Руководство. Создание VPN-шлюза и управление им с помощью портала Azure
В этом руководстве показано, как создать шлюз виртуальной сети (VPN-шлюз) и управлять ими с помощью портал Azure. VPN-шлюз является частью архитектуры подключения, которая помогает безопасно обращаться к ресурсам в виртуальной сети с помощью VPN-шлюз.
- В левой части схемы показана виртуальная сеть и VPN-шлюз, создаваемый с помощью действий, описанных в этой статье.
- Позже можно добавить различные типы подключений, как показано в правой части схемы. Например, можно создавать подключения типа "сеть — сеть" и "точка — сеть". Чтобы просмотреть различные архитектуры проектирования, которые можно создать, см . проект VPN-шлюза.
Дополнительные сведения о параметрах конфигурации, используемых в этом руководстве, см. в разделе Сведения о параметрах конфигурации VPN-шлюза. Дополнительные сведения об Azure VPN-шлюз см. в статье "Что такое Azure VPN-шлюз". Эти действия создают шлюз, избыточный между зонами. Если вы хотите создать шлюз SKU уровня "Базовый", см. статью "Создание VPN-шлюза SKU уровня "Базовый".
В этом руководстве описано следующее:
- Создайте виртуальную сеть.
- Создайте VPN-шлюз активного режима.
- Просмотр общедоступного IP-адреса шлюза.
- Изменение размера VPN-шлюза (изменение размера SKU).
- Сброс VPN-шлюза.
Инструкции, описанные в этой статье, используют SKU VPNGw2AZ шлюза, который поддерживает зоны доступности Azure. Некоторые регионы не поддерживают зоны доступности. Если вы хотите развернуть в регионе, отличном от примеров значений в этой статье, убедитесь, что для этого региона поддерживаются зоны доступности. Если зоны доступности не поддерживаются, используйте вместо этого номер SKU, отличный от AZ. Дополнительные сведения см. в разделе Поддержка служб зон доступности и регионов. Дополнительные сведения об номерах SKU см. в разделе "О номерах SKU шлюза".
Необходимые компоненты
Вам потребуется учетная запись Azure с активной подпиской. Если у вас ее нет, создайте подписку бесплатно.
Создание виртуальной сети
Создайте виртуальную сеть с помощью следующих примеров значений:
- Группа ресурсов: TestRG1
- Имя: VNet1
- Регион: восточная часть США (или регион выбранного региона)
- Диапазон IPv4-адресов: 10.1.0.0/16.
- Имя подсети: FrontEnd.
- Диапазон адресов подсети: 10.1.0.0/24
Войдите на портал Azure.
В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .
На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".
На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке входных значений отображается зеленый флажок. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.
- Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
- Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
- Имя. Введите имя виртуальной сети.
- Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развернутые в этой виртуальной сети.
Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.
Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.
Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.
+ Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.
- Имя подсети: пример — FrontEnd.
- Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.
Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.
Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.
После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.
После создания виртуальной сети можно при необходимости настроить защиту от атак DDoS Azure. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов. Дополнительные сведения о защите от атак DDoS Azure см. в статье "Что такое защита от атак DDoS Azure".
Создание подсети шлюза
Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети. Укажите подсеть шлюза, которая имеет значение /27 или больше.
- На странице виртуальной сети на левой панели выберите подсети, чтобы открыть страницу подсетей.
- В верхней части страницы выберите +Подсеть шлюза, чтобы открыть панель "Добавить подсеть".
- Имя автоматически вводится как GatewaySubnet. При необходимости настройте значение диапазона IP-адресов. Пример : 10.1.255.0/27.
- Не настраивайте другие значения на странице. Нажмите кнопку "Сохранить " в нижней части страницы, чтобы сохранить подсеть.
Внимание
Группы безопасности сети (NSG) в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Группа безопасности сети.
Создание VPN-шлюза
В этом разделе описано, как создать шлюз виртуальной сети (VPN-шлюз) для виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.
Создайте шлюз с помощью следующих значений:
- Имя: Vnet1GW
- Тип шлюза: VPN
- SKU: VpnGw2AZ
- Поколение. Поколение 2
- Виртуальная сеть: VNet1
- Диапазон адресов подсети шлюза: 10.1.255.0/27
- Общедоступный IP-адрес: выберите вариант "Создать новый"
- Имя общедоступного IP-адреса: VNet1GWpip1
- Номер SKU общедоступного IP-адреса: стандартный
- Назначение: статическое
- Второй общедоступный IP-адрес: VNet1GWpip2
В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".
На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.
Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.
Группа ресурсов. Это значение автоматически заполняется при выборе виртуальной сети на этой странице.
Имя. Это имя создаваемого объекта шлюза. Это отличается от подсети шлюза, в которую будут развернуты ресурсы шлюза.
Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.
Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.
Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать.
- Рекомендуется выбрать номер SKU, который заканчивается в AZ, когда это возможно. Номера SKU AZ поддерживают зоны доступности.
- Номер SKU "Базовый" недоступен на портале. Чтобы настроить шлюз SKU уровня "Базовый", необходимо использовать PowerShell или CLI.
Поколение: выберите поколение 2 из раскрывающегося списка.
Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, которую вы хотите использовать, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.
Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.
В настоящее время это поле может отображать различные параметры в зависимости от адресного пространства виртуальной сети и того, создали ли вы уже подсеть с именем GatewaySubnet для виртуальной сети.
Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.
Укажите значения общедоступного IP-адреса. Эти параметры указывают объекты общедоступного IP-адреса, которые будут связаны с VPN-шлюзом. Общедоступный IP-адрес назначается каждому объекту общедоступного IP-адреса при создании VPN-шлюза. Единственное время изменения назначенного общедоступного IP-адреса — при удалении и повторном создании шлюза. IP-адреса не изменяются при изменении размера, сбросе или других внутренних обновлениях VPN-шлюза.
Тип общедоступного IP-адреса: если этот параметр отображается, выберите "Стандартный".
Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
Номер SKU общедоступного IP-адреса: параметр автоматически выбирается в номер SKU "Стандартный".
Назначение: назначение обычно выбирается автоматически и должно быть статическим.
Зона доступности. Этот параметр доступен для номеров SKU шлюза AZ в регионах, поддерживающих зоны доступности. Выберите избыточное между зонами, если вы не знаете, хотите указать зону.
Включение активно-активного режима. Рекомендуется выбрать "Включено", чтобы воспользоваться преимуществами шлюза режима "активный— активный". Если вы планируете использовать этот шлюз для подключения типа "сеть — сеть", примите во внимание следующее:
- Убедитесь, что проект active-active, который вы хотите использовать. Подключения к локальному VPN-устройству необходимо настроить специально, чтобы воспользоваться преимуществами активно-активного режима.
- Некоторые VPN-устройства не поддерживают режим "активный— активный". Если вы не уверены, обратитесь к поставщику VPN-устройств. Если вы используете VPN-устройство, которое не поддерживает активный режим, можно выбрать "Отключено " для этого параметра.
Второй общедоступный IP-адрес: выберите "Создать". Это доступно только в том случае, если выбран параметр "Включить активный — активный режим ".
Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
Номер SKU общедоступного IP-адреса: параметр автоматически выбирается в номер SKU "Стандартный".
Зона доступности: выберите избыточное между зонами, если вы не знаете, хотите указать зону.
Настройка BGP: выберите "Отключено", если ваша конфигурация не требует этого параметра. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.
Включение доступа к Key Vault: выберите "Отключено", если для настройки не требуется этот параметр.
Выберите Просмотр и создание, чтобы выполнить проверку.
После прохождения проверки нажмите кнопку "Создать ", чтобы развернуть VPN-шлюз.
Полное создание и развертывание шлюза может занять 45 минут или более. Состояние развертывания можно просмотреть на странице обзора шлюза. После создания шлюза можно просмотреть IP-адрес, назначенный ему, просмотрев виртуальную сеть на портале. Шлюз будет отображаться как подключенное устройство.
Просмотр общедоступного IP-адреса
Чтобы просмотреть общедоступные IP-адреса, связанные с шлюзом виртуальной сети, перейдите к шлюзу на портале.
- На странице портала шлюза виртуальной сети в разделе "Параметры" откройте страницу "Свойства ".
- Чтобы просмотреть дополнительные сведения об объекте IP-адреса, щелкните соответствующую ссылку IP-адреса.
Изменение размера SKU шлюза
Существуют определенные правила изменения размера и изменения номера SKU шлюза. В этом разделе описано изменение размера номера SKU. Дополнительные сведения см. в разделе "Изменение размера" или изменение номеров SKU шлюза.
Основными шагами являются:
- Откройте страницу Конфигурация для шлюза виртуальной сети.
- В правой части страницы щелкните стрелку раскрывающегося списка, чтобы отобразить список доступных номеров SKU. Обратите внимание, что список заполняет только номера SKU, которые можно использовать для изменения размера текущего номера SKU. Если вы не видите номер SKU, который вы хотите использовать, вместо изменения размера, необходимо изменить его на новый номер SKU.
- Выберите номер SKU из раскрывающегося списка и сохраните изменения.
Сброс параметров шлюза
Сброс шлюза выполняется по-разному в зависимости от конфигурации шлюза. Дополнительные сведения см. в разделе "Сброс VPN-шлюза" или подключения.
Основными шагами являются:
- На портале перейдите к шлюзу виртуальной сети, который нужно сбросить.
- На странице шлюза виртуальной сети в левой области прокрутите страницу и найдите справку —> сброс.
- На странице сброса выберите элемент Сброс. После выдачи команды текущий активный экземпляр VPN-шлюза Azure перезагружается немедленно. Сброс шлюза приводит к разрыву VPN-подключения и может ограничить будущий анализ первопричин проблемы.
Очистка ресурсов
Если вы не собираетесь продолжать использовать это приложение или перейти к следующему руководству, удалите эти ресурсы.
- Введите имя группы ресурсов в поле Поиск в верхней части портала и выберите ее в результатах поиска.
- Выберите команду Удалить группу ресурсов.
- В поле TYPE THE RESOURCE GROUP NAME (ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ) введите имя и выберите Удалить.
Следующие шаги
После создания VPN-шлюза можно настроить дополнительные параметры и подключения шлюза. В следующих статьях показано, как создать несколько наиболее распространенных конфигураций: