分享方式:

設定 VNet 對 VNet VPN 連線 - Azure 入口網站

  • 文章

本文可協助您使用 Azure 入口網站 中的 VNet 對 VNet 連線類型來連線虛擬網路。 當您使用入口網站使用 VNet 對 VNet 連線虛擬網路時,虛擬網路可以位於不同的區域,但必須位於相同的訂用帳戶中。 如果您的虛擬網路位於不同的訂用帳戶中,請改用 PowerShell 指示。 本文不適用於虛擬網路對等互連。 如需虛擬網路對等互連,請參閱 虛擬網絡 對等互連一文。

VNet 對 VNet 連線的圖表。

關於 VNet 對 VNet 連線

設定 VNet 對 VNet 連線是連線虛擬網路的簡單方式。 當您使用 VNet 對 VNet 連線類型將虛擬網路連線到另一個虛擬網路時,它類似於建立站對站 IPsec 連線至內部部署位置。 這兩種連線類型都使用 VPN 閘道來提供採用 IPsec/IKE 的安全通道,而且在通訊時的運作方式相同。 不過,其差異在於區域網路閘道的設定方式。

  • 當您建立 VNet 對 VNet 連線時,系統會自動建立和填入區域網路閘道位址空間。 不過,在此設定中看不到區域網路閘道。 這表示您無法手動進行設定。

  • 如果您更新一個 VNet 的位址空間,另一個 VNet 就會自動路由到已更新的位址空間。

  • 建立 VNet 對 VNet 連線通常比站對站連線更快且更容易。

  • 如果您知道您想要為局域網路網關指定更多位址空間,或計劃稍後新增更多連線,且需要調整局域網路網關,請改用 站對站連線 步驟建立設定。

  • VNet 對 VNet 連線不包含點對站用戶端集區位址空間。 如果您需要點對站用戶端的可轉移路由,請在虛擬網路閘道之間建立站對站連線,或使用虛擬網路對等互連。

為何要建立 VNet 對 VNet 連線?

基於下列原因,建議您使用 VNet 對 VNet 連線來進行虛擬網路連線:

  • 跨區域的異地備援和異地目前狀態

    • 您可以使用安全連線設定自己的異地複寫或同步處理,而不用查看網際網路對向端點。
    • 您可以使用 Azure 流量管理員和 Azure Load Balancer,利用異地備援跨多個 Azure 區域設定高度可用的工作負載。 例如,您可以設定分散於多個 Azure 區域的 SQL Server Always On 可用性群組。

  • 具有隔離或管理界限的區域性多層式應用程式

    在相同區域中,您可以因為隔離或管理需求,設定將多層式應用程式與多個虛擬網路連線在一起。 您可以將 VNet 對 VNet 通訊與多站台組態結合。 這些設定可讓您建立使用內部虛擬網路連線結合跨單位連線的網路拓撲,如下圖所示:

    顯示多個訂用帳戶的 VNet 對 VNet 連線圖表。

建立及設定 VNet1

如果您已經有 VNet,請驗證設定是否與您的 VPN 閘道設計相容。 請特別注意任何可能與其他網路重疊的子網路。 如果有重疊的子網路,您的連線便無法正常運作。

在本節中,使用下列值建立 VNet1。 如果您使用自己的值,請確定位址空間不會與您要連線的任何虛擬網路重疊。

  • 虛擬網路設定
    • 名稱:VNet1
    • 位址空間:10.1.0.0/16
    • 訂用帳戶:選取您需要使用的訂用帳戶。
    • 資源群組︰TestRG1
    • 位置:美國東部
    • 子網路
      • 名稱:FrontEnd
      • 位址範圍:10.1.0.0/24

  1. 登入 Azure 入口網站。

  2. 在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中,輸入虛擬網路。 從 Marketplace 搜尋結果中選取 虛擬網路,以開啟 虛擬網路 頁面。

  3. 虛擬網路頁面上,選取建立以開啟建立虛擬網路頁面。

  4. 基本索引標籤上,設定專案詳細資料執行個體詳細資料的虛擬網路設定。 輸入的值經過驗證後,即會顯示綠色的核取記號。 您可以依必要設定來調整範例中顯示的值。

    顯示 [基本] 索引標籤的螢幕擷取畫面。

    • 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
    • 資源群組:選取現有的資源群組,或選取新建以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀
    • 名稱:輸入虛擬網路的名稱。
    • 區域:選取虛擬網路的位置。 這會決定您部署到此虛擬網路的資源存留位置。

  5. 選取下一步安全性以移至安全性索引標籤。在此練習中,請保留此頁面上所有服務的預設值。

  6. 選取 IP 位址以移至 IP 位址索引標籤。在 IP 位址索引標籤上完成設定。

    • IPv4 位址空間:根據預設,會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 您也可以新增不同的位址空間,並移除自動建立的預設值。 例如,您可以將開始位址指定為 10.1.0.0,並將位址空間大小指定為 /16。 然後選取新增,以新增該位址空間。

    • + 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,請在該位址空間內新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定,然後在頁面底部選取新增以新增值。

      • 子網名稱:您可以使用預設值,或指定名稱。 範例: FrontEnd
      • 子網路位址範圍︰此子網路的位址範圍。 例如 10.1.0.0/24

  7. 檢閱 IP位址 頁面,並移除您不需要的任何位址空間或子網路。

  8. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

  9. 驗證設定之後,請選取建立以建立虛擬網路。

建立閘道子網路

虛擬網路閘道需要名為 GatewaySubnet 的特定子網路。 閘道子網路是虛擬網路 IP 位址範圍的一部份,包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為閘道子網路指定 /27 或更大範圍 (/26、/25 等)。

  1. 在虛擬網路頁面的左側窗格中,選取 [子網路] 以開啟 [子網路] 頁面。
  2. 在頁面頂端選取 [+ 閘道子網路],以開啟 [新增子網路] 窗格。
  3. 名稱會自動輸入為 GatewaySubnet。 視需要調整 IP 位址範圍值。 例如 10.1.255.0/27
  4. 請勿調整頁面上的其他值。 選取頁面底部的 [儲存] 以儲存子網路。

重要

不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?

建立 VNet1 VPN 閘道

在此步驟中,您會為虛擬網路建立虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。 如需閘道 SKU 價格,請參閱價格

使用下列值建立虛擬網路閘道 (VPN 閘道):

  • 名稱:VNet1GW
  • 閘道類型:VPN
  • SKU:VpnGw2AZ
  • 世代:第 2 代
  • 虛擬網路:VNet1
  • 網路閘道子網路位址範圍:10.1.255.0/27
  • 公用 IP 位址:新建
  • 公用 IP 位址名稱:VNet1GWpip1
  • 公用 IP 位址 SKU:標準
  • 指派:靜態
  • 第二個公用 IP 位址名稱:VNet1GWpip2
  • 啟用主動-主動模式:已啟用

  1. 搜尋資源、服務和文件 (G+/) 中,輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取,以開啟建立虛擬網路閘道頁面。

  2. 在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

    顯示 [執行個體] 欄位的螢幕擷取畫面。

    • 訂用帳戶:從下拉式清單選取您想要使用的訂用帳戶。

    • 資源群組:當您在此頁面上選取虛擬網路時,此值會自動填入。

    • 名稱:這是您要建立之閘道物件的名稱。 這與將要部署閘道資源的閘道子網路不同。

    • 區域:選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。

    • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。

    • SKU:從下拉式清單中,選取 支援您要使用的功能的閘道 SKU

      • 建議您儘可能選取以 AZ 結尾的 SKU。 AZ SKU 支援 可用性區域
      • 入口網站中無法使用基本 SKU。 若要設定基本 SKU 閘道,您必須使用 PowerShell 或 CLI。

    • 產生:從下拉式清單中選取 [Generation2]

    • 虛擬網路:在下拉式清單中,選取您要新增此閘道的虛擬網路。 如果未顯示您想要使用的虛擬網路,請確定您在先前設定中選取了正確的訂用帳戶和區域。

    • 閘道子網路位址範圍子網路:建立 VPN 閘道所需的閘道子網路。

      目前,此欄位可能顯示不同的設定選項,這取決於虛擬網路位址空間,以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。

      如果您沒有閘道子網路,並且看不到此頁面上建立閘道子網路的選項,請返回虛擬網路並建立閘道子網路。 然後,返回此頁面並設定 VPN 閘道。

  1. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址指派給每個公用 IP 位址物件。 已指派的公用 IP 位址只會在閘道刪除或重新建立時變更。 IP 位址不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

    顯示 [公用 IP 位址] 欄位的螢幕擷取畫面。

    • 公用 IP 位址類型:如果出現此選項,請選取 [標準]

    • 公用 IP 位址:將 [新建] 維持已選取狀態。

    • 公用 IP 位址名稱:在文字輸入框中,輸入公用 IP 位址執行個體的名稱。

    • 公用 IP 位址 SKU:系統會自動選取 [標準 SKU]。

    • 指派:指派通常是自動選取的,而且應該為 [靜態]。

    • 可用性區域:此設定適用於支援可用性區域之區域中的 AZ 閘道 SKU。 除非您知道您想要指定區域,否則請選取 [區域備援]。

    • 啟用主動-主動模式:建議您選取 [已啟用] 以利用主動-主動模式網關的優點。 如果您打算將此閘道用於站對站連線,請考慮下列事項:

      • 確認您想要使用的作用中-主動設計。 您必須特別設定與內部部署 VPN 裝置的連線,才能利用主動-主動模式。
      • 某些 VPN 裝置不支援主動-主動模式。 如果您不確定,請洽詢您的 VPN 裝置廠商。 如果您使用不支援主動-主動模式的 VPN 裝置,您可以針對此設定選取 [已停用 ]。

    • 第二個公用 IP 位址:選取 [新建]。 只有在您針對 [啟用主動-主動模式] 設定選取 [已啟用] 時才可使用。

    • 公用 IP 位址名稱:在文字輸入框中,輸入公用 IP 位址執行個體的名稱。

    • 公用 IP 位址 SKU:系統會自動選取 [標準 SKU]。

    • 可用性區域:除非您知道您想要指定區域,否則請選取 [區域備援]。

    • 設定 BGP:除非您的設定特別需要此設定,否則請選取 [停用]。 如果您需要此設定,則預設的 ASN 為 65515,不過您可以變更此值。

    • 啟用 金鑰保存庫 存取:除非您的設定特別需要此設定,否則請選取 [停用]。

  2. 選取 [檢閱 + 建立] 以執行驗證。

  3. 驗證通過後,選取 [建立] 以部署 VPN 閘道。

系統可能需要 45 分鐘以上的時間,才能完整建立和部署閘道。 您可以在閘道的 [概觀] 頁面上看到部署狀態。 建立閘道之後,您可以查看入口網站中的虛擬網路,來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

不支援閘道子網路上的網路安全性群組 (NSG)。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組

建立及設定 VNet4

設定 VNet1 之後,請重複之前的步驟,並將各值更換成 VNet4 值,以建立 VNet4 和 VNet4 閘道。 您不需要等到 VNet1 的虛擬網路閘道建立完成後才設定 VNet4。 如果您使用自己的值,請確定位址空間不會與您要連線的任何虛擬網路重疊。

您可以使用下列範例值來設定 VNet4 和 VNet4 閘道。

  • 虛擬網路設定
    • 名稱:VNet4
    • 位址空間:10.41.0.0/16
    • 訂用帳戶:選取您需要使用的訂用帳戶。
    • 資源群組:TestRG4
    • 位置:美國西部 2
    • 子網路
      • 名稱:FrontEnd
      • 位址範圍:10.41.0.0/24

新增閘道子網:

  • 名稱:GatewaySubnet
  • 閘道子網路位址範圍:10.41.255.0/27

設定 VNet4 VPN 閘道

您可以使用下列範例值來設定 VNet4 VPN 閘道。

  • 虛擬網路閘道設定
    • 名稱:VNet4GW
    • 資源群組:美國西部 2
    • 世代:第 2 代
    • 閘道類型︰選取 [VPN]
    • VPN 類型:選取 [路由型]
    • SKU:VpnGw2AZ
    • 世代:Generation2
    • 虛擬網路:VNet4
    • 公用IP位址名稱: VNet4GWpip1
    • 公用 IP 位址 SKU:標準
    • 指派:靜態
    • 第二個公用IP位址名稱: VNet4GWpip2
    • 啟用主動-主動模式:已啟用

設定您的連線

當 VNet1 和 VNet4 的虛擬網路閘道完成後,您就可以建立 VPN 閘道連線。

即使虛擬網路位於不同的資源群組中,相同訂用帳戶中的虛擬網路也可以使用入口網站進行連線。 不過,如果您的虛擬網路位於不同的訂用帳戶中,您必須使用 PowerShell 來建立連線。

您可以建立雙向或單向連線。 針對此練習,我們將指定雙向連線。 雙向連線值會建立兩個不同的連線,讓流量可以雙向流動。

  1. 在入口網站中,移至 VNet1GW

  2. 在 [虛擬網络網關] 頁面上的左窗格中,選取 [ 連線 ] 以開啟 [連線] 頁面。 然後選取 [+ 新增 ] 以開啟 [ 建立連線 ] 頁面。

  3. 在 [建立連線] 頁面上,填入連線值。

    顯示 [建立連線] 頁面的螢幕擷取畫面。

    • 連線類型:從下拉清單中選取 [VNet 對 VNet]
    • 建立雙向連線:如果您想要在雙向建立流量流量,請選取此值。 如果您未選取此設定,且稍後想要以相反的方向新增連線,則必須建立源自其他虛擬網路網關的新連線。
    • 第一個連線名稱:VNet1-to-VNet4
    • 第二個連線名稱:VNet4-to-VNet1
    • 區域:美國東部 (VNet1GW 的區域)

  4. 按一下頁面底部的 [下一步: 設定 >] 以前進到 [設定] 頁面。

  5. 在 [設定] 頁面上,指定下列值:

    • 第一個虛擬網路閘道:從下拉式清單中選取 VNet1GW
    • 第二個虛擬網路閘道:從下拉式清單中選取 VNet4GW
    • 共用金鑰 (PSK):在這個欄位中,輸入連線使用的共用金鑰。 您可以產生此金鑰,或自行建立此金鑰。 在站對站連線中,您用於內部部署裝置與虛擬網路閘道連線的金鑰完全相同。 此處的概念類似,差別在於是連線到另一個虛擬網路閘道,而不是連線到 VPN 裝置。 指定共用金鑰時,重要的是連接兩端的金鑰完全相同。
    • IKE 通訊協定:IKEv2

  6. 針對此練習,您可以將其餘的設定保留為其預設值。

  7. 選取 [檢閱 + 建立],然後選取 [建立] 來驗證並建立您的連線。

確認您的連線

  1. 在 Azure 入口網站中找出虛擬網路閘道。 例如, VNet1GW

  2. 在 [虛擬網路閘道] 頁面上,選取 [連線],以檢視虛擬網路閘道的 [連線] 頁面。 建立連線後,您會看到 [狀態] 值變更為 [已連線]

  3. 在 [名稱] 資料行下方,選取其中一個連線以檢視其餘資訊。 當資料開始流動時,您會看到 [資料輸入] 和 [資料輸出] 的值。

新增更多連線

您可以建立另一個 VNet 對 VNet 連線,或建立內部部署位置的 IPsec 站對站連線。

  • 建立更多連線之前,請驗證您虛擬網路的位址空間與任何您需要連線的位址空間不重疊。

  • 當您設定新的連線時,請務必調整 Connection 類型 ,以符合您想要建立的連接類型。 如果您要新增 站對站連線,您必須先建立局域網路網關,才能建立連線。

  • 當您設定使用共用金鑰的連線時,請確定連線的兩端共用密鑰完全相同。

若要建立更多連線,請遵循下列步驟:

  1. 在 Azure 入口網站 中,移至您要建立連線的 VPN 閘道。
  2. 在左窗格中選取 [連線]。 檢視現有的連線。
  3. 建立新的連線。

VNet 對 VNet 常見問題集

請參閱 VPN 閘道常見問題集,以了解 VNet 對 VNet 的常見問題。

下一步

  • 如需如何在虛擬網路中限制資源網路流量的資訊,請參閱網路安全性

  • 如需 Azure 如何在 Azure、內部部署和網際網路資源間路由流量的資訊,請參閱虛擬網路流量路由