Připojení služby Azure Stack Hub k Azure s využitím sítě VPN

  • Článek
  • 10 min ke čtení

Tento článek popisuje, jak vytvořit síť VPN typu Site-to-site pro připojení virtuální sítě v Azure Stackovém centru k virtuální síti v Azure.

Než začnete

Pokud chcete dokončit konfiguraci připojení, ujistěte se, že máte následující položky, než začnete:

  • Nasazení integrovaných systémů Azure Stack hub (více uzlů), které jsou přímo připojené k Internetu. Váš externí veřejný rozsah IP adres musí být přímo dosažitelný z veřejného Internetu.
  • Platné předplatné Azure. Pokud nemáte předplatné Azure, můžete si tady vytvořit bezplatný účet Azure.

Diagram připojení k síti VPN

Následující obrázek ukazuje, co by konfigurace připojení měla vypadat, jako když jste hotovi:

Konfigurace připojení VPN typu Site-to-site

Příklady hodnot konfigurace sítě

Tabulka příklady konfigurace sítě obsahuje hodnoty, které se používají v příkladech v tomto článku. Tyto hodnoty můžete použít, nebo je můžete vykázat, abyste lépe porozuměli příkladům v tomto článku:

Hodnota Azure Stack Hub Azure
Název virtuální sítě Azs-VNet AzureVNet
Adresní prostor virtuální sítě 10.1.0.0/16 10.100.0.0/16
Název podsítě FrontEnd FrontEnd
Rozsah adres podsítě 10.1.0.0/24 10.100.0.0/24
Podsíť brány 10.1.1.0/24 10.100.1.0/24

Vytvoření síťových prostředků v Azure

Nejdřív vytvořte síťové prostředky pro Azure. Následující pokyny ukazují, jak vytvořit prostředky pomocí Azure Portal.

Vytvoření virtuální sítě a podsítě virtuálních počítačů

  1. Přihlaste se k Azure Portal pomocí svého účtu Azure.
  2. Na portálu User Portal vyberte + vytvořit prostředek.
  3. Otevřete web Marketplacea pak vyberte sítě.
  4. Vyberte virtuální síť.
  5. Pomocí informací z tabulky konfigurace sítě Identifikujte hodnoty pro názevAzure, adresní prostor, název podsítěa Rozsah adres podsítě.
  6. V případě skupiny prostředkůvytvořte novou skupinu prostředků, nebo pokud ji už máte, vyberte použít existující.
  7. Vyberte umístění vaší virtuální sítě. Pokud používáte ukázkové hodnoty, vyberte východní USA nebo použijte jiné umístění.
  8. Zaškrtněte Připnout na řídicí panel.
  9. Vyberte Vytvořit.

Vytvoření podsítě brány

  1. Z řídicího panelu otevřete prostředek virtuální sítě, který jste vytvořili (AzureVNet).

  2. v části Nastavení vyberte podsítě.

  3. Výběrem podsítě brány přidejte podsíť brány do virtuální sítě.

  4. Ve výchozím nastavení je název této podsítě nastavený na GatewaySubnet.

    Důležité

    Podsítě brány jsou speciální a musí mít tento konkrétní název, aby fungovaly správně.

  5. V poli Rozsah adres ověřte, že je adresa 10.100.1.0/24.

  6. Vyberte OK a vytvořte podsíť brány.

Vytvoření brány virtuální sítě

  1. Na webu Azure Portal vyberte +Vytvořit prostředek.
  2. Otevřete web Marketplacea pak vyberte sítě.
  3. V seznamu síťových prostředků vyberte možnost Brána virtuální sítě.
  4. Do pole název zadejte Azure-GS.
  5. Chcete-li zvolit virtuální síť, vyberte možnost virtuální síť. Pak ze seznamu vyberte AzureVnet .
  6. Vyberte Veřejná IP adresa. Po otevření oddílu zvolit veřejnou IP adresu vyberte vytvořit novou.
  7. Do pole název zadejte Azure-GS-PIPa pak vyberte OK.
  8. Ověřte, že nastavení Předplatné a Umístění jsou správná. Prostředek můžete připnout na řídicí panel. Vyberte Vytvořit.

Vytvoření prostředku brány místní sítě

  1. Na webu Azure Portal vyberte +Vytvořit prostředek.

  2. Otevřete web Marketplacea pak vyberte sítě.

  3. V seznamu prostředků vyberte Brána místní sítě.

  4. Do pole název zadejte AZS-GS.

  5. Do pole IP adresa zadejte veřejnou IP adresu svého centra Azure Stack Virtual Network bránu, která je uvedena dříve v tabulce konfigurace sítě.

  6. Do pole adresní prostor z centra Azure Stack zadejte 10.1.0.0/24 a 10.1.1.0/24 adresního prostoru pro AzureVNet.

  7. Ověřte, jestli je vaše předplatné, Skupina prostředkůa umístění správné, a pak vyberte vytvořit.

Vytvoření připojení

  1. Na portálu User Portal vyberte + vytvořit prostředek.

  2. Otevřete web Marketplacea pak vyberte sítě.

  3. V seznamu prostředků vyberte možnost připojení.

  4. V části základní nastavení pro Typ připojenívyberte možnost site-to-Site (IPSec).

  5. Vyberte předplatné, skupinu prostředkůa umístěnía pak vyberte OK.

  6. v části Nastavení vyberte brána virtuální sítěa potom vyberte Azure-gs.

  7. Vyberte Brána místní sítěa pak vyberte AZS-GS.

  8. Do název připojenízadejte Azure-AZS.

  9. Do sdíleného klíče (PSK)zadejte 12345a pak vyberte OK.

    Poznámka

    Pokud pro sdílený klíč použijete jinou hodnotu, mějte na paměti, že se musí shodovat s hodnotou pro sdílený klíč, který vytvoříte na druhém konci připojení.

  10. Projděte si část Souhrn a pak vyberte OK.

Vytvoření vlastní zásady protokolu IPSec

Aby mohla Azure odpovídat centru Azure Stack, je potřeba vlastní zásady IPSec.

  1. Vytvoření vlastní zásady:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Použít zásady na připojení:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač v Azure a umístěte ho do podsítě virtuálního počítače ve vaší virtuální síti.

  1. Na webu Azure Portal vyberte +Vytvořit prostředek.

  2. Přejděte na Marketplace apak vyberte Compute.

  3. V seznamu imagí virtuálních počítače vyberte image Windows Server 2016 Datacenter.

  4. V části Základy jako Názevzadejte AzureVM.

  5. Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítače po jeho vytvoření.

  6. Zadejte Předplatné,Skupinu prostředkůa Umístěnía pak vyberte OK.

  7. V části Velikost vyberte velikost virtuálního počítače pro tuto instanci a pak vyberte Vybrat.

  8. V Nastavení můžete použít výchozí nastavení. Než vyberete OK,ověřte, že:

    • Je vybraná virtuální síť AzureVnet.
    • Podsíť je nastavená na 10.100.0.0/24.

    Vyberte OK.

  9. Zkontrolujte nastavení v části Souhrn a pak vyberte OK.

Vytvoření síťových prostředků v Azure Stack Hub

Dále vytvořte síťové prostředky v Azure Stack Hub.

Přihlášení jako uživatel

Správce služby se může přihlásit jako uživatel a otestovat plány, nabídky a předplatná, která můžou uživatelé používat. Pokud ho ještě nemáte, vytvořte si před přihlášením uživatelský účet.

Vytvoření virtuální sítě a podsítě virtuálního počítače

  1. Pomocí uživatelského účtu se přihlaste k portálu User Portal.

  2. Na portálu User Portal vyberte + Vytvořit prostředek.

    Vytvořit novou virtuální síť

  3. Přejděte na Marketplacea pak vyberte Sítě.

  4. Vyberte Virtuální síť.

  5. Jako Název, Adresní prostor, Název podsítěa Rozsah adres podsítěpoužijte hodnoty z tabulky konfigurace sítě.

  6. V části Předplatnése zobrazí předplatné, které jste vytvořili dříve.

  7. V případě skupinyprostředků můžete buď vytvořit skupinu prostředků, nebo pokud už skupinu máte, vyberte Použít existující.

  8. Ověřte výchozí umístění.

  9. Zaškrtněte Připnout na řídicí panel.

  10. Vyberte Vytvořit.

Vytvoření podsítě brány

  1. Na řídicím panelu otevřete prostředek virtuální Azs-VNet sítě, který jste vytvořili.

  2. V části Nastavení vyberte Podsítě.

  3. Pokud chcete do virtuální sítě přidat podsíť brány, vyberte Podsíť brány.

    Přidání podsítě brány

  4. Ve výchozím nastavení je název podsítě nastavený na GatewaySubnet. Aby podsítě brány správně fungovaly, musí použít název GatewaySubnet.

  5. V části Rozsahadres ověřte, že adresa je 10.1.1.0/24.

  6. Vyberte OK a vytvořte podsíť brány.

Vytvoření brány virtuální sítě

  1. Na Azure Stack Hub Portal vyberte + Vytvořit prostředek.

  2. Přejděte na Marketplacea pak vyberte Sítě.

  3. V seznamu síťových prostředků vyberte Brána virtuální sítě.

  4. Do poleNázev zadejte Azs-GW.

  5. Vyberte položku Virtuální síť a zvolte virtuální síť. V seznamu vyberte Azs-VNet.

  6. Vyberte položku nabídky Veřejná IP adresa. Po otevření části Zvolte veřejnou IP adresu vyberte Vytvořit novou.

  7. Do poleNázev zadejte Azs-GW-PiPa pak vyberte OK.

  8. Ve výchozím nastavení je jako typ sítě VPN vybraná možnost Založená na trasách. Podržte typ sítě VPN založené na trasách.

  9. Ověřte, že nastavení Předplatné a Umístění jsou správná. Prostředek můžete připnout na řídicí panel. Vyberte Vytvořit.

Vytvoření brány místní sítě

Koncept brány místní sítě v Azure Stack Hub se liší od konceptu nasazení Azure.

V nasazení Azure představuje brána místní sítě místní fyzické zařízení (v umístění uživatele), které se připojujete k bráně virtuální sítě v Azure. V Azure Stack Hub obou koncích připojení jsou brány virtuální sítě.

Obecný popis je, že prostředek brány místní sítě vždy označuje vzdálenou bránu na druhém konci připojení.

Vytvoření prostředku brány místní sítě

  1. Přihlaste se k Azure Stack Hub Portal.

  2. Na portálu User Portal vyberte + Vytvořit prostředek.

  3. Přejděte na Marketplacea pak vyberte Sítě.

  4. V seznamu prostředků vyberte bránu místní sítě.

  5. Do pole Název zadejte Azure-GW.

  6. Do pole IP adresa zadejte veřejnou IP adresu brány virtuální sítě v Azure Azure-GW-PiP. Tato adresa se zobrazí dříve v tabulce konfigurace sítě.

  7. Do pole Adresní prostor zadejte pro adresní prostor virtuální sítě Azure, kterou jste vytvořili, 10.100.0.0/24 a 10.100.1.0/24.

  8. Ověřte správnost hodnot Předplatné,Skupinaprostředků a Umístění a pak vyberte Vytvořit.

Vytvoření připojení

  1. Na portálu User Portal vyberte + Vytvořit prostředek.

  2. Přejděte na Marketplacea pak vyberte Sítě.

  3. V seznamu prostředků vyberte Připojení.

  4. V části Základní nastavení vyberte jako Typ připojenímožnost Site-to-Site (IPSec).

  5. Vyberte Předplatné,Skupinu prostředkůa Umístěnía pak vyberte OK.

  6. V Nastavení vyberte Brána virtuální sítěa pak vyberte Azs-GW.

  7. Vyberte Brána místní sítěa pak vyberte Azure-GW.

  8. Do pole Connection Name(Název připojení) zadejte Azs-Azure.

  9. Do pole Sdílený klíč (PSK)zadejte 12345a pak vyberte OK.

  10. V části Souhrn vyberte OK.

Vytvoření virtuálního počítače

Pokud chcete zkontrolovat připojení VPN, vytvořte dva virtuální počítače: jeden v Azure a jeden v Azure Stack Hub. Po vytvoření můžete tyto virtuální počítače použít k odesílání a příjmu dat prostřednictvím tunelu VPN.

  1. Na webu Azure Portal vyberte +Vytvořit prostředek.

  2. Přejděte na Marketplace apak vyberte Compute.

  3. V seznamu imagí virtuálních počítače vyberte image Windows Server 2016 Datacenter.

  4. V části Základy do pole Názevzadejte Azs-VM.

  5. Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítače po jeho vytvoření.

  6. Zadejte Předplatné,Skupinu prostředkůa Umístěnía pak vyberte OK.

  7. V části Velikost vyberte pro tuto instanci velikost virtuálního počítače a pak vyberte Vybrat.

  8. V části Nastavení přijměte výchozí hodnoty. Ujistěte se, že je vybraná virtuální síť Azs-VNet. Ověřte, že podsíť je nastavená na 10.1.0.0/24. Pak vyberte OK.

  9. V části Souhrn zkontrolujte nastavení a pak vyberte OK.

Otestování připojení

Po napojení připojení site-to-site byste měli ověřit, že můžete získat tok dat v obou směrech. Nejjednodušší způsob, jak otestovat připojení, je otestovat příkazem ping:

  • Přihlaste se k virtuálnímu počítače, který jste vytvořili v Azure Stack Hub a o příkaz ping na virtuální počítač v Azure.
  • Přihlaste se k virtuálnímu počítače, který jste vytvořili v Azure, a příkazem ping na virtuální počítač v Azure Stack Hub.

Poznámka

Pokud se chcete ujistit, že odesíláte provoz přes připojení site-to-site, o příkaz ping zadejte příkaz ping na adresu PŘÍMÉ IP adresy (DIP) virtuálního počítače ve vzdálené podsíti, nikoli virtuální IP adresu.

Přihlaste se k uživatelskému virtuálnímu Azure Stack Hub

  1. Přihlaste se k Azure Stack Hub Portal.

  2. V levém navigačním panelu vyberte Virtual Machines.

  3. V seznamu virtuálních počítače vyhledejte azs-vm, který jste vytvořili dříve, a pak ho vyberte.

  4. V části virtuálního počítače vyberte Připojenía pak otevřete soubor Azs-VM.rdp.

    Tlačítko Připojit

  5. Přihlaste se pomocí účtu, který jste nakonfigurovali při vytváření virtuálního počítače.

  6. Otevřete příkazový Windows PowerShell se zvýšenými oprávněními.

  7. Zadejte ipconfig /all.

  8. Ve výstupu vyhledejte adresu IPv4a pak tuto adresu uložte pro pozdější použití. Jedná se o adresu, kterou příkazem ping testovat z Azure. V příkladu prostředí je adresa 10.1.0.4,ale ve vašem prostředí se může lišit. Měla by spadat do podsítě 10.1.0.0/24, kterou jste vytvořili dříve.

  9. Pokud chcete vytvořit pravidlo brány firewall, které virtuálnímu počítači umožní reagovat na příkazy ping, spusťte následující příkaz PowerShellu:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Přihlášení k virtuálnímu počítače tenanta v Azure

  1. Přihlaste se k webu Azure Portal.

  2. V levém navigačním panelu vyberte Virtual Machines.

  3. V seznamu virtuálních počítače vyhledejte virtuální počítač Azure-VM, který jste vytvořili dříve, a pak ho vyberte.

  4. V části virtuálního počítače vyberte Připojení.

  5. Přihlaste se pomocí účtu, který jste nakonfigurovali při vytváření virtuálního počítače.

  6. Otevřete okno se zvýšenými oprávněními Windows PowerShell oprávnění.

  7. Zadejte ipconfig /all.

  8. Měla by se zobrazit IPv4 adresa, která spadá do 10.100.0.0/24. V příkladu prostředí je adresa 10.100.0.4,ale vaše adresa se může lišit.

  9. Pokud chcete vytvořit pravidlo brány firewall, které virtuálnímu počítači umožní reagovat na příkazy ping, spusťte následující příkaz PowerShellu:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Z virtuálního počítače v Azure příkazem ping na virtuální počítač Azure Stack Hub, a to tunelem. To můžete provést příkazem ping na dip, který jste si zaznamenali z Azs-VM. V příkladu prostředí je to 10.1.0.4, ale nezapomeňte příkazem ping použít adresu, kterou jste si v testovacím prostředí prohlédli. Měl by se zobrazit výsledek, který vypadá jako na následujícím snímku obrazovky:

    Úspěšný příkaz ping

  11. Odpověď ze vzdáleného virtuálního počítače indikuje úspěšný test. Okno virtuálního počítače můžete zavřít.

Měli byste také provést přísnější testování přenosu dat (například kopírování souborů s různou velikostí v obou směrech).

Zobrazení statistiky přenosu dat prostřednictvím připojení brány

Pokud chcete vědět, kolik dat prochází přes připojení site-to-site, jsou tyto informace k dispozici v části Připojení. Tento test je také dalším způsobem, jak ověřit, že příkaz ping, který jste právě odeslali, skutečně prošel přes připojení VPN.

  1. Když jste přihlášení k uživatelskému virtuálnímu počítači Azure Stack Hub, přihlaste se k portálu User Portal pomocí svého uživatelského účtu.

  2. Přejděte na Všechny prostředkya vyberte připojení Azs-Azure. Zobrazí se připojení.

  3. V části Připojení se zobrazí statistika pro Data in a Data out. Na následujícím snímku obrazovky jsou velká čísla přisuzována dalšímu přenosu souborů. Měly by se tam zobrazit některé nenulové hodnoty.

    Zachytání a odchýlování dat

Další kroky