Oefening: een site-to-site-VPN Gateway maken met behulp van Azure CLI-opdrachten
U bent er nu klaar voor om uw site-to-site-VPN Gateway te voltooien door de openbare IP-adressen, virtuele netwerkgateways en verbindingen te maken. Onthoud dat u bij het maken van de lokale netwerkgateways tijdelijke aanduidingen voor openbare IP-adressen hebt gebruikt. Een van uw taken is nu dus dat u deze gateways moet bijwerken met de daadwerkelijke openbare IP-adressen die zijn toegewezen aan uw virtuele netwerkgateways.
In het ideale geval moeten de openbare IP-adressen en virtuele netwerkgateways worden gemaakt voordat de lokale netwerkgateways worden gemaakt. In deze oefening ziet u hoe u de lokale netwerkgateways bijwerkt. U kunt dezelfde opdrachten gebruiken om configuratie-elementen in de lokale netwerkgateways bij te werken, zoals de adresruimten van het externe netwerk.
De VPN Gateway aan de Azure-zijde maken
Eerst maakt u de VPN-gateway voor het Azure-einde van de verbinding. Het maken van een gateway voor een virtueel netwerk duurt maximaal 45 minuten. Als u tijd wilt besparen, gebruikt u Azure CLI-opdrachten met de --no-wait parameter. Met deze parameter kunt u beide virtuele netwerkgateways tegelijkertijd maken, om de totale tijd die is vereist om deze resources te maken, te minimaliseren.
Voer de volgende opdracht uit in Cloud Shell om het openbare IP-adres PIP-VNG-Azure-VNet-1 te maken.
az network public-ip create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-Azure-VNet-1 \ --allocation-method StaticVoer de volgende opdracht uit in Cloud Shell om het virtuele netwerk VNG-Azure-VNet-1 te maken.
az network vnet create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-Azure-VNet-1 \ --subnet-name GatewaySubnetVoer de volgende opdracht uit in Cloud Shell om de virtuele netwerkgateway VNG-Azure-VNet-1 te maken.
az network vnet-gateway create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-Azure-VNet-1 \ --public-ip-addresses PIP-VNG-Azure-VNet-1 \ --vnet VNG-Azure-VNet-1 \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-wait
De on-premises VPN Gateway maken
Vervolgens maakt u een VPN-gateway om een on-premises VPN-apparaat te simuleren.
Voer de volgende opdracht uit in Cloud Shell om het openbare IP-adres pip-VNG-HQ-Network te maken.
az network public-ip create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-HQ-Network \ --allocation-method StaticVoer de volgende opdracht uit in Cloud Shell om het virtuele VNG-HQ-Network-netwerk te maken.
az network vnet create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-HQ-Network \ --subnet-name GatewaySubnetVoer de volgende opdracht uit in Cloud Shell om de virtuele netwerkgateway VNG-HQ-Network te maken.
az network vnet-gateway create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-HQ-Network \ --public-ip-addresses PIP-VNG-HQ-Network \ --vnet VNG-HQ-Network \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-waitHet maken van de gateway duurt ongeveer 30+ minuten. Voer de volgende opdracht uit om de voortgang van de gateway te controleren. We gebruiken de Linux-opdracht
watchom deaz network vnet-gateway listopdracht periodiek uit te voeren, zodat u de voortgang kunt controleren.watch -d -n 5 az network vnet-gateway list \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --output tableNadat elke VPN Gateway Geslaagd weergeeft als ProvisioningState, kunt u doorgaan. Druk op Ctrl + C om de opdracht stoppen nadat de gateway is gemaakt.
ActiveActive EnableBgp EnablePrivateIpAddress GatewayType Location Name ProvisioningState ResourceGroup ResourceGuid VpnType -------------- ----------- ------------------------ ------------- -------------- ---------------- ------------------- ----------------------------- ------------------------------------ ---------- False False False Vpn southcentralus VNG-Azure-VNet-1 Succeeded <rgn>[sandbox resource group name]</rgn> 48dc714e-a700-42ad-810f-a8163ee8e001 RouteBased False False False Vpn southcentralus VNG-HQ-Network Succeeded <rgn>[sandbox resource group name]</rgn> 49b3041d-e878-40d9-a135-58e0ecb7e48b RouteBased
De IP-verwijzingen van de lokale netwerkgateway bijwerken
Belangrijk
De virtuele netwerkgateways moeten zijn geïmplementeerd voordat u met de volgende oefening begint. Het kan tot 30 minuten duren voordat een gateway is voltooid. Als de ProvisioningState nog niet 'Geslaagd' wordt weergegeven, moet u wachten.
In deze sectie werkt u de IP-adresverwijzingen van de externe gateway bij die zijn gedefinieerd in de lokale netwerkgateways. U kunt de lokale netwerkgateways niet bijwerken totdat u de VPN Gateways hebt gemaakt en een IPv4-adres is toegewezen en gekoppeld aan deze gateways.
Voer de volgende Azure CLI-opdracht uit om te controleren of beide virtuele netwerkgateways zijn gemaakt. De initiële status toont Bijwerken. U wilt Geslaagd zien op zowel VNG-Azure-VNet-1 als VNG-HQ-Network.
az network vnet-gateway list \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --output tableName Location GatewayType VpnType VpnGatewayGeneration EnableBgp EnablePrivateIpAddress Active ResourceGuid ProvisioningState ResourceGroup ---------------- ---------- ------------- ---------- ---------------------- ----------- ------------------------ -------- ------------------------------------ ------------------- ------------------------------------------ VNG-Azure-VNet-1 westus Vpn RouteBased Generation1 False False False 9a2e60e6-da57-4274-99fd-e1f8b2c0326d Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09e VNG-HQ-Network westus Vpn RouteBased Generation1 False False False c36430ed-e6c0-4230-ae40-cf937a102bcd Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09eDenk er wel om dat u moet wachten tot de lijsten met gateways zijn geretourneerd. Onthoud ook dat de resources van de lokale netwerkgateway de instellingen definiëren van de externe gateway en van het netwerk waarna ze zijn genoemd. De lokale netwerkgateway LNG-Azure-VNet-1 bevat bijvoorbeeld informatie als het IP-adres en de netwerken voor Azure-VNet-1.
Voer de volgende opdracht uit in Cloud Shell om het IPv4-adres op te halen dat is toegewezen aan PIP-VNG-Azure-VNet-1 en op te slaan in een variabele.
PIPVNGAZUREVNET1=$(az network public-ip show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-Azure-VNet-1 \ --query "[ipAddress]" \ --output tsv)Voer de volgende opdracht uit in Cloud Shell om de lokale netwerkgateway LNG-Azure-VNet-1 bij te werken, zodat deze verwijst naar het openbare IP-adres dat is gekoppeld aan de virtuele netwerkgateway VNG-Azure-VNet-1 .
az network local-gateway update \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name LNG-Azure-VNet-1 \ --gateway-ip-address $PIPVNGAZUREVNET1Voer de volgende opdracht uit in Cloud Shell om het IPv4-adres op te halen dat is toegewezen aan PIP-VNG-HQ-Network en op te slaan in een variabele.
PIPVNGHQNETWORK=$(az network public-ip show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-HQ-Network \ --query "[ipAddress]" \ --output tsv)Voer de volgende opdracht uit in Cloud Shell om de lokale netwerkgateway LNG-HQ-Network bij te werken, zodat deze verwijst naar het openbare IP-adres dat is gekoppeld aan de virtuele netwerkgateway VNG-HQ-Network .
az network local-gateway update \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name LNG-HQ-Network \ --gateway-ip-address $PIPVNGHQNETWORK
De verbindingen maken
U voltooit de configuratie door de verbindingen van elke VPN-gateway met de lokale netwerkgateway te maken die de verwijzingen naar het openbare IP-adres voor het externe netwerk van die gateway bevat.
Maak de gedeelde sleutel die moet worden gebruikt voor de verbindingen. Vervang in de volgende opdracht door
<shared key>een tekenreeks die moet worden gebruikt voor de vooraf gedeelde IPSec-sleutel. De vooraf gedeelde sleutel is een tekenreeks met afdrukbare ASCII-tekens die niet langer zijn dan 128 tekens. Het mag geen speciale tekens bevatten, zoals afbreekstreepjes en tildes. U gebruikt deze vooraf gedeelde sleutel voor beide verbindingen.Notitie
In dit voorbeeld werkt elke set getallen voor een gedeelde sleutel: SHAREDKEY=123456789. In productieomgevingen wordt u aangeraden een tekenreeks met afdrukbare ASCII-tekens te gebruiken die niet langer zijn dan 128 tekens zonder speciale tekens, zoals afbreekstreepjes of tildes.
SHAREDKEY=<shared key>Houd er rekening mee dat LNG-HQ-Network een verwijzing bevat naar het IP-adres op het gesimuleerde on-premises VPN-apparaat. Voer de volgende opdracht uit in Cloud Shell om een verbinding te maken van VNG-Azure-VNet-1 naar LNG-HQ-Network.
az network vpn-connection create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name Azure-VNet-1-To-HQ-Network \ --vnet-gateway1 VNG-Azure-VNet-1 \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-HQ-NetworkDenk erom dat LNG-Azure-VNet-1 een verwijzing bevat naar het openbare IP-adres dat is gekoppeld aan de VPN Gateway VNG-Azure-VNet-1. Deze verbinding wordt normaal gesproken gemaakt vanaf uw on-premises-apparaat. Voer de volgende opdracht uit in Cloud Shell om een verbinding te maken van VNG-HQ-Network naar LNG-Azure-VNet-1.
az network vpn-connection create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name HQ-Network-To-Azure-VNet-1 \ --vnet-gateway1 VNG-HQ-Network \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-Azure-VNet-1
U hebt nu de configuratie van de site-naar-site-verbinding voltooid. Het kan enkele minuten duren, maar de tunnels moeten automatisch verbinding maken en actief worden.
Verificatiestappen
Laten we controleren of de VPN-tunnels zijn verbonden.
Voer de volgende opdracht uit om te controleren of Azure-VNet-1-To-HQ-Network is verbonden.
az network vpn-connection show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name Azure-VNet-1-To-HQ-Network \ --output table \ --query '{Name:name,ConnectionStatus:connectionStatus}'Als het goed is, ziet u uitvoer zoals hieronder, waarmee wordt aangegeven dat de verbinding is geslaagd. Als de
ConnectionStatusopdracht wordt weergegeven alsConnectingofUnknown, wacht u een paar minuten en voert u de opdracht opnieuw uit. Het kan een paar minuten duren voordat de verbindingen volledig zijn verbonden.Name ConnectionStatus -------------------------- ------------------ Azure-VNet-1-To-HQ-Network Connected
De site-to-site-configuratie is nu voltooid. De uiteindelijke topologie, inclusief de subnetten en verbindingen, met logische verbindingspunten, wordt weergegeven in het volgende diagram. Virtuele machines die zijn geïmplementeerd in de subnetten Services en Toepassingen kunnen nu met elkaar communiceren, nu de VPN-verbindingen tot stand zijn gebracht.
