Samouczek: tworzenie bramy sieci VPN i zarządzanie nią przy użyciu witryny Azure Portal

  • Artykuł

Ten samouczek ułatwia tworzenie bramy sieci wirtualnej (bramy sieci VPN) i zarządzanie nią przy użyciu witryny Azure Portal. Brama sieci VPN to tylko jedna część architektury połączenia, która ułatwia bezpieczny dostęp do zasobów w sieci wirtualnej.

Diagram przedstawiający sieć wirtualną i bramę sieci VPN.

  • Po lewej stronie diagramu przedstawiono sieć wirtualną i bramę sieci VPN utworzoną przy użyciu kroków opisanych w tym artykule.
  • Później można dodać różne typy połączeń, jak pokazano po prawej stronie diagramu. Można na przykład utworzyć połączenia typu lokacja-lokacja i połączenia typu punkt-lokacja . Aby wyświetlić różne architektury projektowe, które można utworzyć, zobacz Projekt bramy sieci VPN.

Jeśli chcesz dowiedzieć się więcej na temat ustawień konfiguracji używanych w tym samouczku, zobacz About VPN Gateway configuration settings (Informacje o ustawieniach konfiguracji usługi VPN Gateway). Aby uzyskać więcej informacji na temat usługi Azure VPN Gateway, zobacz Co to jest usługa Azure VPN Gateway?.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz sieć prywatną.
  • Utwórz bramę sieci VPN.
  • Wyświetl publiczny adres IP bramy.
  • Zmienianie rozmiaru bramy sieci VPN (zmiana rozmiaru jednostki SKU).
  • Zresetuj bramę sieci VPN.

Wymagania wstępne

Potrzebujesz konta platformy Azure z aktywną subskrypcją. Jeśli go nie masz, utwórz go bezpłatnie.

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną przy użyciu następujących wartości:

  • Grupa zasobów: TestRG1
  • Nazwa: VNet1
  • Region: (USA) Wschodnie stany USA
  • Przestrzeń adresowa IPv4: 10.1.0.0/16
  • Nazwa podsieci: FrontEnd
  • Przestrzeń adresowa podsieci: 10.1.0.0/24

  1. Zaloguj się w witrynie Azure Portal.

  2. W obszarze Wyszukaj zasoby, usługę i dokumenty (G+/) w górnej części strony portalu wprowadź wartość sieć wirtualna. Wybierz pozycję Sieć wirtualna w wynikach wyszukiwania witryny Marketplace, aby otworzyć stronę Sieć wirtualna.

  3. Na stronie Sieć wirtualna wybierz pozycję Utwórz, aby otworzyć stronę Tworzenie sieci wirtualnej.

  4. Na karcie Podstawowe skonfiguruj ustawienia sieci wirtualnej dla szczegółów projektu i szczegółów wystąpienia. Po zweryfikowaniu wprowadzonych wartości zostanie wyświetlony zielony znacznik wyboru. Wartości wyświetlane w przykładzie można dostosować zgodnie z wymaganymi ustawieniami.

    Zrzut ekranu przedstawiający kartę Podstawowe.

    • Subskrypcja: Sprawdź, czy jest wyświetlana prawidłowa subskrypcja. Subskrypcje można zmienić przy użyciu pola listy rozwijanej.
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub wybierz pozycję Utwórz nową , aby utworzyć nową. Aby uzyskać więcej informacji na temat grup zasobów, zobacz Omówienie usługi Azure Resource Manager.
    • Nazwa: Wprowadź nazwę sieci wirtualnej.
    • Region: wybierz lokalizację sieci wirtualnej. Lokalizacja określa, gdzie będą znajdować się zasoby wdrażane w tej sieci wirtualnej.

  5. Wybierz pozycję Dalej lub Zabezpieczenia, aby przejść do karty Zabezpieczenia. W tym ćwiczeniu pozostaw wartości domyślne dla wszystkich usług na tej stronie.

  6. Wybierz pozycję Adresy IP, aby przejść do karty Adresy IP. Na karcie Adresy IP skonfiguruj ustawienia.

    • Przestrzeń adresowa IPv4: domyślnie tworzona jest automatycznie przestrzeń adresowa. Możesz wybrać przestrzeń adresową i dostosować ją tak, aby odzwierciedlała własne wartości. Możesz również dodać inną przestrzeń adresową i usunąć wartość domyślną, która została utworzona automatycznie. Można na przykład określić adres początkowy jako 10.1.0.0 i określić rozmiar przestrzeni adresowej jako /16. Następnie wybierz pozycję Dodaj , aby dodać tę przestrzeń adresową.

    • + Dodaj podsieć: jeśli używasz domyślnej przestrzeni adresowej, domyślna podsieć zostanie utworzona automatycznie. Jeśli zmienisz przestrzeń adresową, dodaj nową podsieć w tej przestrzeni adresowej. Wybierz pozycję + Dodaj podsieć, aby otworzyć okno Dodawanie podsieci. Skonfiguruj następujące ustawienia, a następnie wybierz pozycję Dodaj w dolnej części strony, aby dodać wartości.

      • Nazwa podsieci: przykładem jest FrontEnd.
      • Zakres adresów podsieci: zakres adresów dla tej podsieci. Przykłady to 10.1.0.0 i /24.

  7. Przejrzyj stronę Adresy IP i usuń wszystkie przestrzenie adresowe lub podsieci, których nie potrzebujesz.

  8. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia sieci wirtualnej.

  9. Po zweryfikowaniu ustawień wybierz pozycję Utwórz , aby utworzyć sieć wirtualną.

Po utworzeniu sieci wirtualnej możesz opcjonalnie skonfigurować usługę Azure DDoS Protection. Ochronę tę można łatwo włączyć w dowolnej nowej lub istniejącej sieci wirtualnej i nie wymaga ona żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji na temat usługi Azure DDoS Protection, zobacz Co to jest usługa Azure DDoS Protection?.

Tworzenie podsieci bramy

Brama sieci wirtualnej wymaga określonej podsieci o nazwie GatewaySubnet. Podsieć bramy jest częścią zakresu adresów IP sieci wirtualnej i zawiera adresy IP używane przez zasoby i usługi bramy sieci wirtualnej. Określ podsieć bramy o rozmiarze /27 lub większym.

  1. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Podsieci, aby otworzyć stronę Podsieci.
  2. W górnej części strony wybierz pozycję + Podsieć bramy, aby otworzyć okienko Dodaj podsieć .
  3. Nazwa jest automatycznie wprowadzana jako GatewaySubnet. W razie potrzeby dostosuj wartość zakresu adresów IP. Przykładem jest 10.1.255.0/27.
  4. Nie dopasuj innych wartości na stronie. Wybierz pozycję Zapisz w dolnej części strony, aby zapisać podsieć.

Tworzenie bramy sieci VPN

W tym kroku utworzysz bramę sieci wirtualnej (bramę sieci VPN) dla sieci wirtualnej. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy.

Utwórz bramę sieci wirtualnej przy użyciu następujących wartości:

  • Nazwa: VNet1GW
  • Region: Wschodnie stany USA
  • Typ bramy: VPN
  • Jednostka SKU: VpnGw2
  • Generacja: Generacja 2
  • Sieć wirtualna: VNet1
  • Zakres adresów podsieci bramy: 10.1.255.0/27
  • Publiczny adres IP: utwórz nowy
  • Publiczny adres IP: VNet1GWpip

W tym ćwiczeniu nie wybierzesz jednostki SKU strefowo nadmiarowej. Jeśli chcesz dowiedzieć się więcej o jednostkach SKU strefowo nadmiarowych, zobacz About zone-redundant virtual network gateways (Informacje o strefowo nadmiarowych bramach sieci wirtualnej). Ponadto te kroki nie są przeznaczone do skonfigurowania bramy aktywne-aktywne. Aby uzyskać więcej informacji, zobacz Configure active-active gateways (Konfigurowanie bram aktywnych-aktywnych).

  1. W obszarze Wyszukaj zasoby, usługi i dokumenty (G+/)wprowadź bramę sieci wirtualnej. Znajdź bramę sieci wirtualnej w wynikach wyszukiwania witryny Marketplace i wybierz ją, aby otworzyć stronę Tworzenie bramy sieci wirtualnej.

  2. Na karcie Podstawy wypełnij wartości szczegółów projektu i szczegółów wystąpienia.

    Zrzut ekranu przedstawiający pola Wystąpienie.

    • Subskrypcja: wybierz subskrypcję, której chcesz użyć z listy rozwijanej.

    • Grupa zasobów: to ustawienie jest wypełniane automatycznie po wybraniu sieci wirtualnej na tej stronie.

    • Nazwa: Nadaj nazwę bramie. Nazewnictwo bramy nie jest takie samo jak nazewnictwo podsieci bramy. Jest to nazwa tworzonego obiektu bramy.

    • Region: wybierz region, w którym chcesz utworzyć ten zasób. Region bramy musi być taki sam jak sieć wirtualna.

    • Typ bramy: Wybierz pozycję Sieć VPN. Bramy sieci VPN używają typu bramy sieci wirtualnej Sieć VPN.

    • Jednostka SKU: z listy rozwijanej wybierz jednostkę SKU bramy, która obsługuje funkcje, których chcesz użyć. Zobacz Jednostki SKU bramy. W portalu jednostki SKU dostępne na liście rozwijanej zależą od wybranego VPN type elementu. Podstawową jednostkę SKU można skonfigurować tylko przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell. Nie można skonfigurować podstawowej jednostki SKU w witrynie Azure Portal.

    • Generacja: wybierz generację, której chcesz użyć. Zalecamy używanie jednostki SKU generacji2. Aby uzyskać więcej informacji, zobacz Gateway SKUs (Jednostki SKU bramy).

    • Sieć wirtualna: z listy rozwijanej wybierz sieć wirtualną, do której chcesz dodać tę bramę. Jeśli nie widzisz sieci wirtualnej, dla której chcesz utworzyć bramę, upewnij się, że wybrano poprawną subskrypcję i region w poprzednich ustawieniach.

    • Zakres adresów podsieci bramy lub podsieć: podsieć bramy jest wymagana do utworzenia bramy sieci VPN.

      W tej chwili to pole może wyświetlać różne opcje ustawień, w zależności od przestrzeni adresowej sieci wirtualnej i tego, czy utworzono już podsieć o nazwie GatewaySubnet dla sieci wirtualnej.

      Jeśli nie masz podsieci bramy i nie widzisz opcji jej utworzenia na tej stronie, wróć do sieci wirtualnej i utwórz podsieć bramy. Następnie wróć do tej strony i skonfiguruj bramę sieci VPN.

  1. Określ wartości dla publicznego adresu IP. Te ustawienia określają obiekt publicznego adresu IP, który zostanie skojarzony z bramą sieci VPN. Publiczny adres IP jest przypisywany do tego obiektu podczas tworzenia bramy sieci VPN. Jedynym momentem zmiany podstawowego publicznego adresu IP jest usunięcie i ponowne utworzenie bramy. Nie zmienia się on w przypadku zmiany rozmiaru, zresetowania ani przeprowadzania innych wewnętrznych czynności konserwacyjnych bądź uaktualnień bramy sieci VPN.

    Zrzut ekranu przedstawiający pole Publiczny adres IP.

    • Typ publicznego adresu IP: jeśli zostanie wyświetlona ta opcja, wybierz pozycję Standardowa. Podstawowa jednostka SKU publicznego adresu IP jest obsługiwana tylko w przypadku bram sieci VPN jednostki SKU w warstwie Podstawowa.
    • Publiczny adres IP: pozostaw zaznaczoną opcję Utwórz nową .
    • Nazwa publicznego adresu IP: w polu tekstowym wprowadź nazwę wystąpienia publicznego adresu IP.
    • Jednostka SKU publicznego adresu IP: ustawienie jest wybierane automatycznie.
    • Przypisanie: przypisanie jest zwykle wybierane automatycznie. W przypadku jednostki SKU w warstwie Standardowa przypisanie jest zawsze statyczne.
    • Włącz tryb aktywny-aktywny: wybierz pozycję Wyłączone. Włącz to ustawienie tylko wtedy, gdy tworzysz konfigurację bramy aktywne-aktywne.
    • Skonfiguruj protokół BGP: wybierz pozycję Wyłączone, chyba że konfiguracja wymaga tego ustawienia. Jeśli to ustawienie jest wymagane, domyślna nazwa ASN to 65515, chociaż tę wartość można zmienić.

  2. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację.

  3. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN.

Tworzenie i wdrażanie bramy może potrwać co najmniej 45 minut. Stan wdrożenia można zobaczyć na stronie Przegląd bramy. Po utworzeniu bramy można wyświetlić przypisany do niej adres IP, przeglądając sieć wirtualną w portalu. Brama jest widoczna jako urządzenie podłączone.

Ważne

Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń z podsiecią bramy. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci wirtualnej (vpn i bramy usługi ExpressRoute) przestanie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Co to jest sieciowa grupa zabezpieczeń?.

Wyświetlanie publicznego adresu IP

Publiczny adres IP bramy można wyświetlić na stronie Przegląd bramy. Publiczny adres IP jest używany podczas konfigurowania połączenia lokacja-lokacja z bramą sieci VPN.

Zrzut ekranu przedstawiający stronę Przegląd używaną do wyświetlania pola Publiczny adres IP.

Aby wyświetlić więcej informacji na temat obiektu publicznego adresu IP, wybierz link nazwa/adres IP obok pozycji Publiczny adres IP.

Zmienianie rozmiaru jednostki SKU bramy

Istnieją określone reguły zmiany rozmiaru i zmiany jednostki SKU bramy. W tej sekcji zmieniasz rozmiar jednostki SKU. Aby uzyskać więcej informacji, zobacz Zmienianie rozmiaru lub zmienianie jednostek SKU bramy.

  1. Przejdź do strony Konfiguracja bramy sieci wirtualnej.

  2. Po prawej stronie wybierz strzałkę listy rozwijanej, aby wyświetlić listę dostępnych jednostek SKU.

    Zwróć uwagę, że lista wypełnia tylko jednostki SKU, których można użyć do zmiany rozmiaru bieżącej jednostki SKU. Jeśli nie widzisz jednostki SKU, której chcesz użyć, zamiast zmiany rozmiaru, musisz zmienić rozmiar na nową jednostkę SKU.

    Zrzut ekranu przedstawiający sposób zmiany rozmiaru bramy.

  3. Wybierz jednostkę SKU z listy rozwijanej.

Resetowanie bramy

  1. W portalu przejdź do bramy sieci wirtualnej, którą chcesz zresetować.
  2. Na stronie Brama sieci wirtualnej w okienku po lewej stronie przewiń w dół do pozycji Resetuj.
  3. Na stronie Resetowanie wybierz pozycję Resetuj. Po wydaniu polecenia bieżące aktywne wystąpienie usługi Azure VPN Gateway zostanie natychmiast uruchomione ponownie. Zresetowanie bramy powoduje lukę w łączności sieci VPN i może ograniczyć przyszłą analizę głównej przyczyny problemu.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tej aplikacji lub przejdź do następnego samouczka, usuń te zasoby.

  1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu i wybierz ją z wyników wyszukiwania.

  2. Wybierz pozycję Usuń grupę zasobów.

  3. Wprowadź grupę zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

Po utworzeniu bramy sieci VPN można skonfigurować więcej ustawień bramy i połączeń. Poniższe artykuły ułatwiają tworzenie kilku najbardziej typowych konfiguracji:

Połączenia sieci VPN typu lokacja-lokacja

Połączenia sieci VPN typu punkt-lokacja