你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户配置 VNet 到 VNet VPN 网关连接

  • 项目

本文介绍如何通过 Azure 门户使用 VNet 到 VNet 连接类型来连接虚拟网络 (VNet)。 虚拟网络可位于不同的区域和不同的订阅中。 从不同的订阅连接 VNet 时,订阅不需要与相同的 Active Directory 租户相关联。 这种类型的配置在两个虚拟网络网关之间创建连接。 本文不适用于 VNet 对等互连。 有关 VNet 对等互连,请参阅虚拟网络对等互连一文。

VNet 到 VNet 关系图。

可以使用各种工具创建此配置,具体取决于 VNet 的部署模型。 本文中的步骤适用于 Azure 资源管理器部署模型和 Azure 门户。 若要切换到不同的部署模型或部署方法文章,请使用下拉列表。

关于连接 VNet

以下部分介绍如何通过不同的方式连接虚拟网络。

VNet 到 VNet

配置 VNet 到 VNet 连接是连接 VNet 的简单方式。 使用 VNet 到 VNet 连接类型 (VNet2VNet) 将一个虚拟网络连接到另一个虚拟网络类似于与本地位置建立站点到站点 IPsec 连接。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道,两者在通信时的运行方式相同。 但是,两者在本地网络网关的配置方式上有差别。

创建 VNet 到 VNet 连接时,不会自动创建和填充本地网络网关地址空间。 如果更新一个 VNet 的地址空间,另一个 VNet 会自动路由到更新的地址空间。 与创建站点到站点连接相比,创建 VNet 到 VNet 连接通常速度更快且更容易。 但是,本地网络网关在此配置中不可见。

  • 如果你知道要为本地网络网关指定其他地址空间,或计划稍后添加其他连接,并且需要调整本地网络网关,则应使用站点到站点步骤来创建配置。
  • VNet 到 VNet 连接不包括点到站点客户端池地址空间。 如果需要针对点到站点客户端的传递路由,则请在虚拟网络网关之间创建站点到站点连接,或使用 VNet 对等互连。

站点到站点 (IPsec)

如果使用复杂的网络配置,你可能偏向于使用站点到站点连接来连接 VNet。 遵循站点到站点 IPsec 步骤时,可以手动创建和配置本地网络网关。 每个 VNet 的本地网关都将其他 VNet 视为本地站点。 使用这些步骤可为本地网络网关指定其他地址空间用于路由流量。 如果 VNet 的地址空间发生更改,必须手动更新相应的本地网络网关。

VNet 对等互连

也可以使用 VNet 对等互连来连接 VNet。

为何创建 VNet 到 VNet 连接?

你可能会出于以下原因而使用 VNet 到 VNet 连接来连接虚拟网络:

跨区域异地冗余和地区存在

  • 可以使用安全连接设置自己的异地复制或同步,而无需借助于面向 Internet 的终结点。
  • 使用 Azure 流量管理器和 Azure 负载均衡器,可以设置支持跨多个 Azure 区域实现异地冗余的高可用性工作负荷。 例如,可跨多个 Azure 区域中设置 SQL Always On 可用性组。

具有隔离或管理边界的区域多层应用程序

  • 在同一区域中,由于存在隔离或管理要求,可以设置多个虚拟网络连接在一起的多层应用程序。

可以将 VNet 到 VNet 通信与多站点配置组合使用。 使用这些配置可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑,如下图所示:

VNet 连接关系图。

本文介绍如何使用 VNet 到 VNet 连接类型来连接 VNet。 遵循这些步骤进行练习时,可以使用以下示例设置值。 示例中的虚拟网络在同一订阅中,但却在不同的资源组中。 如果 VNet 在不同的订阅中,则无法在门户中创建连接。 改用 PowerShellCLI。 有关 VNet 到 VNet 连接的详细信息,请参阅 VNet 到 VNet 连接常见问题解答

示例设置

VNet1 的值:

  • 虚拟网络设置

    • 名称:VNet1
    • 地址空间:10.1.0.0/16
    • 订阅:选择要使用的订阅。
    • 资源组:TestRG1
    • 位置:美国东部
    • 子网
      • 名称:FrontEnd
      • 地址范围:10.1.0.0/24

  • 虚拟网络网关设置

    • 名称:VNet1GW
    • 资源组:美国东部
    • 代系:第 2 代
    • 网关类型:选择“VPN”。
    • VPN 类型:选择“基于路由”
    • SKU:VpnGw2
    • 虚拟网络:VNet1
    • 网关子网地址范围:10.1.255.0/27
    • 公共 IP 地址:新建
    • 公共 IP 地址名称:VNet1GWpip

  • Connection

    • 名称:VNet1 到 VNet4
    • 共享密钥:可以自行创建共享密钥。 在 VNet 之间建立连接时,上述值必须匹配。 对于此练习,请使用 abc123。

VNet4 的值:

  • 虚拟网络设置

    • 名称:VNet4
    • 地址空间:10.41.0.0/16
    • 订阅:选择要使用的订阅。
    • 资源组:TestRG4
    • 位置:美国西部
    • 子网
    • 名称:FrontEnd
    • 地址范围:10.41.0.0/24

  • 虚拟网络网关设置

    • 名称:VNet4GW
    • 资源组:美国西部
    • 代系:第 2 代
    • 网关类型:选择“VPN”。
    • VPN 类型:选择“基于路由”
    • SKU:VpnGw2
    • 虚拟网络:VNet4
    • 网关子网地址范围:10.41.255.0/27
    • 公共 IP 地址:新建
    • 公共 IP 地址名称:VNet4GWpip

  • Connection

    • 名称:VNet4 到 VNet1
    • 共享密钥:可以自行创建共享密钥。 在 VNet 之间建立连接时,上述值必须匹配。 对于此练习,请使用 abc123。

创建并配置 VNet1

如果已有一个 VNet,请验证这些设置是否与 VPN 网关设计兼容。 请特别注意任何可能与其他网络重叠的子网。 如果有重叠的子网,将无法正常连接。

创建虚拟网络

注意

使用虚拟网络作为跨界体系结构的一部分时,请务必与本地网络管理员进行协调,以划分一个 IP 地址范围专供此虚拟网络使用。 如果 VPN 连接的两端存在重复的地址范围,则会以意外方式路由流量。 此外,若要将此虚拟网络连接到另一个虚拟网络,地址空间不能与另一虚拟网络重叠。 相应地规划网络配置。

  1. 登录到 Azure 门户

  2. 在“搜索资源、服务和文档(G+/)”中,键入“虚拟网络”。 从“市场”结果中选择“虚拟网络”以打开“虚拟网络”页。

    屏幕截图显示 Azure 门户的搜索栏结果,同时从“市场”中选择了“虚拟网络”。

  3. 在“虚拟网络”页上选择“创建”。 这会打开“创建虚拟网络”页

  4. 在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置 VNet 设置。 验证输入的值时,将看到一个绿色对钩。 可以根据你需要的设置调整示例中显示的值。

    屏幕截图显示“基本信息”选项卡。

    • 订阅:确认列出的订阅是正确的。 可以使用下拉列表更改订阅。
    • Resource group:选择现有资源组,或选择“新建”以创建一个新资源组。 有关资源组的详细信息,请参阅 Azure 资源管理器概述
    • 名称:输入虚拟网络的名称。
    • 区域:选择 VNet 的位置。 该位置确定要部署到此 VNet 的资源将位于哪里。

  5. 选择“IP 地址”以前进到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置。

    • IPv4 地址空间:默认情况下,系统会自动创建一个地址空间。 可以选择该地址空间,将其调整为反映你自己的值。 你也可选择现有地址空间下方的方框并指定其他地址空间的值,以添加更多地址空间。 例如,可以将 IPv4 地址字段从自动填充的默认值更改为“10.1.0.0/16”。
    • + 添加子网:如果你使用默认地址空间,则系统会自动创建一个默认子网。 如果你更改地址空间,则需要添加一个子网。 选择“+添加子网”,打开“添加子网”窗口 。 配置以下设置,然后选择页面底部的“添加”以添加值。
      • 子网名称:示例:FrontEnd。
      • 子网地址范围:此子网的地址范围。 例如 10.1.0.0/24。

  6. 选择“安全性”以前进到“安全性”选项卡。对于此练习,请保留默认值。

    • BastionHost:禁用
    • DDoS Protection Standard: 禁用
    • Firewall:禁用

  7. 选择“审阅 + 创建”,验证虚拟网络设置。

  8. 验证设置后,选择“创建”以创建虚拟网络。

创建 VNet1 网关

在此步骤中,为 VNet 创建虚拟网络网关。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。 如果你正在练习创建此配置,请参阅示例设置

虚拟网络网关使用称作“网关子网”的特定子网。 网关子网是虚拟网络 IP 地址范围的一部分,该范围是在配置虚拟网络时指定的。 网关子网包含虚拟网络网关资源和服务使用的 IP 地址。

创建网关子网时,需指定子网包含的 IP 地址数。 所需的 IP 地址数目取决于要创建的 VPN 网关配置。 有些配置需要具有比其他配置更多的 IP 地址。 我们建议创建使用 /27 或 /28 的网关子网。

如果出现错误,指出地址空间与子网重叠,或者子网不包含在虚拟网络的地址空间中,请检查 VNet 地址范围。 出错的原因可能是为虚拟网络创建的地址范围中没有足够的可用 IP 地址。 例如,如果默认子网包含整个地址范围,则不会有剩余的 IP 地址用于创建更多子网。 可以调整现有地址空间中的子网以释放 IP 地址,或指定额外的地址范围并在其中创建网关子网。

创建虚拟网络网关

  1. 在“搜索资源、服务和文档(G+/)”中,键入“虚拟网络网关” 。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页。

    “搜索”字段的屏幕截图。

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    实例字段的屏幕截图。

    • 订阅:从下拉列表中选择要使用的订阅。
    • 资源组:在此页上选择虚拟网络后,此设置将自动进行填充。
    • 名称:为网关命名。 为网关命名与为网关子网命名不同。 它是要创建的网关对象的名称。
    • 区域:选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。
    • 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。
    • VPN 类型:选择为你的配置指定的 VPN 类型。 大多数配置需要''基于路由'' VPN 类型。
    • SKU:从下拉列表中选择想要使用的网关 SKU。 下拉列表中列出的 SKU 取决于选择的 VPN 类型。 确保选择支持你想要使用的功能的 SKU。 例如,如果选择“AZ”SKU(如“VPNGw2AZ”),则你选择的是可用性区域 SKU,其设置与此示例中所示的设置不同。 有关详细信息,请参阅 Azure 可用性区域中的区域冗余虚拟网络网关。 有关网关 SKU 的详细信息,请参阅网关 SKU
    • 代系:选择想要使用的代系。 有关详细信息,请参阅网关 SKU
    • 虚拟网络:从下拉列表中,选择要将此网关添加到其中的虚拟网络。 如果看不到要为其创建网关的 VNet,请确保在以前的设置中选择了正确的订阅和区域。
    • 网关子网地址范围:仅当 VNet 没有网关子网时,此字段才会显示。 最好指定 /27 或更大的范围(/26、/25 等)。 这为将来的更改提供了足够的 IP 地址,例如添加一个 ExpressRoute 网关。 建议不要创建任何小于 /28 的范围。 如果你已有网关子网,可通过导航到虚拟网络来查看 GatewaySubnet 详细信息。 选择“子网”,以查看范围。 如果要更改范围,可以删除并重新创建 GatewaySubnet。

  1. 指定“公共 IP 地址”的值。 这些设置指定与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址分配给此对象。 仅当删除并重新创建网关时,主公共 IP 地址才会发生更改。 该地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

    “公共 IP 地址”字段的屏幕截图。

    • 公共 IP 地址类型:可以选择“基本”或“标准”。
    • 公共 IP 地址:让“新建” 保持选中状态。
    • 公共 IP 地址名称:在文本框中,键入公共 IP 地址实例的名称。
    • 公共 IP 地址 SKU:此字段由“公共 IP 地址类型”值控制。
    • 分配:此设置基于“公共 IP 地址类型”值。
    • 启用主动-主动模式:仅当要创建主动-主动网关配置时,才选择“启用主动-主动模式”。 否则,请让此设置保留“禁用”状态。
    • 让“配置 BGP”保留“禁用”状态,除非你的配置特别需要此设置 。 如果确实需要此设置,则默认 ASN 为 65515,但可以更改此值。

  2. 选择“查看 + 创建” ,运行验证。

  3. 验证通过后,选择“创建” 以部署 VPN 网关。

可以在网关的“概述”页上查看部署状态。 网关可能需要 45 分钟或更长时间才能完全创建和部署。 创建网关后,可以通过在门户中查看虚拟网络,来查看已分配给网关的 IP 地址。 网关显示为连接的设备。

重要

处理网关子网时,请避免将网络安全组 (NSG) 关联到网关子网。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 Express Route 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

创建并配置 VNet4

配置 VNet1 后,请创建 VNet4 和 VNet4 网关,方法是:重复上述步骤并将值替换为 VNet4 值。 无需等到 VNet1 的虚拟网关创建完成即可配置 VNet4。 如果使用自己的值,请确保地址空间不与任何想要连接的 VNet 重叠。

配置 VNet1 网关连接

VNet1 和 VNet4 的虚拟网关都已完成后,便可以创建虚拟网关连接。 在本部分,请创建从 VNet1 到 VNet4 的连接。 可以使用门户连接同一订阅中的VNet,即使它们位于不同的资源组中。 但是,如果 VNet 属于不同的订阅,则必须使用 PowerShell 进行连接。

  1. 在门户中,转到你的虚拟网络网关。 例如,VNet1GW

  2. 在“虚拟网络网关”页上,转到“连接”。 选择“+添加” 。

    显示“连接”页的屏幕截图。

  3. 在“添加连接”页上,填写连接值。

    显示“添加连接”页的屏幕截图。

    • 名称:输入连接的名称。 例如,VNet1toVNet4

    • 连接类型:从下拉列表选择“VNet 到 VNet”。

    • 第一个虚拟网络网关:此字段值会自动填充,因为要从指定的虚拟网络网关建立此连接。

    • 第二个虚拟网络网关:此字段是要连接到的 VNet 的虚拟网络网关。 选择“选择另一个虚拟网络网关”打开“选择虚拟网络网关”页。

      显示“选择具有其他网关的虚拟网络网关”页的屏幕截图。

      • 查看此页上列出的虚拟网关。 请注意,仅会列出订阅中的虚拟网络网关。 若要连接到订阅外部的虚拟网络网关,请使用 PowerShell

      • 选择要连接的虚拟网络网关。

    • 共享密钥(PSK) :在此字段中,输入连接的共享密钥。 可以自己生成或创建此密钥。 在站点到站点连接中,使用的密钥与本地设备和虚拟网络网关连接的密钥相同。 此处的概念大致相同,不过,此时不是连接到 VPN 设备,而是连接到另一个虚拟网络网关。

  4. 选择“确定”,保存所做更改。

配置 VNet4 网关连接

接下来,创建一个从 VNet4 到 VNet1 的连接。 在门户中找到与 VNet4 关联的虚拟网关。 按上一部分的步骤替换相关值,创建从 VNet4 到 VNet1 的连接。 确保使用的同一个共享秘钥。

验证连接

  1. 在 Azure 门户中找到虚拟网络网关。

  2. 在“虚拟网络网关”页上选择“连接”,查看虚拟网络网关的“连接”页。 建立连接后,会看到“状态”值更改为“已连接”。

    显示用于验证连接的“连接”页的屏幕截图。

  3. 在“名称”列下选择一个连接,查看其详细信息。 数据开始流动后,会看到“输入数据”和“输出数据”的值。

    屏幕截图显示了一个资源组,其中包含“数据输入”和“数据输出”的值。

添加其他连接

若要添加其他连接,请导航到要从中创建连接的虚拟网络网关,然后选择“连接”。 可以创建另一个 VNet 到 VNet 连接,也可以创建一个 IPsec 站点到站点连接,以便连接到本地位置。 请务必调节“连接类型”,使之与要创建的连接类型匹配。 在创建其他连接之前,请验证虚拟网络的地址空间是否不与要连接到的地址空间重叠。 如需创建站点到站点连接的步骤,请参阅创建站点到站点连接

VNet 到 VNet 常见问题

有关 VNet 到 VNet 的常见问题,请参阅 VPN 网关常见问题解答

后续步骤

  • 有关如何限制发往虚拟网络中资源的网络流量的信息,请参阅网络安全性

  • 有关 Azure 如何在 Azure 资源、本地资源和 Internet 资源之间路由流量的信息,请参阅虚拟网络流量路由