Configure uma ligação de gateway VNet-to-VNet VPN utilizando o portal do Azure

Este artigo ajuda-o a ligar redes virtuais (VNets) utilizando o tipo de ligação VNet-to-VNet utilizando o portal do Azure. As redes virtuais podem estar em diferentes regiões e de diferentes subscrições. Quando conecta VNets de diferentes subscrições, as subscrições não precisam de ser associadas ao mesmo inquilino ative. Este tipo de configuração cria uma ligação entre dois gateways de rede virtuais. Este artigo não se aplica ao espreitê-lo da VNet. Para espreitar o VNet, consulte o artigo de observação Rede Virtual.

Diagrama VNet para VNet.

Pode criar esta configuração utilizando várias ferramentas, dependendo do modelo de implementação do seu VNet. Os passos deste artigo aplicam-se ao modelo de implantação Resource Manager Azure e ao portal do Azure. Para mudar para um modelo de implementação ou artigo de método de implantação diferente, utilize o dropdown.

Sobre a ligação de VNets

As seguintes secções descrevem as diferentes formas de ligar redes virtuais.

VNet a VNet

Configurar uma ligação VNet-vNet é uma forma simples de ligar VNets. Quando liga uma rede virtual a outra rede virtual com um tipo de ligação VNet-to-VNet (VNet2VNet), é semelhante à criação de uma ligação IPsec site-to-site a uma localização no local. Ambos os tipos de ligação utilizam uma porta de entrada VPN para fornecer um túnel seguro com IPsec/IKE e funcionam da mesma forma ao comunicar. No entanto, diferem na forma como o portal de rede local está configurado.

Quando cria uma ligação VNet-para-VNet, o espaço de endereço de gateway de rede local é automaticamente criado e povoado. Se atualizar o espaço de endereço para um VNet, o outro VNet liga automaticamente para o espaço de endereço atualizado. É tipicamente mais rápido e fácil criar uma ligação VNet-vNet do que uma ligação Site-to-Site. No entanto, o portal de rede local não é visível nesta configuração.

  • Se souber que pretende especificar espaços de endereço adicionais para o gateway de rede local, ou planeia adicionar ligações adicionais mais tarde e precisar de ajustar o gateway de rede local, deverá criar a configuração utilizando os passos Site-To-Site.
  • A ligação VNet-vNet não inclui o espaço de endereço do cliente ponto-a-local. Se necessitar de encaminhamento transitório para clientes ponto-a-local, em seguida, crie uma ligação Site-a-Site entre os gateways de rede virtuais ou use o observamento VNet.

Site a Site (IPsec)

Se estiver a trabalhar com uma configuração de rede complicada, poderá preferir ligar os seus VNets utilizando uma ligação Site-to-Site . Quando segue os passos IPsec site-to-site, cria e configura manualmente os gateways de rede locais. O gateway de rede local para cada VNet trata a outra VNet como um site local. Estes passos permitem especificar espaços de endereço adicionais para a porta de entrada da rede local para o tráfego de rotas. Se o espaço de endereço de um VNet mudar, deve atualizar manualmente o portal de rede local correspondente.

VNet peering

Também pode ligar os seus VNets utilizando o peering VNet.

Porquê criar uma ligação VNet a VNet?

Pode querer ligar redes virtuais utilizando uma ligação VNet-vNet pelas seguintes razões:

Geopresença e georredundância entre várias regiões

  • Pode configurar a sua própria geo-replicação ou sincronização com conectividade segura sem passar por pontos finais virados para a Internet.
  • Com o Azure Traffic Manager e Balanceador de Carga do Azure, pode configurar uma carga de trabalho altamente disponível com geo-redundância em várias regiões do Azure. Por exemplo, pode configurar SQL Server grupos de disponibilidade Always On em várias regiões do Azure.

Aplicações regionais multi-camadas com limites de isolamento ou administrativos

  • Dentro da mesma região, pode configurar aplicações multi-camadas com múltiplas redes virtuais que estão ligadas em conjunto devido a requisitos de isolamento ou administrativos.

A comunicação VNet a VNet pode ser combinada com configurações multilocal. Estas configurações permitem estabelecer topologias de rede que combinam conectividade entre premissas com conectividade de rede inter-virtual, como mostra o seguinte diagrama:

Diagrama de ligações VNet.

Este artigo mostra-lhe como ligar VNets utilizando o tipo de ligação VNet-vNet. Quando segue estes passos como exercício, pode utilizar os seguintes valores de definição de exemplo. No exemplo, as redes virtuais estão na mesma subscrição, mas em grupos de recursos diferentes. Se a suas VNets estiverem em diferentes subscrições, não pode criar a ligação no portal. Utilize o PowerShell ou o CLI . Para obter mais informações sobre as ligações VNet-to-VNet, consulte as FAQ VNet-to-VNet.

Definições de exemplo

Valores para VNet1:

  • Definições de rede virtuais

    • Nome: VNet1
    • Espaço do endereço: 10.1.0.0/16
    • Subscrição: selecione a subscrição que quer utilizar.
    • Grupo de recursos: TestRG1
    • Localização: Leste dos EUA
    • Sub-rede
      • Nome: FrontEnd
      • Intervalo de endereços: 10.1.0.0/24
  • Definições de gateway de rede virtual

    • Nome: VNet1GW
    • Grupo de recursos: Leste dos EUA
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo VPN: Selecione Rota.
    • SKU: VpnGw2
    • Rede virtual: VNet1
    • Intervalo de endereço da sub-rede Gateway: 10.1.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet1GWpip
  • Ligação

    • Nome: VNet1toVNet4
    • Chave partilhada: Pode criar a chave partilhada por si mesmo. Quando se cria a ligação entre as VNets, os valores devem coincidir. Para este exercício, use o abc123.

Valores para VNet4:

  • Definições de rede virtuais

    • Nome: VNet4
    • Espaço do endereço: 10.41.0.0/16
    • Subscrição: selecione a subscrição que quer utilizar.
    • Grupo de recursos: TestRG4
    • Localização: West US
    • Sub-rede
    • Nome: FrontEnd
    • Intervalo de endereços: 10.41.0.0/24
  • Definições de gateway de rede virtual

    • Nome: VNet4GW
    • Grupo de recursos: West US
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo VPN: Selecione Rota.
    • SKU: VpnGw2
    • Rede virtual: VNet4
    • Intervalo de endereço da sub-rede Gateway: 10.41.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet4GWpip
  • Ligação

    • Nome: VNet4toVNet1
    • Chave partilhada: Pode criar a chave partilhada por si mesmo. Quando se cria a ligação entre as VNets, os valores devem coincidir. Para este exercício, use o abc123.

Criar e configurar vNet1

Se já tiver uma VNet, certifique-se de que as definições são compatíveis com a conceção do seu gateway de VPN. Tenha em especial atenção as sub-redes que se possam sobrepor a outras redes. A sua ligação não funcionará corretamente se tiver sub-redes sobrepostas.

Para criar uma rede virtual

Nota

Ao utilizar uma rede virtual como parte de uma arquitetura de premissas cruzadas, certifique-se de coordenar com o seu administrador de rede no local para esculpir uma gama de endereços IP que você pode usar especificamente para esta rede virtual. Se existir uma gama de endereços duplicada em ambos os lados da ligação VPN, o tráfego irá encaminhar-se de forma inesperada. Além disso, se pretender ligar esta rede virtual a outra rede virtual, o espaço de endereço não pode sobrepor-se à outra rede virtual. Planeie a configuração da sua rede em conformidade.

  1. Inicie sessão no portal do Azure.

  2. Nos recursos de pesquisa, serviço e docs (G+/), escreva rede virtual. Selecione a rede Virtual a partir dos resultados do Marketplace para abrir a página de rede Virtual .

    O Screenshot mostra os resultados da barra de pesquisa portal do Azure e a seleção de Rede Virtual do Marketplace.

  3. Na página de rede Virtual , selecione Criar. Isto abre a página de rede virtual Create .

  4. No separador Basics , configufique as definições de VNet para detalhes do projeto e detalhes de instância. Verá uma marca de verificação verde quando os valores introduzidos forem validados. Os valores apresentados no exemplo podem ser ajustados de acordo com as definições que necessita.

    A screenshot mostra o separador Básicos.

    • Subscrição: Verifique se a subscrição listada é a correta. Pode utilizar o menu pendente para mudar de subscrição.
    • Grupo de recursos: Selecione um grupo de recursos existente ou selecione Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da sua rede virtual.
    • Região: Selecione a localização para o seu VNet. A localização determina onde irão os recursos que implanta para este VNet.
  5. Selecione Segurança para avançar para o separador Segurança. Neste momento, deixe os valores predefinidos.

    • BastionHost: Desativar
    • Padrão de Proteção DDos: Desativar
    • Firewall: Desativar
  6. Selecione endereços IP para avançar para o separador endereços IP. No separador endereços IP, configure as definições. Os valores apresentados no exemplo podem ser ajustados de acordo com as definições que necessita.

    A imagem mostra o separador endereços IP.

    • Espaço de endereço IPv4: Por predefinição, um espaço de endereço é automaticamente criado. Pode selecionar o espaço do endereço e ajustá-lo para refletir os seus próprios valores. Também pode adicionar mais espaços de endereço selecionando a caixa abaixo do espaço de endereço existente e especificando os valores para o espaço adicional do endereço.
    • + Adicionar sub-rede: Se utilizar o espaço de endereço predefinido, uma sub-rede predefinida é criada automaticamente. Se alterar o espaço do endereço, tem de adicionar uma sub-rede. Selecione + Adicione a sub-rede para abrir a janela da sub-rede Add. Configure as seguintes definições e, em seguida, selecione Adicione na parte inferior da página para adicionar os valores.
      • Nome da sub-rede: Neste exemplo, nomeamos a sub-rede "FrontEnd".
      • Intervalo de endereços da sub-rede: O intervalo de endereços para esta sub-rede.
  7. Selecione Review + criar para validar as definições de rede virtual.

  8. Depois de validadas as definições, selecione Criar para criar a rede virtual.

Criar o portal VNet1

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Se estiver a criar esta configuração como um exercício, consulte as definições de Exemplo.

O gateway de rede virtual utiliza uma sub-rede específica denominada sub-rede do gateway. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que especificou quando configurar a rede virtual. Contém os endereços IP que utilizam os serviços e recursos de gateway de rede virtual.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. O número de endereços IP necessários depende da configuração do gateway VPN que pretende criar. Algumas configurações requerem mais endereços IP do que outras. Recomendamos que crie uma sub-rede de gateway que utilize /27 ou /28.

Se vir um erro que especifique que o espaço do endereço se sobrepõe a uma sub-rede ou que a sub-rede não está contida no espaço de endereço da sua rede virtual, verifique o intervalo de endereços VNet. Não pode ter endereços IP suficientes disponíveis no intervalo de endereços que criou para a sua rede virtual. Por exemplo, se a sub-rede de predefinição abrange o intervalo de endereços completo, isso significa que não existem endereços IP restantes para criar sub-redes adicionais. Pode ajustar as sub-redes no espaço de endereço existente para libertar endereços IP ou especifique um intervalo de endereços adicionais e crie a sub-rede do gateway.

Para criar um gateway de rede virtual

  1. Em Recursos de pesquisa, serviços e docs (G+/) digite gateway de rede virtual. Localize o gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página de gateway de rede virtual Create .

    Screenshot do campo de pesquisa.

  2. No separador Básicos , preencha os valores para detalhes do Projeto e detalhes de Instância.

    Screenshot dos campos de Instância.

    • Subscrição: Selecione a subscrição que pretende utilizar a partir do dropdown.
    • Grupo de Recursos: Esta definição é preenchida automaticamente quando seleciona a sua rede virtual nesta página.
    • Nome: dê um nome ao gateway. Nomear o seu portal não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de porta de entrada que estás a criar.
    • Região: Selecione a região em que pretende criar este recurso. A região para o portal deve ser a mesma que a rede virtual.
    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.
    • Tipo de VPN: selecione o tipo de VPN especificado para a sua configuração. A maioria das configurações requerem um tipo de VPN baseado em rotas.
    • Selecione o gateway SKU que pretende utilizar a partir do dropdown. Os SKUs listados na lista pendente dependem do tipo de VPN que selecionar. Certifique-se de selecionar um SKU que suporte as funcionalidades que pretende utilizar. Para obter mais informações sobre os SKUs de gateway, veja SKUs de Gateway.
    • Geração: Selecione a geração que pretende utilizar. Para obter mais informações, veja SKUs de gateway.
    • Rede virtual: A partir do dropdown, selecione a rede virtual à qual pretende adicionar este gateway. Se não conseguir ver o VNet para o qual pretende criar um gateway, certifique-se de que selecionou a subscrição e região corretas nas definições anteriores.
    • Intervalo de endereço da sub-rede Gateway: Este campo só aparece se o seu VNet não tiver uma sub-rede de gateway. É melhor especificar /27 ou maior (/26,/25 etc.). Isto permite endereços IP suficientes para futuras alterações, como a adição de um gateway ExpressRoute. Não recomendamos a criação de um intervalo inferior ao de /28. Se já tem uma sub-rede gateway, pode ver os detalhes do GatewaySubnet navegando para a sua rede virtual. Selecione Subnetas para visualizar o alcance. Se quiser alterar o alcance, pode eliminar e recriar o GatewaySubnet.
  1. Especificar nos valores do endereço IP público. Estas definições especificam o objeto de endereço IP público que fica associado ao gateway VPN. O endereço IP público é dinamicamente atribuído a este objeto quando o gateway de VPN é criado. O endereço IP Público só é alterado quando o gateway é eliminado e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Screenshot do campo de endereços IP público.

    • Tipo de endereço IP público: Na maioria dos casos, pretende utilizar o tipo de endereço IP público básico. Se não vir este campo na página do portal, pode ter selecionado um Gateway SKU que pré-selecione este valor para si.
    • Endereço IP público: Deixe criar novos selecionados .
    • Nome do endereço IP público: Na caixa de texto, escreva um nome para a sua instância de endereço IP público.
    • Endereço IP público SKU: Este campo é controlado pela definição do Tipo de Endereço IP Público .
    • Atribuição: Gateway VPN suporta apenas Dynamic.
    • Ativar o modo ativo: Selecione Apenas Active-active mode se estiver a criar uma configuração de gateway ativa ativa. Caso contrário, deixe esta definição Desativada.
    • Deixe o Configure BGP como desativado, a menos que a sua configuração exija especificamente esta definição. Se necessitar desta definição, o ASN predefinido é 65515, embora este valor possa ser alterado.
  2. Selecione Review + criar para executar validação.

  3. Assim que a validação passar, selecione Criar para implementar o gateway VPN.

Pode ver o estado de implantação na página 'Vista Geral' para o seu gateway. Um gateway pode demorar 45 minutos ou mais para criar e implantar totalmente. Uma vez criado o gateway, pode visualizar o endereço IP que lhe foi atribuído vendo a rede virtual no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o seu gateway de rede virtual (gateways VPN e Rota Expresso) deixe de funcionar como esperado. Para obter mais informações sobre grupos de segurança de rede, veja o que é um grupo de segurança de rede?.

Criar e configurar vNet4

Depois de configurar o VNet1, crie o VNet4 e o gateway VNet4 repetindo os passos anteriores e substituindo os valores por valores VNet4. Não é preciso esperar até que a porta de entrada de rede virtual para o VNet1 tenha terminado de criar antes de configurar o VNet4. Se estiver a utilizar os seus próprios valores, certifique-se de que os espaços de endereço não se sobrepõem a nenhum dos VNets aos quais pretende ligar.

Configure a ligação de gateway VNet1

Quando os gateways de rede virtuais para VNet1 e VNet4 estiverem concluídos, pode criar as suas ligações de gateway de rede virtual. Nesta secção, vai criar uma ligação da VNet1 à VNet4. Os VNets na mesma subscrição podem ser conectados usando o portal, mesmo que estejam em diferentes grupos de recursos. No entanto, se os seus VNets estiverem em subscrições diferentes, deve utilizar o PowerShell para escoar as ligações.

  1. No portal, vá ao seu portal de rede virtual. Por exemplo, VNet1GW.

  2. Na página de gateway de rede virtual, aceda a Connections. Selecione +Adicionar.

    Screenshot mostrando a página de ligações.

  3. Na página de ligação Adicionar , preencha os valores de ligação.

    Screenshot mostrando a página Add Connection.

    • Nome: Introduza um nome para a sua ligação. Por exemplo, VNet1toVNet4.

    • Tipo de ligação: Selecione VNet-para-VNet a partir do drop-down.

    • Primeiro gateway de rede virtual: Este valor de campo é preenchido automaticamente porque está a criar esta ligação a partir do gateway de rede virtual especificado.

    • Segunda porta de entrada de rede virtual: Este campo é a porta de entrada de rede virtual do VNet a que pretende criar uma ligação. Selecione Escolha outra porta de rede virtual para abrir a página de gateway de rede virtual Escolha.

      Screenshot mostra Escolha uma página de gateway de rede virtual com outro gateway selecionado.

      • Veja os gateways de rede virtual que se encontram listados nesta página. Tenha em atenção que estão listados apenas os gateways da rede virtual na sua subscrição. Se pretender ligar-se a um gateway de rede virtual que não esteja na sua subscrição, utilize o PowerShell.

      • Selecione a porta de entrada de rede virtual à qual pretende ligar.

    • Tecla partilhada (PSK): Neste campo, introduza uma chave partilhada para a sua ligação. Pode gerar ou criar esta chave de forma independente. Numa ligação site-to-site, a chave que utiliza é a mesma para o seu dispositivo no local e a sua ligação virtual gateway de rede. O conceito é semelhante aqui, exceto que em vez de se ligar a um dispositivo VPN, você está conectando-se a outro portal de rede virtual.

  4. Selecione OK para guardar as alterações.

Configure a ligação de gateway VNet4

Em seguida, crie uma ligação de VNet4 a VNet1. No portal, localize o portal de rede virtual associado ao VNet4. Siga os passos da secção anterior, substituindo os valores para criar uma ligação de VNet4 a VNet1. Certifique-se de que utiliza a mesma chave partilhada.

Verifique as suas ligações

  1. Localize o portal de rede virtual no portal do Azure.

  2. Na página de gateway de rede Virtual , selecione Connections para ver a página Connections para o gateway de rede virtual. Após a ligação ser estabelecida, verá os valores de Estado alterados para Connected.

    Screenshot mostrando a página 'Ligações' para verificar as ligações.

  3. Sob a coluna Nome , selecione uma das ligações para visualizar mais informações. Quando os dados começarem a fluir, verá os valores de Data in e Data out.

    O Screenshot mostra um grupo de recursos com valores para Data in e Data out.

Adicionar ligações adicionais

Se pretender adicionar ligações adicionais, navegue para o gateway de rede virtual a partir do qual pretende criar a ligação e, em seguida, selecione Connections. Pode criar outra ligação VNet a VNet ou criar uma ligação Site a Site IPsec para uma localização no local. Certifique-se de que ajusta o Tipo de ligação de modo a corresponder ao tipo de ligação que quer criar. Antes de criar ligações adicionais, verifique se o espaço de endereço da sua rede virtual não se sobrepõe a nenhum dos espaços de endereço a que pretende ligar. Para obter os passos para criar uma ligação Site a Site, consulte Criar uma ligação Site a Site.

FAQ da ligação VNet a VNet

Consulte as perguntas Gateway de VPN FAQ para VNet-to-VNet frequentemente feitas perguntas.

Passos seguintes