Configurar uma conexão VNet-to-VNet (clássico)

  • Artigo

Este artigo ajuda você a criar uma conexão de gateway VPN entre redes virtuais. As redes virtuais podem estar nas mesmas regiões ou em regiões diferentes e pertencer às mesmas subscrições ou a subscrições diferentes.

As etapas neste artigo se aplicam ao modelo de implantação clássico (legado) e não se aplicam ao modelo de implantação atual, o Gerenciador de Recursos. Não é mais possível criar um gateway usando o modelo de implantação clássico. Consulte a versão deste artigo do Resource Manager.

Importante

Não é mais possível criar novos gateways de rede virtual para redes virtuais de modelo de implantação clássico (gerenciamento de serviços). Novos gateways de rede virtual podem ser criados somente para redes virtuais do Resource Manager.

Diagram showing classic VNet-to-VNet architecture.

Nota

Este artigo foi escrito para o modelo de implantação clássico (legado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado de seus recursos.

Se pretender utilizar uma versão diferente deste artigo, utilize o índice no painel esquerdo.

Acerca das ligações VNet a VNet

Conectar uma rede virtual a outra rede virtual (VNet-to-VNet) no modelo de implantação clássico usando um gateway VPN é semelhante a conectar uma rede virtual a um local de site local. Ambos os tipos de conetividade utilizam um gateway de VPN para fornecer um túnel seguro através de IPsec/IKE.

As redes virtuais que você conecta podem estar em assinaturas diferentes e regiões diferentes. Você pode combinar comunicação VNet com VNet com configurações multi-site. Este procedimento permite-lhe estabelecer topologias de rede que combinam uma conetividade em vários locais com uma conetividade de rede intervirtual.

Diagram showing VNet-VNet connections.

Por que motivo ligar redes virtuais?

Talvez você queira conectar redes virtuais pelos seguintes motivos:

  • Geopresença e georredundância entre várias regiões

    • Pode configurar a sua própria georreplicação ou sincronização com uma conetividade segura sem passar por pontos finais com acesso à Internet.
    • Com o Azure Load Balancer e a tecnologia de cluster da Microsoft ou de terceiros, você pode configurar uma carga de trabalho altamente disponível com redundância geográfica em várias regiões do Azure. Um exemplo importante consiste em configurar o SQL Always On com Grupos de Disponibilidade propagando-se em várias regiões do Azure.

  • Aplicativos regionais multicamadas com forte limite de isolamento

    • Dentro da mesma região, você pode configurar aplicativos de várias camadas com várias VNets conectadas juntamente com isolamento forte e comunicação intercamadas segura.

  • Subscrição cruzada, comunicação entre organizações no Azure

    • Se você tiver várias assinaturas do Azure, poderá conectar cargas de trabalho de assinaturas diferentes juntas com segurança entre redes virtuais.
    • Para empresas ou provedores de serviços, você pode habilitar a comunicação entre organizações com a tecnologia VPN segura no Azure.

Para obter mais informações sobre ligações de VNet a VNet, veja Considerações de VNet a VNet no final deste artigo.

Pré-requisitos

Usamos o portal para a maioria das etapas, mas você deve usar o PowerShell para criar as conexões entre as redes virtuais. Não é possível criar as conexões usando o portal do Azure porque não há como especificar a chave compartilhada no portal. Ao trabalhar com o modelo de implantação clássico, você não pode usar o Azure Cloud Shell. Em vez disso, você deve instalar a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM) localmente em seu computador. Esses cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte Instalar cmdlets do Service Management. Para obter mais informações sobre o Azure PowerShell em geral, consulte a documentação do Azure PowerShell.

Planeamento

É importante decidir os intervalos que você usará para configurar suas redes virtuais. Para essa configuração, você deve certificar-se de que nenhum dos intervalos de VNet se sobreponha uns aos outros ou a qualquer uma das redes locais às quais eles se conectam.

VNets

Para este exercício, usamos os seguintes valores de exemplo:

Valores para TestVNet1

Designação: TestVNet1
Espaço de endereço: 10.11.0.0/16, 10.12.0.0/16 (opcional)
Nome da sub-rede: padrão
Intervalo de endereços da sub-rede: 10.11.0.0/24
Grupo de recursos: ClassicRG
Localização: E.U.A. Leste
Sub-rede Gateway: 10.11.1.0/27

Valores para TestVNet4

Nome: TestVNet4
Espaço de endereço: 10.41.0.0/16, 10.42.0.0/16 (opcional)
Nome da sub-rede: padrão
Intervalo de endereços da sub-rede: 10.41.0.0/24
Grupo de recursos: ClassicRG
Localização: E.U.A. Oeste
Sub-rede Gateway: 10.41.1.0/27

Ligações

A tabela a seguir mostra um exemplo de como você conecta suas redes virtuais. Use os intervalos apenas como diretriz. Anote os intervalos para suas redes virtuais. Você precisa dessas informações para etapas posteriores.

Neste exemplo, TestVNet1 se conecta a um site de rede local que você cria chamado 'VNet4Local'. As configurações para VNet4Local contêm os prefixos de endereço para TestVNet4. O site local de cada VNet é a outra VNet. Os seguintes valores de exemplo são usados para nossa configuração:

Exemplo

Rede Virtual Espaço de Endereços Localização Conecta-se ao site da rede local
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 E.U.A. Leste SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 E.U.A. Oeste SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Criar redes virtuais

Nesta etapa, você cria duas redes virtuais clássicas, TestVNet1 e TestVNet4. Se você estiver usando este artigo como um exercício, use os valores de exemplo.

Ao criar suas redes virtuais, lembre-se das seguintes configurações:

  • Espaços de Endereço de Rede Virtual – Na página Espaços de Endereço de Rede Virtual, especifique o intervalo de endereços que você deseja usar para sua rede virtual. Esses são os endereços IP dinâmicos que serão atribuídos às VMs e outras instâncias de função que você implanta nessa rede virtual.
    Os espaços de endereço selecionados não podem se sobrepor aos espaços de endereço de nenhuma das outras VNets ou locais aos quais essa VNet se conectará.

  • Localização – Quando cria uma rede virtual, associa-a a uma localização do Azure (região). Por exemplo, se você quiser que suas VMs implantadas em sua rede virtual estejam fisicamente localizadas no oeste dos EUA, selecione esse local. Não é possível alterar o local associado à sua rede virtual depois de criá-la.

Depois de criar suas redes virtuais, você pode adicionar as seguintes configurações:

  • Espaço de endereço – Espaço de endereçamento adicional não é necessário para essa configuração, mas você pode adicionar espaço de endereço adicional depois de criar a rede virtual.

  • Sub-redes – Sub-redes adicionais não são necessárias para essa configuração, mas talvez você queira ter suas VMs em uma sub-rede separada de suas outras instâncias de função.

  • Servidores DNS – Introduza o nome do servidor DNS e o endereço IP. Essa configuração não cria um servidor DNS. Permite-lhe especificar os servidores DNS que pretende utilizar para a resolução de nomes desta rede virtual.

Para criar uma rede virtual clássica

  1. Num browser, navegue para o Portal do Azure e, se necessário, inicie sessão com a sua conta do Azure.
  2. Selecione +Criar um recurso. No campo Procurar no Marketplace, escreva "Rede Virtual". Localize Rede Virtual na lista retornada e selecione-a para abrir a página Rede Virtual.
  3. Na página Rede Virtual, no botão Criar, você verá "Implantar com o Gerenciador de Recursos (alterar para Clássico)". O Resource Manager é o padrão para criar uma VNet. Você não deseja criar uma VNet do Resource Manager. Selecione (altere para Clássico) para criar uma rede virtual clássica. Em seguida, selecione a guia Visão geral e selecione Criar.
  4. Na página Criar rede virtual (clássica), na guia Noções básicas, defina as configurações de rede virtual com os valores de exemplo.
  5. Selecione Rever + criar para validar a sua rede virtual.
  6. A validação é executada. Depois que a VNet for validada, selecione Criar.

As configurações de DNS não são uma parte necessária dessa configuração, mas o DNS é necessário se você quiser a resolução de nomes entre suas VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS que especificar deve ser um servidor DNS que possa resolver os nomes dos recursos a que se está a ligar.

Depois de criar a rede virtual, pode adicionar o endereço IP de um servidor DNS, para lidar com a resolução de nomes. Abra as definições da sua rede virtual, selecione Servidores DNS e adicione o endereço IP do servidor DNS que pretende utilizar para a resolução de nomes.

  1. Localize a rede virtual no portal.
  2. Na página da sua rede virtual, na seção Configurações , selecione Servidores DNS.
  3. Adicione um servidor DNS.
  4. Para salvar suas configurações, selecione Salvar na parte superior da página.

Configurar sites e gateways

O Azure usa as configurações especificadas em cada site de rede local para determinar como rotear o tráfego entre as redes virtuais. Cada rede virtual deve apontar para a respetiva rede local para a qual você deseja rotear o tráfego. Você determina o nome que deseja usar para se referir a cada site de rede local. É melhor usar algo descritivo.

Por exemplo, TestVNet1 se conecta a um site de rede local que você cria chamado 'VNet4Local'. As configurações para VNet4Local contêm os prefixos de endereço para TestVNet4.

Lembre-se de que o site local de cada VNet é a outra VNet.

Rede Virtual Espaço de Endereços Localização Conecta-se ao site da rede local
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 E.U.A. Leste SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 E.U.A. Oeste SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Para configurar um site

O site local refere-se, normalmente, à sua localização no local. Ele contém o endereço IP do dispositivo VPN para o qual você criará uma conexão e os intervalos de endereços IP que são roteados através do gateway VPN para o dispositivo VPN.

  1. Na página da sua rede virtual, em Configurações, selecione Conexões site a site.

  2. Na página Conexões site a site, selecione + Adicionar.

  3. Na página Configurar uma conexão VPN e gateway, para Tipo de conexão, deixe Site-to-site selecionado.

    • Endereço IP do gateway de VPN: este é o endereço IP público do dispositivo VPN para a rede no local. Para este exercício, você pode colocar um endereço fictício porque ainda não tem o endereço IP do gateway VPN para o outro site. Por exemplo, 5.4.3.2. Mais tarde, depois de configurar o gateway para a outra VNet, você poderá ajustar esse valor.

    • Espaço de endereço do cliente: liste os intervalos de endereços IP que você deseja roteado para a outra VNet por meio desse gateway. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos especificados aqui não se sobreponham aos intervalos de outras redes às quais sua rede virtual se conecta ou aos intervalos de endereços da própria rede virtual.

  4. Na parte inferior da página, NÃO selecione Rever + criar. Em vez disso, selecione Next: Gateway>.

Para configurar um gateway de rede virtual

  1. Na página Gateway, selecione os seguintes valores:

    • Tamanho: Este é o SKU de gateway que você usa para criar seu gateway de rede virtual. Os gateways de VPN clássicos utilizam os SKUs de gateway antigo (legados). Para obter mais informações sobre os SKU de gateway legados, veja Trabalhar com SKUs de gateway de rede virtual (antigos). Você pode selecionar Padrão para este exercício.

    • Sub-rede do gateway: o tamanho da sub-rede do gateway especificada depende da configuração do gateway VPN que você deseja criar. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29, recomendamos que você use /27 ou /28. Desta forma, estará a criar uma sub-rede maior que inclui mais endereços. Utilizar uma sub-rede de gateway maior permite que os endereços IP suficientes suportem possíveis configurações futuras.

  2. Selecione Rever + criar na parte inferior da página para validar as suas definições. Selecione Criar para implantar. Pode levar até 45 minutos para criar um gateway de rede virtual, dependendo da SKU do gateway selecionada.

  3. Você pode começar a avançar para a próxima etapa enquanto esse gateway está sendo criado.

Definir configurações do TestVNet4

Repita as etapas para Criar um site e gateway para configurar o TestVNet4, substituindo os valores quando necessário. Se você estiver fazendo isso como um exercício, use os valores de exemplo.

Atualizar sites locais

Depois que os gateways de rede virtual tiverem sido criados para ambas as redes virtuais, você deverá ajustar as propriedades do site local para o endereço IP do gateway VPN.

Nome da VNet Site conectado Endereço IP do gateway
TestVNet1 VNet4Local Endereço IP do gateway VPN para TestVNet4
TestVNet4 VNet1Local Endereço IP do gateway VPN para TestVNet1

Parte 1 - Obter o endereço IP público do gateway de rede virtual

  1. Navegue até a rede virtual acessando o grupo Recursos e selecionando a rede virtual.
  2. Na página da sua rede virtual, no painel Essentials à direita, localize o endereço IP do Gateway e copie para a área de transferência.

Parte 2 - Modificar as propriedades do site local

  1. Em Conexões site a site, selecione a conexão. Por exemplo, SiteVNet4.
  2. Na página Propriedades da conexão site a site, selecione Editar site local.
  3. No campo Endereço IP do gateway VPN, cole o endereço IP do gateway VPN copiado na seção anterior.
  4. Selecione OK.
  5. O campo é atualizado no sistema. Você também pode usar esse método para adicionar endereço IP adicional que você deseja rotear para este site.

Parte 3 - Repetir etapas para a outra VNet

Repita as etapas para TestVNet4.

Recuperar valores de configuração

Quando você cria VNets clássicas no portal do Azure, o nome que você exibe não é o nome completo que você usa para o PowerShell. Por exemplo, uma VNet que parece ser chamada TestVNet1 no portal, pode ter um nome muito mais longo no arquivo de configuração de rede. Para uma VNet no grupo de recursos "ClassicRG" o nome pode ser algo como: Group ClassicRG TestVNet1. Ao criar suas conexões, é importante usar os valores que você vê no arquivo de configuração de rede.

Nas etapas a seguir, você se conectará à sua conta do Azure e baixará e exibirá o arquivo de configuração de rede para obter os valores necessários para suas conexões.

  1. Baixe e instale a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM). A maioria das pessoas tem os módulos do Resource Manager instalados localmente, mas não tem módulos de Gerenciamento de Serviços. Os módulos de gerenciamento de serviços são herdados e devem ser instalados separadamente. Para obter mais informações, consulte Instalar cmdlets do Service Management.

  2. Abra a consola do PowerShell com direitos elevados e ligue-se à sua conta. Use os exemplos a seguir para ajudá-lo a se conectar. Você deve executar esses comandos localmente usando o módulo PowerShell Service Management. Ligar à sua conta. Utilize o exemplo seguinte para o ajudar na ligação:

    Add-AzureAccount

  3. Verifique as subscrições da conta.

    Get-AzureSubscription

  4. Se tiver mais do que uma subscrição, selecione a subscrição que pretende utilizar.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Crie um diretório no seu computador. Por exemplo, C:\AzureVNet

  6. Exporte o arquivo de configuração de rede para o diretório. Neste exemplo, o arquivo de configuração de rede é exportado para C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Abra o arquivo com um editor de texto e visualize os nomes de suas redes virtuais e sites. Esses nomes serão os nomes que você usa ao criar suas conexões.
    Os nomes de VNet são listados como nome VirtualNetworkSite =
    Os nomes de site são listados como LocalNetworkSiteRef name =

Criar ligações

Quando todas as etapas anteriores tiverem sido concluídas, você poderá definir as chaves pré-compartilhadas IPsec/IKE e criar a conexão. Este conjunto de etapas usa o PowerShell. As conexões VNet-to-VNet para o modelo de implantação clássico não podem ser configuradas no portal do Azure porque a chave compartilhada não pode ser especificada no portal.

Nos exemplos, observe que a chave compartilhada é exatamente a mesma. A chave partilhada deve corresponder sempre. Certifique-se de substituir os valores nesses exemplos pelos nomes exatos de suas redes virtuais e sites de rede local.

  1. Criar a ligação da TestVNet1 para a TestVNet4. Certifique-se de alterar os valores.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Criar a ligação da TestVNet4 para a TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Aguarde até que as conexões sejam inicializadas. Depois que o gateway for inicializado, o Status será 'Bem-sucedido'.

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

FAQ e considerações

Essas considerações se aplicam a redes virtuais clássicas e gateways de rede virtual clássicos.

  • As redes virtuais podem estar na mesma assinatura ou em assinaturas diferentes.
  • As redes virtuais podem estar nas mesmas regiões ou em regiões (localizações) diferentes do Azure.
  • Um serviço de nuvem ou um ponto de extremidade de balanceamento de carga não pode se estender por redes virtuais, mesmo que elas estejam conectadas.
  • Conectar várias redes virtuais juntas não requer nenhum dispositivo VPN.
  • A VNet-to-VNet dá suporte à conexão de Redes Virtuais do Azure. Ele não oferece suporte à conexão de máquinas virtuais ou serviços de nuvem que não são implantados em uma rede virtual.
  • VNet-to-VNet requer gateways de roteamento dinâmico. Os gateways de roteamento estático do Azure não são suportados.
  • A conectividade de rede virtual pode ser utilizada em simultâneo com VPNs de vários locais. Há um máximo de 10 túneis VPN para um gateway VPN de rede virtual que se conecta a outras redes virtuais ou sites locais.
  • Os espaços de endereços das redes virtuais e sites de rede local no local não se podem sobrepor. A sobreposição de espaços de endereço faz com que a criação de redes virtuais ou o carregamento de arquivos de configuração netcfg falhem.
  • Não há suporte para túneis redundantes entre um par de redes virtuais.
  • Todos os túneis VPN para a rede virtual, incluindo VPNs P2S, compartilham a largura de banda disponível para o gateway VPN e o mesmo SLA de tempo de atividade do gateway VPN no Azure.
  • O tráfego de VNet-to-VNet percorre o backbone do Azure.

Próximos passos

Verifique as suas ligações. Consulte Verificar uma conexão de gateway VPN.