Samouczek: tworzenie bramy sieci VPN i zarządzanie nią przy użyciu witryny Azure Portal

Ten samouczek ułatwia tworzenie bramy sieci wirtualnej (bramy sieci VPN) i zarządzanie nią przy użyciu witryny Azure Portal. Brama sieci VPN jest jedną z części architektury połączeń, która ułatwia bezpieczny dostęp do zasobów w sieci wirtualnej przy użyciu usługi VPN Gateway.

• Po lewej stronie diagramu przedstawiono sieć wirtualną i bramę sieci VPN utworzoną przy użyciu kroków opisanych w tym artykule.
• Później można dodać różne typy połączeń, jak pokazano po prawej stronie diagramu. Można na przykład utworzyć połączenia typu lokacja-lokacja i połączenia typu punkt-lokacja . Aby wyświetlić różne architektury projektowe, które można utworzyć, zobacz Projekt bramy sieci VPN.
• Aby uzyskać więcej informacji na temat usługi Azure VPN Gateway, zobacz Co to jest usługa Azure VPN Gateway? Jeśli chcesz dowiedzieć się więcej na temat ustawień konfiguracji używanych w tym samouczku, zobacz Informacje o ustawieniach konfiguracji usługi VPN Gateway.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Utwórz sieć prywatną.
• Utwórz strefowo redundanową bramę sieci VPN w trybie aktywnym-aktywnym.
• Wyświetl publiczny adres IP bramy.
• Uaktualnij jednostkę SKU bramy sieci VPN.
• Zresetuj bramę sieci VPN.

Uwaga

Kroki opisane w tym artykule korzystają z wariantu SKU bramy VpnGw2AZ, który obsługuje strefy dostępności Azure. Od maja 2025 r. wszystkie regiony będą akceptować jednostkę SKU AZ , niezależnie od tego, czy strefy dostępności są obsługiwane w tym regionie. Aby uzyskać więcej informacji na temat jednostek SKU bramy, zobacz Informacje o jednostkach SKU bramy.

Wymagania wstępne

Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli go nie masz, utwórz go bezpłatnie.

Tworzenie sieci wirtualnej

W tym artykule użyto witryny Azure Portal do utworzenia sieci wirtualnej. Możesz również użyć innego narzędzia lub metody, aby utworzyć sieć wirtualną. Aby uzyskać więcej informacji lub kroków, zobacz Tworzenie sieci wirtualnej. W tym ćwiczeniu sieć wirtualna nie wymaga konfiguracji dodatkowych usług, takich jak usługa Azure Bastion lub usługa DDoS Protection. Możesz jednak dodać te usługi, jeśli chcesz ich używać.

Ustawienie	Przykładowa wartość
Grupa zasobów	TestRG1
Nazwa sieci wirtualnej	Sieć wirtualna 1
Rejon	Wschodnie stany USA
Przestrzeń adresowa IPv4	10.1.0.0/16
Nazwa podsieci	FrontEnd
Przestrzeń adresowa podsieci	10.1.0.0/24

1. Zaloguj się w witrynie Azure Portal.
2. W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) na górze strony portalu wprowadź sieć wirtualną. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.
3. Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.
4. Wypełnij wymagane wartości na karcie Podstawy .
5. Wybierz Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.
6. Wybierz pozycję Adresy IP , aby przejść do karty Adresy IP . Na karcie Adresy IP skonfiguruj wymagane ustawienia.
7. Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.
8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.
9. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Tworzenie podsieci bramy

Zasoby bramy sieci wirtualnej są wdrażane do określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej, który określisz podczas konfigurowania sieci wirtualnej.

Jeśli nie masz podsieci o nazwie GatewaySubnet, tworzenie bramy sieci VPN kończy się niepowodzeniem. Zalecamy utworzenie podsieci dla bramy, która używa /27 (lub większej). Na przykład /27 lub /26. Aby uzyskać więcej informacji na temat podsieci bramy, zobacz Ustawienia bramy SIECI VPN — Podsieć bramy.

1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
2. W górnej części strony wybierz pozycję + Podsieć , aby otworzyć okienko Dodaj podsieć .
3. W obszarze Cel podsieci wybierz pozycję Brama sieci wirtualnej z listy rozwijanej.
4. Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj początkowy adres IP i rozmiar. Na przykład 10.1.255.0/27.
5. Nie zmieniaj innych wartości na tej stronie. Kliknij przycisk Dodaj , aby dodać podsieć.

Aby uzyskać więcej informacji na temat dodawania podsieci do sieci wirtualnej, zobacz Dodawanie, zmienianie lub usuwanie podsieci sieci wirtualnej. Aby uzyskać instrukcje dotyczące dodawania zakresu adresów do sieci wirtualnej, zobacz Dodawanie lub usuwanie zakresu adresów.

Ważne

Sieciowe grupy zabezpieczeń w podsieci bramy sieciowej nie są obsługiwane. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (VPN i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.

Tworzenie bramy sieci VPN

W tej sekcji utworzysz bramę sieci wirtualnej (bramę sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranego SKU bramy. Wykonaj poniższe kroki, aby utworzyć bramę sieci VPN. Pamiętaj, że podstawowa jednostka SKU usługi VPN Gateway jest dostępna tylko w programie PowerShell lub interfejsie wiersza polecenia.

1. W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/) wprowadź brama sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.

   

2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

   Ustawienie	Wartość
   Nazwa	Przykład: VNet1GW
   Rejon	Region bramy musi być taki sam jak sieć wirtualna.
   Typ bramy sieciowej	wybierz pozycję VPN. Bramy sieci VPN używają typu VPN.
   SKU	Przykład: VpnGw2AZ. Zalecamy wybranie SKU dla bramy sieciowej, który kończy się na AZ, jeśli Twój region obsługuje strefy dostępności.
   Generowanie	Generacja 2
   Sieć wirtualna	Przykład: VNet1. Jeśli sieć wirtualna nie jest dostępna na liście rozwijanej, musisz dostosować wybrany region.
   Podsieć	Przykład: 10.1.255.0/27 podsieć o nazwie GatewaySubnet jest wymagana do utworzenia bramy sieci VPN. Jeśli podsieć bramy nie pojawia się automatycznie i nie widzisz opcji jej utworzenia na tej stronie, wróć do strony sieci wirtualnej i utwórz podsieć bramy.

3. Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekt publicznego adresu IP, który zostanie skojarzony z bramą sieci VPN. Publiczny adres IP jest przypisywany do tego obiektu podczas tworzenia bramy sieci VPN. Jedynym momentem zmiany podstawowego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy.

   Ustawienie	Wartość
   Nazwa publicznego adresu IP	Przykład: VNet1GWpip1
   Strefa dostępności	To ustawienie jest dostępne dla jednostek SKU AZ w regionach obsługujących strefy dostępności. Przykład: Nadmiarowość strefowa.
   Włącz tryb aktywny-aktywny	— Wybierz Włączone, aby skorzystać z zalet bramy aktywno-aktywnej. Brama sieciowa aktywna-aktywna wymaga dodatkowego publicznego adresu IP. — Jeśli planujesz używać tej bramy na potrzeby połączeń typu lokacja-lokacja, sprawdź projekt aktywny-aktywny, którego chcesz użyć. - Połączenia z lokalnie wdrożonym urządzeniem sieci VPN należy skonfigurować specjalnie, aby móc korzystać z trybu aktywne-aktywne. - Niektóre urządzenia sieci VPN nie obsługują trybu aktywne-aktywne. Jeśli nie masz pewności, zapoznaj się z dostawcą urządzenia sieci VPN. Jeśli używasz urządzenia sieci VPN, które nie obsługuje trybu aktywne-aktywne, możesz wybrać opcję Wyłączone dla tego ustawienia.
   Druga nazwa publicznego adresu IP	Dostępne tylko dla bram w trybie aktywny/aktywny. Przykład: VNet1GWpip2
   Strefa dostępności	Przykład: Nadmiarowość strefowa.
   Konfiguracja protokołu BGP	Wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515.
   Włączanie dostępu do usługi Key Vault	Wybierz pozycję Wyłączone , chyba że masz określone wymaganie, aby włączyć to ustawienie.

4. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.

5. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.

Status wdrożenia można zobaczyć na stronie Przegląd dla bramy. Po utworzeniu bramy można wyświetlić przypisany do niej adres IP, przeglądając sieć wirtualną w portalu. Brama widnieje jako urządzenie podłączone.

Wyświetlanie publicznego adresu IP

Aby wyświetlić publiczne adresy IP skojarzone z bramą sieci wirtualnej, przejdź do bramy w portalu.

1. Na stronie portalu bramy sieci wirtualnej, w obszarze Ustawienia, otwórz stronę Właściwości.
2. Aby wyświetlić więcej informacji o obiekcie adresu IP, kliknij skojarzony link adresu IP.

Uaktualnij SKU bramy

Istnieją określone reguły aktualizacji SKU bramy. Nie wszystkie jednostki SKU można uaktualnić. Aby uzyskać więcej informacji, zobacz Uaktualnij SKU bramy.

1. Przejdź do strony konfiguracji dla swojej bramy sieci wirtualnej.
2. Po prawej stronie wybierz strzałkę listy rozwijanej, aby wyświetlić listę dostępnych jednostek SKU. Zwróć uwagę, że lista wypełnia tylko jednostki SKU, które można wybrać.
3. Wybierz jednostkę SKU z listy rozwijanej i zapisz zmiany.

Resetowanie bramy

Resetowanie bramy działa inaczej w zależności od konfiguracji bramy. Aby uzyskać więcej informacji, zobacz Resetowanie bramy sieci VPN lub połączenia.

1. W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
2. Na stronie "Brama sieci wirtualnej" w okienku po lewej stronie przewiń i znajdź pozycję Pomoc —> Reset.
3. Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia obecne aktywne wystąpienie bramy sieci VPN platformy Azure zostanie natychmiast ponownie uruchomione. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.

1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.
2. Wybierz pozycję Usuń grupę zasobów.
3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

Po utworzeniu bramy sieci VPN można skonfigurować więcej ustawień bramy i połączeń. Poniższe artykuły ułatwiają tworzenie kilku najbardziej typowych konfiguracji:

Połączenia VPN między lokalizacjami

Point-to-site — połączenia VPN z uwierzytelnieniem certyfikatów

Połączenia VPN punkt-do-lokacji — uwierzytelnianie za pomocą Microsoft Entra ID