Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве показано, как создать шлюз виртуальной сети (VPN-шлюз) и управлять ими с помощью портала Azure. VPN-шлюз является одной из частей архитектуры подключения, которая помогает безопасно обращаться к ресурсам в виртуальной сети с помощью VPN-шлюза.
- В левой части схемы показана виртуальная сеть и VPN-шлюз, создаваемый с помощью действий, описанных в этой статье.
- Позже можно добавить различные типы подключений, как показано в правой части схемы. Например, можно создавать подключения типа "сеть — сеть" и "точка — сеть". Чтобы просмотреть различные архитектуры, которые можно создать, см. Дизайн VPN-шлюза.
- Дополнительные сведения о VPN-шлюзе Azure см. в статье "Что такое VPN-шлюз Azure"? Дополнительные сведения о параметрах конфигурации, используемых в этом руководстве, см. в разделе "Сведения о параметрах конфигурации VPN-шлюза".
В этом руководстве вы узнаете, как:
- Создайте виртуальную сеть.
- Создайте VPN-шлюз в активном-активном режиме с избыточностью по зонам.
- Просмотр общедоступного IP-адреса шлюза.
- Обновить SKU VPN шлюза.
- Сброс VPN-шлюза.
Замечание
Инструкции, описанные в этой статье, используют SKU шлюза VpnGw2AZ, который поддерживает зоны доступности Azure. Начиная с мая 2025 г. все регионы будут принимать SKU AZ независимо от того, поддерживаются ли зоны доступности в этом регионе. Дополнительные сведения об номерах SKU шлюза см. в разделе "Сведения о номерах SKU шлюза".
Предпосылки
Вам потребуется учетная запись Azure с активной подпиской. Если у вас ее нет, создайте подписку бесплатно.
Создание виртуальной сети
В этой статье используется портал Azure для создания виртуальной сети. Вы также можете использовать другое средство или метод для создания виртуальной сети. Дополнительные сведения или действия см. в статье "Создание виртуальной сети". Для этого упражнения виртуальная сеть не требует настройки дополнительных служб, таких как Бастион Azure или защита от атак DDoS. Однако эти службы можно добавить, если вы хотите их использовать.
| Настройки | Пример значения |
|---|---|
| Группа ресурсов | TestRG1 |
| Имя виртуальной сети | Виртуальная сеть1 |
| Регион | Восточная часть США |
| Диапазон IPv4-адресов | 10.1.0.0/16 |
| Имя подсети | FrontEnd |
| Адресное пространство подсети | 10.1.0.0/24 |
- Войдите на портал Azure.
- В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .
- На странице "Виртуальная сеть" выберите "Создать ", чтобы открыть страницу "Создать виртуальную сеть ".
- Заполните необходимые значения для вкладки "Основные сведения".
- Нажмите кнопку "Далее " или " Безопасность ", чтобы перейти на вкладку "Безопасность ". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.
- Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте необходимые параметры.
- Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.
- Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.
- После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.
Создать шлюзовую подсеть
Ресурсы шлюза виртуальной сети развертываются в определенной подсети с именем GatewaySubnet. Подсеть шлюза входит в диапазон IP-адресов виртуальной сети, указанный при настройке виртуальной сети.
Если у вас нет подсети с именем GatewaySubnet, при создании VPN-шлюза происходит сбой. Мы рекомендуем создать подсеть шлюза, которая использует /27 (или более крупную). Например, /27 или /26. Дополнительные сведения см. в разделе Параметры VPN-шлюза — подсеть шлюза.
- На странице виртуальной сети на левой панели выберите подсети, чтобы открыть страницу подсетей.
- В верхней части страницы выберите +Подсеть , чтобы открыть панель "Добавить подсеть ".
- Для назначения подсети выберите шлюз виртуальной сети в раскрывающемся списке.
- Имя автоматически вводится как GatewaySubnet. При необходимости настройте начальный IP-адрес и размер. Например, 10.1.255.0/27.
- Не настраивайте другие значения на странице. Нажмите кнопку "Добавить ", чтобы добавить подсеть.
Это важно
Группы сетевой безопасности в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в разделе "Что такое группа безопасности сети?".
Создание VPN-шлюза
В этом разделе описано, как создать шлюз виртуальной сети (VPN-шлюз) для виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Чтобы создать VPN-шлюз, выполните следующие действия. Обратите внимание, что номер SKU базового VPN-шлюза доступен только в PowerShell или CLI.
В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".
На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.
Настройки Ценность Имя Пример: VNet1GW Регион Шлюз должен находиться в том же регионе, где и виртуальная сеть. Тип шлюза Выберите VPN. VPN-шлюзы используют тип виртуального сетевого шлюза VPN. артикул Пример: VpnGw2AZ. Рекомендуется выбрать номер SKU шлюза , который заканчивается в AZ, если регион поддерживает зоны доступности. Поколение Поколение 2 Виртуальная сеть Пример: VNet1. Если виртуальная сеть недоступна в раскрывающемся списке, необходимо изменить выбранный регион. Подсеть Пример: 10.1.255.0/27, для создания VPN-шлюза требуется подсеть с именем GatewaySubnet . Если подсеть шлюза не автоматически заполняется, и вы не видите возможность создать ее на этой странице, вернитесь на страницу виртуальной сети и создайте подсеть шлюза.
Укажите значения общедоступного IP-адреса. Эти параметры указывают объект общедоступного IP-адреса, связанный с VPN-шлюзом. Общедоступный IP-адрес назначается этому объекту при создании VPN-шлюза. Единственное время изменения основного общедоступного IP-адреса — при удалении и повторном создании шлюза.
Настройки Ценность Имя общедоступного IP-адреса Пример: VNet1GWpip1 Зона доступности Этот параметр доступен для SKU AZ в регионах, поддерживающих зоны доступности. Пример: зонально-избыточный. Включить режим активный — активный — Выберите Включено, чтобы воспользоваться преимуществами активно-активного шлюза. Для шлюза active-active требуется дополнительный общедоступный IP-адрес.
— Если вы планируете использовать этот шлюз для подключений типа "сеть — сеть", убедитесь в том, что вы хотите использовать активно-активный дизайн .
— Подключения к локальному VPN-устройству должны быть настроены специально, чтобы воспользоваться преимуществами активно-активного режима.
— Некоторые VPN-устройства не поддерживают активный и активный режим. Если вы не уверены, обратитесь к поставщику VPN-устройств. Если вы используете VPN-устройство, которое не поддерживает активный режим, можно выбрать "Отключено " для этого параметра.Второе имя общедоступного IP-адреса Доступно только для шлюзов активно-активного режима. Пример: VNet1GWpip2 Зона доступности Пример: зонально-избыточный. Настройка BGP. Выберите "Отключено", если для настройки не требуется этот параметр. Если этот параметр требуется, значение ASN по умолчанию равно 65515. Включение доступа к Key Vault Выберите "Отключено" , если у вас нет определенного требования, чтобы включить этот параметр. Выберите Просмотр и создание, чтобы выполнить проверку.
После успешной проверки нажмите кнопку "Создать", чтобы развернуть шлюз VPN.
Состояние развертывания можно просмотреть на странице обзора шлюза. После создания шлюза можно просмотреть IP-адрес, назначенный ему, просмотрев виртуальную сеть на портале. Шлюз отображается как подключенное устройство.
Просмотр общедоступного IP-адреса
Чтобы просмотреть общедоступные IP-адреса, связанные с шлюзом виртуальной сети, перейдите к шлюзу на портале.
- На странице портала шлюза виртуальной сети в разделе "Параметры" откройте страницу "Свойства ".
- Чтобы просмотреть дополнительные сведения об объекте IP-адреса, щелкните соответствующую ссылку IP-адреса.
Обновление номера SKU шлюза
Существуют определенные правила обновления номера SKU шлюза. Не все SKU можно модернизировать. Для получения дополнительной информации см. статью Обновление SKU шлюза.
- Перейдите на страницу конфигурации шлюза виртуальной сети.
- В правой части страницы щелкните стрелку раскрывающегося списка, чтобы отобразить список доступных номеров SKU. Обратите внимание, что в списке отображаются только те номера SKU, которые вы можете выбрать.
- Выберите номер SKU из раскрывающегося списка и сохраните изменения.
Сброс параметров шлюза
Сброс шлюза выполняется по-разному в зависимости от конфигурации шлюза. Дополнительные сведения см. в разделе Сброс VPN-шлюза или подключения.
- На портале перейдите к шлюзу виртуальной сети, который нужно сбросить.
- На странице шлюза виртуальной сети в левой области прокрутите страницу и найдите Справка —> Сброс.
- На странице Сброс выберите Сброс. После выдачи команды текущий активный экземпляр VPN-шлюза Azure перезагружается немедленно. Сброс шлюза приводит к перерыву в VPN-подключении и может ограничить будущий анализ причин проблемы.
Очистите ресурсы
Если вы не собираетесь продолжать использовать это приложение или перейти к следующему руководству, удалите эти ресурсы.
- Введите имя группы ресурсов в поле Поиск в верхней части портала и выберите ее в результатах поиска.
- Выберите команду Удалить группу ресурсов.
- Введите имя вашей группы ресурсов в поле ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ и выберите Удалить.
Дальнейшие шаги
После создания VPN-шлюза можно настроить дополнительные параметры и подключения шлюза. В следующих статьях показано, как создать несколько наиболее распространенных конфигураций: