Tworzenie bramy sieci VPN opartej na trasach przy użyciu interfejsu wiersza polecenia
Ten artykuł ułatwia szybkie tworzenie bramy sieci VPN platformy Azure opartej na trasach przy użyciu interfejsu wiersza polecenia platformy Azure. Brama sieci VPN jest używana podczas tworzenia połączenia sieci VPN z siecią lokalną. Bramę sieci VPN można również użyć do łączenia sieci wirtualnych.
W tym artykule utworzysz sieć wirtualną, podsieć, podsieć bramy i bramę sieci VPN opartą na trasach (bramę sieci wirtualnej). Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy. Po zakończeniu tworzenia bramy można utworzyć połączenia. Te kroki wymagają subskrypcji platformy Azure.
Brama sieci VPN to tylko jedna część architektury połączenia, która ułatwia bezpieczny dostęp do zasobów w sieci wirtualnej.
- Po lewej stronie diagramu przedstawiono sieć wirtualną i bramę sieci VPN utworzoną przy użyciu kroków opisanych w tym artykule.
- Później można dodać różne typy połączeń, jak pokazano po prawej stronie diagramu. Można na przykład utworzyć połączenia typu lokacja-lokacja i połączenia typu punkt-lokacja . Aby wyświetlić różne architektury projektowe, które można utworzyć, zobacz Projekt bramy sieci VPN.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
Wymagania wstępne
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Ten artykuł wymaga wersji 2.0.4 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
Tworzenie grupy zasobów
Utwórz grupę zasobów przy użyciu polecenia az group create. Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.
az group create --name TestRG1 --location eastus
Tworzenie sieci wirtualnej
Utwórz sieć wirtualną przy użyciu polecenia az network vnet create . Poniższy przykład tworzy sieć wirtualną o nazwie VNet1 w lokalizacji EastUS :
az network vnet create \
-n VNet1 \
-g TestRG1 \
-l eastus \
--address-prefix 10.1.0.0/16 \
--subnet-name Frontend \
--subnet-prefix 10.1.0.0/24
Dodawanie podsieci bramy
Podsieć bramy zawiera zastrzeżone adresy IP używane przez usługi bramy sieci wirtualnej. Użyj poniższych przykładów, aby dodać podsieć bramy:
az network vnet subnet create \
--vnet-name VNet1 \
-n GatewaySubnet \
-g TestRG1 \
--address-prefix 10.1.255.0/27
Przesłanie żądania dotyczącego publicznego adresu IP
Brama sieci VPN musi mieć publiczny adres IP. Publiczny adres IP jest przydzielany do bramy sieci VPN utworzonej dla sieci wirtualnej. Użyj następującego przykładu, aby zażądać publicznego adresu IP przy użyciu polecenia az network public-ip create :
az network public-ip create \
-n VNet1GWIP \
-g TestRG1 \
Tworzenie bramy sieci VPN
Utwórz bramę sieci VPN za pomocą polecenia az network vnet-gateway create.
Jeśli uruchomisz to polecenie przy użyciu parametru --no-wait , nie widzisz żadnych opinii ani danych wyjściowych. Parametr --no-wait umożliwia utworzenie bramy w tle. Nie oznacza to, że brama sieci VPN jest tworzona natychmiast.
az network vnet-gateway create \
-n VNet1GW \
-l eastus \
--public-ip-address VNet1GWIP \
-g TestRG1 \
--vnet VNet1 \
--gateway-type Vpn \
--sku VpnGw2 \
--vpn-gateway-generation Generation2 \
--no-wait
Tworzenie bramy sieci VPN może potrwać 45 minut lub dłużej.
Wyświetlanie bramy sieci VPN
az network vnet-gateway show \
-n VNet1GW \
-g TestRG1
Odpowiedź wygląda podobnie do następującej:
{
"activeActive": false,
"bgpSettings": {
"asn": 65515,
"bgpPeeringAddress": "10.1.255.30",
"bgpPeeringAddresses": [
{
"customBgpIpAddresses": [],
"defaultBgpIpAddresses": [
"10.1.255.30"
],
"ipconfigurationId": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
"tunnelIpAddresses": [
"20.228.164.35"
]
}
],
"peerWeight": 0
},
"disableIPSecReplayProtection": false,
"enableBgp": false,
"enableBgpRouteTranslationForNat": false,
"enablePrivateIpAddress": false,
"etag": "W/\"6c61f8cb-d90f-4796-8697\"",
"gatewayType": "Vpn",
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW",
"ipConfigurations": [
{
"etag": "W/\"6c61f8cb-d90f-4796-8697\"",
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
"name": "vnetGatewayConfig0",
"privateIPAllocationMethod": "Dynamic",
"provisioningState": "Succeeded",
"publicIPAddress": {
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
"resourceGroup": "TestRG1"
},
"resourceGroup": "TestRG1",
"subnet": {
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworks/VNet1/subnets/GatewaySubnet",
"resourceGroup": "TestRG1"
}
}
],
"location": "eastus",
"name": "VNet1GW",
"natRules": [],
"provisioningState": "Succeeded",
"resourceGroup": "TestRG1",
"resourceGuid": "69c269e3-622c-4123-9231",
"sku": {
"capacity": 2,
"name": "VpnGw2",
"tier": "VpnGw2"
},
"type": "Microsoft.Network/virtualNetworkGateways",
"vpnGatewayGeneration": "Generation2",
"vpnType": "RouteBased"
}
Wyświetlanie publicznego adresu IP
Aby wyświetlić publiczny adres IP przypisany do bramy, użyj następującego przykładu:
az network public-ip show \
--name VNet1GWIP \
--resource-group TestRG1
Wartość skojarzona z polem ipAddress to publiczny adres IP bramy sieci VPN.
Przykładowa odpowiedź:
{
"dnsSettings": null,
"etag": "W/\"69c269e3-622c-4123-9231\"",
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
"idleTimeoutInMinutes": 4,
"ipAddress": "13.90.195.184",
"ipConfiguration": {
"etag": null,
"id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
Czyszczenie zasobów
Gdy nie potrzebujesz już utworzonych zasobów, użyj polecenia az group delete , aby usunąć grupę zasobów. Spowoduje to usunięcie grupy zasobów i wszystkich zawartych w niej zasobów.
az group delete --name TestRG1 --yes
Następne kroki
Po zakończeniu tworzenia bramy można utworzyć połączenie między siecią wirtualną a inną siecią wirtualną. Możesz też utworzyć połączenie między siecią wirtualną a lokalizacją lokalną.