教學課程:使用 Azure 入口網站 診斷虛擬網路之間的通訊問題
本教學課程說明如何使用 Azure 網路監看員 VPN 疑難排解 功能來診斷和疑難排解兩個虛擬網路之間的連線問題。 虛擬網路會透過使用 VNet 對 VNet 連線的 VPN 閘道進行連線。
在本教學課程中,您會了解如何:
- 建立虛擬網路閘道 (VPN 閘道)
- 建立 VPN 閘道之間的連線
- 診斷和疑難排解連線問題
- 解決問題
- 確認問題已解決
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
建立 VPN 閘道
在本節中,您會建立兩個虛擬網路閘道來連線兩個虛擬網路。
建立第一個 VPN 閘道
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 虛擬網路閘道 。 從搜尋結果中選取 [虛擬網路閘道 ]。
選取 + 建立。 在 [建立虛擬網路閘道 ] 中,于 [基本] 索引 標籤中 輸入或選取下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 [執行個體詳細資料] 名稱 輸入 VNet1GW 。 區域 選取 [ 美國 東部]。 閘道類型 選取 [ VPN ]。 VPN 類型 選取 [路由式 ]。 SKU 選取 [VpnGw1 ]。 第幾代 選取 [ 世代1 ]。 虛擬網路 選取 [建立虛擬網路]。 在 [名稱] 中 輸入 myVNet1 。
針對資源群組選取 [新建 ]。 輸入 myResourceGroup ,然後選取 [ 確定 ]。
在 [位址範圍 ] 中,輸入 10.1.0.0/16 。
在 [子網] 下,針對 [子網名稱 ] 輸入 GatewaySubnet ,並 針對 [位址範圍 ] 輸入 10.1.1.0/24。
選取 [ 確定 ] 以關閉 [建立虛擬網路 ]。公用 IP 位址 公用 IP 位址 選取 [新建] 公用 IP 位址名稱 輸入 VNet1GW-ip 。 啟用主動-主動模式 選取 [已停用]。 設定 BGP 選取 [已停用]。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [ 建立 ]。 閘道可能需要 45 分鐘或更多時間才能完整建立和部署。
建立第二個 VPN 閘道
若要建立第二個 VPN 閘道,請重複使用下列值建立第一個 VPN 閘道的先前步驟:
| 設定 | 值 |
|---|---|
| 名稱 | VNet2GW 。 |
| 資源群組 | myResourceGroup |
| 虛擬網路 | myVNet2 |
| 虛擬網路位址範圍 | 10.2.0.0/16 |
| 閘道子網路位址範圍 | 10.2.1.0/24 |
| 公用 IP 位址名稱 | VNet2GW-ip |
建立儲存體帳戶和容器
在本節中,您會建立儲存體帳戶,然後在其中建立容器。
如果您有要使用的儲存體帳戶,您可以略過下列步驟,並移至 建立 VPN 閘道 。
在入口網站頂端的搜尋方塊中,輸入 儲存體帳戶 。 選取 搜尋結果中的儲存體帳戶 。
選取 + 建立。 在 [建立儲存體帳戶 ] 中,于 [基本] 索引 標籤中 輸入或選取下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 myResourceGroup 。 [執行個體詳細資料] 儲存體帳戶名稱 輸入唯一名稱。 本教學課程使用 mynwstorageaccount 。 區域 選取 [(美國) 美國東部]。 效能 選取 [標準]。 備援性 選取 [本地備援儲存體 (LRS)]。 選取 [檢閱] 索引 標籤,或選取 [ 檢閱] 按鈕。
檢閱設定,然後選取 [ 建立 ]。
部署完成後,選取 [移至資源 ] 以移至 mynwstorageaccount 的 [概 觀] 頁面。
在 [資料儲存體] 下選取 [容器]。
選取 [+ 容器]。
在 [新增容器 ] 中,輸入或選取下列值,然後選取 [ 建立 ]。
設定 值 名稱 輸入 vpn 。 公用存取層級 選取 [私人] \(無匿名存取\)。
建立閘道連線
建立 VNet1GW 和 VNet2GW 虛擬網路閘道之後,您可以建立它們之間的連線,以允許透過 VNet1 與 VNet2 虛擬網路之間的 安全 IPsec/IKE 通道進行通訊。 若要建立 IPsec/IKE 通道,您可以建立兩個連線:
- 從 VNet1 到 VNet2
- 從 VNet2 到 VNet1
建立第一個連線
移至 VNet1GW 閘道。
在 [設定] 底 下,選取 [連線]。
選取 [+ 新增 ] 以建立從 VNet1 到 VNet2 的連線。
在 [ 建立連線 ] 中,在 [基本] 索引 標籤中 輸入或選取下列值:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 myResourceGroup 。 [執行個體詳細資料] 連線類型 選取 [VNet 對 VNet ]。 名稱 輸入 to-VNet2 。 區域 選取 [ 美國 東部]。 選取 [設定] 索引標籤,或選取 [ 下一步:設定 ] 按鈕。
在 [設定] 索引卷 標中,輸入或選取下列值:
設定 值 虛擬網路閘道 第一個虛擬網路閘道 選取 VNet1GW。 第二個虛擬網路閘道 選取 [VNet2GW ]。 共用金鑰 (PSK) 輸入 123 。 選取 [檢閱 + 建立]。
檢閱設定,然後選取 [ 建立 ]。
建立第二個連線
移至 VNet2GW 閘道。
依照您先前用來使用下列值建立第一個連線的步驟來建立第二個連線:
設定 值 名稱 to-VNet1 第一個虛擬網路閘道 VNet2GW 第二個虛擬網路閘道 VNet1GW 共用金鑰 (PSK) 000 注意
若要在兩個 Azure VPN 閘道之間成功建立 IPsec/IKE 通道,閘道之間的連線必須使用相同的共用金鑰。 在先前的步驟中,會使用兩個不同的金鑰來建立閘道連線的問題。
診斷 VPN 問題
在本節中,您會使用 網路監看員 VPN 疑難排解來檢查兩個 VPN 閘道及其連線。
在 VNet2GW 閘道設定 下,選取 [連線ion ]。
選取 [ 重新 整理] 以查看連線及其目前狀態,也就是 未連線 的連線(因為共用金鑰不符)。
在 [VNet2GW 閘道的說明 ] 下 ,選取 [ VPN 疑難排解 ]。
選取 [ 選取儲存體帳戶] 以選擇儲存體帳戶 和您要儲存記錄的容器。
從清單中,選取 [VNet1GW ] 和 [VNet2GW ],然後選取 [ 開始疑難排解 ] 以開始檢查閘道。
檢查完成後,這兩個閘道的疑難排解狀態會變更為 [狀況不良 ]。 選取閘道以查看 [狀態 ] 索引標籤底下 的詳細資料。
因為 VPN 通道已中斷連線,請選取連線,然後選取 [開始疑難排解 ] 以開始檢查它們。
注意
您可以在一個步驟中針對閘道及其連線進行疑難排解。 不過,檢查閘道所需的時間較少,並根據結果,您決定是否需要檢查連線。
檢查完成後,連線的疑難排解狀態會變更為 [狀況不良 ]。 選取連線以查看 [狀態 ] 索引標籤底下的 更多詳細資料。
VPN 疑難排解已檢查連線,並在共用金鑰中發現不相符。
修正問題,並確認使用 VPN 疑難排解
修正問題
修正問題,方法是修正對 VNet1 連線上的 金鑰,以符合 VNet2 連線上的 金鑰。
移至 VNet1 連線。
在 [設定] 底下 ,選取 [ 驗證類型 ]。
在 [共用金鑰 ][PSK] 中,輸入 123 ,然後選取 [ 儲存 ]。
檢查線上狀態
移至 VNet2GW 閘道(您也可以從 VNet1GW 閘道檢查線上狀態)。
在 [設定] 底 下,選取 [連線]。
注意
您可能需要等候幾分鐘,然後選取 [重新 整理] 以查看線上狀態為 [連線 ]。
使用 VPN 疑難排解檢查連線健康情況
在 [VNet2GW 的說明] 下 ,選取 [ VPN 疑難排解 ]。
選取 [ 選取儲存體帳戶] 以選擇儲存體帳戶 和您要儲存記錄的容器。
選取 [VNet1GW ] 和 [VNet2GW ],然後選取 [開始疑難排解 ] 以開始檢查閘道
清除資源
若不再需要,請刪除 myResourceGroup 資源群組及其包含的所有資源:
在入口網站頂端的搜尋方塊中,輸入 myResourceGroup 。 從搜尋結果中選取 myResourceGroup 。
選取 [刪除資源群組]。
在 [ 刪除資源群組 ] 中,輸入 myResourceGroup ,然後選取 [ 刪除 ]。
選取 [ 刪除 ] 以確認刪除資源群組及其所有資源。
後續步驟
若要瞭解如何記錄虛擬機器之間的網路通訊,以便檢閱異常的記錄,請繼續進行下一個教學課程。