本教學課程可協助您使用 Azure 入口網站建立和管理虛擬網路閘道 (VPN 閘道)。 VPN 閘道是連線結構的一部分,可協助您使用 VPN 閘道安全地存取虛擬網路內的資源。
- 圖表左側會顯示您使用本文步驟所建立的虛擬網路和 VPN 閘道。
- 您稍後可以新增不同連線類型,如圖表右側所示。 例如,您可以建立站對站和點對站連線。 若要檢視您可以組建的不同設計結構,請參閱 VPN 閘道設計。
- 如需 Azure VPN 閘道的詳細資訊,請參閱 什麼是 Azure VPN 閘道? 如果您想要深入了解本教學課程中使用的組態設定,請參閱關於 VPN 閘道組態設定。
在本教學課程中,您會了解如何:
- 建立虛擬網路。
- 建立主動-主動模式區域備援 VPN 閘道。
- 檢視閘道公用 IP 位址。
- 升級 VPN 閘道 SKU。
- 重設 VPN 閘道。
附註
本文中的步驟會使用閘道 SKU VpnGw2AZ,這是支援 Azure 可用性區域的 SKU。 自 2025 年 5 月起,所有區域都會接受 AZ SKU,不論該區域是否支援可用性區域。 如需閘道 SKU 的詳細資訊,請參閱關於閘道 SKU。
先決條件
您需要具有有效訂用帳戶的 Azure 帳戶。 如果您沒有帳戶,請免費建立一個。
建立虛擬網路
本文使用 Azure 入口網站來建立虛擬網路。 您也可以使用不同的工具或方法來建立虛擬網路。 如需詳細資訊或步驟,請參閱 建立虛擬網路。 在此練習中,虛擬網路不需要設定其他服務,例如 Azure Bastion 或 DDoS 保護。 不過,如果您想要使用這些服務,您可以新增這些服務。
| 設定 | 範例值 |
|---|---|
| 資源群組 | TestRG1 |
| 虛擬網路名稱 | VNet1 |
| 區域 | 美國東部 |
| IPv4 位址空間 | 10.1.0.0/16 |
| 子網路名稱 | FrontEnd |
| 子網路位址空間 | 10.1.0.0/24 |
- 登入 Azure 入口網站。
- 在入口網站頁面頂端的搜尋資源、服務和文件 (G+/)中,輸入虛擬網路。 從 Marketplace 搜尋結果中選取 虛擬網路,以開啟 虛擬網路 頁面。
- 在虛擬網路頁面上,選取建立以開啟建立虛擬網路頁面。
- 填寫基本標籤的必要值。
- 選取 [下一步] 或 [安全性] 以移至 [安全性] 索引標籤。在此練習中,請保留此頁面上所有服務的預設值。
- 選取 [IP 位址 ] 以移至 [ IP 位址 ] 索引標籤。在 [ IP 位址] 索引 標籤上,設定必要的設定。
- 檢閱 IP位址 頁面,並移除您不需要的任何位址空間或子網路。
- 選取 [檢閱 + 建立] 來驗證虛擬網路設定。
- 驗證設定之後,請選取建立以建立虛擬網路。
建立閘道子網路
虛擬網路閘道資源會部署到名為 GatewaySubnet 的特定子網路。 閘道子網路是您設定虛擬網路時,所指定虛擬網路 IP 位址範圍的一部分。
如果您沒有名為 GatewaySubnet 的子網路,當您建立 VPN 閘道時,它將會失敗。 建議您建立使用 /27 (或更大) 的閘道子網路。 例如,/27 或 /26。 如需閘道子網的詳細資訊,請參閱 VPN 閘道設定 - 閘道子網。
- 在虛擬網路頁面的左側窗格中,選取 [子網路] 以開啟 [子網路] 頁面。
- 在頁面頂端,選取 [+ 子網 ] 以開啟 [ 新增子網 ] 窗格。
- 針對 [子網] 用途,從下拉式清單中選取 [虛擬網络網關 ]。
- 名稱會自動輸入為 GatewaySubnet。 視需要調整起始IP位址和大小。 例如, 10.1.255.0/27。
- 請勿調整頁面上的其他值。 按兩下 [新增 ] 以新增子網。
如需將子網新增至虛擬網路的詳細資訊,請參閱 新增、變更或刪除虛擬網路子網。 如需將位址範圍新增至虛擬網路的步驟,請參閱 新增或移除位址範圍。
重要事項
不支援閘道子網路上的 NSG。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?。
建立 VPN 閘道
在本節中,您會為您的虛擬網路建立虛擬網路閘道 (VPN 閘道)。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。 使用下列步驟建立 VPN 閘道。 請注意,VPN 閘道基本 SKU 僅適用於 PowerShell 或 CLI。
在搜尋資源、服務和文件 (G+/) 中,輸入虛擬網路閘道。 在 Marketplace 搜尋結果中找出虛擬網路閘道並選取,以開啟建立虛擬網路閘道頁面。
![顯示 [執行個體] 欄位的螢幕擷取畫面。](../includes/media/vpn-gateway-add-gateway-portal/vpn-gateway-portal.png)
在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。
設定 價值觀 名稱 範例:VNet1GW 區域 閘道的區域必須與虛擬網路相同。 閘道類型 選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。 SKU 範例:VpnGw2AZ。 如果您的區域支援可用性區域,建議您選取以 AZ 結尾的閘道 SKU。 世代 第 2 代 虛擬網路 範例:VNet1。 如果您的虛擬網路無法在下拉式清單中使用,您需要調整您選取的區域。 子網路 範例:10.1.255.0/27,建立 VPN 閘道需要名為 GatewaySubnet 的子網。 如果閘道子網未自動填入, 而且 您看不到此頁面上建立閘道子網的選項,請返回您的虛擬網路頁面並建立閘道子網。
![顯示 [執行個體] 欄位的螢幕擷取畫面。](../includes/media/vpn-gateway-add-gateway-portal/vpn-gateway-portal.png#lightbox)
指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址指派給此物件。 主要公用 IP 位址只會在刪除或重新建立閘道時變更。
設定 價值觀 公用 IP 位址名稱 範例:VNet1GWpip1 可用性區域 此設定適用於支援 可用性區域的區域中的 AZ SKU。 範例: 區域冗餘。 啟用主動-主動模式 - 選取 [已啟用 ] 以利用 主動-主動閘道的優點。 雙活閘道需要額外的公用IP位址。
- 如果您打算將此閘道用於站對站連線,請確認您想要使用的主動-主動設計。
- 內部部署 VPN 裝置的連線必須明確設定為採用主動-主動模式。
- 某些 VPN 裝置不支援主動-主動模式。 如果您不確定,請洽詢您的 VPN 裝置廠商。 如果您使用不支援主動-主動模式的 VPN 裝置,則可以針對此設定選取 [已停用]。第二個公用IP位址名稱 僅適用於雙活模式閘道器。 範例:VNet1GWpip2 可用性區域 範例: 區域冗餘。 設定 BGP 選取 [已停用],除非您的設定特別需要此設定。 如果您確實需要此設定,預設 ASN 是 65515。 啟用 Key Vault 存取 除非您有啟用此設定的特定需求,否則請選取 [停用 ]。 選取 [檢閱 + 建立] 以執行驗證。
驗證通過後,選取 [建立] 以部署 VPN 閘道。
您可以在閘道的 [概觀] 頁面上看到部署狀態。 建立閘道之後,您可以查看入口網站中的虛擬網路,以檢視指派給閘道的IP位址。 閘道會顯示為已連接的裝置。
檢視公用 IP 位址
若要檢視與虛擬網路閘道相關聯的公用 IP 位址,請在入口網站中瀏覽至您的閘道。
- 在 [ 虛擬網络網關入口 網站] 頁面的 [ 設定] 底下,開啟 [ 屬性] 頁面。
- 若要檢視 IP 位址物件的詳細資訊,請按一下相關聯的 IP 位址連結。
升級閘道 SKU
升級網關 SKU 有其特定規則。 並非所有 SKU 都可以升級。 如需詳細資訊,請參閱升級閘道 SKU。
- 移至虛擬網路閘道的 [設定] 頁面。
- 在頁面右側,選取下拉式箭號以顯示可用的 SKU 清單。 請注意,清單只會填入您能夠選取的SKU。
- 從下拉式清單中選取 SKU,然後儲存您的變更。
重設閘道
閘道重設的行為會根據閘道設定而有所不同。 如需詳細資訊,請參閱重設 VPN 閘道或連線。
- 在入口網站中,按一下您想要重設的虛擬網路閘道。
- 在 [虛擬網路閘道] 頁面上的左窗格中,向下捲動並找到 [說明 -> 重設]。
- 在 [重設] 頁面上,選取 [重設]。 發出此命令後,會立即重新啟動 Azure VPN 閘道目前作用中的執行個體。 重設閘道會導致 VPN 連線中斷,而且可能會限制未來對該問題進行根本原因分析。
清除資源
如果您不打算繼續使用此應用程式或移至下一個教學課程,請刪除這些資源。
- 在入口網站頂端的 [搜尋] 方塊中輸入您的資源群組,然後從搜尋結果中進行選取。
- 選取 [刪除資源群組]。
- 針對 [輸入資源群組名稱] 輸入您的資源群組,然後選取 [刪除]。
後續步驟
建立 VPN 閘道之後,您就可以完成更多閘道設定和連線。 下列文章將協助您建立幾個最常見的設定: