Criar uma ligação de Site a Site com o portal do Azure (clássico)
Este artigo mostra-lhe como utilizar o portal do Azure para criar uma ligação de gateway de VPN de Site para Site a partir da sua rede no local para a VNet. As etapas neste artigo se aplicam ao modelo de implantação clássico (legado) e não se aplicam ao modelo de implantação atual, o Gerenciador de Recursos. Consulte a versão deste artigo do Resource Manager.
Importante
Não é mais possível criar novos gateways de rede virtual para redes virtuais de modelo de implantação clássico (gerenciamento de serviços). Novos gateways de rede virtual podem ser criados somente para redes virtuais do Resource Manager.
Uma ligação de gateway de VPN de Site para Site é utilizada para ligar a sua rede no local a uma rede virtual do Azure através de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local que tenha um endereço IP público com acesso exterior atribuído ao mesmo. Para obter mais informações sobre o gateways de VPN, veja About VPN gateway (Acerca do gateway de VPN).
Nota
Este artigo foi escrito para o modelo de implantação clássico (legado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado de seus recursos.
Se pretender utilizar uma versão diferente deste artigo, utilize o índice no painel esquerdo.
Antes de começar
Antes de iniciar a configuração, verifique se cumpre os seguintes critérios:
- Confirme que pretende trabalhar com o modelo de implementação clássica. Se você quiser trabalhar no modelo de implantação do Gerenciador de Recursos, consulte Criar uma conexão Site a Site (Gerenciador de Recursos). Recomendamos que você use o modelo de implantação do Resource Manager, pois o modelo clássico é legado.
- Certifique-se de que tem um dispositivo VPN compatível e alguém que o possa configurar. Para obter mais informações sobre os dispositivos VPN compatíveis e a configuração do dispositivo, consulte About VPN Devices (Acerca dos Dispositivos VPN).
- Verifique se tem um endereço IP IPv4 público com acesso exterior para o seu dispositivo VPN.
- Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, precisará coordenar com alguém que possa fornecer esses detalhes para você. Ao criar esta configuração, tem de especificar prefixos de intervalo de endereços IP que o Azure irá encaminhar para a sua localização no local. Nenhuma das sub-redes da rede local pode sobrepor as sub-redes de rede virtual a que pretende ligar.
- O PowerShell é necessário para especificar a chave compartilhada e criar a conexão do gateway VPN. Ao trabalhar com o modelo de implantação clássico, você não pode usar o Azure Cloud Shell. Em vez disso, você deve instalar a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM) localmente em seu computador. Esses cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte Instalar cmdlets do Service Management. Para obter mais informações sobre o Azure PowerShell em geral, consulte a documentação do Azure PowerShell.
Valores de configuração de exemplo para este exercício
Os exemplos neste artigo utilizam os seguintes valores. Pode utilizar estes valores para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo. Normalmente, ao trabalhar com valores de endereço IP para espaço de endereço, você deseja coordenar com o administrador da rede para evitar espaços de endereço sobrepostos, o que pode afetar o roteamento. Nesse caso, substitua os valores de endereço IP pelos seus próprios se quiser criar uma conexão de trabalho.
- Grupo de Recursos: TestRG1
- Nome da VNet: TestVNet1
- Espaço de endereço: 10.11.0.0/16
- Nome da sub-rede: FrontEnd
- Intervalo de endereços da sub-rede: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- Região: (EUA) Leste dos EUA
- Nome do site local: Site2
- Espaço de endereços de cliente: o espaço de endereços que se encontra no seu site no local.
Criar uma rede virtual
Ao criar uma rede virtual para usar em uma conexão S2S, você precisa garantir que os espaços de endereço especificados não se sobreponham a nenhum dos espaços de endereço do cliente para os sites locais aos quais você deseja se conectar. Se tiver sub-redes sobrepostas, a ligação não funcionará corretamente.
Se já tiver uma VNet, certifique-se de que as definições são compatíveis com a conceção do seu gateway de VPN. Preste especial atenção a quaisquer sub-redes que possam sobrepor-se a outras redes.
Se ainda não tiver uma rede virtual, crie uma. As capturas de ecrã são disponibilizadas como exemplos. Não se esqueça de substituir os valores pelos seus.
Para criar uma rede virtual
- Num browser, navegue para o Portal do Azure e, se necessário, inicie sessão com a sua conta do Azure.
- Selecione +Criar um recurso. No campo Procurar no Marketplace, escreva "Rede Virtual". Localize Rede Virtual na lista retornada e selecione-a para abrir a página Rede Virtual.
- Na página Rede Virtual, no botão Criar, você verá "Implantar com o Gerenciador de Recursos (alterar para Clássico)". O Resource Manager é o padrão para criar uma VNet. Você não deseja criar uma VNet do Resource Manager. Selecione (altere para Clássico) para criar uma rede virtual clássica. Em seguida, selecione a guia Visão geral e selecione Criar.
- Na página Criar rede virtual (clássica), na guia Noções básicas, defina as configurações de rede virtual com os valores de exemplo.
- Selecione Rever + criar para validar a sua rede virtual.
- A validação é executada. Depois que a VNet for validada, selecione Criar.
As configurações de DNS não são uma parte necessária dessa configuração, mas o DNS é necessário se você quiser a resolução de nomes entre suas VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS que especificar deve ser um servidor DNS que possa resolver os nomes dos recursos a que se está a ligar.
Depois de criar a rede virtual, pode adicionar o endereço IP de um servidor DNS, para lidar com a resolução de nomes. Abra as definições da sua rede virtual, selecione Servidores DNS e adicione o endereço IP do servidor DNS que pretende utilizar para a resolução de nomes.
- Localize a rede virtual no portal.
- Na página da sua rede virtual, na seção Configurações , selecione Servidores DNS.
- Adicione um servidor DNS.
- Para salvar suas configurações, selecione Salvar na parte superior da página.
Configurar o site e o gateway
Para configurar o site
O site local refere-se, normalmente, à sua localização no local. Ele contém o endereço IP do dispositivo VPN para o qual você criará uma conexão e os intervalos de endereços IP que serão roteados através do gateway VPN para o dispositivo VPN.
Na página da sua rede virtual, em Configurações, selecione Conexões site a site.
Na página Conexões site a site, selecione + Adicionar.
Na página Configurar uma conexão VPN e gateway, para Tipo de conexão, deixe Site-to-site selecionado. Para este exercício, você precisará usar uma combinação dos valores de exemplo e seus próprios valores.
Endereço IP do gateway de VPN: este é o endereço IP público do dispositivo VPN para a rede no local. O dispositivo VPN requer um endereço IP público IPv4. Especifique um endereço IP público válido para o dispositivo VPN ao qual pretende ligar. Ele deve ser acessível pelo Azure. Se não souber o endereço IP do seu dispositivo VPN, pode sempre colocar um valor de marcador de posição (desde que esteja no formato de um endereço IP público válido) e, em seguida, alterá-lo mais tarde.
Espaço de endereços de cliente: lista os intervalos de endereços IP que pretende que sejam encaminhados para a rede no local através deste gateway. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos especificados aqui não se sobreponham aos intervalos de outras redes às quais sua rede virtual se conecta ou aos intervalos de endereços da própria rede virtual.
Na parte inferior da página, NÃO selecione Rever + criar. Em vez disso, selecione Next: Gateway>.
Para configurar o gateway de rede virtual
Na página Gateway, selecione os seguintes valores:
Tamanho: Este é o SKU de gateway que você usa para criar seu gateway de rede virtual. Os gateways de VPN clássicos utilizam os SKUs de gateway antigo (legados). Para obter mais informações sobre os SKU de gateway legados, veja Trabalhar com SKUs de gateway de rede virtual (antigos). Você pode selecionar Padrão para este exercício.
Sub-rede do gateway: o tamanho da sub-rede do gateway especificada depende da configuração do gateway VPN que você deseja criar. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29, recomendamos que você use /27 ou /28. Desta forma, estará a criar uma sub-rede maior que inclui mais endereços. Utilizar uma sub-rede de gateway maior permite que os endereços IP suficientes suportem possíveis configurações futuras.
Selecione Rever + criar na parte inferior da página para validar as suas definições. Selecione Criar para implantar. Pode levar até 45 minutos para criar um gateway de rede virtual, dependendo da SKU do gateway selecionada.
Configurar o dispositivo VPN
As ligações de Site a Site para uma rede no local requerem um dispositivo VPN. Neste passo, configure o seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisa dos seguintes valores:
- Uma chave partilhada. Esta é a mesma chave partilhada que especifica ao criar a ligação VPN de Site a Site. Nos nossos exemplos, iremos utilizar uma chave partilhada básica. Deve gerar uma chave mais complexa para utilizar.
- O endereço IP Público do gateway de rede virtual. Pode ver o endereço IP público através do portal do Azure, do PowerShell ou da CLI.
Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, consulte Transferir os scripts de configuração do dispositivo VPN.
Os links a seguir fornecem mais informações de configuração:
Para obter informações sobre dispositivos VPN compatíveis, consulte Sobre dispositivos VPN.
Antes de configurar seu dispositivo VPN, verifique se há problemas conhecidos de compatibilidade do dispositivo.
Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. Fornecemos os links de configuração do dispositivo com base no melhor esforço, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.
A lista mostra as versões que testamos. Se a versão do SO do seu dispositivo VPN não estiver na lista, poderá ainda ser compatível. Consulte o fabricante do dispositivo.
Para obter informações básicas sobre a configuração do dispositivo VPN, consulte Visão geral das configurações do dispositivo VPN do parceiro.
Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).
Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.
Para obter informações sobre os parâmetros necessários para concluir a configuração, consulte Parâmetros IPsec/IKE padrão. As informações incluem versão IKE, grupo Diffie-Hellman (DH), método de autenticação, algoritmos de criptografia e hash, tempo de vida da associação de segurança (SA), sigilo de encaminhamento perfeito (PFS) e Dead Peer Detection (DPD).
Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.
Para conectar vários dispositivos VPN baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Recuperar valores
Quando você cria VNets clássicas no portal do Azure, o nome que você exibe não é o nome completo que você usa para o PowerShell. Por exemplo, uma VNet que parece ser chamada TestVNet1 no portal, pode ter um nome muito mais longo no arquivo de configuração de rede. Para uma VNet no grupo de recursos "ClassicRG" o nome pode ser algo como: Group ClassicRG TestVNet1. Ao criar suas conexões, é importante usar os valores que você vê no arquivo de configuração de rede.
Nas etapas a seguir, você se conectará à sua conta do Azure e baixará e exibirá o arquivo de configuração de rede para obter os valores necessários para suas conexões.
Baixe e instale a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM). A maioria das pessoas tem os módulos do Resource Manager instalados localmente, mas não tem módulos de Gerenciamento de Serviços. Os módulos de gerenciamento de serviços são herdados e devem ser instalados separadamente. Para obter mais informações, consulte Instalar cmdlets do Service Management.
Abra a consola do PowerShell com direitos elevados e ligue-se à sua conta. Use os exemplos a seguir para ajudá-lo a se conectar. Você deve executar esses comandos localmente usando o módulo PowerShell Service Management. Ligar à sua conta. Utilize o exemplo seguinte para o ajudar na ligação:
Add-AzureAccount
Verifique as subscrições da conta.
Get-AzureSubscription
Se tiver mais do que uma subscrição, selecione a subscrição que pretende utilizar.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Crie um diretório no seu computador. Por exemplo, C:\AzureVNet
Exporte o arquivo de configuração de rede para o diretório. Neste exemplo, o arquivo de configuração de rede é exportado para C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Abra o arquivo com um editor de texto e visualize os nomes de suas redes virtuais e sites. Esses nomes serão os nomes que você usa ao criar suas conexões.
Os nomes de VNet são listados como nome VirtualNetworkSite =
Os nomes de site são listados como LocalNetworkSiteRef name =
Criar a ligação
Nota
Para o modelo de implantação clássico, esta etapa não está disponível no portal do Azure ou por meio do Azure Cloud Shell. Você deve usar a versão de Gerenciamento de Serviços (SM) dos cmdlets do Azure PowerShell localmente em sua área de trabalho.
Nesta etapa, usando os valores das etapas anteriores, você define a chave compartilhada e cria a conexão. A chave definida deve ser a mesma que foi usada na configuração do dispositivo VPN.
Defina a chave partilhada e crie a ligação.
- Altere o valor -VNetName e o valor -LocalNetworkSiteName. Ao especificar um nome que contenha espaços, utilize plicas à volta do valor.
- O '-SharedKey' é um valor que você gera e especifica. No exemplo, usamos 'abc123', mas você pode (e deve) gerar algo mais complexo. O importante é que o valor que especificar aqui seja igual ao valor que especificou quando configurou o seu dispositivo VPN.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Quando a ligação é criada, o resultado é: Estado: Com êxito.
Verificar a ligação
No portal do Azure, pode ver o estado da ligação de um Gateway de VPN de VNet clássica ao navegar para essa ligação. Os passos seguintes mostram uma forma de navegar para a ligação e realizar uma verificação.
- No portal do Azure, vá para sua rede virtual clássica (VNet).
- Na página de rede virtual, clique no tipo de conexão que deseja exibir. Por exemplo, conexões site a site.
- Na página Conexões site a site, em Nome, selecione a conexão de site que deseja exibir.
- Na página Propriedades, exiba as informações sobre a conexão.
Se você estiver tendo problemas para se conectar, consulte a seção Solução de problemas do sumário no painel esquerdo.
Como repor um gateway de VPN
Repor o gateway de VPN do Azure é útil se perder a conectividade VPN em vários locais num ou mais túneis de rede de VPNs. Nesta situação, os dispositivos VPN no local estão todos a funcionar corretamente, mas não podem estabelecer túneis IPsec com os gateways de VPN do Azure.
O cmdlet para redefinir um gateway clássico é Reset-AzureVNetGateway. Os cmdlets do Azure PowerShell para Gerenciamento de Serviços devem ser instalados localmente em sua área de trabalho. Não é possível usar o Azure Cloud Shell. Antes de executar uma redefinição, verifique se você tem a versão mais recente dos cmdlets do PowerShell de Gerenciamento de Serviços (SM).
Ao usar esse comando, verifique se você está usando o nome completo da rede virtual. As VNets clássicas que foram criadas usando o portal têm um nome longo que é necessário para o PowerShell. Você pode exibir o nome longo usando Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
.
O exemplo a seguir redefine o gateway para uma rede virtual chamada "Group TestRG1 TestVNet1" (que mostra simplesmente "TestVNet1" no portal):
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
Resultado:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
Como redimensionar uma SKU de gateway
Para redimensionar um gateway para o modelo de implantação clássico, você deve usar os cmdlets do PowerShell de Gerenciamento de Serviços. Utilize o seguinte comando:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Próximos passos
- Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais.
- Para obter informações sobre o Túnel Forçado, veja About Forced Tunneling (Sobre o Túnel Forçado).