Konfigurowanie współistniejących połączeń usługi ExpressRoute i połączeń typu lokacja-lokacja (wersja klasyczna)
Ten artykuł pomaga skonfigurować współistniejące połączenia usługi ExpressRoute i połączenia sieci VPN typu lokacja-lokacja. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i usługi ExpressRoute niesie ze sobą pewne korzyści. Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute. Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Dotyczy on klasycznego modelu wdrożenia. Ta konfiguracja nie jest dostępna w portalu.
Ważne
Od 1 marca 2017 r. nie można tworzyć obwodów usługi ExpressRoute w modelu wdrożenia klasycznego.
- Istniejący obwód usługi ExpressRoute można przenieść z klasycznego modelu wdrożenia do modelu wdrożenia usługi Resource Manager bez przestojów łączności. Aby uzyskać więcej informacji, zobacz Przenoszenie istniejącego obwodu.
- Aby nawiązać połączenie z sieciami wirtualnymi w klasycznym modelu wdrożenia, można ustawić pozycję allowClassicOperations na wartość TRUE.
Użyj poniższych linków, aby tworzyć obwody usługi ExpressRoute i zarządzać nimi w modelu wdrożenia usługi Resource Manager:
Modele wdrażania Azure — informacje
Obecnie platforma Azure obsługuje dwa modele wdrażania: model wdrażania przy użyciu usługi Azure Resource Manager i model klasyczny. Te dwa modele nie są ze sobą w pełni zgodne. Zanim zaczniesz, musisz wiedzieć, z którym modelem chcesz pracować. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania). Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager.
Ważne
Przed wykonaniem instrukcji w tym artykule należy wstępnie skonfigurować obwód usługi ExpressRoute. Przed kontynuowaniem upewnij się, że wykonano instrukcje tworzenia obwodu usługi ExpressRoute i konfigurowania routingu .
Limity i ograniczenia
- Routing tranzytowy nie jest obsługiwany. Nie można kierować (za pośrednictwem platformy Azure) między siecią lokalną połączoną za pośrednictwem sieci VPN typu lokacja-lokacja i siecią lokalną połączoną za pośrednictwem usługi ExpressRoute.
- Połączenia typu punkt-lokacja nie są obsługiwane. Nie można włączyć połączeń VPN typu punkt-lokacja do tej samej sieci wirtualnej, która jest połączona z usługą ExpressRoute. Sieć VPN typu punkt-lokacja i usługa ExpressRoute nie mogą współistnieć dla tej samej sieci wirtualnej.
- Nie można włączyć tunelowania wymuszonego dla bramy sieci VPN typu lokacja-lokacja. Można tylko „wymusić” przesyłanie całego ruchu skierowanego do Internetu z powrotem do sieci lokalnej za pośrednictwem usługi ExpressRoute.
- Podstawowa brama jednostki SKU nie jest obsługiwana. Należy użyć innej niż podstawowa bramy jednostki SKU zarówno dla bramy usługi ExpressRoute, jak i bramy sieci VPN.
- Obsługiwana jest tylko brama sieci VPN oparta na trasach. Należy użyć bramy sieci VPN opartej na trasach.
- Dla bramy sieci VPN należy skonfigurować trasę statyczną. Jeśli sieć lokalna jest połączona z usługą ExpressRoute oraz siecią VPN typu lokacja-lokacja, aby skierować połączenie sieci VPN typu lokacja-lokacja do publicznego Internetu, trzeba mieć skonfigurowaną trasę statyczną w sieci lokalnej.
Projekty konfiguracji
Konfigurowanie sieci VPN typu lokacja-lokacja jako ścieżki pracy awaryjnej dla usługi ExpressRoute
Połączenie sieci VPN typu lokacja-lokacja można skonfigurować do przechowywania kopii zapasowych dla usługi ExpressRoute. Ta konfiguracja dotyczy tylko sieci wirtualnych połączonych ze ścieżką prywatnej komunikacji równorzędnej Azure. Nie ma rozwiązania do trybu failover opartego na sieci VPN dla usług dostępnych za pośrednictwem publicznej komunikacji równorzędnej platformy Azure i komunikacji równorzędnej firmy Microsoft. Obwód usługi ExpressRoute jest zawsze połączeniem podstawowym. Dane przepływają przez ścieżkę sieci VPN typu lokacja-lokacja tylko wtedy, gdy obwód usługi ExpressRoute ulegnie awarii.
Uwaga
Obwód usługi ExpressRoute jest preferowany w porównaniu z siecią VPN typu lokacja-lokacja, jeśli obydwie trasy są takie same, a na platformie Azure dopasowanie najdłuższego prefiksu będzie używane do wybierania trasy do miejsca docelowego pakietu.
Konfigurowanie sieci VPN typu lokacja-lokacja do łączenia z witrynami niepołączonymi przez usługę ExpressRoute
Można skonfigurować sieć w taki sposób, by niektóre witryny łączyły się bezpośrednio z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja, a niektóre przez usługę ExpressRoute.
Uwaga
Nie można skonfigurować sieci wirtualnej jako routera tranzytowego.
Wybieranie czynności do wykonania
Istnieją dwa różne zestawy procedur do wyboru służące do konfigurowania połączeń, które mogą współistnieć. Wybór procedury konfiguracji zależy od tego, czy masz istniejącą sieć wirtualną, z którą chcesz się połączyć, czy chcesz utworzyć nową.
Nie mam sieci wirtualnej i muszę ją utworzyć.
Jeśli nie masz jeszcze sieci wirtualnej, ta procedura przeprowadzi Cię przez proces tworzenia nowej sieci wirtualnej przy użyciu klasycznego modelu wdrażania oraz tworzenia nowych połączeń usługi ExpressRoute i sieci VPN typu lokacja-lokacja. Aby przeprowadzić konfigurację, wykonaj kroki opisane w sekcji artykułu Aby utworzyć nową sieć wirtualną i współistniejące połączenia.
Mam już sieć wirtualną wdrożoną w ramach modelu klasycznego.
Być może masz już gotową sieć wirtualną z istniejącym połączeniem sieci VPN typu lokacja-lokacja lub połączeniem usługi ExpressRoute. Sekcja artykułu Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej, przeprowadzi Cię przez proces usuwania bramy, a następnie tworzenia nowych połączeń usługi ExpressRoute i sieci VPN typu lokacja-lokacja. Podczas tworzenia nowych połączeń kroki muszą zostać wykonane w określonej kolejności. Do tworzenia bram i połączeń nie używaj instrukcji z innych artykułów.
W tej procedurze tworzenie połączeń, które mogą współistnieć, wymaga usunięcia Twojej bramy, a następnie skonfigurowania nowych bram. Podczas usuwania i ponownego tworzenia bramy i połączeń występuje przestój połączeń obejmujących wiele lokalizacji, ale nie trzeba migrować żadnych maszyn wirtualnych ani usług do nowej sieci wirtualnej. Maszyny wirtualne i usługi mogą nadal komunikować się za pośrednictwem modułu równoważenia obciążenia podczas konfigurowania bramy, jeśli zostały skonfigurowane do tego celu.
Instalowanie poleceń cmdlet programu PowerShell
Zainstaluj najnowsze wersje modułów programu PowerShell usługi Azure Service Management (SM) i modułu ExpressRoute. Do uruchamiania modułów SM nie można użyć środowiska Azure CloudShell.
Aby zainstalować moduł zarządzania usługami platformy Azure, skorzystaj z instrukcji w artykule Instalowanie modułu zarządzania usługami . Jeśli masz już zainstalowany moduł Az lub RM, pamiętaj, aby użyć polecenia "-AllowClobber".
Zaimportuj zainstalowane moduły. W poniższym przykładzie dostosuj ścieżkę, aby odzwierciedlić lokalizację i wersję zainstalowanych modułów programu PowerShell.
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1' Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'Aby zalogować się do konta platformy Azure, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się z kontem. Skorzystaj z poniższego przykładu, aby ułatwić nawiązywanie połączenia przy użyciu modułu Service Management:
Add-AzureAccount
Aby utworzyć nową sieć wirtualną i współistniejące połączenia
Ta procedura przeprowadzi Cię przez proces tworzenia sieci wirtualnej i tworzenia współistniejących połączeń typu lokacja-lokacja i usługi ExpressRoute.
Musisz zainstalować najnowszą wersję poleceń cmdlet Azure PowerShell. Polecenia cmdlet, których użyjesz do tej konfiguracji, mogą trochę różnić się od tych, które znasz. Koniecznie użyj poleceń cmdlet podanych w tych instrukcjach.
Utwórz schemat dla sieci wirtualnej. Więcej informacji na temat schematu konfiguracji znajduje się w artykule Azure Virtual Network configuration schema (Schemat konfiguracji sieci wirtualnej Azure).
Podczas tworzenia schematu pamiętaj, aby użyć następujących wartości:
- Wartość podsieci bramy dla sieci wirtualnej musi wynosić /27; prefiks może też być krótszy (np. /26 lub /25).
- Typ połączenia bramy to Dedykowane.
<VirtualNetworkSite name="MyAzureVNET" Location="Central US"> <AddressSpace> <AddressPrefix>10.17.159.192/26</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>10.17.159.192/27</AddressPrefix> </Subnet> <Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> /Subnet> </Subnets> <Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway> </VirtualNetworkSite>Po utworzeniu i skonfigurowaniu pliku schematu XML przekaż plik, aby utworzyć sieć wirtualną.
Użyj poniższego polecenia cmdlet do przekazania pliku, zastępując wartość swoją własną.
Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'Utwórz bramę usługi ExpressRoute. Koniecznie określ wartość Standard, HighPerformance lub UltraPerformance dla parametru GatewaySKU oraz wartość DynamicRouting dla parametru GatewayType.
Użyj poniższego przykładu, podstawiając wartości zamiast swoich własnych.
New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformancePołącz bramę usługi ExpressRoute z obwodem usługi ExpressRoute. Po ukończeniu tego kroku zostanie nawiązane połączenie między siecią lokalną i platformą Azure za pośrednictwem usługi ExpressRoute.
New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNETNastępnie utwórz bramę sieci VPN typu lokacja-lokacja. Parametr GatewaySKU musi mieć wartość Standard, HighPerformance lub UltraPerformance, a parametr GatewayType — DynamicRouting.
New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU HighPerformanceAby pobrać ustawienia bramy sieci wirtualnej, w tym identyfikator bramy i publiczny adres IP, użyj polecenia
Get-AzureVirtualNetworkGateway.Get-AzureVirtualNetworkGateway GatewayId : 348ae011-ffa9-4add-b530-7cb30010565e GatewayName : S2SVPN LastEventData : GatewayType : DynamicRouting LastEventTimeStamp : 5/29/2015 4:41:41 PM LastEventMessage : Successfully created a gateway for the following virtual network: GNSDesMoines LastEventID : 23002 State : Provisioned VIPAddress : 104.43.x.y DefaultSite : GatewaySKU : HighPerformance Location : VnetId : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5 SubnetId : EnableBgp : False OperationDescription : Get-AzureVirtualNetworkGateway OperationId : 42773656-85e1-a6b6-8705-35473f1e6f6a OperationStatus : SucceededUtwórz obiekt bramy sieci VPN witryny lokalnej. To polecenie nie powoduje skonfigurowania bramy lokalnej sieci VPN. Umożliwia raczej zapewnienie ustawień bramy lokalnej, np. publicznego adresu IP i lokalnej przestrzeni adresowej, aby brama sieci VPN Azure mogła się z nimi połączyć.
Ważne
Lokalna witryna dla sieci VPN typu lokacja-lokacja nie jest definiowana w pliku netcfg. Zamiast tego musisz użyć tego polecenia cmdlet do określania lokalnych parametrów witryny. Nie możesz jej definiować przy użyciu portalu ani pliku netcfg.
Użyj poniższego przykładu, zastępując wartości swoimi własnymi.
New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>Uwaga
Jeżeli sieć lokalna ma wiele tras, możesz je wszystkie przekazać w postaci tablicy. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")
Aby pobrać ustawienia bramy sieci wirtualnej, w tym identyfikator bramy i publiczny adres IP, użyj polecenia
Get-AzureVirtualNetworkGateway. Zobacz poniższy przykład.Get-AzureLocalNetworkGateway GatewayId : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b GatewayName : MyLocalNetwork IpAddress : 23.39.x.y AddressSpace : {10.1.2.0/24} OperationDescription : Get-AzureLocalNetworkGateway OperationId : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5 OperationStatus : SucceededSkonfiguruj lokalne urządzenie sieci VPN do połączenia z nową bramą. Podczas konfigurowania urządzenia VPN użyj informacji pobranych w kroku 6. Więcej informacji na temat konfigurowania urządzenia VPN znajduje się w artykule VPN Device Configuration (Konfigurowanie urządzenia VPN).
Połącz bramę sieci VPN typu lokacja-lokacja na platformie Azure z bramą lokalną.
W tym przykładzie connectedEntityId jest identyfikatorem bramy lokalnej, który można znaleźć, uruchamiając polecenie
Get-AzureLocalNetworkGateway. Identyfikator VirtualNetworkGatewayId można znaleźć przy użyciu polecenia cmdletGet-AzureVirtualNetworkGateway. Po wykonaniu tego kroku zostanie nawiązane połączenie między siecią lokalną i platformą Azure za pośrednictwem połączenia VPN typu lokacja-lokacja.New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej
Jeśli masz istniejącą sieć wirtualną, sprawdź rozmiar podsieci bramy. Jeśli podsieć bramy ma wartość /28 lub /29, musisz najpierw usunąć bramę sieci wirtualnej i zwiększyć rozmiar podsieci bramy. W krokach w tej sekcji pokazano, jak to zrobić.
Jeśli podsieć bramy jest /27 lub większa, a sieć wirtualna jest połączona za pośrednictwem usługi ExpressRoute, możesz pominąć te kroki i przejść do sekcji "Krok 6 — Tworzenie bramy sieci VPN typu lokacja-lokacja" w poprzedniej sekcji.
Uwaga
Po usunięciu istniejącej bramy podczas pracy nad tą konfiguracją lokalizacja miejscowa straci połączenie z siecią wirtualną.
Musisz zainstalować najnowszą wersję poleceń cmdlet programu Azure Resource Manager PowerShell. Polecenia cmdlet, których użyjesz do tej konfiguracji, mogą trochę różnić się od tych, które znasz. Koniecznie użyj poleceń cmdlet podanych w tych instrukcjach.
Usuń istniejącą bramę usługi ExpressRoute lub sieci VPN typu lokacja-lokacja. Użyj poniższego polecenia cmdlet, zastępując wartości swoimi własnymi.
Remove-AzureVNetGateway –VnetName MyAzureVNETWyeksportuj schemat sieci wirtualnej. Użyj poniższego polecenia cmdlet programu PowerShell, zastępując wartości swoimi własnymi.
Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"Edytuj schemat pliku konfiguracji sieci w taki sposób, aby wartość podsieci bramy wynosiła /27 lub miała krótszy prefiks (np. /26 lub /25). Zobacz poniższy przykład.
Uwaga
Jeśli nie masz wystarczającej liczby adresów IP w sieci wirtualnej, aby zwiększyć rozmiar podsieci bramy, dodaj więcej przestrzeni adresowej IP. Więcej informacji na temat schematu konfiguracji znajduje się w artykule Azure Virtual Network configuration schema (Schemat konfiguracji sieci wirtualnej Azure).
<Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> </Subnet>Jeśli poprzednia brama pochodziła z sieci VPN typu lokacja-lokacja, musisz również zmienić typ połączenia na Dedykowane.
<Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway>Na tym etapie masz sieć wirtualną bez bram. W celu utworzenia nowych bram i wykonania połączeń wykonaj instrukcje z części Krok 4 — tworzenie bramy usługi ExpressRoute znajdujące się w poprzednim zestawie kroków.
Następne kroki
Więcej informacji na temat usługi ExpressRoute znajduje się w artykule ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).