設定 VNet 對 VNet 的 VPN 閘道連線 - Azure 入口網站

本文協助您使用 Azure 入口網站,運用 VNet 對 VNet 連線類型來連線虛擬網路 (VNet)。 虛擬網路可位於不同的區域且來自不同的訂用帳戶。 連線來自不同訂用帳戶的 VNet 時,訂用帳戶不需與相同的租用戶相關聯。 這種類型的設定可在兩個虛擬網路閘道之間建立連線。 本文不適用於 VNet 對等互連。 如需 VNet 對等互連,請參閱虛擬網路對等互連一文。

VNet to VNet diagram.

您可以使用各種工具來建立此設定,視您的 VNet 部署模型而定。 本文中的步驟適用於 Azure Resource Manager 部署模型和 Azure 入口網站。 若要切換至不同的部署模型或部署方法文章,請使用下拉式清單。

關於連線 VNet

下列各節說明不同的虛擬網路連線方式。

VNet 對 VNet

設定 VNet 對 VNet 連線是輕鬆連線 VNet 的方法。 當您透過 VNet 對 VNet 連線類型 (VNet2VNet) 將虛擬網路連線到另一個虛擬網路時,類似於建立內部部署位置的站對站 IPsec 連線。 這兩種連線類型都使用 VPN 閘道來提供採用 IPsec/IKE 的安全通道,而且在通訊時的運作方式相同。 不過,其差異在於區域網路閘道的設定方式。

當您建立 VNet 對 VNet 連線時,系統會自動建立和填入區域網路閘道位址空間。 如果您更新一個 VNet 的位址空間,另一個 VNet 就會自動路由到已更新的位址空間。 相較於站對站連線,建立 VNet 對 VNet 連線通常比較快速而容易。 不過,在此設定中看不到區域網路閘道。

  • 如果您想要指定區域網路閘道的更多位址空間,或想要在稍後新增更多連線,而且需要調整區域網路閘道,則應使用站對站步驟來建立設定。
  • VNet 對 VNet 連線不包含點對站用戶端集區位址空間。 如果您需要點對站用戶端使用可轉移路由,請在虛擬網路閘道之間建立站對站連線,或使用 VNet 對等互連。

站對站 (IPsec)

如果您使用複雜的網路設定,您可能偏好使用站對站連線來連線 VNet。 當您遵循站對站 IPsec 步驟時,您會以手動方式建立及設定區域網路閘道。 每個 VNet 的區域網路閘道都會將其他 VNet 視為本機網站。 這些步驟可讓您為區域網路閘道指定更多位址空間,以便路由流量。 如果 VNet 的位址空間變更,您必須手動更新對應的區域網路閘道。

VNet 對等互連

您也可以使用 VNet 對等互連來連線 VNet。

為何要建立 VNet 對 VNet 連線?

基於下列原因,建議您使用 VNet 對 VNet 連線來進行虛擬網路連線:

跨區域的異地備援和異地目前狀態

  • 您可以使用安全連線設定自己的異地複寫或同步處理,而不用查看網際網路對向端點。
  • 您可以使用 Azure 流量管理員和 Azure Load Balancer,利用異地備援跨多個 Azure 區域設定高度可用的工作負載。 例如,您可以設定分散於多個 Azure 區域的 SQL Server Always On 可用性群組。

具有隔離或管理界限的區域性多層式應用程式

  • 在相同區域中,您可以因為隔離或管理需求,設定將多層式應用程式與多個虛擬網路連線在一起。

您可以將 VNet 對 VNet 通訊與多站台組態結合。 這些設定可讓您建立使用內部虛擬網路連線結合跨單位連線的網路拓撲,如下圖所示:

VNet connections diagram.

本文說明如何使用 VNet 對 VNet 連線類型來連線 VNet。 練習這些步驟時,您可以使用下列範例設定值。 在範例中,虛擬網路位於相同的訂用帳戶,但在不同的資源群組。 如果您的 Vnet 位於不同的訂用帳戶中,就無法在入口網站中建立連線。 改用 PowerShellCLI。 如需 VNet 對 VNet 連線的詳細資訊,請參閱 VNet 對 VNet 常見問題集

範例設定

VNet1 的值:

  • 虛擬網路設定

    • 名稱:VNet1
    • 位址空間:10.1.0.0/16
    • 訂用帳戶:選取您需要使用的訂用帳戶。
    • 資源群組︰TestRG1
    • 位置:美國東部
    • 子網路
      • 名稱:FrontEnd
      • 位址範圍:10.1.0.0/24
  • 虛擬網路閘道設定

    • 名稱:VNet1GW
    • 資源群組:美國東部
    • 世代:第 2 代
    • 閘道類型︰選取 [VPN]
    • VPN 類型:選取 [路由型]
    • SKU:VpnGw2
    • 世代:第 2 代
    • 虛擬網路:VNet1
    • 閘道子網路位址範圍:10.1.255.0/27
    • 公用 IP 位址:新建
    • 公用 IP 位址名稱:VNet1GWpip
    • 啟用主動-主動模式:已停用
    • 設定 BGP:已停用
  • [連接]

    • 名稱:VNet1toVNet4
    • 共用金鑰:您可以自行建立共用金鑰。 當您建立 VNet 之間的連線時,值必須相符。 在本練習中,請使用 abc123。

VNet4 的值:

  • 虛擬網路設定

    • 名稱:VNet4
    • 位址空間:10.41.0.0/16
    • 訂用帳戶:選取您需要使用的訂用帳戶。
    • 資源群組:TestRG4
    • 位置:美國西部
    • 子網路
    • 名稱:FrontEnd
    • 位址範圍:10.41.0.0/24
  • 虛擬網路閘道設定

    • 名稱:VNet4GW
    • 資源群組:美國西部
    • 世代:第 2 代
    • 閘道類型︰選取 [VPN]
    • VPN 類型:選取 [路由型]
    • SKU:VpnGw2
    • 世代:第 2 代
    • 虛擬網路:VNet4
    • 閘道子網路位址範圍:10.41.255.0/27
    • 公用 IP 位址:新建
    • 公用 IP 位址名稱:VNet4GWpip
    • 啟用主動-主動模式:已停用
    • 設定 BGP:已停用
  • [連接]

    • 名稱:VNet4toVNet1
    • 共用金鑰:您可以自行建立共用金鑰。 當您建立 VNet 之間的連線時,值必須相符。 在本練習中,請使用 abc123。

建立及設定 VNet1

如果您已經有 VNet,請驗證設定是否與您的 VPN 閘道設計相容。 請特別注意任何可能與其他網路重疊的子網路。 如果有重疊的子網路,您的連線便無法正常運作。

建立虛擬網路

注意

在使用虛擬網路作為用作跨部署結構的一部分時,請務必與內部部署網路系統管理員協調,以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍,流量就會以未預期的方式路由傳送。 此外,如果要將此虛擬網路連線至另一個虛擬網路,則位址空間不能與另一個虛擬網路重疊。 請據此規劃您的網路組態。

  1. 登入 Azure 入口網站

  2. 在入口網站頁面頂端的 [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路。 從 [Marketplace] 搜尋結果中選取 [虛擬網路],以開啟 [虛擬網路] 頁面。

  3. 在 [虛擬網路] 頁面上,選取 [建立] 以開啟 [建立虛擬網路] 頁面。

  4. 在 [基本] 索引標籤上,設定 [專案詳細資料] 和 [執行個體詳細資料] 的虛擬網路設定。 輸入的值經過驗證後,即會顯示綠色的勾選記號。 您可以根據需要的設定來調整範例中顯示的值。

    Screenshot that shows the Basics tab.

    • 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
    • 資源群組:選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀
    • 名稱:輸入虛擬網路的名稱。
    • 區域:選取虛擬網路的位置。 這會決定您部署到此虛擬網路的資源存留位置。
  5. 選取 [下一步] 或 [安全性] 以移至 [安全性] 索引標籤。針對此練習,請保留此頁面上所有服務的預設值。

  6. 選取 [IP 位址] 以移至 [IP 位址] 索引標籤。在 [IP 位址] 索引標籤上完成設定。

    • IPv4 位址空間:依預設,系統會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 您也可以新增不同的位址空間,並移除自動建立的預設值。 例如,您可以將開始位址指定為 10.1.0.0,並將位址空間大小指定為 /16。 然後選取 [新增],以新增該位址空間。

    • + 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,請在該位址空間內新增子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定,然後在頁面底部選取 [新增] 以新增值。

      • 子網路名稱:例如 FrontEnd
      • 子網路位址範圍:此子網路的位址範圍。 例如 10.1.0.0/24
  7. 檢閱 [IP位址] 頁面,並移除您不需要的任何位址空間或子網路。

  8. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

  9. 驗證設定之後,請選取 [建立] 以建立虛擬網路。

建立 VNet1 閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。 如需閘道 SKU 價格,請參閱價格。 如果您要練習建立此組態,請參閱範例設定

虛擬網路閘道需要名為 GatewaySubnet 的特定子網路。 閘道子網路是虛擬網路 IP 位址範圍的一部份,包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為閘道子網路指定 /27 或更大範圍 (/26、/25 等)。

如果您看到錯誤指出位址空間與子網路重疊,或子網路未包含在虛擬網路的位址空間內,請檢查您的虛擬網路位址範圍。 您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。 例如,如果預設子網路包含整個位址範圍,則沒有剩餘任何 IP 位址可供建立更多子網路。 您可以調整現有位址空間內的子網路以釋出 IP 位址,也可以指定其他位址範圍並於該處建立閘道子網路。

建立虛擬網路閘道

  1. 在 [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路閘道。 在 [Marketplace] 搜尋結果中找出虛擬網路閘道並選取,以開啟 [建立虛擬網路閘道] 頁面。

    Screenshot that shows the Search field.

  2. 在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

    Screenshot that shows the Instance fields.

    • 訂用帳戶:從下拉式清單選取您想要使用的訂用帳戶。

    • 資源群組:在此頁面上選取虛擬網路時,系統會自動填入此設定。

    • 名稱:為您的閘道命名。 閘道與閘道子網路的命名方式不同。 這是您要建立之閘道物件的名稱。

    • 區域:選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。

    • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。

    • SKU:從下拉式清單,選取可支援您要使用功能的閘道 SKU。 請參閱閘道 SKU。 在入口網站中,下拉式清單中可用的 SKU 取決於您選取的 VPN type。 您只能使用 Azure CLI 或 PowerShell 設定基本 SKU。 您無法在 Azure 入口網站中設定基本 SKU。

    • 世代:選取您要使用的世代。 我們建議使用 Generation2 SKU。 如需詳細資訊,請參閱閘道 SKU

    • 虛擬網路:從下拉式清單,選取您要新增此閘道的虛擬網路。 如果未顯示您想要建立閘道的虛擬網路,請確定您在先前設定中選取了正確的訂用帳戶和區域。

    • 閘道子網路位址範圍子網路:建立 VPN 閘道所需的閘道子網路。

      此時,此欄位有幾種不同的行為,這取決於虛擬網路位址空間,以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。

      如果您沒有閘道子網路,看不到此頁面上建立閘道子網路的選項,請返回虛擬網路並建立閘道子網路。 然後,返回此頁面並設定 VPN 閘道。

  1. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址指派給此物件。 主要公用 IP 位址只會在刪除閘道並重新建立時變更。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

    Screenshot that shows the Public IP address field.

    • 公用 IP 位址類型:針對此練習,若能選擇位址類型,請選取 [標準]
    • 公用 IP 位址:將 [新建] 維持已選取狀態。
    • 公用 IP 位址名稱:在文字輸入框中,輸入公用 IP 位址執行個體的名稱。
    • 公用 IP 位址 SKU:設定將自動選取。
    • 指派:指派通常會自動選取,且可以是 [動態] 或 [靜態]
    • 啟用主動-主動模式:選取 [已停用]。 只有在建立主動-主動閘道設定時,才啟用此設定。
    • 設定 BGP:選取 [已停用] (除非您的設定特別需要此設定)。 如果您需要此設定,則預設的 ASN 為 65515,不過您可以變更此值。
  2. 選取 [檢閱 + 建立] 以執行驗證。

  3. 驗證通過後,選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [概觀] 頁面上看到部署狀態。 系統可能需要 45 分鐘以上的時間,才能完整建立和部署閘道。 建立閘道之後,您可以查看入口網站中的虛擬網路,來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

使用閘道子網路時,請避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 無法如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?

建立及設定 VNet4

設定 VNet1 之後,請重複之前的步驟,並將各值更換成 VNet4 值,以建立 VNet4 和 VNet4 閘道。 您不需要等到 VNet1 的虛擬網路閘道建立完成後才設定 VNet4。 如果您使用自己的值,請確定位址空間沒有與任何您想要連線的 VNet 重疊。

設定您的連線

當 VNet1 和 VNet4 的虛擬網路閘道完成後,您就可以建立 VPN 閘道連線。

相同訂用帳戶中的 VNet 可以使用入口網站進行連線,即使位於不同的資源群組中亦然。 不過,如果您的 VNet 位於不同的訂用帳戶中,則必須使用 PowerShell 來進行連線。

您可以建立雙向或單向連線。 針對此練習,我們將指定雙向連線。 雙向連線值會建立兩個不同的連線,讓流量可以雙向流動。

  1. 在入口網站中,移至 VNet1GW

  2. 在 [虛擬網路閘道] 頁面上,移至 [連線]。 選取 [+新增] 。

    Screenshot showing the connections page.

  3. 在 [建立連線] 頁面上,填入連線值。

    Screenshot showing the Create Connection page.

    • 連線類型:從下拉清單中選取 [VNet 對 VNet]
    • 建立雙向連線:選取此值
    • 第一個連線名稱:VNet1-to-VNet4
    • 第二個連線名稱:VNet4-to-VNet1
    • 區域:美國東部 (VNet1GW 的區域)
  4. 按一下頁面底部的 [下一步: 設定 >] 以前進到 [設定] 頁面。

  5. 在 [設定] 頁面上,指定下列值:

    • 第一個虛擬網路閘道:從下拉式清單中選取 VNet1GW
    • 第二個虛擬網路閘道:從下拉式清單中選取 VNet4GW
    • 共用金鑰 (PSK):在這個欄位中,輸入連線使用的共用金鑰。 您可以產生此金鑰,或自行建立此金鑰。 在站對站連線中,您用於內部部署裝置與虛擬網路閘道連線的金鑰完全相同。 此處的概念類似,差別在於是連線到另一個虛擬網路閘道,而不是連線到 VPN 裝置。
    • IKE 通訊協定:IKEv2
  6. 針對此練習,您可以將其餘的設定保留為其預設值。

  7. 選取 [檢閱 + 建立],然後選取 [建立] 來驗證並建立您的連線。

確認您的連線

  1. 在 Azure 入口網站中找出虛擬網路閘道。 例如,VNet1GW

  2. 在 [虛擬網路閘道] 頁面上,選取 [連線],以檢視虛擬網路閘道的 [連線] 頁面。 建立連線後,您會看到 [狀態] 值變更為 [已連線]

    Screenshot connection status.

  3. 在 [名稱] 資料行下方,選取其中一個連線以檢視其餘資訊。 當資料開始流動時,您會看到 [資料輸入] 和 [資料輸出] 的值。

    Screenshot shows a resource group with values for Data in and Data out.

新增更多連線

如果您需要新增更多連線,請瀏覽至您想建立連線的虛擬網路閘道,然後選取 [連線]。 您可以建立另一個 VNet 對 VNet 連線,或建立 IPsec 站對站連線到內部部署位置。 請務必調整 [連線類型] 來符合您需要建立的連線類型。 建立更多連線之前,請驗證您虛擬網路的位址空間與任何您需要連線的位址空間不重疊。 如需建立站對站連線的步驟,請參閱建立站對站連線

VNet 對 VNet 常見問題集

請參閱 VPN 閘道常見問題集,以了解 VNet 對 VNet 的常見問題。

下一步

  • 如需如何在虛擬網路中限制資源網路流量的資訊,請參閱網路安全性

  • 如需 Azure 如何在 Azure、內部部署和網際網路資源間路由流量的資訊,請參閱虛擬網路流量路由