教學課程:使用 Azure 入口網站診斷虛擬網路之間的通訊問題
本教學課程說明如何使用 Azure 網路監看員 VPN 疑難排解功能來診斷和疑難排解兩個虛擬網路之間的連線問題。 虛擬網路會透過使用 VNet 對 VNet 連線的 VPN 閘道進行連線。
在本教學課程中,您會了解如何:
- 建立虛擬網路閘道 (VPN 閘道)
- 建立 VPN 閘道之間的連線
- 診斷和疑難排解連線問題
- 解決問題
- 確認問題已解決
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
建立 VPN 閘道
在本節中,您會建立兩個虛擬網路閘道來連線兩個虛擬網路。
建立第一個 VPN 閘道
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入虛擬網路閘道。 從搜尋結果中選取 [虛擬網路閘道]。
選取 + 建立。 在 [建立虛擬網路閘道] 的 [基本] 索引標籤中,輸入或選取下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 [執行個體詳細資料] 名稱 輸入 VNet1GW。 區域 選取 [美國東部]。 閘道類型 選取 [VPN]。 VPN 類型 選取 [依路由]。 SKU 選取 [VpnGw1]。 第幾代 選取 [Generation1]。 虛擬網路 選取 [建立虛擬網路]。 在 [Name] 中輸入myVNet1。
為資源群組選取 [建立新的]。 輸入 myResourceGroup,然後選取 [確認]。
在 [位址範圍] 中輸入 10.1.0.0/16。
在 [子網路] 下,針對 [子網路名稱] 輸入 GatewaySubnet,並針對 [位址範圍] 輸入 10.1.1.0/24。
選取 [確定] 以關閉 [建立虛擬網路]。公用 IP 位址 公用 IP 位址 選取 [新建] 公用 IP 位址名稱 輸入 VNet1GW-ip。 啟用主動-主動模式 選取 [已停用]。 設定 BGP 選取 [已停用]。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。 系統可能需要 45 分鐘以上的時間,才能完整建立和部署閘道。
建立第二個 VPN 閘道
若要建立第二個 VPN 閘道,請使用下列值重複先前用於建立第一個 VPN 閘道的步驟:
| 設定 | 值 |
|---|---|
| 名稱 | VNet2GW。 |
| 資源群組 | myResourceGroup |
| 虛擬網路 | myVNet2 |
| 虛擬網路位址範圍 | 10.2.0.0/16 |
| 閘道子網路位址範圍 | 10.2.1.0/24 |
| 公用 IP 位址名稱 | VNet2GW-ip |
建立儲存體帳戶和容器
在本節中,您會建立儲存體帳戶,然後在其中建立容器。
如果您有要使用的儲存體帳戶,您可以略過下列步驟,並移至 建立 VPN 閘道。
在入口網站頂端的搜尋方塊中,輸入儲存體帳戶。 從搜尋結果中選取 [ 儲存體帳戶 ]。
選取 + 建立。 在 [建立儲存體帳戶] 中,輸入或選取 [基本資訊] 索引標籤中的下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 myResourceGroup。 [執行個體詳細資料] 儲存體帳戶名稱 輸入唯一名稱。 本教學課程使用 mynwstorageaccount。 區域 選取 [(美國) 美國東部]。 效能 選取 [標準]。 備援性 選取 [本地備援儲存體 (LRS)]。 選取 [檢閱] 索引標籤,或選取 [檢閱] 按鈕。
檢閱設定,然後選取 [建立]。
部署完成後,請選取 [移至資源] 以移至 mynwstorageaccount 的 [概觀] 頁面。
在 [資料儲存體] 下選取 [容器]。
選取 [+ 容器]。
在 [新增容器] 中,輸入或選取下列值,然後選取 [建立]。
設定 值 名稱 輸入 vpn。 公用存取層級 選取 [私人] \(無匿名存取\)。
建立閘道連線。
建立 VNet1GW 和 VNet2GW 虛擬網路閘道之後,您可以建立它們之間的連線,以允許透過 VNet1 與 VNet2 虛擬網路之間的安全 IPsec/IKE 通道進行通訊。 若要建立 IPsec/IKE 通道,您可以建立兩個連線:
- 從 VNet1 到 VNet2
- 從 VNet2 到 VNet1
建立第一個連線
移至 VNet1GW 閘道。
在 [設定] 下,選取 [連線]。
選取 [+ 新增],以從 VNet1 建立連線至 VNet2。
在 [建立連線] 中,輸入或選取 [基本資訊] 索引標籤中的下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 myResourceGroup。 [執行個體詳細資料] 連線類型 選取 VNet 對 VNet。 名稱 輸入 至 VNet2。 區域 選取 [美國東部]。 選取 [設定] 索引標籤,或選取 [下一步:設定] 按鈕。
在 [設定] 索引標籤中,輸入或選取下列值:
設定 值 虛擬網路閘道 第一個虛擬網路閘道 選取 VNet1GW。 第二個虛擬網路閘道 選取 [VNet2GW]。 共用金鑰 (PSK) 輸入 123。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [建立]。
建立第二個連線
移至 VNet2GW 閘道。
依照先前用於建立第一個連線的步驟使用下列值建立第二個連線:
設定 值 名稱 to-VNet1 第一個虛擬網路閘道 VNet2GW 第二個虛擬網路閘道 VNet1GW 共用金鑰 (PSK) 000 注意
若要在兩個 Azure VPN 閘道之間成功建立 IPsec/IKE 通道,閘道間的連線必須使用相同的共用金鑰。 在先前的步驟中,會使用兩個不同的金鑰來建立閘道連線的問題。
診斷 VPN 問題
在本節中,您會使用網路監看員 VPN 疑難排解來檢查兩個 VPN 閘道及其連線。
在 [VNet2GW] 閘道的 [設定] 下,選取 [連線]。
選取 [重新整理] 以查看連線及其目前狀態,也就是 未連線 (由於共用金鑰之間不相符)。
在 [VNet2GW] 閘道 [說明] 下,選取 [VPN 疑難排解]。
選取 [選取儲存體帳戶] 選擇儲存體帳戶和您要儲存記錄的容器。
從清單中,選取 [VNet1GW] 和 [VNet2GW],然後選取 [開始疑難排解] 開始檢查閘道。
檢查完成後,這兩個閘道的疑難排解狀態會變更為 狀況不良。 選取閘道以查看 [狀態] 索引標籤底下的詳細資料。
因為 VPN 通道已中斷連線,請選取連線,然後選取 [開始疑難排解] 開始檢查它們。
注意
您可以在一個步驟中針對閘道及其連線進行疑難排解。 不過,檢查閘道所需的時間較少,並根據結果,您決定是否需要檢查連線。
檢查完成後,連線的疑難排解狀態會變更為 狀況不良。 選取連線以查看 [狀態] 索引標籤底下的詳細資料。
VPN 疑難排解已檢查連線,並在共用金鑰中發現不相符。
修正問題,並確認使用 VPN 疑難排解
修正問題
修正問題,方法是修正 對 VNet1 連線上的金鑰,以符合 對 VNet2 連線上的金鑰。
移至 對 VNet1 連線。
選取 [設定] 下方的 [驗證類型]。
在 [共用金鑰 (PSK)] 中輸入 123,然後選取 [儲存]。
檢查連線狀態
移至 VNet2GW 閘道 (您也可以檢查來自 VNet1GW 閘道的連線狀態)。
在 [設定] 下,選取 [連線]。
注意
您可能需要等候幾分鐘,然後選取 [重新整理],以查看連線狀態為 [已連線]。
使用 VPN 疑難排解檢查連線健康情況
在 [VNet2GW] 的 [說明]下,選取 [VPN 疑難排解]。
選取 [選取儲存體帳戶] 選擇儲存體帳戶和您要儲存記錄的容器。
選取 [VNet1GW] 和 [VNet2GW],然後選取 [開始疑難排解] 開始檢查閘道
清除資源
不再需要資源群組時,請刪除 myResourceGroup 及其包含的所有資源:
在入口網站頂端的搜尋方塊中,輸入 myResourceGroup。 從搜尋結果中選取 [myResourceGroup]。
選取 [刪除資源群組]。
在 [刪除資源群組] 中,輸入 myResourceGroup,然後選取 [刪除]。
選取 [刪除] 以確認刪除資源群組及其所有資源。
後續步驟
若要瞭解如何記錄虛擬機器之間的網路通訊,以便檢閱異常的記錄,請繼續進行下一個教學課程。