你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：使用 Azure 门户创建和管理 VPN 网关

本教程可帮助你使用 Azure 门户创建和管理虚拟网络网关 (VPN 网关)。 VPN 网关是连接体系结构的一部分，可帮助安全地访问使用 VPN 网关的虚拟网络中的资源。

• 关系图左侧显示了使用本文中的步骤创建的虚拟网络和 VPN 网关。
• 你稍后可以添加不同类型的连接，如关系图右侧所示。 例如，可以创建站点到站点连接和点到站点连接。 若要查看可以构建的不同设计体系结构，请参阅 VPN 网关设计。

本教程介绍如何执行下列操作：

• 创建虚拟网络。
• 创建主动-主动模式区域冗余 VPN 网关。
• 查看网关公共 IP 地址。
• 重设 VPN 网关大小（重设 SKU 大小）。
• 重置 VPN 网关。

• 若想了解有关本教程中使用的配置设置的详细信息，请参阅关于 VPN 网关配置设置。
• 有关 Azure VPN 网关的详细信息，请参阅什么是 Azure VPN 网关。
• 如果要使用基本 SKU（而不是 VpnGw2A）创建网关，请参阅创建基本 SKU VPN 网关。
• 有关主动-主动模式网关的详细信息，请参阅关于主动-主动模式。
• 有关区域冗余网关的详细信息，请参阅关于区域冗余网关。

备注

本文中的步骤使用支持 Azure 可用性区域的网关 SKU“VpnGw2AZ”。 如果你的区域不支持可用性区域，请改用非 AZ SKU。 有关 SKU 的详细信息，请参阅关于网关 SKU。

先决条件

需要一个具有活动订阅的 Azure 帐户。 如果没有，请免费创建一个。

创建虚拟网络

使用以下示例值创建虚拟网络：

• 资源组：TestRG1
• 名称： VNet1
• 区域：（美国）美国东部或你选择的区域
• IPv4 地址空间： 10.1.0.0/16
• 子网名称：使用默认名称或指定名称。 示例：FrontEnd
• 子网地址空间： 10.1.0.0/24

1. 登录 Azure 门户。

2. 在门户页顶部的“搜索资源、服务和文档(G+/)”中，输入“虚拟网络”。 从“市场”搜索结果中选择“虚拟网络”以打开“虚拟网络”页面。

3. 在“虚拟网络”页面上，选择“创建”以打开“创建虚拟网络”页面。

4. 在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置虚拟网络设置。 验证输入的值时，将看到一个绿色对勾。 你可以根据自己需要的设置调整示例中显示的值。

   

   • 订阅：确认列出的订阅是正确的。 你可以使用下拉框来更改订阅。
   • 资源组：选择一个现有资源组，或选择“新建”以创建一个新资源组。 有关资源组的详细信息，请参阅 Azure 资源管理器概述。
   • 名称：输入虚拟网络的名称。
   • 区域：选择你的虚拟网络的位置。 该位置决定了部署到此虚拟网络的资源将位于哪里。

5. 选择“下一步”或“安全性”，转到“安全性”选项卡。对于此练习，请保留此页上所有服务的默认值。

6. 选择“IP 地址”以转到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置。

   • IPv4 地址空间：默认情况下，系统会自动创建一个地址空间。 可以选择该地址空间，将其调整为反映你自己的值。 还可以添加其他地址空间并移除自动创建的默认值。 例如，可以将起始地址指定为“10.1.0.0”，将地址空间大小指定为“/16”。 然后选择“添加”以添加该地址空间。

   • + 添加子网：如果你使用默认地址空间，则系统会自动创建一个默认子网。 如果更改地址空间，请在该地址空间中添加一个新子网。 选择“+添加子网”，打开“添加子网”窗口 。 配置以下设置，然后选择页面底部的“添加”以添加这些值。

     • 子网名称：可使用默认名称，也可指定名称。 示例：FrontEnd。
     • 子网地址范围：此子网的地址范围。 示例为“10.1.0.0”和“/24”。

7. 查看“IP 地址”页并移除不需要的任何地址空间或子网。

8. 选择“审阅 + 创建”，验证虚拟网络设置。

9. 验证设置后，选择“创建”以创建虚拟网络。

创建虚拟网络后，可以选择配置 Azure DDoS 防护。 可在任何新的或现有的虚拟网络上启用保护，且无需对应用程序或资源做出任何更改。 有关 Azure DDoS 防护的详细信息，请参阅什么是 Azure DDoS 防护。

创建网关子网

虚拟网络网关资源部署到一个名为“GatewaySubnet”的特定子网。 网关子网是虚拟网络 IP 地址范围的一部分，该范围是在配置虚拟网络时指定的。

如果没有名为“GatewaySubnet”的子网，则无法创建 VPN 网关。 我们建议创建使用 /27（或更大）的网关子网。 例如 /27 或 /26。 有关详细信息，请参阅 VPN 网关设置 - 网关子网。

1. 在虚拟网络页面的左侧窗格中，选择“子网”以打开“子网”页面。
2. 在页面顶部，选择“+ 网关子网”以打开“添加子网”窗格。
3. 名称将自动输入为“GatewaySubnet”。 根据需要调整 IP 地址范围值。 例如“10.1.255.0/27”。
4. 不要调整该页面上的其他值。 选择页面底部的“保存”以保存子网。

重要

网关子网上的 NSG 不受支持。 将网络安全组关联到此子网可能会导致虚拟网络网关（VPN 和 ExpressRoute 网关）停止按预期方式工作。 有关网络安全组的详细信息，请参阅什么是网络安全组？

创建 VPN 网关

在此部分中，为虚拟网络创建虚拟网络网关（VPN 网关）。 创建网关通常需要 45 分钟或更长的时间，具体取决于所选的网关 SKU。

使用以下值创建网关：

• 名称：VNet1GW
• 网关类型： VPN
• SKU：VpnGw2AZ
• 代系：第 2 代
• 虚拟网络： VNet1
• 网关子网地址范围：10.1.255.0/27
• 公共 IP 地址：新建
• 公共 IP 地址名称：VNet1GWpip1
• 公共 IP 地址 SKU：标准
• 分配：静态
• 第二个公共 IP 地址名称：VNet1GWpip2

1. 在“搜索资源、服务和文档(G+/)”中，输入“虚拟网络网关”。 在市场搜索结果中找到“虚拟网络网关”，选择它以打开“创建虚拟网络网关”页面。

2. 在“基本信息”选项卡上，填写“项目详细信息”和“实例详细信息”的值 。

   

   • 订阅：从下拉列表中选择要使用的订阅。

   • 资源组：在此页上选择虚拟网络时，会自动填充此值。

   • 名称：要创建的网关对象的名称。 这不同于将部署网关资源的网关子网。

   • 区域：选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。

   • 网关类型：选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。

   • SKU：从下拉列表中选择支持你想要使用的功能的网关 SKU。

     • 建议选择尽可能以 AZ 结尾的 SKU。 AZ SKU 支持可用性区域。
     • 基本 SKU 在门户中不可用。 必须使用 PowerShell 或 CLI 配置基本 SKU 网关。

   • 代系：从下拉列表中选择“第 2 代”。

   • 虚拟网络：从下拉列表中选择要将此网关添加到的虚拟网络。 如果看不到要使用的虚拟网络，请确保在以前的设置中选择了正确的订阅和区域。

   • “网关子网地址范围”或“子网”：创建 VPN 网关时需要网关子网。

     目前，此字段可能显示不同的设置选项，具体取决于虚拟网络地址空间，以及是否已为虚拟网络创建名为 GatewaySubnet 的子网。

     如果你没有网关子网，并且此页面上也未显示用于创建网关子网的选项，请返回到你的虚拟网络并创建网关子网。 然后，返回到此页面并配置 VPN 网关。

3. 指定“公共 IP 地址”的值。 这些设置指定将与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后，会将公共 IP 地址分配给每个公共 IP 地址对象。 仅当删除并重新创建网关时，分配的公共 IP 地址才会发生更改。 IP 地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

   

   • 公共 IP 地址类型：如果显示了此选项，请选择“标准”。

   • 公共 IP 地址：让“新建” 保持选中状态。

   • 公共 IP 地址名称：在文本框中，输入公共 IP 地址实例的名称。

   • 公共 IP 地址 SKU：自动为设置选择“标准 SKU”。

   • 分配：分配通常是自动选择的，并且应为“静态”。

   • 可用性区域：此设置适用于支持可用性区域区域中的 AZ 网关 SKU。 选择区域冗余，除非你知道要指定区域。

   • 启用主动-主动模式：建议选择“启用”，以利用主动-主动模式网关的优势。 如果计划将此网关用于站点到站点连接，请考虑以下事项：

     • 验证要使用的主动-主动设计。 必须专门配置与本地 VPN 设备的连接，以利用主动-主动模式。
     • 某些 VPN 设备不支持主动-主动模式。 如果不确定，请咨询 VPN 设备供应商。 如果使用的是不支持主动-主动模式的 VPN 设备，则可以为此设置选择“禁用”。

   • 第二个公共 IP 地址：选择“新建”。 仅当为“启用主动-主动模式”设置选择了“启用”时，此选项才可用。

   • 公共 IP 地址名称：在文本框中，输入公共 IP 地址实例的名称。

   • 公共 IP 地址 SKU：自动为设置选择“标准 SKU”。

   • 可用性区域：选择区域冗余，除非你知道要指定区域。

   • 配置 BGP：除非你的配置专门需要此设置，否则请选择“已禁用”。 如果确实需要此设置，则默认 ASN 为 65515，但可以更改此值。

   • 启用 Key Vault 访问权限：除非你的配置专门需要此设置，否则请选择“禁用”。

4. 选择“查看 + 创建” ，运行验证。

5. 验证通过后，选择“创建”以部署 VPN 网关。

网关可能需要 45 分钟或更长时间才能完全创建和部署。 可以在网关的“概述”页上查看部署状态。 创建网关后，可以通过在门户中查看虚拟网络，来查看分配给网关的 IP 地址。 网关显示为连接的设备。

查看公共 IP 地址

若要查看与虚拟网络网关关联的公共 IP 地址，请在门户中导航到网关。

1. 在虚拟网络网关的门户页上，在“设置”下，打开“属性”页。
2. 若要查看有关 IP 地址对象的详细信息，请单击关联的 IP 地址链接。

重设网关 SKU 大小

调整网关 SKU 大小以及对其进行更改时需遵循特定的规则。 在本部分中，你将调整 SKU 的大小。 有关详细信息，请参阅 重设大小或更改网关 SKU。

基本步骤如下：

1. 请转到“配置”页面，查看虚拟网络网关。
2. 在页面右侧，选择下拉箭头以显示可用的 SKU 列表。 请注意，该列表只会填充你能够用于调整当前 SKU 大小的 SKU。 如果未看到要使用的 SKU，则必须更改为新的 SKU，而不是调整大小。
3. 从下拉列表中选择 SKU 并保存更改。

重置网关

网关重置的行为有所不同，具体取决于网关配置。 有关详细信息，请参阅重置 VPN 网关或连接。

基本步骤如下：

1. 在门户中，转到想要重置的虚拟网络网关。
2. 在“虚拟网络网关”页面的左窗格中，滚动浏览并找到“帮助 -> 重置”。
3. 在“重置”页面上，选择“重置”。 发出命令后，将立即重新启动 Azure VPN 网关的当前活动实例。 重置网关会导致 VPN 连接中断，并可能限制未来对该问题的根本原因分析。

清理资源

如果不打算继续使用此应用程序或转到下一个教程，请删除这些资源。

1. 在门户顶部的“搜索”框中输入资源组的名称，并从搜索结果中选择资源组。
2. 选择“删除资源组” 。
3. 在“键入资源组名称”中输入资源组名称，然后选择“删除” 。

后续步骤

创建 VPN 网关后，可以配置更多网关设置和连接。 以下文章可帮助你创建一些最常见的配置：

站点到站点 VPN 连接

点到站点 VPN 连接