Łączenie usługi Azure Stack Hub z platformą Azure przy użyciu sieci VPN

W tym artykule opisano sposób tworzenia sieci VPN typu lokacja-lokacja w celu połączenia sieci wirtualnej w usłudze Azure Stack Hub z siecią wirtualną na platformie Azure.

Zanim rozpoczniesz

Aby ukończyć konfigurację połączenia, przed rozpoczęciem upewnij się, że masz następujące elementy:

• Wdrożenie zintegrowanych systemów (wielowęźle) usługi Azure Stack Hub, które jest bezpośrednio połączone z Internetem. Zewnętrzny zakres publicznych adresów IP musi być bezpośrednio dostępny z publicznego Internetu.
• Prawidłowa subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, możesz utworzyć bezpłatne konto platformy Azure tutaj.

Diagram połączenia sieci VPN

Na poniższej ilustracji przedstawiono, jak powinna wyglądać konfiguracja połączenia po zakończeniu pracy:

Przykładowe wartości konfiguracji sieci

W tabeli przykładów konfiguracji sieci przedstawiono wartości, które są używane do przykładów w tym artykule. Możesz użyć tych wartości lub odwołać się do nich, aby lepiej zrozumieć przykłady w tym artykule:

Wartość	Azure Stack Hub	Azure
Nazwa sieci wirtualnej	Azs-VNet	AzureVNet
Przestrzeń adresowa sieci wirtualnej	10.1.0.0/16	10.100.0.0/16
Nazwa podsieci	FrontEnd	FrontEnd
Zakres adresów podsieci	10.1.0.0/24	10.100.0.0/24
Podsieć bramy	10.1.1.0/24	10.100.1.0/24

Tworzenie zasobów sieciowych na platformie Azure

Najpierw utwórz zasoby sieciowe dla platformy Azure. W poniższych instrukcjach pokazano, jak utworzyć zasoby przy użyciu Azure Portal.

Tworzenie podsieci sieci wirtualnej i maszyny wirtualnej

1. Zaloguj się do Azure Portal przy użyciu konta platformy Azure.
2. W portalu użytkowników wybierz pozycję + Utwórz zasób.
3. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.
4. Wybierz pozycję Sieć wirtualna.
5. Skorzystaj z informacji z tabeli konfiguracji sieci, aby zidentyfikować wartości nazw platformy Azure, przestrzeni adresowej, nazwy podsieci i zakresu adresów podsieci.
6. W obszarze Grupa zasobów utwórz nową grupę zasobów lub, jeśli już masz tę grupę, wybierz pozycję Użyj istniejącej.
7. Wybierz lokalizację sieci wirtualnej. Jeśli używasz przykładowych wartości, wybierz pozycję Wschodnie stany USA lub użyj innej lokalizacji.
8. Wybierz opcję Przypnij do pulpitu nawigacyjnego.
9. Wybierz przycisk Utwórz.

Tworzenie podsieci bramy

1. Otwórz zasób sieci wirtualnej utworzony na pulpicie nawigacyjnym (AzureVNet).

2. W sekcji Ustawienia wybierz pozycję Podsieci.

3. Wybierz podsieć bramy , aby dodać podsieć bramy do sieci wirtualnej.

4. Domyślna nazwa podsieci to GatewaySubnet.

   Ważne

   Podsieci bramy to specjalne podsieci i muszą mieć dokładnie tę nazwę, aby działać prawidłowo.

5. W polu Zakres adresów sprawdź, czy adres to 10.100.1.0/24.

6. Wybierz przycisk OK , aby utworzyć podsieć bramy.

Tworzenie bramy sieci wirtualnej

1. W witrynie Azure Portal kliknij pozycję + Utwórz zasób.
2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.
3. Z listy zasobów sieciowych wybierz pozycję Brama sieci wirtualnej.
4. W polu Nazwa wpisz Azure-GW.
5. Aby wybrać sieć wirtualną, wybierz pozycję Sieć wirtualna. Następnie wybierz pozycję AzureVnet z listy.
6. Wybierz pozycję Publiczny adres IP. Po otwarciu sekcji Wybierz publiczny adres IP wybierz pozycję Utwórz nowy.
7. W polu Nazwa wpisz Azure-GW-PiP, a następnie wybierz przycisk OK.
8. Upewnij się, że wartości w polach Subskrypcja i Lokalizacja są poprawne. Zasób można przypiąć do pulpitu nawigacyjnego. Wybierz przycisk Utwórz.

Tworzenie zasobu bramy sieci lokalnej

1. W witrynie Azure Portal kliknij pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

3. Z listy zasobów wybierz pozycję Brama sieci lokalnej.

4. W polu Nazwa wpisz Azs-GW.

5. W polu Adres IP wpisz publiczny adres IP dla bramy usługi Azure Stack Hub Virtual Network, która jest wymieniona wcześniej w tabeli konfiguracji sieci.

6. W polu Przestrzeń adresowa w usłudze Azure Stack Hub wpisz przestrzeń adresową 10.1.0.0/24 i 10.1.1.0/24 dla sieci AzureVNet.

7. Sprawdź, czy subskrypcja, grupa zasobów i lokalizacja są poprawne, a następnie wybierz pozycję Utwórz.

Tworzenie połączenia

1. W portalu użytkowników wybierz pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

3. Z listy zasobów wybierz pozycję Połączenie.

4. W sekcji Ustawienia podstawowe w polu Typ połączenia wybierz pozycję Lokacja-lokacja (IPSec).

5. Wybierz pozycję Subskrypcja, Grupa zasobów i Lokalizacja, a następnie wybierz przycisk OK.

6. W sekcji Ustawienia wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Azure-GW.

7. Wybierz pozycję Brama sieci lokalnej, a następnie wybierz pozycję Azs-GW.

8. W polu Nazwa połączenia wpisz Azure-Azs.

9. W polu Klucz wspólny (PSK) wpisz 12345, a następnie wybierz przycisk OK.

   Uwaga

   Jeśli używasz innej wartości klucza współużytkowanego, pamiętaj, że musi być zgodna z wartością klucza współużytkowanego utworzonego na drugim końcu połączenia.

10. Przejrzyj sekcję Podsumowanie , a następnie wybierz przycisk OK.

Tworzenie niestandardowych zasad PROTOKOŁU IPSec

Aby platforma Azure była zgodna z usługą Azure Stack Hub, potrzebne są niestandardowe zasady protokołu IPSec.

Moduły Az

1. Utwórz zasady niestandardowe:

   $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
   -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
   -SADataSizeKilobytes 102400000
   

2. Zastosuj zasady do połączenia:

   $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
   Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
   

Moduły AzureRM

1. Utwórz zasady niestandardowe:

   $IPSecPolicy = New-AzureRMIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
   -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
   -SADataSizeKilobytes 102400000
   

2. Zastosuj zasady do połączenia:

   $Connection = Get-AzureRMVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
   Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
   

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną na platformie Azure i umieść ją w podsieci maszyny wirtualnej w sieci wirtualnej.

1. W witrynie Azure Portal kliknij pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Obliczenia.

3. Na liście obrazów maszyn wirtualnych wybierz obraz Windows Server 2016 Datacenter Eval.

4. W sekcji Podstawy w polu Nazwa wpisz AzureVM.

5. Wpisz prawidłową nazwę użytkownika i hasło. To konto służy do logowania się do maszyny wirtualnej po jej utworzeniu.

6. Podaj subskrypcję, grupę zasobów i lokalizację, a następnie wybierz przycisk OK.

7. W sekcji Rozmiar wybierz rozmiar maszyny wirtualnej dla tego wystąpienia, a następnie wybierz pozycję Wybierz.

8. W sekcji Ustawienia możesz użyć ustawień domyślnych. Przed wybraniem przycisku OK upewnij się, że:

   • Wybrano sieć wirtualną AzureVnet .
   • Podsieć jest ustawiona na 10.100.0.0/24.

   Wybierz przycisk OK.

9. Przejrzyj ustawienia w sekcji Podsumowanie , a następnie wybierz przycisk OK.

Tworzenie zasobów sieciowych w usłudze Azure Stack Hub

Następnie utwórz zasoby sieciowe w usłudze Azure Stack Hub.

Zaloguj się jako użytkownik

Administrator usługi może zalogować się jako użytkownik, aby przetestować plany, oferty i subskrypcje, których mogą używać użytkownicy. Jeśli jeszcze go nie masz, przed zalogowaniem utwórz konto użytkownika .

Tworzenie sieci wirtualnej i podsieci maszyny wirtualnej

1. Użyj konta użytkownika, aby zalogować się do portalu użytkowników.

2. W portalu użytkowników wybierz pozycję + Utwórz zasób.

   

3. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

4. Wybierz pozycję Sieć wirtualna.

5. W obszarze Nazwa, Przestrzeń adresowa, Nazwa podsieci i Zakres adresów podsieci użyj wartości z tabeli konfiguracji sieci.

6. W obszarze Subskrypcja zostanie wyświetlona utworzona wcześniej subskrypcja.

7. W obszarze Grupa zasobów możesz utworzyć grupę zasobów lub wybrać pozycję Użyj istniejącej.

8. Sprawdź lokalizację domyślną.

9. Wybierz opcję Przypnij do pulpitu nawigacyjnego.

10. Wybierz przycisk Utwórz.

Tworzenie podsieci bramy

1. Na pulpicie nawigacyjnym otwórz utworzony zasób sieci wirtualnej Azs-VNet.

2. W sekcji Ustawienia wybierz pozycję Podsieci.

3. Aby dodać podsieć bramy do sieci wirtualnej, wybierz pozycję Podsieć bramy.

   

4. Domyślnie nazwa podsieci jest ustawiona na GatewaySubnet. Aby podsieci bramy działały prawidłowo, muszą użyć nazwy GatewaySubnet .

5. W polu Zakres adresów sprawdź, czy adres to 10.1.1.0/24.

6. Wybierz przycisk OK , aby utworzyć podsieć bramy.

Tworzenie bramy sieci wirtualnej

1. W portalu usługi Azure Stack Hub wybierz pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

3. Z listy zasobów sieciowych wybierz pozycję Brama sieci wirtualnej.

4. W polu Nazwa wpisz Azs-GW.

5. Wybierz element Sieć wirtualna , aby wybrać sieć wirtualną. Wybierz pozycję Azs-VNet z listy.

6. Wybierz element menu Publiczny adres IP . Po otwarciu sekcji Wybierz publiczny adres IP wybierz pozycję Utwórz nowy.

7. W polu Nazwa wpisz Azs-GW-PiP, a następnie wybierz przycisk OK.

8. Domyślnie typ sieci VPN jest wybierany na podstawie trasy. Zachowaj typ sieci VPN opartej na trasach .

9. Upewnij się, że wartości w polach Subskrypcja i Lokalizacja są poprawne. Zasób można przypiąć do pulpitu nawigacyjnego. Wybierz przycisk Utwórz.

Tworzenie bramy sieci lokalnej

Koncepcja bramy sieci lokalnej w usłudze Azure Stack Hub różni się od wdrożenia platformy Azure.

We wdrożeniu platformy Azure brama sieci lokalnej reprezentuje lokalne (w lokalizacji użytkownika) urządzenie fizyczne, które łączy się z bramą sieci wirtualnej na platformie Azure. Jednak w usłudze Azure Stack Hub oba końce połączenia to bramy sieci wirtualnej.

Bardziej ogólny opis polega na tym, że zasób bramy sieci lokalnej zawsze wskazuje bramę zdalną na drugim końcu połączenia.

Tworzenie zasobu bramy sieci lokalnej

1. Zaloguj się do portalu usługi Azure Stack Hub.

2. W portalu użytkowników wybierz pozycję + Utwórz zasób.

3. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

4. Z listy zasobów wybierz bramę sieci lokalnej.

5. W polu Nazwa wpisz Azure-GW.

6. W polu Adres IP wpisz publiczny adres IP bramy sieci wirtualnej w usłudze Azure-GW-PiP. Ten adres pojawia się wcześniej w tabeli konfiguracji sieci.

7. W polu Przestrzeń adresowa dla utworzonej przestrzeni adresowej sieci wirtualnej platformy Azure wpisz 10.100.0.0/24 i 10.100.1.0/24.

8. Sprawdź, czy wartości subskrypcji, grupy zasobów i lokalizacji są poprawne, a następnie wybierz pozycję Utwórz.

Tworzenie połączenia

1. W portalu użytkowników wybierz pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Sieć.

3. Z listy zasobów wybierz pozycję Połączenie.

4. W sekcji Ustawienia podstawowe w polu Typ połączenia wybierz pozycję Lokacja-lokacja (IPSec).

5. Wybierz pozycję Subskrypcja, Grupa zasobów i Lokalizacja, a następnie wybierz przycisk OK.

6. W sekcji Ustawienia wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję Azs-GW.

7. Wybierz pozycję Brama sieci lokalnej, a następnie wybierz pozycję Azure-GW.

8. W polu Nazwa połączenia wpisz Azs-Azure.

9. W polu Klucz wspólny (PSK) wpisz 12345, a następnie wybierz przycisk OK.

10. W sekcji Podsumowanie wybierz przycisk OK.

Tworzenie maszyny wirtualnej

Aby sprawdzić połączenie sieci VPN, utwórz dwie maszyny wirtualne: jedną na platformie Azure i jedną w usłudze Azure Stack Hub. Po utworzeniu tych maszyn wirtualnych można ich używać do wysyłania i odbierania danych za pośrednictwem tunelu sieci VPN.

1. W witrynie Azure Portal kliknij pozycję + Utwórz zasób.

2. Przejdź do witryny Marketplace, a następnie wybierz pozycję Obliczenia.

3. Na liście obrazów maszyn wirtualnych wybierz obraz Windows Server 2016 Datacenter Eval.

4. W sekcji Podstawy w polu Nazwa wpisz Azs-VM.

5. Wpisz prawidłową nazwę użytkownika i hasło. To konto służy do logowania się do maszyny wirtualnej po jej utworzeniu.

6. Podaj subskrypcję, grupę zasobów i lokalizację, a następnie wybierz przycisk OK.

7. W sekcji Rozmiar dla tego wystąpienia wybierz rozmiar maszyny wirtualnej, a następnie wybierz pozycję Wybierz.

8. W sekcji Ustawienia zaakceptuj wartości domyślne. Upewnij się, że wybrano sieć wirtualną Azs-VNet . Sprawdź, czy podsieć jest ustawiona na 10.1.0.0/24. Następnie wybierz przycisk OK.

9. W sekcji Podsumowanie przejrzyj ustawienia, a następnie wybierz przycisk OK.

Testowanie połączenia

Po nawiązaniu połączenia typu lokacja-lokacja należy sprawdzić, czy można pobrać dane przepływające w obu kierunkach. Najprostszym sposobem przetestowania połączenia jest wykonanie testu ping:

• Zaloguj się do maszyny wirtualnej utworzonej w usłudze Azure Stack Hub i wyślij polecenie ping do maszyny wirtualnej na platformie Azure.
• Zaloguj się do maszyny wirtualnej utworzonej na platformie Azure i wyślij polecenie ping do maszyny wirtualnej w usłudze Azure Stack Hub.

Uwaga

Aby upewnić się, że wysyłasz ruch za pośrednictwem połączenia lokacja-lokacja, wyślij polecenie ping na bezpośredni adres IP (DIP) maszyny wirtualnej w podsieci zdalnej, a nie adres VIP.

Logowanie się do maszyny wirtualnej użytkownika w usłudze Azure Stack Hub

1. Zaloguj się do portalu usługi Azure Stack Hub.

2. Na lewym pasku nawigacyjnym wybierz pozycję Virtual Machines.

3. Na liście maszyn wirtualnych znajdź wcześniej utworzoną maszynę wirtualną Azs-VM , a następnie wybierz ją.

4. W sekcji maszyny wirtualnej wybierz pozycję Połącz, a następnie otwórz plik Azs-VM.rdp.

   

5. Zaloguj się przy użyciu konta skonfigurowanego podczas tworzenia maszyny wirtualnej.

6. Otwórz wiersz Windows PowerShell z podwyższonym poziomem uprawnień.

7. Wpisz polecenie ipconfig /all.

8. W danych wyjściowych znajdź adres IPv4, a następnie zapisz adres do późniejszego użycia. Jest to adres ping z platformy Azure. W przykładowym środowisku adres to 10.1.0.4, ale w danym środowisku może być inny. Powinna należeć do utworzonej wcześniej podsieci 10.1.0.0/24 .

9. Aby utworzyć regułę zapory, która umożliwia maszynie wirtualnej odpowiadanie na polecenia ping, uruchom następujące polecenie programu PowerShell:

   New-NetFirewallRule `
    -DisplayName "Allow ICMPv4-In" `
    -Protocol ICMPv4
   

Logowanie się do maszyny wirtualnej dzierżawy na platformie Azure

1. Zaloguj się w witrynie Azure Portal.

2. Na lewym pasku nawigacyjnym wybierz pozycję Virtual Machines.

3. Z listy maszyn wirtualnych znajdź utworzoną wcześniej maszynę wirtualną Azure-VM , a następnie wybierz ją.

4. W sekcji maszyny wirtualnej wybierz pozycję Połącz.

5. Zaloguj się przy użyciu konta skonfigurowanego podczas tworzenia maszyny wirtualnej.

6. Otwórz okno Windows PowerShell z podwyższonym poziomem uprawnień.

7. Wpisz polecenie ipconfig /all.

8. Powinien zostać wyświetlony adres IPv4 należący do adresu 10.100.0.0/24. W przykładowym środowisku adres to 10.100.0.4, ale Twój adres może być inny.

9. Aby utworzyć regułę zapory, która umożliwia maszynie wirtualnej odpowiadanie na polecenia ping, uruchom następujące polecenie programu PowerShell:

   New-NetFirewallRule `
    -DisplayName "Allow ICMPv4-In" `
    -Protocol ICMPv4
   

10. Z poziomu maszyny wirtualnej na platformie Azure wyślij polecenie ping do maszyny wirtualnej w usłudze Azure Stack Hub za pośrednictwem tunelu. W tym celu należy wysłać polecenie ping do rekordu DIP zarejestrowanego z maszyny wirtualnej Azs-VM. W przykładowym środowisku jest to 10.1.0.4, ale pamiętaj, aby wysłać polecenie ping na adres zanotowany w laboratorium. Powinien zostać wyświetlony wynik podobny do następującego przechwytywania ekranu:

    

11. Odpowiedź z zdalnej maszyny wirtualnej wskazuje na pomyślny test. Możesz zamknąć okno maszyny wirtualnej.

Należy również przeprowadzić bardziej rygorystyczne testowanie transferu danych (na przykład kopiowanie plików o różnych rozmiarach w obu kierunkach).

Wyświetlanie statystyk transferu danych za pośrednictwem połączenia bramy

Jeśli chcesz wiedzieć, ile danych przechodzi przez połączenie typu lokacja-lokacja, te informacje są dostępne w sekcji Połączenie . Ten test jest również innym sposobem sprawdzenia, czy wysłane polecenie ping zostało rzeczywiście nawiązane przez połączenie sieci VPN.

1. Po zalogowaniu się do maszyny wirtualnej użytkownika w usłudze Azure Stack Hub zaloguj się do portalu użytkowników przy użyciu konta użytkownika.

2. Przejdź do pozycji Wszystkie zasoby, a następnie wybierz połączenie Azs-Azure . Pojawi się połączenie .

3. W sekcji Połączenie są wyświetlane statystyki danych w i dane. W poniższym przechwytywaniu ekranu duże liczby są przypisywane do dodatkowego transferu plików. Powinny być tam widoczne pewne wartości niezerowe.

   

Następne kroki

• Wdrażanie aplikacji na platformie Azure i w usłudze Azure Stack Hub