Dela via

Konfigurera en VPN-anslutning mellan virtuella nätverk – Azure Portal

  • Artikel

Den här artikeln hjälper dig att ansluta dina virtuella nätverk med anslutningstypen VNet-till-VNet i Azure Portal. När du använder portalen för att ansluta virtuella nätverk med VNet-till-VNet kan de virtuella nätverken finnas i olika regioner, men måste finnas i samma prenumeration. Om dina virtuella nätverk finns i olika prenumerationer använder du PowerShell-instruktionerna i stället. Den här artikeln gäller inte för peering för virtuella nätverk. Information om peering för virtuella nätverk finns i artikeln Peering för virtuellt nätverk.

Diagram över en VNet-till-VNet-anslutning.

Om VNet-till-VNet-anslutningar

Att konfigurera en VNet-till-VNet-anslutning är ett enkelt sätt att ansluta virtuella nätverk. När du ansluter ett virtuellt nätverk till ett annat virtuellt nätverk med en VNet-till-VNet-anslutningstyp, liknar det att skapa en plats-till-plats-IPsec-anslutning till en lokal plats. Båda typerna av anslutning använder en VPN-gateway för att få en säker tunnel med IPsec/IKE, och båda fungerar på samma sätt vid kommunikation. Men de skiljer sig åt i hur den lokala nätverksgatewayen konfigureras.

  • När du skapar en anslutning mellan virtuella nätverk skapas och fylls adressutrymmet för den lokala nätverksgatewayen i automatiskt. Den lokala nätverksgatewayen visas dock inte i den här konfigurationen. Det innebär att du inte kan konfigurera den manuellt.

  • Om du uppdaterar adressutrymmet för ett virtuellt nätverk dirigerar det andra virtuella nätverket automatiskt till det uppdaterade adressutrymmet.

  • Det är vanligtvis snabbare och enklare att skapa en VNet-till-VNet-anslutning än en plats-till-plats-anslutning.

  • Om du vet att du vill ange fler adressutrymmen för den lokala nätverksgatewayen, eller planerar att lägga till fler anslutningar senare och behöver justera den lokala nätverksgatewayen, skapar du konfigurationen med hjälp av anslutningsstegen för plats-till-plats i stället.

  • VNet-till-VNet-anslutningen innehåller inte adressutrymme för punkt-till-plats-klientpool. Om du behöver transitiv routning för punkt-till-plats-klienter skapar du en plats-till-plats-anslutning mellan de virtuella nätverksgatewayerna eller använder peering för virtuella nätverk.

Varför ska jag skapa en anslutning mellan virtuella nätverk?

Du kanske vill ansluta virtuella nätverk med hjälp av en VNet-till-VNet-anslutning av följande skäl:

  • Geografisk redundans i flera regioner och geografisk närvaro

    • Du kan ange din egna geografiska replikering eller synkronisering med en säker anslutning, utan att passera några Internet-slutpunkter.
    • Med Azure Traffic Manager och Azure Load Balancer kan du konfigurera arbetsbelastning med hög tillgänglighet och geografisk redundans över flera Azure-regioner. Du kan till exempel konfigurera SQL Server Always On-Tillgänglighetsgrupper i flera Azure-regioner.

  • Regionala flernivåprogram med isolering eller administrativa gränser

    Inom samma region kan du konfigurera flernivåprogram med flera virtuella nätverk som är anslutna till varandra på grund av isolering eller administrativa krav. VNet-till-VNet-kommunikation kan kombineras med konfigurationer för flera platser. Med de här konfigurationerna kan du upprätta nätverkstopologier som kombinerar anslutningar mellan platser med anslutning mellan virtuella nätverk, enligt följande diagram:

    Diagram över en VNet-till-VNet-anslutning som visar flera prenumerationer.

Skapa och konfigurera VNet1

Om du redan har ett VNet, kontrollerar du att inställningarna är kompatibla med din VPN-gatewaydesign. Var särskilt uppmärksam på eventuella undernät som kan överlappa andra nätverk. Om du har överlappande undernät fungerar inte anslutningen ordentligt.

I det här avsnittet skapar du VNet1 med hjälp av följande värden. Om du använder dina egna värden kontrollerar du att adressutrymmena inte överlappar något av de virtuella nätverk som du vill ansluta till.

  • Inställningar för virtuella nätverk
    • Namn: VNet1
    • Adressutrymme: 10.1.0.0/16
    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: TestRG1
    • Plats: USA, östra
    • Undernät
      • Namn: FrontEnd
      • Adressintervall: 10.1.0.0/24

  1. Logga in på Azure-portalen.

  2. I Sök efter resurser, tjänster och dokument (G+/) överst på portalsidan anger du det virtuella nätverket. Välj Virtuellt nätverk från Marketplace-sökresultatet för att öppna sidan Virtuellt nätverk.

  3. På sidan Virtuellt nätverk väljer du Skapa för att öppna sidan Skapa virtuellt nätverk.

  4. På fliken Grundläggande konfigurerar du inställningarna för det virtuella nätverket för projektinformation och instansinformation. Du ser en grön bockmarkering när de värden du anger verifieras. Du kan justera de värden som visas i exemplet enligt de inställningar som du behöver.

    Skärmbild som visar fliken Grundläggande.

    • Prenumeration: Verifiera att prenumerationen som visas är korrekt. Du kan ändra prenumerationer med hjälp av listrutan.
    • Resursgrupp: Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny. Mer information om resursgrupper finns i Översikt över Azure Resource Manager.
    • Namn: Namnge ditt virtuella nätverk.
    • Region: Välj plats för det virtuella nätverket. Platsen avgör var de resurser som du distribuerar till det här virtuella nätverket ska finnas.

  5. Välj Nästa eller Säkerhet för att gå till fliken Säkerhet . I den här övningen lämnar du standardvärdena för alla tjänster på den här sidan.

  6. Välj IP-adresser för att gå till fliken IP-adresser . Konfigurera inställningarna på fliken IP-adresser .

    • IPv4-adressutrymme: Som standard skapas ett adressutrymme automatiskt. Du kan välja adressutrymmet och justera det så att det återspeglar dina egna värden. Du kan också lägga till ett annat adressutrymme och ta bort standardvärdet som skapades automatiskt. Du kan till exempel ange startadressen som 10.1.0.0 och ange adressutrymmets storlek som /16. Välj sedan Lägg till för att lägga till adressutrymmet.

    • + Lägg till undernät: Om du använder standardadressutrymmet skapas ett standardundernät automatiskt. Om du ändrar adressutrymmet lägger du till ett nytt undernät i adressutrymmet. Välj + Lägg till undernät för att öppna fönstret Lägg till undernät . Konfigurera följande inställningar och välj sedan Lägg till längst ned på sidan för att lägga till värdena.

      • Undernätsnamn: Du kan använda standardvärdet eller ange namnet. Exempel: FrontEnd.
      • Adressintervall för undernätet: Adressintervallet för det här undernätet. Exempel är 10.1.0.0 och /24.

  7. Granska sidan IP-adresser och ta bort eventuella adressutrymmen eller undernät som du inte behöver.

  8. Välj Granska + skapa för att verifiera inställningarna för det virtuella nätverket.

  9. När inställningarna har verifierats väljer du Skapa för att skapa det virtuella nätverket.

Skapa gateway-undernätet

Den virtuella nätverksgatewayen kräver ett specifikt undernät med namnet GatewaySubnet. Gateway-undernätet är en del av IP-adressintervallet för ditt virtuella nätverk och innehåller DE IP-adresser som de virtuella nätverksgatewayresurserna och tjänsterna använder.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. Hur många IP-adresser som behövs beror på vilken konfiguration av VPN-gatewayen som du vill skapa. Vissa konfigurationer kräver fler IP-adresser än andra. Det är bäst att ange /27 eller större (/26, /25 osv.) för gatewayundernätet.

  1. På sidan för ditt virtuella nätverk går du till den vänstra rutan och väljer Undernät för att öppna sidan Undernät .
  2. Längst upp på sidan väljer du + Gateway-undernät för att öppna fönstret Lägg till undernät .
  3. Namnet anges automatiskt som GatewaySubnet. Justera värdet för IP-adressintervallet om det behövs. Ett exempel är 10.1.255.0/27.
  4. Justera inte de andra värdena på sidan. Spara undernätet genom att välja Spara längst ned på sidan.

Viktigt!

Nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet stöds inte. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?

Skapa VNet1 VPN-gatewayen

I det här steget skapar du den virtuella nätverksgatewayen för ditt virtuella nätverk. Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU. Priser för gateway-SKU finns i Prissättning.

Skapa en virtuell nätverksgateway (VPN-gateway) med hjälp av följande värden:

  • Namn: VNet1GW
  • Typ av gateway: VPN
  • SKU: VpnGw2AZ
  • Generation: Generation 2
  • Virtuellt nätverk: VNet1
  • Adressintervall för gatewayundernät: 10.1.255.0/27
  • Offentlig IP-adress: Skapa ny
  • Namn på offentlig IP-adress: VNet1GWpip1
  • SKU för offentlig IP-adress: Standard
  • Tilldelning: Statisk
  • Andra offentliga IP-adressnamnet: VNet1GWpip2
  • Aktivera aktivt-aktivt läge: Aktiverat

  1. I Sök efter resurser, tjänster och dokument (G+/)anger du virtuell nätverksgateway. Leta upp virtuell nätverksgateway i Marketplace-sökresultatet och välj den för att öppna sidan Skapa virtuell nätverksgateway.

  2. På fliken Grundläggande fyller du i värdena för projektinformation och instansinformation.

    Skärmbild som visar instansfälten.

    • Prenumeration: Välj den prenumeration som du vill använda i listrutan.

    • Resursgrupp: Det här värdet fylls i automatiskt när du väljer ditt virtuella nätverk på den här sidan.

    • Namn: Det här är namnet på gatewayobjektet som du skapar. Detta skiljer sig från gatewayundernätet som gatewayresurser ska distribueras till.

    • Region: Välj den region där du vill skapa den här resursen. Gatewayens region måste vara samma som det virtuella nätverket.

    • Gatewaytyp: välj VPN. En VPN-gateway använder VPN som virtuell nätverksgateway.

    • SKU: I listrutan väljer du en gateway-SKU som stöder de funktioner som du vill använda.

      • Vi rekommenderar att du väljer en SKU som slutar i AZ när det är möjligt. AZ SKU:er stöder tillgänglighetszoner.
      • Basic SKU är inte tillgängligt i portalen. Om du vill konfigurera en Basic SKU-gateway måste du använda PowerShell eller CLI.

    • Generation: Välj Generation2 i listrutan.

    • Virtuellt nätverk: I listrutan väljer du det virtuella nätverk som du vill lägga till den här gatewayen till. Om du inte kan se det virtuella nätverk som du vill använda kontrollerar du att du har valt rätt prenumeration och region i de tidigare inställningarna.

    • Gateway-undernätsadressintervall eller undernät: Gateway-undernätet krävs för att skapa en VPN-gateway.

      För närvarande kan det här fältet visa olika inställningsalternativ, beroende på adressutrymmet för det virtuella nätverket och om du redan har skapat ett undernät med namnet GatewaySubnet för ditt virtuella nätverk.

      Om du inte har ett gateway-undernät och du inte ser alternativet att skapa ett på den här sidan går du tillbaka till det virtuella nätverket och skapar gatewayundernätet. Gå sedan tillbaka till den här sidan och konfigurera VPN-gatewayen.

  1. Ange värden för offentlig IP-adress. De här inställningarna anger de offentliga IP-adressobjekt som ska associeras med VPN-gatewayen. En offentlig IP-adress tilldelas till varje offentligt IP-adressobjekt när VPN-gatewayen skapas. Den enda gången som den tilldelade offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. IP-adresser ändras inte mellan storleksändring, återställning eller annat internt underhåll/uppgraderingar av VPN-gatewayen.

    Skärmbild som visar fältet Offentlig IP-adress.

    • Offentlig IP-adresstyp: Om det här alternativet visas väljer du Standard.

    • Offentlig IP-adress: Låt Skapa ny vara markerad.

    • Namn på offentlig IP-adress: I textrutan anger du ett namn för din offentliga IP-adressinstans.

    • SKU för offentlig IP-adress: Inställningen väljs automatiskt till Standard SKU.

    • Tilldelning: Tilldelningen är vanligtvis automatiskt markerad och bör vara statisk.

    • Tillgänglighetszon: Den här inställningen är tillgänglig för AZ-gateway-SKU:er i regioner som stöder tillgänglighetszoner. Välj Zonredundant, såvida du inte vet att du vill ange en zon.

    • Aktivera aktivt-aktivt läge: Vi rekommenderar att du väljer Aktiverad för att dra nytta av fördelarna med en aktiv-aktiv läge-gateway . Om du planerar att använda den här gatewayen för en plats-till-plats-anslutning bör du tänka på följande:

      • Kontrollera den aktiva-aktiva design som du vill använda. Anslutningar med din lokala VPN-enhet måste konfigureras specifikt för att dra nytta av aktivt-aktivt läge.
      • Vissa VPN-enheter stöder inte aktivt-aktivt läge. Om du inte är säker kontrollerar du med vpn-enhetsleverantören. Om du använder en VPN-enhet som inte stöder aktivt-aktivt läge kan du välja Inaktiverad för den här inställningen.

    • Andra offentliga IP-adressen: Välj Skapa ny. Detta är endast tillgängligt om du har valt Aktiverad för inställningen Aktivera aktivt-aktivt läge .

    • Namn på offentlig IP-adress: I textrutan anger du ett namn för din offentliga IP-adressinstans.

    • SKU för offentlig IP-adress: Inställningen väljs automatiskt till Standard SKU.

    • Tillgänglighetszon: Välj Zonredundant, såvida du inte vet att du vill ange en zon.

    • Konfigurera BGP: Välj Inaktiverad om inte konfigurationen specifikt kräver den här inställningen. Om du behöver den här inställningen är standard-ASN 65515, även om det här värdet kan ändras.

    • Aktivera Key Vault-åtkomst: Välj Inaktiverad om inte konfigurationen specifikt kräver den här inställningen.

  2. Välj Granska + skapa för att köra verifieringen.

  3. När verifieringen har slutförts väljer du Skapa för att distribuera VPN-gatewayen.

Det kan ta 45 minuter eller mer att skapa och distribuera en gateway. Du kan se distributionsstatusen på sidan Översikt för din gateway. När gatewayen är skapad, kan du se IP-adressen som har tilldelats den genom att se på det virtuella nätverket i portalen. Gatewayen visas som en ansluten enhet.

Viktigt!

Nätverkssäkerhetsgrupper (NSG:er) i gatewayundernätet stöds inte. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?

Skapa och konfigurera VNet4

När du har konfigurerat VNet1 skapar du VNet4 och VNet4-gatewayen genom att upprepa föregående steg och ersätta värdena med VNet4-värden. Du behöver inte vänta tills den virtuella nätverksgatewayen för VNet1 har skapats innan du konfigurerar VNet4. Om du använder dina egna värden kontrollerar du att adressutrymmena inte överlappar något av de virtuella nätverk som du vill ansluta till.

Du kan använda följande exempelvärden för att konfigurera VNet4 och VNet4-gatewayen.

  • Inställningar för virtuella nätverk
    • Namn: VNet4
    • Adressutrymme: 10.41.0.0/16
    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: TestRG4
    • Plats: USA, västra 2
    • Undernät
      • Namn: FrontEnd
      • Adressintervall: 10.41.0.0/24

Lägg till gatewayundernätet:

  • Namn: GatewaySubnet
  • Adressintervall för gatewayundernät: 10.41.255.0/27

Konfigurera VNet4 VPN-gatewayen

Du kan använda följande exempelvärden för att konfigurera VNet4 VPN-gatewayen.

  • Inställningar för virtuell nätverksgateway
    • Namn: VNet4GW
    • Resursgrupp: USA, västra 2
    • Generation: Generation 2
    • Gatewaytyp: välj VPN.
    • VPN-typ: Välj Routningsbaserad.
    • SKU: VpnGw2AZ
    • Generation: Generation2
    • Virtuellt nätverk: VNet4
    • Namn på offentlig IP-adress: VNet4GWpip1
    • SKU för offentlig IP-adress: Standard
    • Tilldelning: Statisk
    • Andra offentliga IP-adressnamnet: VNet4GWpip2
    • Aktivera aktivt-aktivt läge: Aktiverat

Konfigurera dina anslutningar

När VPN-gatewayerna för både VNet1 och VNet4 har slutförts kan du skapa dina virtuella nätverksgatewayanslutningar.

Virtuella nätverk i samma prenumeration kan anslutas via portalen, även om de finns i olika resursgrupper. Men om dina virtuella nätverk finns i olika prenumerationer måste du använda PowerShell för att upprätta anslutningarna.

Du kan skapa antingen en dubbelriktad eller en enda riktningsanslutning. I den här övningen anger vi en dubbelriktad anslutning. Det dubbelriktade anslutningsvärdet skapar två separata anslutningar så att trafiken kan flöda i båda riktningarna.

  1. Gå till VNet1GW i portalen.

  2. På sidan virtuell nätverksgateway går du till den vänstra rutan och väljer Anslutningar för att öppna sidan Anslutningar. Välj sedan + Lägg till för att öppna sidan Skapa anslutning .

  3. På sidan Skapa anslutning fyller du i anslutningsvärdena.

    Skärmbild som visar sidan Skapa anslutning.

    • Anslutningstyp: Välj VNet-till-VNet i listrutan.
    • Upprätta dubbelriktad anslutning: Välj det här värdet om du vill upprätta trafikflödet i båda riktningarna. Om du inte väljer den här inställningen och senare vill lägga till en anslutning i motsatt riktning måste du skapa en ny anslutning som kommer från den andra virtuella nätverksgatewayen.
    • Förnamn för anslutning: VNet1-till-VNet4
    • Andra anslutningsnamnet: VNet4-till-VNet1
    • Region: USA, östra (regionen för VNet1GW)

  4. Klicka på Nästa: Inställningar > längst ned på sidan för att gå vidare till sidan Inställningar .

  5. På sidan Inställningar anger du följande värden:

    • Första virtuella nätverksgatewayen: Välj VNet1GW i listrutan.
    • Andra virtuella nätverksgatewayen: Välj VNet4GW i listrutan.
    • Delad nyckel (PSK): I det här fältet anger du en delad nyckel för anslutningen. Du kan generera eller skapa den här nyckeln själv. I en plats-till-plats-anslutning är nyckeln du använder densamma som för din lokala enhet och anslutningen via din virtuella nätverksgateway. Konceptet är i princip samma här, förutom att du istället för att ansluta till en VPN-enhet ansluter till en annan virtuell nätverksgateway. Det viktiga när du anger en delad nyckel är att den är exakt densamma för båda sidor av anslutningen.
    • IKE-protokoll: IKEv2

  6. I den här övningen kan du lämna resten av inställningarna som standardvärden.

  7. Välj Granska + skapa och sedan Skapa för att verifiera och skapa dina anslutningar.

Verifiera dina anslutningar

  1. Leta rätt på den virtuella nätverksgatewayen på Azure-portalen. Till exempel VNet1GW.

  2. På sidan för den virtuella nätverksgatewayen väljer du Anslutningar för att visa anslutningssidan för den virtuella nätverksgatewayen. När anslutningen har upprättats ser du statusvärdena ändras till Ansluten.

  3. Under kolumnen Namn väljer du en av anslutningarna för att visa mer information. När data börjar flöda ser du värdena för Data in och Data ut.

Lägga till fler anslutningar

Du kan skapa en annan VNet-till-VNet-anslutning eller skapa en plats-till-plats-IPsec-anslutning till en lokal plats.

  • Innan du skapar fler anslutningar kontrollerar du att adressutrymmet för det virtuella nätverket inte överlappar något av de adressutrymmen som du vill ansluta till.

  • När du konfigurerar en ny anslutning måste du justera anslutningstypen så att den matchar den typ av anslutning som du vill skapa. Om du lägger till en plats-till-plats-anslutning måste du skapa en lokal nätverksgateway innan du kan skapa anslutningen.

  • När du konfigurerar en anslutning som använder en delad nyckel kontrollerar du att den delade nyckeln är exakt densamma för båda sidor av anslutningen.

Följ dessa steg för att skapa fler anslutningar:

  1. I Azure Portal går du till vpn-gatewayen som du vill skapa anslutningen från.
  2. I den vänstra rutan väljer du Anslutningar. Visa de befintliga anslutningarna.
  3. Skapa den nya anslutningen.

Vanliga frågor och svar om VNet-till-VNet

Se vanliga frågor och svar om VPN Gateway för vanliga frågor och svar om VNet-till-VNet.

Nästa steg