Criar um Gateway de VPN baseado em rota usando CLI

Este artigo ajuda-o a criar rapidamente um Gateway de VPN do Azure baseado em rota usando a CLI do Azure. Um gateway de VPN é usado ao criar uma conexão VPN à rede local. Você também pode usar um gateway de VPN para se conectar a VNets.

Neste artigo, você criará uma rede virtual, uma sub-rede, uma sub-rede do gateway e um gateway de VPN baseado em rota (gateway de rede virtual). Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Concluída a criação de gateway, você pode criar conexões. Estas etapas exigem uma assinatura do Azure.

Um gateway de VPN é apenas uma parte de uma arquitetura de conexão para ajudá-lo a acessar os recursos com segurança em uma rede virtual.

• O lado esquerdo do diagrama mostra a rede virtual e o gateway de VPN que você cria ao usar as etapas neste artigo.
• Posteriormente, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, você pode criar conexões site a site e ponto a site. Para exibir diferentes arquiteturas de design que você pode compilar, confira Design de gateway de VPN.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

• Este artigo exige a versão 2.0.4 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create. Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

az group create --name TestRG1 --location eastus

Criar uma rede virtual

Crie uma rede virtual usando o comando az network vnet create. O exemplo a seguir cria uma rede virtual padrão chamada VNet1 no local EastUS:

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name Frontend \
  --subnet-prefix 10.1.0.0/24

Adicionar uma sub-rede de gateway

A sub-rede de gateway contém os endereços IP reservados que usam os serviços de gateway de rede virtual. Use os exemplos a seguir para adicionar uma sub-rede de gateway:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Solicitar um endereço IP público

Um gateway de VPN deve ter um endereço IP público. O endereço IP público é alocado para o gateway de VPN criado para a rede virtual. Use o exemplo a seguir para solicitar um endereço IP público usando o comando az network public-ip create:

az network public-ip create \
  -n VNet1GWIP \
  -g TestRG1 \

Criar o gateway de VPN

Criar o gateway de VPN usando o comando az network vnet-gateway create.

Se você executar esse comando usando o parâmetro --no-wait, não receberá nenhum feedback ou saída. O parâmetro --no-wait permite que o gateway seja criado em segundo plano. Isso não significa que a criação do gateway de VPN ocorrerá imediatamente.

az network vnet-gateway create \
  -n VNet1GW \
  -l eastus \
  --public-ip-address VNet1GWIP \
  -g TestRG1 \
  --vnet VNet1 \
  --gateway-type Vpn \
  --sku VpnGw2 \
  --vpn-gateway-generation Generation2 \
  --no-wait

Pode demorar 45 minutos ou mais para que o gateway VPN seja criado.

Veja o Gateway de VPN

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

A resposta é semelhante a esta:

{
  "activeActive": false,
  "bgpSettings": {
    "asn": 65515,
    "bgpPeeringAddress": "10.1.255.30",
    "bgpPeeringAddresses": [
      {
        "customBgpIpAddresses": [],
        "defaultBgpIpAddresses": [
          "10.1.255.30"
        ],
        "ipconfigurationId": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
        "tunnelIpAddresses": [
          "20.228.164.35"
        ]
      }
    ],
    "peerWeight": 0
  },
  "disableIPSecReplayProtection": false,
  "enableBgp": false,
  "enableBgpRouteTranslationForNat": false,
  "enablePrivateIpAddress": false,
  "etag": "W/\"6c61f8cb-d90f-4796-8697\"",
  "gatewayType": "Vpn",
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW",
  "ipConfigurations": [
    {
      "etag": "W/\"6c61f8cb-d90f-4796-8697\"",
      "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",
      "name": "vnetGatewayConfig0",
      "privateIPAllocationMethod": "Dynamic",
      "provisioningState": "Succeeded",
      "publicIPAddress": {
        "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
        "resourceGroup": "TestRG1"
      },
      "resourceGroup": "TestRG1",
      "subnet": {
        "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworks/VNet1/subnets/GatewaySubnet",
        "resourceGroup": "TestRG1"
      }
    }
  ],
  "location": "eastus",
  "name": "VNet1GW",
  "natRules": [],
  "provisioningState": "Succeeded",
  "resourceGroup": "TestRG1",
  "resourceGuid": "69c269e3-622c-4123-9231",
  "sku": {
    "capacity": 2,
    "name": "VpnGw2",
    "tier": "VpnGw2"
  },
  "type": "Microsoft.Network/virtualNetworkGateways",
  "vpnGatewayGeneration": "Generation2",
  "vpnType": "RouteBased"
}

Exibir o endereço IP público

Para exibir o endereço IP público atribuído ao gateway, use o exemplo a seguir:

az network public-ip show \
  --name VNet1GWIP \
  --resource-group TestRG1

O valor associado ao campo ipAddress é o endereço IP público do gateway de VPN.

Resposta de exemplo:

{
  "dnsSettings": null,
  "etag": "W/\"69c269e3-622c-4123-9231\"",
  "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/publicIPAddresses/VNet1GWIP",
  "idleTimeoutInMinutes": 4,
  "ipAddress": "13.90.195.184",
  "ipConfiguration": {
    "etag": null,
    "id": "/subscriptions/<subscription ID>/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW/ipConfigurations/vnetGatewayConfig0",

Limpar recursos

Quando os recursos criados não forem mais necessários, use az group delete para excluir o grupo de recursos. Isso exclui o grupo de recursos e todos os recursos que ele contém.

az group delete --name TestRG1 --yes

Próximas etapas

Uma vez que o gateway tenha sido criado, você pode criar uma conexão entre sua rede virtual e outra rede virtual. Ou criar uma conexão entre sua rede virtual e redes locais.

Criar uma conexão site a site

Criar uma conexão ponto a site

Criar uma conexão com outra rede virtual