Configurar uma VPN site a site na vWAN para a solução VMware do Azure
Neste artigo, saiba como estabelecer uma VPN (IPsec IKEv1 e IKEv2) terminando em túnel site a site no hub WAN Virtual do Microsoft Azure. O hub contém o gateway VMware Solution ExpressRoute do Azure e o gateway VPN site a site. Ele conecta um dispositivo VPN local a um ponto de extremidade da Solução VMware do Azure.
Pré-requisitos
Você deve ter um endereço IP voltado para o público terminando em um dispositivo VPN local.
Criar uma WAN Virtual do Azure
No portal, na barra de recursos de pesquisa, digite WAN Virtual na caixa de pesquisa e selecione Enter.
Selecione WANs virtuais nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN .
Na página Criar WAN, na guia Noções básicas, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.
- Subscrição: selecione a subscrição que pretende utilizar.
- Grupo de recursos: crie novos ou use existentes.
- Local do grupo de recursos: escolha um local de recurso na lista suspensa. Uma WAN é um recurso global e não vive em uma região específica. No entanto, você deve selecionar uma região para gerenciar e localizar o recurso WAN criado.
- Nome: digite o Nome que você deseja chamar de WAN virtual.
- Tipo: Básico ou Padrão. selecione Standard. Se você selecionar Básico, entenda que as WANs virtuais básicas só podem conter hubs básicos. Os hubs básicos só podem ser usados para conexões site a site.
Depois de concluir o preenchimento dos campos, na parte inferior da página, selecione Rever + Criar.
Quando a validação for aprovada, clique em Criar para criar a WAN virtual.
Criar um hub virtual
Um hub virtual é uma rede virtual criada e usada pela WAN Virtual do Azure. É o núcleo da sua rede WAN virtual em uma região. Ele pode conter gateways para site a site e Rota Expressa.
Gorjeta
Você também pode criar um gateway em um hub existente.
Vá para a WAN virtual que você criou. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.
Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.
Na guia Noções básicas da página Criar hub virtual, preencha os seguintes campos:
- Região: selecione a região na qual você deseja implantar o hub virtual.
- Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
- Espaço de endereçamento privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
- Capacidade do hub virtual: selecione na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
- Preferência de roteamento de hub: deixe como padrão. Para obter mais informações, consulte Preferência de roteamento de hub virtual.
Criar um gateway de VPN
Na página Criar hub virtual, clique em Site a site para abrir a guia Site a site.
Na guia Site a site , preencha os seguintes campos:
Selecione Sim para criar uma VPN site a site.
Número AS: O campo Número AS não pode ser editado.
Unidades de escala de gateway: selecione o valor de unidades de escala de gateway na lista suspensa. A unidade de escala permite escolher a taxa de transferência agregada do gateway VPN que está sendo criado no hub virtual para conectar sites.
Se você escolher 1 unidade de escala = 500 Mbps, isso implica que duas instâncias para redundância serão criadas, cada uma com uma taxa de transferência máxima de 500 Mbps. Por exemplo, se você tinha cinco filiais, cada uma fazendo 10 Mbps na filial, você precisará de um agregado de 50 Mbps no head-end. O planejamento da capacidade agregada do gateway de VPN do Azure deve ser feito depois de avaliar a capacidade necessária para dar suporte ao número de filiais no hub.
Preferência de roteamento: a preferência de roteamento do Azure permite que você escolha como seu tráfego roteia entre o Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (Internet pública). Essas opções também são conhecidas como roteamento de batata fria e roteamento de batata quente, respectivamente.
O endereço IP público na WAN Virtual é atribuído pelo serviço, com base na opção de roteamento selecionada. Para obter mais informações sobre a preferência de roteamento via rede Microsoft ou ISP, consulte o artigo Preferência de roteamento.
Selecione Rever + Criar para validar.
Selecione Criar para criar o hub e o gateway. Esta ação pode demorar até 30 minutos. Após 30 minutos, atualize para visualizar o hub na página Hubs . Selecione Ir para o recurso para navegar até o recurso.
Criar uma VPN site a site
No portal do Azure, selecione a WAN virtual criada anteriormente.
Na Visão geral do hub virtual, selecione VPN de conectividade>(site a site)>Criar novo site VPN.
Na guia Noções básicas, insira os campos obrigatórios.
Região - Anteriormente referida como localização. É o local em que você deseja criar este recurso de site.
Nome - O nome pelo qual você deseja se referir ao seu site local.
Fornecedor do dispositivo - O nome do fornecedor do dispositivo VPN, por exemplo, Citrix, Cisco ou Barracuda. Ele ajuda a Equipe do Azure a entender melhor seu ambiente para adicionar mais possibilidades de otimização no futuro ou ajudá-lo a solucionar problemas.
Espaço de endereço privado - O espaço de endereço IP CIDR localizado no seu site local. O tráfego destinado a este espaço de endereços é encaminhado para o site local. O bloco CIDR só é necessário se o BGP não estiver habilitado para o site.
Nota
Se você editar o espaço de endereço depois de criar o site (por exemplo, adicionar um espaço de endereço adicional), pode levar de 8 a 10 minutos para atualizar as rotas efetivas enquanto os componentes são recriados.
Selecione Links para adicionar informações sobre os links físicos na filial. Se você tiver um dispositivo CPE de parceiro WAN Virtual, verifique com eles se essas informações são trocadas com o Azure como parte do carregamento de informações de filial configurado de seus sistemas.
A especificação de nomes de link e provedor permite distinguir entre qualquer número de gateways que eventualmente podem ser criados como parte do hub. O BGP e o número do sistema autônomo (ASN) devem ser exclusivos dentro da sua organização. O BGP garante que a Solução VMware do Azure e os servidores locais anunciem suas rotas através do túnel. Se desativado, as sub-redes que precisam ser anunciadas devem ser mantidas manualmente. Se as sub-redes forem perdidas, o HCX não conseguirá formar a malha de serviço.
Importante
Por padrão, o Azure atribui um endereço IP privado do intervalo de prefixos GatewaySubnet automaticamente como o endereço IP BGP do Azure no gateway de VPN do Azure. O endereço BGP API do Azure personalizado é necessário quando seus dispositivos VPN locais usam um endereço APIPA (169.254.0.1 a 169.254.255.254) como o IP BGP. O Gateway de VPN do Azure escolherá o endereço APIPA personalizado se o recurso de gateway de rede local correspondente (rede local) tiver um endereço APIPA como IP de mesmo nível BGP. Se o gateway de rede local usar um endereço IP regular (não APIPA), o Gateway de VPN do Azure reverterá para o endereço IP privado do intervalo GatewaySubnet.
Selecione Rever + criar.
Navegue até o hub virtual desejado e desmarque Associação de hub para conectar seu site VPN ao hub.
(Opcional) Criar túneis VPN site a site baseados em políticas
Importante
Esta é uma etapa opcional e se aplica apenas a VPNs baseadas em políticas.
As configurações de VPN baseadas em políticas exigem que as redes locais e da Solução VMware do Azure sejam especificadas, incluindo os intervalos de hub. Esses intervalos especificam o domínio de criptografia do ponto de extremidade local do túnel VPN baseado em política. O lado da Solução VMware do Azure requer apenas que o indicador seletor de tráfego baseado em política seja habilitado.
No portal do Azure, vá para seu site de hub WAN Virtual e, em Conectividade, selecione VPN (Site a site).
Selecione o Site VPN para o qual você deseja configurar uma política IPsec personalizada.
Selecione o nome do seu site VPN, selecione Mais (...) na extremidade direita e, em seguida, selecione Editar conexão VPN.
Internet Protocol Security (IPSec), selecione Personalizado.
Usar seletor de tráfego baseado em política, selecione Ativar
Especifique os detalhes para IKE Fase 1 e IKE Fase 2 (ipsec).
Altere a configuração IPsec de padrão para personalizado e personalize a diretiva IPsec. Em seguida, selecione Guardar.
Seus seletores de tráfego ou sub-redes que fazem parte do domínio de criptografia baseado em política devem ser:
Hub WAN virtual
/24
Nuvem privada da Solução VMware do Azure
/22
Rede virtual do Azure conectada (se presente)
Conecte seu site VPN ao hub
Selecione o nome do seu site VPN e, em seguida, selecione Conectar sites VPN.
No campo Chave pré-compartilhada, insira a chave definida anteriormente para o ponto de extremidade local.
Gorjeta
Se não tiver uma chave definida anteriormente, pode deixar este campo em branco. Uma chave é gerada para você automaticamente.
Se você estiver implantando um firewall no hub e for o próximo salto, defina a opção Propagar rota padrão como Habilitar.
Quando habilitado, o hub WAN Virtual se propaga para uma conexão somente se o hub já tiver aprendido a rota padrão ao implantar um firewall no hub ou se outro site conectado forçar o túnel habilitado. A rota padrão não se origina no hub WAN Virtual.
Selecione Ligar. Após alguns minutos, o site mostra o status da conexão e da conectividade.
Status da Conexão: Status do recurso do Azure para a conexão que conecta o site VPN ao gateway VPN do hub do Azure. Quando essa operação do plano de controle for bem-sucedida, o gateway de VPN do Azure e o dispositivo VPN local estabelecerão conectividade.
Status da conectividade: status real da conectividade (caminho de dados) entre o gateway de VPN do Azure no hub e o site VPN. Ele pode mostrar qualquer um dos seguintes estados:
- Desconhecido: normalmente visto se os sistemas de back-end estão trabalhando para fazer a transição para outro status.
- Conectando: o gateway de VPN do Azure está tentando entrar em contato com o site de VPN local real.
- Conectado: conectividade estabelecida entre o gateway de VPN do Azure e o site VPN local.
- Desconectado: normalmente visto se desconectado por qualquer motivo (local ou no Azure)
Baixe o arquivo de configuração VPN e aplique-o ao ponto de extremidade local.
Na página VPN (Site a site), perto da parte superior, selecione Baixar configuração de VPN. O Azure cria uma conta de armazenamento no grupo de recursos 'microsoft-network-[location]', onde location é o local da WAN. Depois de aplicar a configuração aos seus dispositivos VPN, você pode excluir essa conta de armazenamento.
Uma vez criado, selecione o link para baixá-lo.
Aplique a configuração ao dispositivo VPN no local.
Para obter mais informações sobre o arquivo de configuração, consulte Sobre o arquivo de configuração do dispositivo VPN.
Corrija a Rota Expressa da Solução VMware do Azure no hub WAN Virtual.
Importante
Você deve primeiro ter uma nuvem privada criada antes de poder corrigir a plataforma.
Importante
Você também deve ter um Gateway de Rota Expressa configurado como parte do seu Hub WAN Virtual.
No portal do Azure, navegue até a nuvem privada da Solução VMware do Azure. Selecione Gerenciar>conectividade>Rota Expressa e, em seguida, selecione + Solicitar uma chave de autorização.
Forneça um nome para ele e selecione Criar.
Pode levar cerca de 30 segundos para criar a chave. Uma vez criada, a nova chave aparece na lista de chaves de autorização para a nuvem privada.
Copie a chave de autorização e a ID da Rota Expressa. Você precisa deles para completar o peering. A chave de autorização desaparece após algum tempo, por isso copie-a assim que aparecer.
Vincule a Solução VMware do Azure e o gateway VPN juntos no hub WAN Virtual. Use a chave de autorização e a ID da Rota Expressa (URI do circuito de mesmo nível) da etapa anterior.
Selecione seu gateway de Rota Expressa e, em seguida, selecione Resgatar chave de autorização.
Cole a chave de autorização no campo Chave de autorização.
Cole a ID da Rota Expressa no campo URI do circuito de mesmo nível.
Marque a caixa de seleção Associar automaticamente este circuito de Rota Expressa ao hub .
Selecione Adicionar para estabelecer o link.
Teste sua conexão criando um segmento de Data Center NSX-T e provisionando uma VM na rede. Execute ping nos pontos de extremidade locais e da Solução VMware do Azure.
Nota
Aguarde aproximadamente 5 minutos antes de testar a conectividade de um cliente atrás do circuito da Rota Expressa, por exemplo, uma VM na VNet criada anteriormente.