Een op route gebaseerde VPN-gateway maken met behulp van CLI

Dit artikel helpt u snel een op route gebaseerde Azure VPN-gateway te maken met behulp van de Azure CLI. Een VPN-gateway wordt gebruikt bij het maken van een VPN-verbinding met uw on-premises netwerk. U kunt ook een VPN-gateway gebruiken om VNets te verbinden.

In dit artikel maakt u een VNet, een subnet, een gatewaysubnet en een op route gebaseerde VPN-gateway (virtuele netwerkgateway). Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Zodra het maken van de gateway is voltooid, kunt u vervolgens verbindingen maken. Voor deze stappen is een Azure-abonnement vereist.

Een VPN-gateway is slechts één onderdeel van een verbindingsarchitectuur om u te helpen veilig toegang te krijgen tot resources binnen een virtueel netwerk.

• Aan de linkerkant van het diagram ziet u het virtuele netwerk en de VPN-gateway die u maakt met behulp van de stappen in dit artikel.
• U kunt later verschillende typen verbindingen toevoegen, zoals aan de rechterkant van het diagram wordt weergegeven. U kunt bijvoorbeeld site-naar-site- en punt-naar-site-verbindingen maken. Als u verschillende ontwerparchitecturen wilt bekijken die u kunt bouwen, raadpleegt u het vpn-gatewayontwerp.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor dit artikel is versie 2.0.4 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.

Een brongroep maken

Maak een resourcegroep met de opdracht az group create. Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

az group create --name TestRG1 --location eastus

Een virtueel netwerk maken

Maak een virtueel netwerk met behulp van de opdracht az network vnet create . In het volgende voorbeeld wordt een virtueel netwerk met de naam VNet1 gemaakt op de locatie EASTUS :

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name Frontend \
  --subnet-prefix 10.1.0.0/24

Een gatewaysubnet toevoegen

Het gatewaysubnet bevat de gereserveerde IP-adressen die door de gatewayservices van het virtuele netwerk worden gebruikt. Gebruik de volgende voorbeelden om een gatewaysubnet toe te voegen:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Een openbaar IP-adres aanvragen

Een VPN-gateway moet een openbaar IP-adres hebben. Het openbare IP-adres wordt toegewezen aan de VPN-gateway die u voor uw virtuele netwerk maakt. Gebruik het volgende voorbeeld om een openbaar IP-adres aan te vragen met behulp van de opdracht az network public-ip create :

az network public-ip create \
  -n VNet1GWIP \
  -g TestRG1 \

De VPN-gateway maken

Maak de VPN Gateway met behulp van de opdracht az network vnet-gateway create.

Als u deze opdracht uitvoert met behulp van de --no-wait parameter, ziet u geen feedback of uitvoer. Met --no-wait de parameter kan de gateway op de achtergrond worden gemaakt. Dit betekent niet dat de VPN-gateway onmiddellijk wordt gemaakt.

az network vnet-gateway create \
  -n VNet1GW \
  -l eastus \
  --public-ip-address VNet1GWIP \
  -g TestRG1 \
  --vnet VNet1 \
  --gateway-type Vpn \
  --sku VpnGw2 \
  --vpn-gateway-generation Generation2 \
  --no-wait

Het maken van een VPN-gateway kan tot 45 minuten of langer duren.

De VPN-gateway weergeven

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Het antwoord ziet er ongeveer als volgt uit:

{
  "activeActive": false,
  "bgpSettings": {
    "asn": 65515,
    "bgpPeeringAddress": "10.1.255.30",
    "bgpPeeringAddresses": [
      {
        "customBgpIpAddresses": [],
        "defaultBgpIpAddresses": [
          "10.1.255.30"
        ],
        "ipconfigurationId": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
        "tunnelIpAddresses": [
          "20.228.164.35"
        ]
      }
    ],
    "peerWeight": 0
  },
  "disableIPSecReplayProtection": false,
  "enableBgp": false,
  "enableBgpRouteTranslationForNat": false,
  "enablePrivateIpAddress": false,
  "etag": "W/\"6c61f8cb-d90f-4796-8697\"",
  "gatewayType": "Vpn",
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW",
  "ipConfigurations": [
    {
      "etag": "W/\"6c61f8cb-d90f-4796-8697\"",
      "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
      "name": "vnetGatewayConfig0",
      "privateIPAllocationMethod": "Dynamic",
      "provisioningState": "Succeeded",
      "publicIPAddress": {
        "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
        "resourceGroup": "TestRG1"
      },
      "resourceGroup": "TestRG1",
      "subnet": {
        "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworks/VNet1/subnets/GatewaySubnet",
        "resourceGroup": "TestRG1"
      }
    }
  ],
  "location": "eastus",
  "name": "VNet1GW",
  "natRules": [],
  "provisioningState": "Succeeded",
  "resourceGroup": "TestRG1",
  "resourceGuid": "69c269e3-622c-4123-9231",
  "sku": {
    "capacity": 2,
    "name": "VpnGw2",
    "tier": "VpnGw2"
  },
  "type": "Microsoft.Network/virtualNetworkGateways",
  "vpnGatewayGeneration": "Generation2",
  "vpnType": "RouteBased"
}

Het openbare IP-adres weergeven

Gebruik het volgende voorbeeld om het openbare IP-adres weer te geven dat aan uw gateway is toegewezen:

az network public-ip show \
  --name VNet1GWIP \
  --resource-group TestRG1

De waarde die is gekoppeld aan het veld ipAddress is het openbare IP-adres van uw VPN-gateway.

Voorbeeld van een reactie:

{
  "dnsSettings": null,
  "etag": "W/\"69c269e3-622c-4123-9231\"",
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
  "idleTimeoutInMinutes": 4,
  "ipAddress": "13.90.195.184",
  "ipConfiguration": {
    "etag": null,
    "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",

Resources opschonen

Wanneer u de resources die u hebt gemaakt niet meer nodig hebt, gebruikt u az group delete om de resourcegroep te verwijderen. Hiermee verwijdert u de resourcegroep en alle resources die deze bevat.

az group delete --name TestRG1 --yes

Volgende stappen

Zodra de gateway is gemaakt, kunt u een verbinding maken tussen uw virtuele netwerk en een ander VNet. Of maak een verbinding tussen uw virtuele netwerk en een on-premises locatie.

Een site-naar-site-verbinding maken

Een punt-naar-site-verbinding maken

Een verbinding met een ander VNet maken