Configure uma ligação VNet-vNet (clássico)

  • Artigo
  • 14 minutos para ler

Este artigo ajuda-o a criar uma ligação de gateway VPN entre redes virtuais. As redes virtuais podem estar nas mesmas regiões ou em regiões diferentes e pertencer às mesmas subscrições ou a subscrições diferentes.

Diagram showing classic VNet-to-VNet architecture

Nota

Este artigo é escrito para o modelo de implementação clássico. Se estiver familiarizado com o Azure, em vez disso recomendamos que utilize o modelo de implementação do Resource Manager. O modelo de implementação do Resource Manager é o modelo de implementação mais recente e oferece mais opções e compatibilidade de funcionalidade que o modelo de implementação clássica. Para obter mais informações sobre os modelos de implementação, veja Understanding deployment models (Compreender os modelos de implementação).

Para a versão Resource Manager deste artigo, selecione-o da lista de espera ou da tabela de conteúdos à esquerda.

Os passos deste artigo aplicam-se ao modelo de implantação clássico e ao portal do Azure. Também pode criar esta configuração ao utilizar uma ferramenta de implementação diferente ou modelo de implementação ao selecionar uma opção diferente da lista seguinte:

Acerca das ligações VNet a VNet

Ligar uma rede virtual a outra rede virtual (VNet-to-VNet) no modelo clássico de implementação usando um gateway VPN é semelhante a ligar uma rede virtual a uma localização no local. Ambos os tipos de conetividade utilizam um gateway de VPN para fornecer um túnel seguro através de IPsec/IKE.

Os VNets que conecta podem ser em diferentes subscrições e diferentes regiões. Pode combinar comunicação VNet com VNet com configurações multi-sites. Este procedimento permite-lhe estabelecer topologias de rede que combinam uma conetividade em vários locais com uma conetividade de rede intervirtual.

Diagram showing connections

Por que motivo ligar redes virtuais?

Poderá pretender ligar redes virtuais pelos seguintes motivos:

  • Geopresença e georredundância entre várias regiões

    • Pode configurar a sua própria georreplicação ou sincronização com uma conetividade segura sem passar por pontos finais com acesso à Internet.
    • Com Balanceador de Carga do Azure e a Microsoft ou tecnologia de clustering de terceiros, pode configurar uma carga de trabalho altamente disponível com geo-redundância em várias regiões do Azure. Um exemplo importante consiste em configurar o SQL Always On com Grupos de Disponibilidade propagando-se em várias regiões do Azure.

  • Aplicações regionais de vários níveis com forte limite de isolamento

    • Dentro da mesma região, pode configurar aplicações multi-camadas com múltiplos VNets ligados juntamente com um forte isolamento e uma comunicação inter-níveis segura.

  • Assinatura cruzada, comunicação inter-organização em Azure

    • Se tiver várias subscrições do Azure, pode ligar cargas de trabalho de diferentes subscrições de forma segura entre redes virtuais.
    • Para empresas ou prestadores de serviços, pode permitir a comunicação inter-organizacional com tecnologia VPN segura dentro do Azure.

Para obter mais informações sobre ligações de VNet a VNet, veja Considerações de VNet a VNet no final deste artigo.

Pré-requisitos

Utilizamos o portal para a maioria dos passos, mas tem de usar o PowerShell para criar as ligações entre os VNets. Não é possível criar as ligações utilizando o portal do Azure porque não há forma de especificar a chave partilhada no portal. Ao trabalhar com o modelo de implementação clássico, não pode usar o Azure Cloud Shell. Em vez disso, tem de instalar a versão mais recente dos cmdlets PowerShell (SM) da Azure Service Management (SM) localmente no seu computador. Estes cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte as cmdlets de Gestão de Serviços de Instalação. Para mais informações sobre Azure PowerShell em geral, consulte a documentação Azure PowerShell.

Planeamento

É importante decidir as gamas que vai usar para configurar as suas redes virtuais. Para esta configuração, deve certificar-se de que nenhuma das gamas VNet se sobrepõe entre si, ou com qualquer uma das redes locais a que se ligam.

VNets

Para este exercício, utilizamos os seguintes valores de exemplo:

Valores para TestVNet1

Nome: TestVNet1
Espaço do endereço: 10.11.0.0/16, 10.12.0.0/16 (opcional)
Nome da sub-rede: predefinição
Intervalo de endereços da sub-rede: 10.11.0.0/24
Grupo de recursos: ClassicRG
Localização: E.U.A. Leste
GatewaySubnet: 10.11.1.0/27

Valores para TestVNet4

Nome: TestVNet4
Espaço do endereço: 10.41.0.0/16, 10.42.0.0/16 (opcional)
Nome da sub-rede: predefinição
Intervalo de endereços da sub-rede: 10.41.0.0/24
Grupo de recursos: ClassicRG
Localização: E.U.A. Oeste
GatewaySubnet: 10.41.1.0/27

Ligações

A tabela que se segue mostra um exemplo de como irá ligar os seus VNets. Utilize as gamas apenas como orientação. Anota os intervalos para as suas redes virtuais. Precisa desta informação para mais tarde.

Neste exemplo, o TestVNet1 conecta-se a um site de rede local que cria chamado 'VNet4Local'. As definições do VNet4Local contêm os prefixos de endereço para TestVNet4. O site local para cada VNet é o outro VNet. Os seguintes valores de exemplo são utilizados para a nossa configuração:

Exemplo

Rede Virtual Espaço de Endereços Localização Liga-se ao site de rede local
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 E.U.A. Leste SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 E.U.A. Oeste SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Criar redes virtuais

Neste passo, cria-se duas redes virtuais clássicas, TestVNet1 e TestVNet4. Se estiver a utilizar este artigo como exercício, utilize os valores do exemplo.

Ao criar os seus VNets, tenha em mente as seguintes definições:

  • Rede Virtual Espaços de Endereço – Na página Rede Virtual Address Spaces, especifique o intervalo de endereços que pretende utilizar para a sua rede virtual. Estes são os endereços IP dinâmicos que serão atribuídos aos VMs e outros casos de função que implementa para esta rede virtual.
    Os espaços de endereço que seleciona não podem sobrepor-se aos espaços de endereço de qualquer um dos outros VNets ou locais no local a que este VNet irá ligar.

  • Localização – Quando cria uma rede virtual, associa-a a uma localização Azure (região). Por exemplo, se pretender que os seus VMs que são implantados na sua rede virtual estejam fisicamente localizados nos EUA Ocidentais, selecione essa localização. Não é possível alterar a localização associada à sua rede virtual depois de a criar.

Depois de criar os seus VNets, pode adicionar as seguintes definições:

  • Espaço de endereço – Espaço adicional de endereço não é necessário para esta configuração, mas pode adicionar espaço adicional de endereço após a criação do VNet.

  • Sub-redes – Não são necessárias sub-redes adicionais para esta configuração, mas é melhor ter os seus VMs numa sub-rede separada das outras instâncias de função.

  • Servidores DNS – Introduza o nome do servidor DNS e o endereço IP. Esta definição não cria um servidor DNS. Permite-lhe especificar os servidores DNS que pretende utilizar para a resolução de nomes desta rede virtual.

Para criar uma rede virtual clássica

  1. Num browser, navegue para o Portal do Azure e, se necessário, inicie sessão com a sua conta do Azure.
  2. Selecione +Criar um recurso. No campo Procurar no Marketplace, escreva "Rede Virtual". Localize Rede Virtual da lista de devoluções e selecione-a para abrir a página Rede Virtual.
  3. Na página Rede Virtual, sob o botão Criar, vê "Implementar com Resource Manager (alterar para Clássico)". Resource Manager é o padrão para a criação de um VNet. Não queres criar um Resource Manager VNet. Selecione (alterar para Clássico) para criar um VNet Clássico. Em seguida, selecione o separador Visão Geral e selecione Criar.
  4. Na página 'classic' de rede virtual Create , no separador Básicos , configurar as definições VNet com os valores de exemplo.
  5. Selecione Review + criar para validar o seu VNet.
  6. A validação corre. Depois de validado o VNet, selecione Criar.

As definições de DNS não são uma parte necessária desta configuração, mas o DNS é necessário se quiser uma resolução de nome entre os seus VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS que especificar deve ser um servidor DNS que possa resolver os nomes dos recursos a que se está a ligar.

Depois de criar a rede virtual, pode adicionar o endereço IP de um servidor DNS, para lidar com a resolução de nomes. Abra as definições para a sua rede virtual, selecione servidores DNS e adicione o endereço IP do servidor DNS que pretende utilizar para a resolução de nomes.

  1. Localize a rede virtual no portal.
  2. Na página da sua rede virtual, na secção Definições, selecione servidores DNS.
  3. Adicione um servidor DNS.
  4. Para guardar as suas definições, selecione Guardar no topo da página.

Configurar sites e gateways

O Azure utiliza as definições especificadas em cada site de rede local para determinar como encaminhar o tráfego entre as VNets. Cada VNet deve apontar para a respetiva rede local para a que pretende encaminhar o tráfego. Você determina o nome que deseja usar para se referir a cada site de rede local. É melhor usar algo descritivo.

Por exemplo, o TestVNet1 conecta-se a um site de rede local que cria chamado 'VNet4Local'. As definições do VNet4Local contêm os prefixos de endereço para TestVNet4.

Tenha em mente, o site local para cada VNet é o outro VNet.

Rede Virtual Espaço de Endereços Localização Liga-se ao site de rede local
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 E.U.A. Leste SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 E.U.A. Oeste SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Para configurar um site

O site local refere-se, normalmente, à sua localização no local. Contém o endereço IP do dispositivo VPN para o qual irá criar uma ligação e os intervalos de endereços IP que serão encaminhados através do gateway de VPN para o dispositivo VPN.

  1. Na página do seu VNet, em Definições, selecione as ligações Site-to-site.

  2. Na página de ligações Site-to-site, selecione + Adicionar.

  3. No Configure uma página de ligação VPN e gateway , para tipo de ligação, deixe o Site-site selecionado.

    • Endereço IP do gateway de VPN: este é o endereço IP público do dispositivo VPN para a rede no local. Para este exercício, pode colocar um endereço falso porque ainda não tem o endereço IP para o gateway VPN para o outro site. Por exemplo, 5.4.3.2. Mais tarde, uma vez configurado o gateway para o outro VNet, pode ajustar este valor.

    • Espaço de endereço do cliente: Enuda as gamas de endereços IP que deseja encaminhada para o outro VNet através deste gateway. Pode adicionar vários intervalos de espaço de endereços. Certifique-se de que os intervalos que especifica aqui não se sobrepõem aos intervalos de outras redes às quais a rede virtual se liga ou aos intervalos de endereços da própria rede virtual.

  4. Na parte inferior da página, NÃO selecione 'Rever + criar'. Em vez disso, selecione Seguinte: Gateway>.

Para configurar uma porta de entrada de rede virtual

  1. Na página Gateway , selecione os seguintes valores:

    • Tamanho: Esta é a porta de entrada SKU que usa para criar o seu gateway de rede virtual. Os gateways de VPN clássicos utilizam os SKUs de gateway antigo (legados). Para obter mais informações sobre os SKU de gateway legados, veja Trabalhar com SKUs de gateway de rede virtual (antigos). Pode selecionar Standard para este exercício.

    • Tipo de encaminhamento: Selecione o tipo de encaminhamento para o seu gateway. Também é conhecido como o tipo de VPN. É importante selecionar o tipo correto porque não é possível converter o gateway de um tipo para outro. O dispositivo VPN tem de ser compatível com o tipo de encaminhamento que selecionar. Para obter mais informações sobre o Tipo de Encaminhamento, consulte Cerca de Gateway de VPN Definições. Poderá ver artigos que fazem referência aos tipos de VPN 'RouteBased' e 'PolicyBased'. 'Dynamic' corresponde a 'RouteBased' e 'Static' corresponde a 'PolicyBased'. Para esta configuração, selecione Dynamic.

    • Sub-rede gateway: O tamanho da sub-rede de gateway que especifica depende da configuração do gateway VPN que pretende criar. Embora seja possível criar uma sub-rede de gateway tão pequena como /29, recomendamos que utilize /27 ou /28. Desta forma, estará a criar uma sub-rede maior que inclui mais endereços. Utilizar uma sub-rede de gateway maior permite que os endereços IP suficientes suportem possíveis configurações futuras.

  2. Selecione Rever + criar na parte inferior da página para validar as suas definições. Selecione Criar para implementar. Pode levar até 45 minutos para criar um gateway de rede virtual, dependendo do gateway SKU que selecionou.

  3. Pode começar a seguir para o próximo passo enquanto este portal está a criar.

Configurar definições testVNet4

Repita os passos para Criar um site e porta de entrada para configurar o TestVNet4, substituindo os valores quando necessário. Se estiver a fazer isto como exercício, utilize os valores do exemplo.

Atualizar sites locais

Depois de terem sido criados os seus gateways de rede virtuais para ambos os VNets, tem de ajustar as propriedades do site local para o endereço IP do gateway VPN.

Nome VNet Site conectado Endereço IP gateway
TestVNet1 VNet4Local Endereço IP de gateway VPN para TestVNet4
TestVNet4 VNet1Local Endereço IP de gateway VPN para TestVNet1

Parte 1 - Obtenha o endereço IP público de gateway de rede virtual

  1. Navegue para o seu VNet indo ao grupo de Recursos e selecionando a rede virtual.
  2. Na página da sua rede virtual, no painel Essentials à direita, localize o endereço IP gateway e copie para a área de transferência.

Parte 2 - Modificar as propriedades do site local

  1. Nas ligações Site-to-site, selecione a ligação. Por exemplo, SiteVNet4.
  2. Na página Propriedades para a ligação Site-a-local, selecione Editar o site local.
  3. No campo de endereço IP de gateway VPN , cole o endereço IP de gateway VPN copiado na secção anterior.
  4. Selecione OK.
  5. O campo é atualizado no sistema. Também pode utilizar este método para adicionar um endereço IP adicional que pretende encaminhar para este site.

Parte 3 - Repetir passos para o outro VNet

Repita os passos para testVNet4.

Recuperar valores de configuração

Quando crias VNets clássicos no portal do Azure, o nome que vês não é o nome completo que usas para o PowerShell. Por exemplo, um VNet que parece ter o nome de TestVNet1 no portal, pode ter um nome muito mais longo no ficheiro de configuração da rede. Para um VNet no grupo de recursos o nome "ClassicRG" pode parecer algo como: Group ClassicRG TestVNet1. Quando cria as suas ligações, é importante utilizar os valores que vê no ficheiro de configuração da rede.

Nos seguintes passos, irá ligar-se à sua conta Azure e descarregar e ver o ficheiro de configuração da rede para obter os valores necessários para as suas ligações.

  1. Descarregue e instale a versão mais recente dos cmdlets PowerShell powerShell da Azure Service Management (SM). A maioria das pessoas tem os módulos Resource Manager instalados localmente, mas não têm módulos de Gestão de Serviços. Os módulos de Gestão de Serviços são legados e devem ser instalados separadamente. Para mais informações, consulte os cmdlets de Gestão de Serviços de Instalação.

  2. Abra a consola do PowerShell com direitos elevados e ligue-se à sua conta. Utilize os seguintes exemplos para o ajudar a ligar. Tem de executar estes comandos localmente utilizando o módulo de Gestão de Serviços PowerShell. Ligar à sua conta. Utilize o exemplo seguinte para o ajudar na ligação:

    Add-AzureAccount

  3. Verifique as subscrições da conta.

    Get-AzureSubscription

  4. Se tiver mais do que uma subscrição, selecione a subscrição que pretende utilizar.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Crie um diretório no seu computador. Por exemplo, C:\AzureVNet

  6. Exporte o ficheiro de configuração da rede para o diretório. Neste exemplo, o ficheiro de configuração da rede é exportado para C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Abra o ficheiro com um editor de texto e veja os nomes dos seus VNets e sites. Estes nomes serão os nomes que usa quando criar as suas ligações.
    Os nomes VNet estão listados como Nome VirtualNetworkSite =
    Os nomes do site estão listados como LocalNetworkSiteRef nome =

Criar ligações

Quando todos os passos anteriores estiverem concluídos, pode definir as teclas pré-partilhadas IPsec/IKE e criar a ligação. Este conjunto de passos utiliza o PowerShell. As ligações VNet-para-VNet para o modelo de implementação clássico não podem ser configuradas no portal do Azure porque a chave partilhada não pode ser especificada no portal.

Nos exemplos, note que a chave partilhada é exatamente a mesma. A chave partilhada deve sempre coincidir. Certifique-se de que substitui os valores nestes exemplos pelos nomes exatos dos seus VNets e Sites de Rede Locais.

  1. Criar a ligação da TestVNet1 para a TestVNet4. Certifique-se de alterar os valores.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Criar a ligação da TestVNet4 para a TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Aguarde a inicialização das ligações. Uma vez que o gateway tenha sido inicializado, o Estado é 'Bem sucedido'.

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

PERGUNTAS Frequentes e considerações

Estas considerações aplicam-se a redes virtuais clássicas e gateways de rede virtuais clássicos.

  • As redes virtuais podem estar nas mesmas subscrições ou diferentes.
  • As redes virtuais podem estar nas mesmas regiões ou em regiões (localizações) diferentes do Azure.
  • Um serviço de nuvem ou um ponto final de equilíbrio de carga não pode abranger redes virtuais, mesmo que estejam conectados entre si.
  • Ligar várias redes virtuais não requer nenhum dispositivo VPN.
  • O VNet-to-VNet suporta a ligação de redes virtuais Azure. Não suporta a ligação de máquinas virtuais ou serviços em nuvem que não sejam implantados numa rede virtual.
  • O VNet-para-VNet requer gateways dinâmicos de encaminhamento. Os gateways de encaminhamento estático azul não são suportados.
  • A conectividade de rede virtual pode ser utilizada em simultâneo com VPNs de vários locais. Há um máximo de 10 túneis VPN para uma rede virtual VPN gateway conectando-se a outras redes virtuais, ou sites no local.
  • Os espaços de endereços das redes virtuais e sites de rede local no local não se podem sobrepor. A sobreposição de espaços de endereços fará com que a criação de redes virtuais ou o upload de ficheiros de configuração netcfg falhem.
  • Os túneis redundantes entre um par de redes virtuais não são suportados.
  • Todos os túneis VPN para o VNet, incluindo P2S VPNs, partilham a largura de banda disponível para o gateway VPN, e o mesmo gateway VPN uptime SLA em Azure.
  • O tráfego VNet-to-VNet atravessa a espinha dorsal de Azure.

Passos seguintes

Verifique as suas ligações. Consulte verificar uma ligação Gateway de VPN.