教學課程:在 Azure 入口網站中建立站對站 VPN 連線
在本教學課程中,您會使用 Azure 入口網站,在內部部署網路與虛擬網路之間建立站對站 (S2S) VPN 閘道連線。 您也可以使用 Azure PowerShell 或 Azure CLI 來建立此設定。
在本教學課程中,您已:
- 建立虛擬網路。
- 建立 VPN 閘道。
- 建立區域網路閘道。
- 建立 VPN 連線。
- 確認連接。
- 連線至虛擬機器。
必要條件
您需要具有有效訂用帳戶的 Azure 帳戶。 如果您沒有,可以免費建立一個。
如果您不熟悉位於內部部署網路設定的 IP 位址範圍,您需要與能夠提供那些詳細資料的人協調。 當您建立此組態時,您必須指定 IP 位址範圍的首碼,以供 Azure 路由傳送至您的內部部署位置。 內部部署網路的子網路皆不得與您所要連線的虛擬網路子網路重疊。
VPN 裝置:
- 確定您有相容的 VPN 裝置以及能夠對其進行設定的人員。 如需相容 VPN 裝置和裝置設定的詳細資訊,請參閱關於 VPN 裝置。
- 確認您的 VPN 裝置有對外開放的公用 IPv4 位址。
- 確認您的 VPN 裝置支援主動-主動模式閘道。 本文會建立主動-主動模式 VPN 閘道,建議進行高可用性連線。 主動-主動模式指定這兩個閘道 VM 執行個體都是作用中,並使用兩個公用 IP 位址,每個閘道 VM 執行個體各一個。 您可設定 VPN 裝置,以連線到每個閘道 VM 執行個體的 IP 位址。 如果您的 VPN 裝置不支援此模式,請勿為您的閘道啟用此模式。 如需詳細資訊,請參閱針對跨單位和 VNet 對 VNet 連線設計高可用性連線和關於主動-主動模式 VPN 閘道。
建立虛擬網路
在本節中,您會使用下列值建立虛擬網路:
- 資源群組︰TestRG1
- 名稱:VNet1
- 區域:(美國) 美國東部
- IPv4 位址空間:10.1.0.0/16
- 子網路名稱:FrontEnd
- 子網路位址空間:
注意
在使用虛擬網路作為用作跨部署結構的一部分時,請務必與內部部署網路系統管理員協調,以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍,流量就會以未預期的方式路由傳送。 此外,如果要將此虛擬網路連線至另一個虛擬網路,則位址空間不能與另一個虛擬網路重疊。 請據此規劃您的網路組態。
登入 Azure 入口網站。
在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中,輸入虛擬網路。 從 Marketplace 搜尋結果中選取 虛擬網路,以開啟 虛擬網路 頁面。
在虛擬網路頁面上,選取建立以開啟建立虛擬網路頁面。
在基本索引標籤上,設定專案詳細資料和執行個體詳細資料的虛擬網路設定。 輸入的值經過驗證後,即會顯示綠色的核取記號。 您可以依必要設定來調整範例中顯示的值。
- 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
- 資源群組:選取現有的資源群組,或選取新建以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀。
- 名稱:輸入虛擬網路的名稱。
- 區域:選取虛擬網路的位置。 這會決定您部署到此虛擬網路的資源存留位置。
選取下一步或安全性以移至安全性索引標籤。在此練習中,請保留此頁面上所有服務的預設值。
選取 IP 位址以移至 IP 位址索引標籤。在 IP 位址索引標籤上完成設定。
IPv4 位址空間:根據預設,會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 您也可以新增不同的位址空間,並移除自動建立的預設值。 例如,您可以將開始位址指定為 10.1.0.0,並將位址空間大小指定為 /16。 然後選取新增,以新增該位址空間。
+ 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,請在該位址空間內新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定,然後在頁面底部選取新增以新增值。
- 子網路名稱:例如 FrontEnd。
- 子網路位址範圍︰此子網路的位址範圍。 例如 10.1.0.0 和 /24。
檢閱 IP位址 頁面,並移除您不需要的任何位址空間或子網路。
選取 [檢閱 + 建立] 來驗證虛擬網路設定。
驗證設定之後,請選取 [建立] 以建立虛擬網路。
建立虛擬網路之後,即可選擇性地設定 Azure DDoS 保護。 只需在任何新的或現有的虛擬網路上啟用 Azure DDoS 保護,而不需進行任何應用程式或資源變更。 如需 Azure DDoS 保護的詳細資訊,請參閱什麼是 Azure DDoS 保護?。
建立閘道子網路
虛擬網路閘道需要稱為 GatewaySubnet 的特定子網路。 閘道子網路是虛擬網路 IP 位址範圍的一部份,包含虛擬網路閘道資源和服務所使用的 IP 位址。
當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為閘道子網路指定 /27 或更大範圍 (/26、/25 等)。
- 在虛擬網路頁面的左側窗格中,選取 [子網路] 以開啟 [子網路] 頁面。
- 在頁面頂端選取 [+ 閘道子網路],以開啟 [新增子網路] 窗格。
- 名稱會自動輸入為 GatewaySubnet。 視需要調整 IP 位址範圍值。 例如 10.1.255.0/27。
- 請勿調整頁面上的其他值。 選取頁面底部的 [儲存] 以儲存子網路。
重要
不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?
建立 VPN 閘道
在此步驟中,您會為您的虛擬網路建立虛擬網路閘道 (VPN 閘道)。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。
建立 VPN 閘道
使用下列值建立虛擬網路閘道 (VPN 閘道):
- 名稱:VNet1GW
- 閘道類型:VPN
- SKU:VpnGw2AZ
- 世代:第 2 代
- 虛擬網路:VNet1
- 網路閘道子網路位址範圍:10.1.255.0/27
- 公用 IP 位址:新建
- 公用 IP 位址名稱:VNet1GWpip1
- 公用 IP 位址 SKU:標準
- 指派:靜態
- 第二個公用 IP 位址名稱:VNet1GWpip2
- 啟用主動-主動模式:已啟用
- 設定 BGP:已停用
在 [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取,以開啟建立虛擬網路閘道頁面。
在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。
訂用帳戶:從下拉式清單選取您想要使用的訂用帳戶。
資源群組:當您在此頁面上選取虛擬網路時,此值會自動填入。
名稱:這是您要建立之閘道物件的名稱。 這與將要部署閘道資源的閘道子網路不同。
區域:選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。
閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。
SKU:從下拉式清單中,選取 支援您要使用的功能的閘道 SKU 。
- 建議您儘可能選取以 AZ 結尾的 SKU。 AZ SKU 支援 可用性區域。
- 入口網站中無法使用基本 SKU。 若要設定基本 SKU 閘道,您必須使用 PowerShell 或 CLI。
產生:從下拉式清單中選取 [Generation2]。
虛擬網路:在下拉式清單中,選取您要新增此閘道的虛擬網路。 如果未顯示您想要使用的虛擬網路,請確定您在先前設定中選取了正確的訂用帳戶和區域。
閘道子網路位址範圍或子網路:建立 VPN 閘道所需的閘道子網路。
目前,此欄位可能顯示不同的設定選項,這取決於虛擬網路位址空間,以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。
如果您沒有閘道子網路,並且看不到此頁面上建立閘道子網路的選項,請返回虛擬網路並建立閘道子網路。 然後,返回此頁面並設定 VPN 閘道。
指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址指派給每個公用 IP 位址物件。 已指派的公用 IP 位址只會在閘道刪除或重新建立時變更。 IP 位址不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。
公用 IP 位址類型:如果出現此選項,請選取 [標準]。
公用 IP 位址:將 [新建] 維持已選取狀態。
公用 IP 位址名稱:在文字輸入框中,輸入公用 IP 位址執行個體的名稱。
公用 IP 位址 SKU:系統會自動選取 [標準 SKU]。
指派:指派通常是自動選取的,而且應該為 [靜態]。
可用性區域:此設定適用於支援可用性區域之區域中的 AZ 閘道 SKU。 除非您知道您想要指定區域,否則請選取 [區域備援]。
啟用主動-主動模式:建議您選取 [已啟用] 以利用主動-主動模式網關的優點。 如果您打算將此閘道用於站對站連線,請考慮下列事項:
- 確認您想要使用的作用中-主動設計。 您必須特別設定與內部部署 VPN 裝置的連線,才能利用主動-主動模式。
- 某些 VPN 裝置不支援主動-主動模式。 如果您不確定,請洽詢您的 VPN 裝置廠商。 如果您使用不支援主動-主動模式的 VPN 裝置,您可以針對此設定選取 [已停用 ]。
第二個公用 IP 位址:選取 [新建]。 只有在您針對 [啟用主動-主動模式] 設定選取 [已啟用] 時才可使用。
公用 IP 位址名稱:在文字輸入框中,輸入公用 IP 位址執行個體的名稱。
公用 IP 位址 SKU:系統會自動選取 [標準 SKU]。
可用性區域:除非您知道您想要指定區域,否則請選取 [區域備援]。
設定 BGP:除非您的設定特別需要此設定,否則請選取 [停用]。 如果您需要此設定,則預設的 ASN 為 65515,不過您可以變更此值。
啟用 金鑰保存庫 存取:除非您的設定特別需要此設定,否則請選取 [停用]。
選取 [檢閱 + 建立] 以執行驗證。
驗證通過後,選取 [建立] 以部署 VPN 閘道。
系統可能需要 45 分鐘以上的時間,才能完整建立和部署閘道。 您可以在閘道的 [概觀] 頁面上看到部署狀態。
重要
不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?
檢視公用 IP 位址
若要檢視與每個虛擬網路閘道 VM 執行個體相關聯的 IP 位址,請移至入口網站中的虛擬網路網關。
- 移至您的虛擬網路閘道 [屬性] 頁面 (而非 [概觀] 頁面)。 您可能需要展開 [設定],以查看清單中的 [屬性] 頁面。
- 如果您的閘道處於主動-被動模式,您只會看到一個 IP 位址。 如果您的閘道處於主動-主動模式,您會看到兩個公用 IP 位址列出,每個閘道 VM 執行個體各有一個。 當您建立站對站連線時,您必須在設定 VPN 裝置時指定每個 IP 位址,因為這兩個閘道 VM 都在作用中。
- 若要檢視 IP 位址物件的詳細資訊,請按一下相關聯的 IP 位址連結。
建立區域網路閘道
區域網路閘道是一個部署至 Azure 的特定物件,代表您用於路由的內部部署位置 (網站)。 請將站台命名為可供 Azure 參考的名稱,然後指定您想要與其建立連線的內部部署 VPN 裝置 IP 位址。 也請指定 IP 位址首碼,供系統透過 VPN 閘道路由至 VPN 裝置。 您指定的位址首碼是位於內部部署網路上的首碼。 如果您的內部部署網路變更,或者您需要變更 VPN 裝置的公用 IP 位址,您稍後可以輕鬆地更新這些值。 您可為每個您要連線的 VPN 裝置建立個別的區域網路閘道。 有些高可用性連線設計會指定多個內部部署 VPN 裝置。
使用下列值建立區域網路閘道:
- 名稱:Site1
- 資源群組︰TestRG1
- 位置:美國東部
組態考量:
- VPN 閘道對每個 FQDN 僅支援一個 IPv4 位址。 如果網域名稱解析為多個 IP 位址,VPN 閘道將會使用 DNS 伺服器所傳回的第一個 IP 位址。 若要排除不確定性,我們建議您的 FQDN 一律解析成單一 IPv4 位址。 不支援 IPv6。
- VPN 閘道會以每 5 分鐘重新整理一次的方式維護 DNS 快取。 閘道只會嘗試解析已中斷連線通道的 FQDN。 重設閘道也會觸發 FQDN 解析。
- 雖然 VPN 閘道支援使用不同 FQDN 連線到不同區域網路閘道的多個連線,但所有 FQDN 都必須解析為不同的 IP 位址。
在入口網站中,移至 [區域網路閘道],然後開啟 [建立區域網路閘道] 頁面。
在 [基本] 索引標籤上,指定區域網路閘道的值。
- 訂用帳戶:確認顯示的是正確的訂用帳戶。
- 資源群組:選取要使用的資源群組。 您可以建立新的資源群組,或選取您已建立的資源群組。
- 區域:選取此物件的區域。 您可能想要選取虛擬網路所在的相同位置,但可以不用這麼做。
- 名稱:指定區域網路閘道物件的名稱。
- 端點:選取內部部署 VPN 裝置的端點類型:[IP 位址] 或 [FQDN (完整網域名稱)]。
- IP 位址:如果您有從 VPN 裝置網際網路服務提供者 (ISP) 配置的靜態公用 IP 位址,請選取 [IP 位址] 選項。 填入 IP 位址,如範例所示。 這個位址是您希望 Azure VPN 閘道連線的 VPN 裝置公用 IP 位址。 如果您目前沒有 IP 位址,可以使用範例中顯示的值。 您後續必須回來將預留位置 IP 位址取代為 VPN 裝置的公用 IP 位址。 否則,Azure 無法連線。
- FQDN:如果您有一段特定時間後可能變更的動態公用 IP 位址 (通常取決於您的 ISP),即可使用固定 DNS 名稱搭配動態 DNS 服務,以指向您 VPN 裝置目前的公用 IP 位址。 Azure VPN 閘道會解析 FQDN,以決定要連線的公用 IP 位址。
- 位址空間:位址空間是指此區域網路所代表之網路的位址範圍。 您可以加入多個位址空間範圍。 確定您在此指定的範圍,不會與您要連線的其他網路範圍重疊。 Azure 會將您指定的位址範圍路由傳送至內部部署 VPN 裝置 IP 位址。 如果您想要連線至內部部署網站,在此處請使用您自己的值,而不是範例中顯示的值。
在 [進階] 索引標籤上,您可以視需要設定 BGP 設定。
指定值之後,請選取頁面底部的 [檢閱 + 建立] 來驗證頁面。
選取 [建立],建立區域網路閘道物件。
設定 VPN 裝置
內部部署網路的站對站連線需要 VPN 裝置。 在此步驟中,設定 VPN 裝置。 設定 VPN 裝置時,您需要下列值:
- 共用金鑰:此共用金鑰與您建立站對站 VPN 連線時所指定的金鑰相同。 在我們的範例中,我們使用簡單的共用金鑰。 我們建議您產生更複雜的金鑰以供使用。
- 虛擬網路閘道執行個體的公用 IP 位址:取得每個 VM 執行個體的 IP 位址。 如果您的閘道處於主動-主動模式,則每個閘道 VM 執行個體都會有 IP 位址。 務必使用這兩個 IP 位址來設定裝置,每個作用中閘道 VM 各有一個。 主動-待命模式閘道只有一個 IP 位址。
注意
針對具有主動-主動模式 VPN 閘道的 S2S 連線,確定已為每個閘道 VM 執行個體建立通道。 如果您只建立一個閘道 VM 執行個體的通道,連線會在維護期間關閉。 如果您的 VPN 裝置不支援此設定,請改為針對主動-待命模式設定您的閘道。
根據您所擁有的 VPN 裝置,您或許可以下載 VPN 裝置設定指令碼。 如需詳細資訊,請參閱下載 VPN 裝置組態指令碼。
如需詳細設定資訊,請參閱下列連結:
- 如需相容 VPN 裝置的詳細資訊,請參閱 VPN 裝置。
- 請在設定 VPN 裝置之前,檢查您要使用的 VPN 裝置是否有任何已知裝置相容性問題。
- 如需裝置組態設定的連結,請參閱已經驗證的 VPN 裝置。 會以最佳方式來提供裝置組態連結。 最好一律洽詢您的裝置製造商以取得最新的組態資訊。 該清單會顯示已完成測試的版本。 如果您的 OS 不在清單中,版本仍然可能相容。 請洽詢裝置製造商,以驗證您 VPN 裝置的 OS 版本相容。
- 如需 VPN 裝置設定的概觀,請參閱第三方 VPN 裝置設定的概觀。
- 如需編輯裝置組態範例的相關資訊,請參閱編輯範例。
- 如需密碼編譯需求,請參閱關於密碼編譯需求和 Azure VPN 閘道。
- 如需 IPsec/IKE 參數的詳細資訊,請參閱關於 VPN 裝置和站對站 VPN 閘道連線的 IPsec/IKE 參數。 除了您完成設定所需的其他參數資訊之外,此連結還會顯示 IKE 版本、Diffie-hellman 群組、驗證方法、加密和雜湊演算法、SA 存留期、PFS 和 DPD 的相關資訊。
- 如需 IPsec/IKE 原則設定步驟,請參閱設定站對站 VPN 或 VNet 對 VNet 連線的 IPsec/IKE 原則 (部分機器翻譯)。
- 若要連線多個以原則為基礎的 VPN 裝置,請參閱使用 PowerShell 將 Azure VPN 閘道連線至多個內部部署以原則為基礎的 VPN 裝置。
建立 VPN 連線
您會在虛擬網路閘道與內部部署 VPN 裝置之間建立站對站 VPN 連線。 如果您使用主動-主動模式閘道 (建議),則每個閘道 VM 執行個體都有個別的 IP 位址。 若要正確設定高可用性連線,您必須在每個 VM 執行個體與 VPN 裝置之間建立通道。 這兩個通道都屬於相同的連線。
使用下列值建立連線:
- 區域網路閘道名稱:Site1
- 連線名稱︰VNet1toSite1
- 共用的金鑰:此範例中,您會使用 abc123。 但是,您可以使用任何與您 VPN 硬體相容的項目。 值務必符合連線的兩端。
在入口網站中,前往虛擬網路閘道並加以開啟。
在閘道的頁面上,選取 [連線]。
在 [連線] 頁面的頂部,選取 [+新增] 以開啟 [建立連線] 頁面。
在 [建立連線] 頁面的 [基本] 索引標籤上 ,設定連線的值:
在 [專案詳細資料] 底下,選取您資源所在的訂用帳戶和資源群組。
在 [執行個體詳細資料] 底下,進行下列設定:
- 連線類型:選取 [站對站 (IPSec)]。
- 名稱:為連線命名。
- 區域:選取此連線的區域。
選取 [設定] 索引標籤並設定下列值:
- 虛擬網路閘道:從下拉式清單中選取虛擬網路閘道。
- 區域網路閘道:從下拉式清單中選取區域網路閘道。
- 共用金鑰:此處的值必須與您用於本機內部部署 VPN 裝置的值相符。 如果此欄位未出現在入口網站頁面上,或您想要稍後更新此金鑰,您可以在建立連線物件之後執行此動作。 移至您所建立的連線物件 (範例名稱:VNet1toSite1),並在 [驗證] 頁面上更新金鑰。
- IKE 通訊協定:選取 [IKEv2]。
- 使用 Azure 私人 IP 位址:不要選取。
- 啟用 BGP:不要選取。
- FastPath:不要選取。
- IPsec/IKE 原則:選取 [預設]。
- 使用原則型流量選取器:選取 [停用]。
- DPD 逾時 (秒):選取 45。
- 連線模式:選取 [預設]。 此設定可用來指定哪些閘道可以起始連線。 如需詳細資訊,請參閱 VPN 閘道設定 - 連線模式。
針對 [NAT 規則關聯],將 [輸入] 和 [輸出] 都保留為 [已選取 0 個]。
選取 [檢閱 + 建立] 以驗證連線設定。
選取建立建立連接。
部署完成後,即可在虛擬網路閘道的 [連線] 頁面上檢視連線。 狀態會從 [未知] 變成 [連線中],然後變成 [成功]。
進行其他連線設定 (選擇性)
如有必要,您可以為連線進行更多設定。 否則,請略過本節並保留預設值。 如需詳細資訊,請參閱設定自訂 IPsec/IKE 連線原則。
移至虛擬網路閘道,然後選取 [連線] 以開啟 [連線] 頁面。
選取您想要設定的連線名稱,以開啟 [連線] 頁面。
在 [連線] 頁面左側,選取 [設定] 以開啟 [設定] 頁面。 進行任何必要的變更,然後選取 [儲存]。
在下列螢幕擷取畫面中,已啟用設定,讓您可以看到入口網站中可用的組態設定。 選取螢幕擷取畫面,即可查看展開的檢視。 當您設定連線時,只設定您所需的設定。 否則,請保留預設設定。
驗證 VPN 連線
在 Azure 入口網站中,您可以移至連線,檢視 VPN 閘道的連線狀態。 下列步驟顯示移至連線並進行驗證的其中一種方式。
- 在 Azure 入口網站功能表上,從任何頁面選取 [所有資源],或搜尋並選取 [所有資源]。
- 選取虛擬網路閘道。
- 在虛擬網路閘道的窗格中,選取 [連線]。 您可以看到每個連線的狀態。
- 選取您要驗證的連線名稱以開啟 Essentials。 在 [Essentials] 窗格中,您可以檢視連線的相關詳細資訊。 成功連線之後,狀態為「成功」和「已連線」。
連接到虛擬機器
您可以建立 VM 的遠端桌面連線,以連線至已部署至虛擬網路的 VM。 一開始確認您可以連線至 VM 的最佳方法是使用其私人 IP 位址 (而不是電腦名稱) 進行連線。 這樣一來,您會測試以查看您是否可以連線,而不是否已正確設定名稱解析。
找出私人 IP 位址。 在 Azure 入口網站中或使用 PowerShell 查看 VM 的屬性,即可找到 VM 的私人 IP 位址。
Azure 入口網站:在 Azure 入口網站中尋找您的 VM。 檢視 VM 的屬性。 系統會列出私人 IP 位址。
PowerShell:使用範例來檢視資源群組中的 VM 和私人 IP 位址清單。 使用此範例前,您不需要加以修改。
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
確認您已連線至虛擬網路。
在工作列上的搜尋方塊中輸入 [RDP] 或 [遠端桌面連線] 以開啟 [遠端桌面連線]。 然後選取 [遠端桌面連線]。 您也可以在 PowerShell 中使用
mstsc
命令,開啟 [遠端桌面連線]。在 [遠端桌面連線] 中,輸入 VM 的私人 IP 位址。 您可以選取 [顯示選項],調整其他設定,然後進行連線。
如果您無法透過 VPN 連線與 VM 連線,請檢查下列幾點:
- 確認您的 VPN 連線成功。
- 確認您正連線至 VM 的私人 IP 位址。
- 如果您可以使用私人 IP 位址 (而非電腦名稱) 來連線至 VM,請確認您已正確設定 DNS。 如需 VM 的名稱解析運作方式的詳細資訊,請參閱 VM 的名稱解析。
如需 RDP 連線的詳細資訊,請參閱對 VM 的遠端桌面連線進行疑難排解。
選擇性步驟
重設閘道
如果您遺失一或多個站對站 VPN 通道上的跨單位 VPN 連線,重設 Azure VPN 閘道會很有幫助。 在此情況下,您的所有內部部署 VPN 裝置都會運作正常,但無法使用 Azure VPN 閘道建立 IPsec 通道。 如果您需要重設主動-主動閘道,則可以使用入口網站來重設這兩個執行個體。 您也可以使用 PowerShell 或 CLI,使用執行個體 VIP 個別重設每個閘道執行個體。 如需詳細資訊,請參閱重設連線或閘道。
- 在入口網站中,按一下您想要重設的虛擬網路閘道。
- 在 [虛擬網路閘道] 頁面上的左窗格中,向下捲動並找到 [說明 -> 重設]。
- 在 [重設] 頁面上,選取 [重設]。 發出此命令後,會立即重新啟動 Azure VPN 閘道目前作用中的執行個體。 重設閘道會導致 VPN 連線中斷,而且可能會限制未來對該問題進行根本原因分析。
新增另一個連線
閘道可以有多個連線。 如果您要設定來自相同 VPN 閘道的多個內部部署網站的連線,位址空間不能在任何連線之間重疊。
- 如果您要使用站對站 VPN 進行連線,而且您沒有想要連線之站台的區域網路閘道,請建立另一個區域網路閘道並指定網站詳細資料。 如需詳細資訊,請參閱建立區域網路閘道。
- 若要新增連線,請移至 VPN 閘道,然後選取 [連線] 以開啟 [連線] 頁面。
- 選取 [+新增] 以新增連線。 調整連線類型以反映 VNet 對 VNet (如果連線到另一個虛擬網路閘道) 或站對站。
- 指定您要使用的共用金鑰,然後選取 [確定] 以建立連線。
更新連線共用金鑰
您可以為連線指定不同的共用金鑰。
- 在入口網站中,移至連線。
- 變更 [驗證] 頁面上的共用金鑰。
- 儲存您的變更。
- 視需要以新的共用金鑰更新您的 VPN 裝置。
變更閘道 SKU 或調整其大小
您可以調整閘道 SKU 的大小,也可以變更閘道 SKU。 視閘道目前使用的 SKU 而定,哪個選項可用有相關的特定規則。 如需詳細資訊,請參閱調整或變更閘道 SKU 的大小。
其他設定考量
您可以透過各種方式自訂站對站設定。 如需詳細資訊,請參閱下列文章:
- 如需 BGP 的相關資訊,請參閱 BGP 概觀和如何設定 BGP。
- 如需強制通道的相關資訊,請參閱關於強制通道。
- 如需高可用性主動-主動連線的相關資訊,請參閱高可用性跨單位和 VNet 對 VNet 連線能力。
- 如需如何在虛擬網路中限制資源之網路流量的資訊,請參閱網路安全性。
- 如需 Azure 如何在 Azure、內部部署和網際網路資源間路由流量的資訊,請參閱虛擬網路流量路由。
清除資源
如果您不打算繼續使用此應用程式或移至下一個教學課程,請刪除這些資源。
- 在入口網站頂端的 [搜尋] 方塊中輸入您的資源群組,然後從搜尋結果中進行選取。
- 選取 [刪除資源群組]。
- 針對 [輸入資源群組名稱] 輸入您的資源群組,然後選取 [刪除]。
下一步
設定站對站連線之後,即可新增對相同閘道的點對站連線。