Настройка VPN-подключения между виртуальными сетями — портал Azure
В этой статье показано, как подключить виртуальные сети с помощью типа подключения "виртуальная сеть — виртуальная сеть" в портал Azure. При использовании портала для подключения виртуальных сетей с помощью виртуальной сети к виртуальной сети виртуальные сети могут находиться в разных регионах, но должны находиться в одной подписке. Если виртуальные сети находятся в разных подписках, используйте вместо этого инструкции PowerShell . Эта статья не относится к пирингу виртуальной сети. Пиринг между виртуальными сетями см. в статье виртуальная сеть пиринга.
О подключениях "виртуальная сеть — виртуальная сеть"
Настройка подключения между виртуальными сетями — это простой способ подключения виртуальных сетей. При подключении виртуальной сети к другой виртуальной сети с типом подключения "виртуальная сеть — виртуальная сеть" аналогично созданию подключения IPsec типа "сеть — сеть" к локальному расположению. В обоих типах соединений применяется VPN-шлюз для создания защищенного туннеля, использующего IPsec/IKE. При обмене данными оба типа подключений работают одинаково. Тем не менее они отличаются способом настройки шлюза локальной сети.
При создании подключения "виртуальная сеть — виртуальная сеть" диапазон адресов для шлюза локальной сети автоматически создается и распространяется. Однако в этой конфигурации локальный сетевой шлюз не отображается. Это означает, что вы не можете настроить его вручную.
Если вы обновите диапазон адресов для одной виртуальной сети, другая виртуальная сеть автоматически определит маршрут к обновленному диапазону адресов.
Обычно это быстрее и проще создавать подключение между виртуальными сетями, чем подключение типа "сеть — сеть".
Если вы знаете, хотите указать дополнительные адресные пространства для шлюза локальной сети или запланировать добавление дополнительных подключений позже и настроить шлюз локальной сети, создайте конфигурацию с помощью шагов подключения типа "сеть — сеть".
Подключение "виртуальная сеть — виртуальная сеть" не включает адресное пространство пула клиентов типа "точка — сеть". Если вам нужна транзитивная маршрутизация для клиентов типа "точка — сеть", создайте подключение типа "сеть — сеть" между шлюзами виртуальной сети или используйте пиринг между виртуальными сетями.
Зачем создавать подключение "виртуальная сеть — виртуальная сеть"?
Вы можете подключить виртуальные сети с помощью подключения виртуальной сети к виртуальной сети по следующим причинам:
Межрегиональная географическая избыточность и географическое присутствие
- Вы можете настроить собственную георепликацию или синхронизацию с безопасной возможностью подключения без прохождения трафика через конечные точки с выходом в Интернет.
- С помощью Azure Load Balancer и диспетчера трафика Azure можно настроить высокодоступную рабочую нагрузку с геоизбыточностью в нескольких регионах Azure. Например, можно настроить группы доступности Always On SQL Server в нескольких регионах Azure.
Региональные многоуровневые приложения с изоляцией или административными границами
В одном регионе можно настроить многоуровневые приложения с несколькими виртуальными сетями, которые связаны друг с другом из-за требований к изоляции или административных требований. Подключение типа "виртуальная сеть — виртуальная сеть" можно комбинировать с многосайтовыми конфигурациями. Эти конфигурации позволяют устанавливать сетевые топологии, которые объединяют межсайтовые подключения с подключением между виртуальными сетями, как показано на следующей схеме:
Создание и настройка VNet1
Если у вас уже есть виртуальная сеть, проверьте совместимость параметров со структурой VPN-шлюза. Обратите особое внимание на любые подсети, которые могут перекрываться с другими сетями. Подключение не будет работать правильно при наличии перекрытых подсетей.
В этом разделе создайте виртуальную сеть1 с помощью следующих значений. Если вы используете собственные значения, убедитесь, что адресные пространства не перекрываются с какими-либо виртуальными сетями, к которым требуется подключиться.
- Параметры виртуальной сети
- Имя: VNet1
- Диапазон адресов: 10.1.0.0/16
- Подписка: выбор подписки, которая будет использоваться.
- Группа ресурсов: TestRG1
- Расположение: восточная часть США.
- Подсеть
- Имя: FrontEnd.
- Диапазон адресов: 10.1.0.0/24
Войдите на портал Azure.
В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .
На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".
На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке входных значений отображается зеленый флажок. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.
- Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
- Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
- Имя. Введите имя виртуальной сети.
- Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развернутые в этой виртуальной сети.
Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.
Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.
Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.
+ Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.
- Имя подсети: можно использовать значение по умолчанию или указать имя. Пример: FrontEnd.
- Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.
Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.
Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.
После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.
Создание подсети шлюза
Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.
При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Лучше всего указать /27 или больше (/26, /25 и т. д.) для подсети шлюза.
- На странице виртуальной сети на левой панели выберите подсети, чтобы открыть страницу подсетей.
- В верхней части страницы выберите +Подсеть шлюза, чтобы открыть панель "Добавить подсеть".
- Имя автоматически вводится как GatewaySubnet. При необходимости настройте значение диапазона IP-адресов. Пример : 10.1.255.0/27.
- Не настраивайте другие значения на странице. Нажмите кнопку "Сохранить " в нижней части страницы, чтобы сохранить подсеть.
Внимание
Группы безопасности сети (NSG) в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Группа безопасности сети.
Создание VPN-шлюза VNet1
На этом шаге вы создадите шлюз виртуальной сети для виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Цены на номер SKU шлюза см. в разделе "Цены".
Создайте шлюз виртуальной сети (VPN-шлюз) с помощью следующих значений:
- Имя: Vnet1GW
- Тип шлюза: VPN
- SKU: VpnGw2AZ
- Поколение. Поколение 2
- Виртуальная сеть: VNet1
- Диапазон адресов подсети шлюза: 10.1.255.0/27
- Общедоступный IP-адрес: выберите вариант "Создать новый"
- Имя общедоступного IP-адреса: VNet1GWpip1
- Номер SKU общедоступного IP-адреса: стандартный
- Назначение: статическое
- Второй общедоступный IP-адрес: VNet1GWpip2
- Включить режим "активный — активный": включено.
В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".
На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.
Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.
Группа ресурсов. Это значение автоматически заполняется при выборе виртуальной сети на этой странице.
Имя. Это имя создаваемого объекта шлюза. Это отличается от подсети шлюза, в которую будут развернуты ресурсы шлюза.
Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.
Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.
Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать.
- Рекомендуется выбрать номер SKU, который заканчивается в AZ, когда это возможно. Номера SKU AZ поддерживают зоны доступности.
- Номер SKU "Базовый" недоступен на портале. Чтобы настроить шлюз SKU уровня "Базовый", необходимо использовать PowerShell или CLI.
Поколение: выберите поколение 2 из раскрывающегося списка.
Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, которую вы хотите использовать, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.
Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.
В настоящее время это поле может отображать различные параметры в зависимости от адресного пространства виртуальной сети и того, создали ли вы уже подсеть с именем GatewaySubnet для виртуальной сети.
Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.
Укажите значения общедоступного IP-адреса. Эти параметры указывают объекты общедоступного IP-адреса, которые будут связаны с VPN-шлюзом. Общедоступный IP-адрес назначается каждому объекту общедоступного IP-адреса при создании VPN-шлюза. Единственное время изменения назначенного общедоступного IP-адреса — при удалении и повторном создании шлюза. IP-адреса не изменяются при изменении размера, сбросе или других внутренних обновлениях VPN-шлюза.
Тип общедоступного IP-адреса: если этот параметр отображается, выберите "Стандартный".
Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
Номер SKU общедоступного IP-адреса: параметр автоматически выбирается в номер SKU "Стандартный".
Назначение: назначение обычно выбирается автоматически и должно быть статическим.
Зона доступности. Этот параметр доступен для номеров SKU шлюза AZ в регионах, поддерживающих зоны доступности. Выберите избыточное между зонами, если вы не знаете, хотите указать зону.
Включение активно-активного режима. Рекомендуется выбрать "Включено", чтобы воспользоваться преимуществами шлюза режима "активный— активный". Если вы планируете использовать этот шлюз для подключения типа "сеть — сеть", примите во внимание следующее:
- Убедитесь, что проект active-active, который вы хотите использовать. Подключения к локальному VPN-устройству необходимо настроить специально, чтобы воспользоваться преимуществами активно-активного режима.
- Некоторые VPN-устройства не поддерживают режим "активный— активный". Если вы не уверены, обратитесь к поставщику VPN-устройств. Если вы используете VPN-устройство, которое не поддерживает активный режим, можно выбрать "Отключено " для этого параметра.
Второй общедоступный IP-адрес: выберите "Создать". Это доступно только в том случае, если выбран параметр "Включить активный — активный режим ".
Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
Номер SKU общедоступного IP-адреса: параметр автоматически выбирается в номер SKU "Стандартный".
Зона доступности: выберите избыточное между зонами, если вы не знаете, хотите указать зону.
Настройка BGP: выберите "Отключено", если ваша конфигурация не требует этого параметра. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.
Включение доступа к Key Vault: выберите "Отключено", если для настройки не требуется этот параметр.
Выберите Просмотр и создание, чтобы выполнить проверку.
После прохождения проверки нажмите кнопку "Создать ", чтобы развернуть VPN-шлюз.
Полное создание и развертывание шлюза может занять 45 минут или более. Состояние развертывания можно просмотреть на странице обзора шлюза. После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале. Шлюз будет отображаться как подключенное устройство.
Внимание
Группы безопасности сети (NSG) в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Группа безопасности сети.
Создание и настройка VNet4
Завершив создание VNet1, создайте VNet4 и шлюз VNet4. Для этого повторите все описанные действия с новыми значениями, предложенными для VNet4. Настройку VNet4 можно начинать до завершения создания шлюза виртуальной сети для VNet1. Если вы используете собственные значения, убедитесь, что адресные пространства не перекрываются с какими-либо виртуальными сетями, к которым требуется подключиться.
Для настройки виртуальной сети 4 и шлюза VNet4 можно использовать следующие примеры значений.
- Параметры виртуальной сети
- Имя: VNet4.
- Диапазон адресов: 10.41.0.0/16.
- Подписка: выбор подписки, которая будет использоваться.
- Группа ресурсов: TestRG4.
- Расположение: Западная часть США 2
- Подсеть
- Имя: FrontEnd.
- Диапазон адресов: 10.41.0.0/24.
Добавьте подсеть шлюза:
- Имя: GatewaySubnet
- Диапазон адресов подсети шлюза: 10.41.255.0/27.
Настройка VPN-шлюза VNet4
Для настройки VPN-шлюза VNet4 можно использовать следующие примеры значений.
- Параметры шлюза виртуальной сети
- Имя: VNet4GW.
- Группа ресурсов: западная часть США 2
- Поколение. Поколение 2
- Тип шлюза. Выберите VPN.
- Тип VPN. Выберите На основе маршрута.
- SKU: VpnGw2AZ
- Поколение: Generation2
- Виртуальная сеть: VNet4.
- Имя общедоступного IP-адреса: VNet4GWpip1
- Номер SKU общедоступного IP-адреса: стандартный
- Назначение: статическое
- Второй общедоступный IP-адрес: VNet4GWpip2
- Включить режим "активный — активный": включено.
Настройка подключений
Когда VPN-шлюзы для виртуальной сети 1 и VNet4 завершены, можно создать подключения шлюза виртуальной сети.
Виртуальные сети в одной подписке можно подключить с помощью портала, даже если они находятся в разных группах ресурсов. Однако если виртуальные сети находятся в разных подписках, необходимо использовать PowerShell для подключения.
Можно создать двунаправленное или однонаправленное соединение. В этом упражнении мы укажем двунаправленное соединение. Значение двунаправленного подключения создает два отдельных соединения, чтобы трафик можно было передавать в обоих направлениях.
На портале перейдите к VNet1GW.
На странице шлюза виртуальной сети в левой области выберите "Подключения", чтобы открыть страницу "Подключения ". Затем нажмите кнопку +Добавить , чтобы открыть страницу "Создать подключение ".
На странице "Создание подключения" введите значения подключения.
- Тип подключения. Выберите значение Виртуальная сеть — виртуальная сеть из раскрывающегося списка.
- Установите двунаправленное подключение: выберите это значение, если вы хотите установить поток трафика в обоих направлениях. Если вы не выберете этот параметр, а затем хотите добавить подключение в противоположном направлении, необходимо создать новое подключение из другого шлюза виртуальной сети.
- Имя первого подключения: VNet1-to-VNet4
- Второе имя подключения: VNet4-to-VNet1
- Регион: восточная часть США (регион для VNet1GW)
Нажмите кнопку "Далее" — параметры в нижней части страницы>, чтобы перейти на страницу "Параметры".
На странице "Параметры" укажите следующие значения:
- Первый шлюз виртуальной сети: выберите VNet1GW из раскрывающегося списка.
- Второй шлюз виртуальной сети: выберите VNet4GW из раскрывающегося списка.
- Общий ключ (PSK). В этом поле введите общий ключ для подключения. Этот ключ можно сгенерировать или создать самостоятельно. В подключении типа "сеть — сеть" один и тот же ключ используется и для локального устройства, и для подключения шлюза виртуальной сети. То же самое и здесь, но вместо подключения к VPN-устройству выполняется подключение к другому шлюзу виртуальной сети. Важно указать общий ключ— это то, что оно одинаково для обеих сторон подключения.
- Протокол IKE: IKEv2
В этом упражнении можно оставить остальные параметры в качестве значений по умолчанию.
Выберите "Просмотр и создание" и "Создать", чтобы проверить и создать подключения.
Проверка подключений
Найдите шлюз виртуальной сети на портале Azure. Например, VNet1GW.
На странице шлюза виртуальной сети выберите Подключения, чтобы просмотреть страницу Подключения для шлюза виртуальной сети. Когда подключение будет установлено, значение параметра Состояние изменится на Подключено.
В столбце Имя выберите любое подключение, чтобы получить больше информации о нем. Когда начнется передача данных, появятся значения для параметров Входящие данные и Исходящие данные.
Добавление дополнительных подключений
Вы можете создать другое подключение между виртуальными сетями или создать подключение типа "сеть — сеть" iPsec к локальному расположению.
Прежде чем создавать дополнительные подключения, убедитесь, что адресное пространство виртуальной сети не перекрывается ни с какими адресными пространствами, к которым вы хотите подключиться.
При настройке нового подключения обязательно измените тип подключения в соответствии с типом создаваемого соединения. Если вы добавляете подключение типа "сеть — сеть", необходимо создать шлюз локальной сети перед созданием подключения.
При настройке подключения, использующего общий ключ, убедитесь, что общий ключ совпадает с обеими сторонами подключения.
Чтобы создать дополнительные подключения, выполните следующие действия.
- В портал Azure перейдите к VPN-шлюзу, из которого нужно создать подключение.
- В левой области выберите Подключения. Просмотр существующих подключений.
- Создайте новое подключение.
Часто задаваемые вопросы о подключениях типа "виртуальная сеть — виртуальная сеть"
Дополнительные сведения о подключение "виртуальная сеть — виртуальная сеть" см. в часто задаваемых вопросах о виртуальной сети.
Следующие шаги
Сведения об ограничении сетевого трафика к ресурсам в виртуальной сети см. в статье Безопасность сети.
Сведения о том, как Azure маршрутизирует трафик между средой Azure, локальной средой и интернет-ресурсами, см. в статье Маршрутизация трафика в виртуальной сети.