Подключение локальной сети к виртуальной сети Microsoft Azure

Виртуальная сеть Azure подключается к вашей локальной сети, расширяя ее за счет подсетей и виртуальных машин, размещенных в службах инфраструктуры Azure. Это подключение позволяет компьютерам в локальной сети напрямую обращаться к виртуальным машинам в Azure и наоборот.

Например, сервер синхронизации каталогов, работающий на виртуальной машине Azure, должен запрашивать у локальных контроллеров домена изменения учетных записей и синхронизировать эти изменения с подпиской Microsoft 365. В этой статье показано, как настроить распределенную виртуальную сеть Azure с помощью vpn-подключения типа "сеть — сеть", готового к размещению виртуальных машин Azure.

Настройка распределенной виртуальной сети Azure

Виртуальные машины в Azure не должны быть изолированы от локальной среды. Чтобы подключить виртуальные машины Azure к локальным сетевым ресурсам, необходимо настроить виртуальную сеть Azure. На схеме ниже показаны компоненты, необходимые для развертывания виртуальной сети Azure с виртуальной машиной в Azure.

На схеме есть две сети, соединенные VPN-подключением типа "сеть — сеть": локальная сеть и виртуальная сеть Azure. VPN-подключение типа "сеть — сеть":

• установлено между двумя конечными точками, имеющими адрес в общедоступной сети Интернет.
• Прерывается VPN-устройством в локальной сети и VPN-шлюзом в виртуальной сети Azure.

В виртуальной сети Azure размещаются виртуальные машины. Сетевой трафик с виртуальных машин в виртуальной сети Azure направляется на VPN-шлюз, который затем направляет трафик по VPN-подключению типа "сеть-сеть" на VPN-устройство в локальной сети. Далее инфраструктура маршрутизации локальной сети направляет трафик по назначению.

Примечание.

Вы также можете использовать ExpressRoute, который является прямым подключением между вашей организацией и сетью Майкрософт. Трафик через ExpressRoute не проходит через общедоступный Интернет. В этой статье не описывается использование ExpressRoute.

Чтобы настроить VPN-подключение между виртуальной сетью Azure и локальной сетью, выполните указанные ниже действия:

1. Локальная сеть. Определите и создайте локальный сетевой маршрут для адресного пространства виртуальной сети Azure, который указывает на локальное VPN-устройство.
2. Microsoft Azure. Создайте виртуальную сеть Azure с VPN-подключением типа "сеть-сеть".
3. Локальная сеть. Настройте аппаратное или программное локальное VPN-устройство для прерывания VPN-подключения, которое использует IPsec.

После установки VPN-подключения типа "сеть-сеть" добавьте виртуальные машины Azure в подсети виртуальной сети.

Планирование виртуальной сети Azure

Необходимые компоненты

• Подписка на Azure. Сведения о подписках Azure см. на странице Как приобрести Azure.
• Доступное частное пространство IPv4-адресов, которое необходимо назначить виртуальной сети и ее подсетям, с достаточным количеством адресов с учетом возможного расширения.
• Доступное VPN-устройство в локальной сети для прерывания VPN-подключения типа "сеть-сеть", которое поддерживает требования для IPsec. Дополнительные сведения см. в разделе Сведения о VPN-устройствах для подключений виртуальной сети типа "сеть — сеть".
• Изменение инфраструктуры маршрутизации для перенаправления трафика, поступающего в адресное пространство виртуальной сети Azure, на VPN-устройство, которое принимает VPN-подключение типа "сеть-сеть".
• Веб-прокси, который предоставляет доступ в Интернет компьютерам, подключенным к локальной сети и виртуальной сети Azure.

Допущения по архитектуре решения

Ниже перечислены проектные решения для этой архитектуры.

• Это решение использует одну виртуальную сеть Azure с VPN-подключением типа "сеть-сеть". В виртуальной сети Azure размещается одна подсеть, которая может содержать несколько виртуальных машин.
• Вы можете использовать службу RRAS в Windows Server 2016 или Windows Server 2012, чтобы установить VPN-подключение типа "сеть-сеть" с защитой IPsec между локальной сетью и виртуальной сетью Azure. Вы также можете использовать другие VPN-устройства, например Cisco или Juniper Networks.
• В локальной сети по-прежнему могут быть такие сетевые службы, как доменные службы Active Directory (AD DS), система доменных имен (DNS) и прокси-серверы. В зависимости от ваших требований, некоторые из этих сетевых ресурсов может быть удобнее разместить в виртуальной сети Azure.

Для существующей виртуальной сети Azure с одной или несколькими подсетями определите, есть ли оставшееся адресное пространство для дополнительной подсети для размещения необходимых виртуальных машин, исходя из ваших требований. Если адресного пространства для дополнительной подсети не осталось, создайте дополнительную виртуальную сеть с собственным VPN-подключением типа "сеть-сеть".

Планирование изменения инфраструктуры маршрутизации для виртуальной сети Azure

Локальную инфраструктуру маршрутизации необходимо настроить так, чтобы трафик, поступающий в пространство адресов виртуальной сети Azure, направлялся в локальное VPN-устройство с VPN-подключением типа "сеть-сеть".

Конкретный метод обновления инфраструктуры маршрутизации зависит от того, как выполняется управление сведениями о маршрутизации, например:

• таблица маршрутизации обновляется в соответствии с ручной настройкой;
• таблица маршрутизации обновляется в соответствии с протоколами маршрутизации, например RIP или OSPF.

Проконсультируйтесь со своим специалистом по маршрутизации, чтобы убедиться, что трафик, предназначенный для виртуальной сети Azure, перенаправляется на локальное VPN-устройство.

Планирование правил брандмауэра для входящего и исходящего трафика на локальном VPN-устройстве

Если VPN-устройство размещается в сети периметра, которая соединяется с Интернетом через брандмауэр, рекомендуем настроить на брандмауэре перечисленные ниже правила, чтобы сделать возможным VPN-подключение типа "сеть-сеть".

• Трафик к VPN-устройству (входящий):

  • Конечный IP-адрес VPN-устройства и протокол IP 50
  • Конечный IP-адрес VPN-устройства и конечный порт UDP 500
  • Конечный IP-адрес VPN-устройства и конечный порт UDP 4500

• Трафик с VPN-устройства (исходящий):

  • Исходный IP-адрес VPN-устройства и протокол IP 50
  • Исходный IP-адрес VPN-устройства и исходный порт UDP 500
  • Исходный IP-адрес VPN-устройства и исходный порт UDP 4500

Планирование пространства частных IP-адресов виртуальной сети Azure

Пространство частных IP-адресов виртуальной сети Azure должно иметь достаточный размер для адресов, используемых платформой Azure для размещения виртуальной сети как минимум с одной подсетью, в которой достаточно адресов для размещения виртуальных машин Azure.

Чтобы определить необходимое количество адресов для подсети, посчитайте количество виртуальных машин, необходимых на данный момент, оцените потенциал роста и определите размер подсети, пользуясь следующей таблицей.

Необходимое количество виртуальных машин	Необходимое количество бит узла	Размер подсети
1–3	3	/29
4–11	4	/28
12–27	5	/27
28–59	6	/26
60–123	7	/25

Таблица планирования настройки виртуальной сети Azure

Прежде чем создавать виртуальную сеть Azure для размещения виртуальных машин, необходимо определить нужные параметры в следующих таблицах.

Чтобы задать параметры виртуальной сети, заполните таблицу V.

Таблица V. Настройка распределенной виртуальной сети

Элемент	Элемент Configuration	Описание	Значение
1.	Имя виртуальной сети	Имя, назначаемое виртуальной сети Azure (например, DirSyncNet).
2.	Расположение виртуальной сети	Центр обработки данных Azure, в котором будет расположена виртуальная сеть (например, Запад США).
3.	IP-адрес VPN-устройства	Общедоступный IPv4-адрес интерфейса VPN-устройства в Интернете. Определите этот адрес при поддержке ИТ-отдела.
4.	Адресное пространство виртуальной сети	Адресное пространство (определенное в одном префиксе личного адреса) для виртуальной сети. Определите это адресное пространство при поддержке ИТ-отдела. Оно должно быть представлено в формате CIDR, также известном как формат префикса сети. Пример: 10.24.64.0/20.
5.	Общий ключ IPsec	32-значный случайный буквенно-цифровой ключ, который будет использоваться для проверки подлинности обеих сторон VPN-подключения. Определите значение этого ключа при поддержке ИТ-отдела, а затем сохраните его в надежном месте. Вы также можете ознакомиться со статьей Создание случайной строки для предварительного ключа IPsec.

Укажите подсети этого решения в таблице S.

• Для первой подсети определите 28-битовое адресное пространство (с длиной префикса /28) подсети шлюза Azure. Сведения о том, как определить это адресное пространство, см. в статье Вычисление адресного пространства подсети шлюза для виртуальных сетей Azure .

• Для второй подсети укажите понятное имя, одно пространство IP-адресов на основе адресного пространства виртуальной сети.

Определите эти адресные пространства из адресного пространства виртуальной сети при поддержке ИТ-отдела. Оба адресных пространства должны быть представлены в формате CIDR.

Таблица S. Подсети виртуальной сети

Элемент	Имя подсети	Адресное пространство подсети	Назначение
1.	GatewaySubnet		Подсеть, используемая шлюзом Azure.
2.

Для локальных DNS-серверов, используемых виртуальными машинами в виртуальной сети, заполните таблицу D. Присвойте каждому DNS-серверу понятное имя и один IP-адрес. Это понятное имя необязательно должно совпадать с именем узла или именем компьютера на DNS-сервере. Обратите внимание, что представлено два пустых поля, но вы можете добавить еще. Определите этот список при поддержке ИТ-отдела.

Таблица D. Локальные DNS-сервера

Элемент	Понятное имя DNS-сервера	IP-адрес DNS-сервера
1.
2.

Чтобы отправлять пакеты из виртуальной сети Azure в сеть организации с помощью VPN-подключения типа "сеть-сеть", необходимо настроить виртуальную сеть с локальной сетью. Эта локальная сеть содержит список адресных пространств (в формате CIDR) для всех расположений в локальной сети организации, к которым должны быть доступны виртуальные машины в виртуальной сети. Это могут быть все расположения в локальной сети или подсети. Список адресных пространств, которые определяют локальную сеть, должен быть уникален и не должен пересекаться с адресными пространствами, используемыми для этой или других виртуальных сетей.

Укажите список адресных пространств локальной сети в таблице L. Обратите внимание, что представлено три пустых поля, но обычно требуется больше. Определите этот список при поддержке ИТ-отдела.

Таблица L. Префиксы адресов для локальной сети

Элемент	Адресное пространство локальной сети
1.
2.
3.

План развертывания

Создание виртуальной сети и добавление виртуальных машин в Azure состоит из трех этапов:

• Этап 1. Подготовка локальной сети.
• Этап 2. Создание виртуальной сети в Azure.
• Этап 3 (необязательный). Добавление виртуальных машин.

Этап 1. Подготовка локальной сети

В локальной сети необходимо настроить маршрут, который указывает на маршрутизатор на границе локальной сети и направляет на него трафик, предназначенный для адресного пространства виртуальной сети. Обратитесь к администратору сети, чтобы определить, как добавить маршрут в инфраструктуру локальной сети.

Ниже показана итоговая конфигурация.

Этап 2. Создание распределенной виртуальной сети в Azure

Сначала откройте командную строку Azure PowerShell. Если вы еще не установили Azure PowerShell, см. статью Начало работы с Azure PowerShell.

Затем войдите в свою учетную запись Azure с помощью следующей команды.

Connect-AzAccount

Получите имя подписки с помощью следующей команды.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Задайте свою подписку Azure с помощью этих команд. Замените все в кавычках, включая < символы и > , правильным именем подписки.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Затем создайте группу ресурсов для виртуальной сети. Чтобы определить уникальное имя группы ресурсов, используйте следующую команду для вывода списка имеющихся групп ресурсов.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Создайте группу ресурсов с помощью следующих команд.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

Затем необходимо создать виртуальную сеть Azure.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Ниже показана полученная в итоге конфигурация.

Затем используйте следующие команды, чтобы создать шлюзы для VPN-подключения типа "сеть-сеть".

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Ниже показана полученная в итоге конфигурация.

Затем настройте локальное VPN-устройство для подключения к VPN-шлюзу Azure. Дополнительные сведения см. в статье Сведения о VPN-устройствах для подключений Azure виртуальная сеть типа "сеть — сеть".

Чтобы настроить VPN-устройство, вам потребуется следующее:

• Общедоступный IPv4-адрес VPN-шлюза Azure для виртуальной сети. Используйте команду Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName для отображения данного адреса.
• Общий ключ IPsec для VPN-подключения типа "сеть-сеть" (таблица V, элемент 5, столбец "Значение").

Ниже показана полученная в итоге конфигурация.

Этап 3 (необязательный). Добавление виртуальных машин

Создайте необходимые виртуальные машины в Azure. Дополнительные сведения см. в статье Создание виртуальной машины Windows с помощью портал Azure.

Используйте указанные ниже параметры:

• На вкладке Основные сведения выберите ту же подписку и группу ресурсов, что и виртуальная сеть. Они потребуются позже для входа на виртуальной машине. В разделе Сведения об экземпляре выберите соответствующий размер виртуальной машины. Запишите имя пользователя и пароль учетной записи администратора в безопасном расположении.
• На вкладке Сеть выберите имя виртуальной сети и подсеть для размещения виртуальных машин (не GatewaySubnet). Для всех остальных параметров оставьте значения по умолчанию.

Убедитесь, что виртуальная машина правильно использует DNS, проверив внутреннюю службу DNS, чтобы убедиться, что для новой виртуальной машины добавлены записи адресов (A). Чтобы предоставить виртуальным машинам Azure доступ к Интернету, их необходимо настроить на использование прокси-сервера локальной сети. Обратитесь к администратору сети за дополнительными инструкциями по настройке сервера.

Ниже показана итоговая конфигурация.

Следующее действие

Развертывание синхронизации каталогов Microsoft 365 в Microsoft Azure