet maken
Gebruik een gebruikersaccount om u aan te melden bij de gebruikersportal.
Selecteer + Een resource maken in de gebruikersportal.
Ga naar Marketplaceen selecteer netwerken.
Selecteer Virtueel netwerk.
Gebruik voor Naam, Adresruimte, Subnetnaam en Subnetadresbereik de waarden uit de netwerkconfiguratietabel.
In Abonnement wordt het abonnement dat u eerder hebt gemaakt, weergegeven.
Voor Resourcegroep kunt u een resourcegroep maken of bestaande gebruiken selecteren als u er al een hebt.
Controleer de standaardlocatie.
Selecteer Vastmaken aan dashboard.
Selecteer Maken.
Her gatewaysubnet maken
Open op het dashboard de Azs-VNet virtuele netwerkresource die u hebt gemaakt.
Selecteer subnetten in de sectie Instellingen.
Als u een gatewaysubnet wilt toevoegen aan het virtuele netwerk, selecteert u Gatewaysubnet.
De naam van het subnet is standaard ingesteld op GatewaySubnet. Gatewaysubnetten werken alleen goed als ze de gatewaysubnetnaam gebruiken.
Controleer in Adresbereik of het adres 10.1.1.0/24 is.
Selecteer OK om het gatewaysubnet te maken.
De gateway van het virtuele netwerk maken
Selecteer in de Azure Stack Hub-portal de optie + Een resource maken.
Ga naar Marketplaceen selecteer netwerken.
Selecteer Virtuele netwerkgateway in de lijst met netwerkresources.
Bij Naamtypt u Azs-GW.
Selecteer het item Virtueel netwerk om een virtueel netwerk te kiezen. Selecteer Azs-VNet in de lijst.
Selecteer het menu-item Openbaar IP-adres . Wanneer de sectie Openbaar IP-adres kiezen wordt geopend, selecteert u Nieuwe maken.
Bij Naamtypt u Azs-GW-PiP en selecteert u OK.
Op route gebaseerd is standaard geselecteerd als VPN-type. Behoud het vpn-type op basis van route .
Controleer of Abonnement en Locatie juist zijn. U kunt de resource vastmaken aan het dashboard. Selecteer Maken.
De lokale netwerkgateway maken
Het concept van een lokale netwerkgateway in Azure Stack Hub is anders dan in een Azure-implementatie.
In een Azure-implementatie vertegenwoordigt een lokale netwerkgateway een on-premises (op de gebruikerslocatie) fysiek apparaat dat u verbindt met een virtuele netwerkgateway in Azure. In Azure Stack Hub zijn beide uiteinden van de verbinding echter virtuele netwerkgateways.
Een algemene beschrijving is dat de resource van de lokale netwerkgateway altijd de externe gateway aan het andere einde van de verbinding aangeeft.
De resource voor de lokale netwerkgateway maken
Meld u aan bij de Azure Stack Hub-portal.
Selecteer + Een resource maken in de gebruikersportal.
Ga naar Marketplaceen selecteer netwerken.
Selecteer lokale netwerkgateway in de lijst met resources.
Typ Azure-GW in het veld Naam.
Typ in het veld IP-adres het openbare IP-adres voor de virtuele netwerkgateway in Azure-GW-PiP. Dit adres wordt eerder weergegeven in de netwerkconfiguratietabel.
Typ in het veld Adresruimte voor de adresruimte van het Azure VNET dat u hebt gemaakt 10.100.0.0/24 en 10.100.1.0/24.
Controleer of de waarden voor abonnement, resourcegroep en locatie juist zijn en selecteer vervolgens Maken.
De verbinding maken
Selecteer + Een resource maken in de gebruikersportal.
Ga naar Marketplaceen selecteer netwerken.
Selecteer Verbinding in de lijst met resources.
Selecteer in de sectie Basisinstellingen voor verbindingstypede optie Site-naar-site (IPSec).
Selecteer abonnement, resourcegroep en locatie en selecteer vervolgens OK.
Selecteer in de sectie Instellingende optie Gateway van virtueel netwerk en selecteer vervolgens Azs-GW.
Selecteer Lokale netwerkgateway en selecteer vervolgens Azure-GW.
Bij Verbindingsnaamtypt u Azs-Azure.
Typ in Gedeelde sleutel (PSK)12345 en selecteer vervolgens OK.
Selecteer OK in de sectie Samenvatting.
Een virtuele machine maken
Als u de VPN-verbinding wilt controleren, maakt u twee VM's: één in Azure en één in Azure Stack Hub. Nadat u deze VM's hebt gemaakt, kunt u ze gebruiken om gegevens te verzenden en te ontvangen via de VPN-tunnel.
Selecteer in Azure Portal + Een resource maken.
Ga naar Marketplace en selecteer vervolgens Compute.
Selecteer in de lijst met VM-installatiekopieën de installatiekopie Windows Server 2016 Datacenter Eval.
Typ azs-VM in de sectie Basisbeginselen in Naam.
Typ een geldige gebruikersnaam en een geldig wachtwoord. U gebruikt dit account om u aan te melden bij de VM nadat deze is gemaakt.
Geef een abonnement, resourcegroep en locatie op en selecteer vervolgens OK.
Selecteer in de sectie Grootte voor dit exemplaar een VM-grootte en selecteer vervolgens Selecteren.
Accepteer de standaardwaarden in de sectie Instellingen . Zorg ervoor dat het virtuele netwerk Azs-VNet is geselecteerd. Controleer of het subnet is ingesteld op 10.1.0.0/24. Selecteer vervolgens OK.
Controleer in de sectie Samenvatting de instellingen en selecteer vervolgens OK.
De verbinding testen
Nadat de site-naar-site-verbinding tot stand is gebracht, moet u controleren of u gegevens in beide richtingen kunt laten stromen. De eenvoudigste manier om de verbinding te testen, is door een pingtest uit te voeren:
- Meld u aan bij de VM die u hebt gemaakt in Azure Stack Hub en ping de VM in Azure.
- Meld u aan bij de VM die u hebt gemaakt in Azure en ping de VM in Azure Stack Hub.
Notitie
Als u er zeker van wilt zijn dat u verkeer verzendt via de site-naar-site-verbinding, pingt u het DIRECT IP-adres (DIP) van de VM in het externe subnet, niet het VIP.
Aanmelden bij de gebruikers-VM in Azure Stack Hub
Meld u aan bij de Azure Stack Hub-portal.
Selecteer Virtual Machines in de linkernavigatiebalk.
Zoek azs-VM die u eerder hebt gemaakt in de lijst met VM's en selecteer deze.
Selecteer In de sectie voor de VM de optie Verbinding maken en open vervolgens het bestand Azs-VM.rdp.
Meld u aan met het account dat u hebt geconfigureerd bij het maken van de virtuele machine.
Open een prompt met verhoogde Windows PowerShell.
Typ ipconfig /all.
Zoek in de uitvoer het IPv4-adres en sla het adres vervolgens op voor later gebruik. Dit is het adres dat u vanuit Azure pingt. In de voorbeeldomgeving is het adres 10.1.0.4, maar in uw omgeving kan dit anders zijn. Het moet vallen binnen het subnet 10.1.0.0/24 dat u eerder hebt gemaakt.
Voer de volgende PowerShell-opdracht uit om een firewallregel te maken waarmee de VIRTUELE machine kan reageren op pings:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Aanmelden bij de tenant-VM in Azure
Meld u aan bij Azure Portal.
Selecteer Virtual Machines in de linkernavigatiebalk.
Zoek in de lijst met VM's de Azure-VM die u eerder hebt gemaakt en selecteer deze vervolgens.
Selecteer In de sectie voor de VM de optie Verbinding maken.
Meld u aan met het account dat u hebt geconfigureerd bij het maken van de virtuele machine.
Open een venster met verhoogde Windows PowerShell.
Typ ipconfig /all.
U ziet een IPv4-adres dat binnen 10.100.0.0/24 valt. In de voorbeeldomgeving is het adres 10.100.0.4, maar uw adres kan afwijken.
Voer de volgende PowerShell-opdracht uit om een firewallregel te maken waarmee de VIRTUELE machine kan reageren op pings:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Ping vanaf de VM in Azure de VM in Azure Stack Hub via de tunnel. Hiervoor pingt u het DIP dat u hebt opgenomen vanuit Azs-VM. In de voorbeeldomgeving is dit 10.1.0.4, maar zorg ervoor dat u het adres pingt dat u in uw lab hebt genoteerd. Als het goed is, ziet u een resultaat dat lijkt op de volgende schermopname:
Een antwoord van de externe VM geeft aan dat de test is geslaagd. U kunt het VM-venster sluiten.
U moet ook strengere tests voor gegevensoverdracht uitvoeren (bijvoorbeeld door bestanden van verschillende grootten in beide richtingen te kopiëren).
Statistieken van gegevensoverdracht via de gatewayverbinding weergeven
Als u wilt weten hoeveel gegevens via uw site-naar-site-verbinding worden doorgegeven, vindt u deze informatie in de sectie Verbinding . Deze test is ook een andere manier om te controleren of de ping die u zojuist hebt verzonden, daadwerkelijk via de VPN-verbinding is gegaan.
Wanneer u bent aangemeld bij de gebruikers-VM in Azure Stack Hub, gebruikt u uw gebruikersaccount om u aan te melden bij de gebruikersportal.
Ga naar Alle resources en selecteer vervolgens de verbinding Azs-Azure . Verbindingen wordt weergegeven.
In de sectie Verbinding worden de statistieken voor Gegevens in en Gegevens uit weergegeven. In de volgende schermopname worden de grote aantallen toegeschreven aan extra bestandsoverdracht. Als het goed is, ziet u daar enkele niet-nulwaarden.