Konfigurace a ověření připojení k virtuální síti nebo k síti VPN

Tento návod poskytuje podrobné pokyny ke konfiguraci a ověření různých nasazení Azure VPN a virtuálních sítí. Mezi scénáře patří směrování přenosu, připojení k síti, Border Gateway Protocol (BGP), připojení k více lokalitám a připojení Point-to-site.

Azure VPN Gateway umožňují flexibilitu při uspořádávání téměř jakéhokoli druhu připojené virtuální síťové topologie v Azure. Můžete například propojit virtuální sítě:

  • Napříč oblastmi.
  • Mezi typy virtuální sítě (Azure Resource Manager vs Classic).
  • V Azure nebo v místním hybridním prostředí.
  • V různých předplatných.

Připojení VPN typu síť-síť

Připojení virtuální sítě k jiné virtuální síti přes síť VPN je podobné jako připojení virtuální sítě k místnímu umístění lokality. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec a IKE. Virtuální sítě se můžou nacházet ve stejné oblasti nebo v různých oblastech a můžou patřit do stejného předplatného nebo do různých předplatných.

Připojení k síti pomocí protokolu IPsec

Pokud jsou vaše virtuální sítě ve stejné oblasti, možná budete chtít zvážit jejich připojení pomocí partnerského vztahu virtuálních sítí. Partnerské vztahy virtuálních sítí nepoužívají bránu VPN. Zvyšuje propustnost a snižuje latenci. Pokud chcete nakonfigurovat připojení partnerského vztahu virtuální sítě, vyberte Konfigurovat a ověřit partnerský vztah VNet.

Pokud se vaše virtuální sítě vytvořily prostřednictvím modelu nasazení Azure Resource Manageru, vyberte Konfigurovat a ověřit správce prostředků virtuální síť pro připojení správce prostředků VNet ke konfiguraci připojení VPN.

Pokud se jedna z virtuálních sítí vytvořila prostřednictvím modelu nasazení Azure Classic a druhá se vytvořila prostřednictvím Správce prostředků, vyberte Konfigurovat a ověřit klasickou virtuální síť pro připojení správce prostředků VNet , abyste mohli nakonfigurovat připojení k síti VPN.

Konfigurace partnerského vztahu virtuálních sítí pro dvě virtuální sítě ve stejné oblasti

Než začnete s implementací a konfigurací partnerského vztahu virtuálních sítí Azure, ujistěte se, že splňujete následující požadavky:

  • Partnerské virtuální sítě musí existovat ve stejné oblasti Azure.
  • Virtuální sítě s partnerským vztahem musí mít adresní prostory IP adres, které se nepřekrývají.
  • Partnerský vztah virtuálních sítí se navazuje mezi dvěma virtuálními sítěmi. V rámci partnerských vztahů neexistuje žádný odvozený přenosový vztah. Například pokud má partnerském partnerský vztah s VNetB a VNetB má partnerský vztah s sítí vnetc, partnerském není partnerským vztahem s sítí vnetc.

Pokud splňujete požadavky, můžete postupovat podle kurzu: propojení virtuálních sítí s virtuálními partnerskými vztahy virtuálních sítí pomocí Azure Portal k vytvoření a konfiguraci partnerského vztahu.

Chcete-li ověřit konfiguraci partnerského vztahu, použijte následující metodu:

  1. Přihlaste se k Azure Portal pomocí účtu, který má potřebné role a oprávnění.
  2. Do pole, které obsahuje prostředky vyhledávání textu v horní části portálu, zadejte virtuální sítě. Pokud se ve výsledcích hledání zobrazí virtuální sítě , vyberte ji.
  3. V okně virtuální sítě , které se zobrazí, vyberte virtuální síť, pro kterou chcete vytvořit partnerský vztah.
  4. V podokně, které se zobrazí pro virtuální síť, vyberte partnerské vztahy v části Nastavení .
  5. Vyberte partnerský vztah a zobrazte výsledky konfigurace.

Výběry pro kontrolu konfigurace partnerského vztahu virtuálních sítí

Pro Azure PowerShell spuštěním příkazu Get-AzureRmVirtualNetworkPeering Získejte partnerský vztah virtuální sítě. Tady je příklad:

PS C:\Users\User1> Get-AzureRmVirtualNetworkPeering -VirtualNetworkName Vnet10-01 -ResourceGroupName dev-vnets
Name                             : LinkToVNET10-02
Id                               : /subscriptions/GUID/resourceGroups/dev-vnets/providers/Microsoft.Network/virtualNetworks/VNET10-01/virtualNetworkPeerings/LinkToVNET10-0
2
Etag                             : W/"GUID"
ResourceGroupName                : dev-vnets
VirtualNetworkName               : vnet10-01
ProvisioningState                : Succeeded
RemoteVirtualNetwork             : {
                                  "Id": "/subscriptions/GUID/resourceGroups/DEV-VNET
                                   s/providers/Microsoft.Network/virtualNetworks/VNET10-02"
                                   }
AllowVirtualNetworkAccess        : True
AllowForwardedTraffic            : False
AllowGatewayTransit              : False
UseRemoteGateways                : False
RemoteGateways                   : null
RemoteVirtualNetworkAddressSpace : null

Připojení virtuální sítě Správce prostředků k jiné virtuální síti Správce prostředků

Připojení z jedné Správce prostředků virtuální sítě k jiné virtuální síti Správce prostředků můžete nakonfigurovat přímo. Můžete také nakonfigurovat připojení pomocí protokolu IPsec.

Konfigurace připojení VPN mezi Správce prostředkůmi virtuálními sítěmi

Pokud chcete nakonfigurovat připojení mezi Správce prostředkůmi virtuálními sítěmi bez protokolu IPsec, přečtěte si téma Konfigurace připojení brány sítě VPN typu síť-síť pomocí Azure Portal.

Pokud chcete nakonfigurovat připojení pomocí protokolu IPsec mezi dvěma Správce prostředkůmi virtuálními sítěmi, postupujte podle kroků 1 až 5 v části Vytvoření připojení typu Site-to-site v Azure Portal pro každou virtuální síť.

Poznámka

Tyto kroky fungují jenom pro virtuální sítě ve stejném předplatném. Pokud jsou vaše virtuální sítě v různých předplatných, musíte k vytvoření připojení použít PowerShell. Podrobnosti najdete v článku o PowerShellu.

Ověření připojení VPN mezi Správce prostředkůmi virtuálními sítěmi

Připojení k virtuální síti s Azure Resource Managerm Classic

Pokud chcete ověřit, že je připojení k síti VPN správně nakonfigurované, postupujte podle těchto pokynů.

Poznámka

Čísla po součástech virtuální sítě v těchto krocích odpovídají číslům v předchozím diagramu.

  1. Ujistěte se, že v propojených virtuálních sítích nejsou žádné překrývající se adresní prostory.
  2. Ověřte, zda je rozsah adres pro Azure Resource Manager virtuální síť (1) přesně definován v instanci objektu připojení (4).
  3. Ověřte, zda je rozsah adres pro Azure Resource Manager virtuální síť (6) přesně definován v instanci objektu připojení (3).
  4. Ověřte, zda jsou předsdílené klíče spárovány s objekty připojení.
  5. Ověřte, že virtuální IP adresa brány Azure Resource Manager virtuální sítě (2) je přesně definovaná v instanci objektu připojení (4).
  6. Ověřte, že virtuální IP adresa brány Azure Resource Manager virtuální sítě (5) je přesně definovaná v instanci objektu připojení (3).

Připojení klasické virtuální sítě k Správce prostředků virtuální síti

Můžete vytvořit propojení mezi virtuálními sítěmi, které jsou v různých předplatných a v různých oblastech. Můžete také propojit virtuální sítě, které již mají připojení k místním sítím, pokud jste nakonfigurovali typ brány jako založený na trasách.

Pokud chcete nakonfigurovat připojení mezi klasickými virtuálními sítěmi a Správce prostředků virtuální sítí, přečtěte si téma propojení virtuálních sítí z různých modelů nasazení pomocí Azure Portal.

Diagram, který zobrazuje připojení klasické virtuální sítě k virtuální síti Azure Resource Manager.

Pokud chcete ověřit konfiguraci při připojení klasické virtuální sítě k virtuální síti Azure Resource Manager, postupujte podle těchto pokynů.

Poznámka

Čísla po součástech virtuální sítě v těchto krocích odpovídají číslům v předchozím diagramu.

  1. Ujistěte se, že v propojených virtuálních sítích nejsou žádné překrývající se adresní prostory.
  2. Ověřte, zda je rozsah adres pro Azure Resource Manager virtuální síť (6) přesně definován v definici klasické místní sítě (3).
  3. Ověřte, zda je rozsah adres pro klasickou virtuální síť (1) přesně definován v instanci objektu Azure Resource Manager Connection instance (4).
  4. Ověřte, že virtuální IP adresa brány Classic Virtual Network (2) je přesně definovaná v instanci objektu Azure Resource Manager Connection instance (4).
  5. Ověřte, jestli je brána virtuální sítě Azure Resource Manager (5) přesně definovaná v instanci definice klasické místní sítě (3).
  6. Ověřte, jestli jsou předsdílené klíče v obou připojených virtuálních sítích stejné:
    • Klasická virtuální síť: definice místní sítě (3)
    • Azure Resource Manager Virtual Network: objekt Connection (4)

Vytvoření připojení VPN typu point-to-site

Konfigurace Point-to-Site (P2S v následujícím diagramu) umožňuje vytvořit zabezpečené připojení z jednotlivého klientského počítače k virtuální síti. Připojení typu Point-to-site jsou užitečná, když se chcete připojit k virtuální síti ze vzdáleného umístění, například z domova nebo z konference. Jsou také užitečné, pokud máte pouze několik klientů, kteří se potřebují připojit k virtuální síti.

Připojení VPN typu Point-to-site se spouští z klientského počítače pomocí nativního klienta VPN systému Windows. Připojovaní klienti používají certifikáty k ověření.

Připojení typu Point-to-Site

Připojení typu Point-to-site nevyžadují zařízení VPN. Vytvářejí připojení VPN prostřednictvím protokolu SSTP (Secure Socket Tunneling Protocol). Připojení typu Point-to-site k virtuální síti můžete propojit pomocí různých nástrojů nasazení a modelů nasazení:

Ověření připojení Point-to-site

Řešení potíží s řešením: problémy s připojením Point-to-site se týkají běžných problémů s připojením Point-to-site.

Vytvoření připojení VPN ve víc lokalitách

Můžete přidat připojení typu Site-to-Site (S2S v následujícím diagramu) k virtuální síti, která již má připojení typu Site-to-site, připojení typu Point-to-site nebo připojení typu síť-síť. Tento druh připojení se často označuje jako konfigurace ve více lokalitách .

Připojení ve více lokalitách

Azure v současné době používá dva modely nasazení: Resource Manager a Classic. Tyto dva modely nejsou navzájem zcela kompatibilní. Pokud chcete nakonfigurovat připojení ve více lokalitách s různými modely, přečtěte si následující články:

Poznámka

Kroky v těchto článcích se nevztahují na služby Azure ExpressRoute a souběžně existující konfigurace připojení mezi lokalitami. Další informace najdete v tématu ExpressRoute a společně existující připojení mezi lokalitami.

Konfigurace směrování přenosu

Směrování provozu je konkrétní scénář směrování, ve kterém propojíte více sítí ve vysoce řetězové topologii. Díky tomuto směrování mohou prostředky ve virtuálních sítích na obou koncích řetězce komunikovat mezi sebou mezi virtuálními sítěmi. Bez průjezdního směrování se nedokáže navázat sítě nebo zařízení, která jsou v partnerském vztahu přes rozbočovač.

Konfigurace směrování přenosu v připojení typu Point-to-site

Představte si scénář, ve kterém chcete nakonfigurovat připojení VPN typu Site-to-site mezi partnerském a VNetB. Také chcete nakonfigurovat síť VPN typu Point-to-site, aby se klient mohl připojit k bráně partnerském. Pak budete chtít povolit směrování přenosu pro klienty Point-to-site pro připojení k VNetB, které projde prostřednictvím partnerském.

Tento scénář je podporován, je-li na síti VPN typu Site-to-site mezi partnerském a VNetB povolen protokol BGP. Další informace najdete v tématu Směrování sítě VPN typu Point-to-site.

Konfigurace směrování přenosu v připojení ExpressRoute

Azure ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes vyhrazené soukromé připojení zajišťované poskytovatelem připojení. V ExpressRoute můžete vytvořit připojení ke cloudovým službám, jako je Microsoft Azure, Microsoft 365 a Dynamics 365. Další informace najdete v článku Přehled ExpressRoute.

ExpressRoute připojení privátního partnerského vztahu k virtuálním sítím Azure

Poznámka

Doporučujeme, aby v případě, že jsou partnerském a VNetB ve stejné geopolitické oblasti, propojíte oba virtuální sítě s okruhem ExpressRoute , nikoli konfigurací směrování přenosu. Pokud jsou vaše virtuální sítě v různých geopolitických oblastech, můžete je také propojit se svým okruhem přímo, pokud máte ExpressRoute Premium.

Pokud máte ExpressRoute a koexistence mezi lokalitami, směrování přenosu se nepodporuje. Další informace najdete v tématu Konfigurace ExpressRoute a Site-to-site pomocí prostředí PowerShell.

Pokud jste povolili ExpressRoute připojit své místní sítě k virtuální síti Azure, můžete povolit partnerský vztah mezi virtuálními sítěmi, ve kterých chcete směrovat směrování. Pokud chcete, aby se vaše místní sítě připojovaly k vzdálené virtuální síti, musíte nakonfigurovat partnerský vztah virtuálních sítí.

Poznámka

Partnerský vztah virtuálních sítí je dostupný jenom pro virtuální sítě ve stejné oblasti.

Pokud chcete ověřit, jestli jste nakonfigurovali směrování přenosu pro partnerský vztah virtuálních sítí, postupujte podle těchto pokynů:

  1. Přihlaste se k Azure Portal pomocí účtu, který má potřebné role a oprávnění.
  2. Vytvořte partnerský vztah mezi partnerském a VNetB , jak je znázorněno na dřívějším diagramu.
  3. V podokně, které se zobrazí pro virtuální síť, vyberte partnerské vztahy v části Nastavení .
  4. Vyberte partnerský vztah, který chcete zobrazit. Pak vyberte Konfigurace a ověřte, že jste povolili přenos brány v partnerském síti připojené k okruhu ExpressRoute a použijte vzdálenou bránu ve vzdálené VNetB síti, která není připojená k okruhu ExpressRoute.

Konfigurace směrování přenosu v připojeních partnerského vztahu virtuální sítě

Když je mezi virtuálními sítěmi navázán partnerský vztah, můžete také v partnerské virtuální síti nakonfigurovat bránu, která bude sloužit jako tranzitní bod pro místní síť. Postup konfigurace přenosové trasy v partnerském vztahu virtuálních sítí najdete v tématu připojení typu síť-síť.

Poznámka

Přenos brány se nepodporuje v relaci partnerských vztahů mezi virtuálními sítěmi vytvořenými prostřednictvím různých modelů nasazení. Obě virtuální sítě ve vztahu partnerských vztahů se musí vytvořit prostřednictvím Správce prostředků, aby bylo možné pracovat s přenosem brány.

Pokud chcete ověřit, jestli jste nakonfigurovali přenosovou trasu pro partnerský vztah virtuálních sítí, postupujte podle těchto pokynů:

  1. Přihlaste se k Azure Portal pomocí účtu, který má potřebné role a oprávnění.
  2. Do pole, které obsahuje prostředky vyhledávání textu v horní části portálu, zadejte virtuální sítě. Pokud se ve výsledcích hledání zobrazí virtuální sítě , vyberte ji.
  3. V okně virtuální sítě , které se zobrazí, vyberte virtuální síť, pro kterou chcete zjistit nastavení partnerského vztahu.
  4. V podokně, které se zobrazí u vybrané virtuální sítě, vyberte v části Nastavení možnost partnerské vztahy .
  5. Vyberte partnerský vztah, který chcete zobrazit. Ověřte, že jste povolili možnost Povolit přenos brány a používat vzdálené brány v části Konfigurace.

Výběry pro kontrolu, že jste nakonfigurovali přenosovou trasu pro partnerský vztah virtuálních sítí

Konfigurace směrování přenosu v síťovém připojení

Pokud chcete nakonfigurovat směrování provozu mezi virtuálními sítěmi, musíte povolit protokol BGP u všech zprostředkujících připojení k síti přes síť pomocí modelu nasazení Správce prostředků a PowerShellu. Pokyny najdete v tématu Postup konfigurace protokolu BGP u bran Azure VPN Gateway pomocí PowerShellu.

Přenos provozu prostřednictvím bran Azure VPN je možný prostřednictvím modelu nasazení Classic, ale spoléhá se na staticky definované adresní prostory v souboru konfigurace sítě. Protokol BGP se zatím nepodporuje u virtuálních sítí Azure a bran sítě VPN prostřednictvím modelu nasazení Classic. Bez protokolu BGP je ruční definování adresních prostorů pro přenos dat náchylné k chybám a nedoporučujeme ji.

Poznámka

Klasická připojení typu síť k síti můžete nakonfigurovat pomocí portálu Azure Classic nebo pomocí konfiguračního souboru sítě na portálu Classic. Klasickou virtuální síť nelze vytvořit ani upravit pomocí modelu nasazení Azure Resource Manager ani Azure Portal. Další informace o přenosu směrování pro klasické virtuální sítě najdete na blogu Microsoftu pro vývojáře.

Konfigurace směrování přenosu v rámci připojení typu Site-to-site

Pokud chcete nakonfigurovat směrování provozu mezi vaší místní sítí a virtuální sítí s připojením typu Site-to-site, musíte povolit protokol BGP u všech zprostředkujících připojení typu Site-to-site pomocí modelu nasazení Správce prostředků a PowerShellu. Pokyny najdete v tématu Postup konfigurace protokolu BGP u bran Azure VPN Gateway pomocí PowerShellu .

Přenos provozu prostřednictvím bran Azure VPN je možný prostřednictvím modelu nasazení Classic, ale spoléhá se na staticky definované adresní prostory v souboru konfigurace sítě. Protokol BGP se zatím nepodporuje u virtuálních sítí Azure a bran sítě VPN prostřednictvím modelu nasazení Classic. Bez protokolu BGP je ruční definování adresních prostorů pro přenos dat náchylné k chybám a nedoporučujeme ji.

Poznámka

Klasické připojení typu Site-to-site můžete nakonfigurovat pomocí portálu Azure Classic nebo pomocí konfiguračního souboru sítě na portálu Classic. Klasickou virtuální síť nelze vytvořit ani upravit pomocí modelu nasazení Azure Resource Manager ani Azure Portal. Další informace o přenosu směrování pro klasické virtuální sítě najdete na blogu Microsoftu pro vývojáře.

Konfigurace BGP pro bránu VPN

BGP je standardní směrovací protokol používaný na internetu k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Když se protokol BGP používá v kontextu Azure Virtual Networks, umožňuje brány Azure VPN a místní zařízení VPN, která se označují jako partneři protokolu BGP nebo sousední partneři. Vyměňují "trasy", které budou informovat obě brány o dostupnosti a dosažitelnosti těchto předpon, aby procházeli branami nebo směrovači.

Protokol BGP může také povolit směrování přenosu mezi více sítěmi tím, že šíří trasy, které brána BGP zjišťuje z jednoho partnerského uzlu protokolu BGP až po všechny ostatní partnerské uzly protokolu BGP. Další informace najdete v tématu Přehled protokolu BGP s Azure VPN Gateway.

Konfigurace protokolu BGP pro připojení VPN

Pokud chcete nakonfigurovat připojení VPN, které používá protokol BGP, přečtěte si téma Postup konfigurace protokolu BGP u bran Azure VPN pomocí PowerShellu.

Povolte protokol BGP v bráně virtuální sítě vytvořením autonomního systému (AS) pro něj. Základní brány nepodporují protokol BGP. Chcete-li zjistit SKLADOVOU položku brány, v Azure Portal v okně VPN Gateway v části Přehled . Pokud je vaše SKU základní, musíte změnit skladovou položku (viz Změna velikosti brány) na VpnGw1.

Kontrola SKU bude trvat 20 až 30 minut výpadků. Jakmile brána obsahuje správnou SKLADOVOU položku, můžete přidat jako číslo pomocí rutiny set-AzureRmVirtualNetworkGateway prostředí PowerShell rutiny. Po nakonfigurování AS Number bude pro bránu automaticky poskytována IP adresa partnerského uzlu protokolu BGP.

Musíte ručně zadat LocalNetworkGateway číslo as a partnerská adresa BGP. Hodnoty a můžete nastavit ASN -BgpPeeringAddress pomocí rutiny New-AzureRmLocalNetworkGateway nebo set-AzureRmLocalNetworkGateway prostředí PowerShell rutiny. Některá čísla AS jsou vyhrazena pro Azure a nelze je použít, jak je popsáno v tématu o protokolu BGP s Azure VPN Gateway.

Objekt připojení musí mít povolený protokol BGP. Hodnotu můžete nastavit -EnableBGP na $True pomocí New-AzureRmVirtualNetworkGatewayConnection nebo set-AzureRmVirtualNetworkGatewayConnection.

Ověření konfigurace protokolu BGP

Pokud chcete zjistit, jestli je protokol BGP správně nakonfigurovaný, můžete spustit rutinu get-AzureRmVirtualNetworkGateway a get-AzureRmLocalNetworkGateway rutin. Pak si všimnete výstupu souvisejícího s protokolem BGP v BgpSettingsText části. Například:

{

"Asn": AsnNumber,

"BgpPeeringAddress": "IP address",

"PeerWeight": 0

}

Vytvoření vysoce dostupného připojení VPN typu aktivní/aktivní

Mezi hlavní rozdíly mezi branami aktivní/aktivní a aktivní/pohotovostní patří:

  • Musíte vytvořit dvě konfigurace protokolu IP brány se dvěma veřejnými IP adresami.
  • Je nutné nastavit příznak EnableActiveActiveFeature .
  • SKU brány musí být VpnGw1, VpnGw2 nebo VpnGw3.

Abyste dosáhli vysoké dostupnosti pro připojení mezi různými místy a mezi lokalitami, měli byste nasadit víc bran VPN a navázat víc paralelních připojení mezi vašimi sítěmi a Azure. Přehled možností připojení a topologie najdete v tématu s vysokou dostupností mezi místy a připojením ksíti.

Pokud chcete vytvořit připojení typu aktivní/aktivní pro více míst a síťovou síť, postupujte podle pokynů v tématu Konfigurace připojení VPN typu aktivní/aktivní pro S2S pomocí brány VPN Azure a nakonfigurujte bránu Azure VPN v režimu aktivní/aktivní.

Poznámka

  • Když přidáváte adresy do brány místní sítě pro režim aktivní/aktivní s povoleným protokolem BGP, přidejte pouze adresy/32 partnerských uzlů protokolu BGP. Pokud přidáte více adres, budou považovány za statické trasy a budou mít přednost před trasami protokolu BGP.
  • Pro místní sítě, které se připojují k Azure, musíte použít jinou službu BGP jako čísla. (Pokud jsou stejné, musíte změnit svou virtuální síť jako číslo, pokud vaše místní zařízení VPN už používá ASN k partnerským uzlům s jinými sousedními uzly protokolu BGP.)

Změna typu brány VPN Azure po nasazení

Nemůžete změnit typ brány virtuální sítě Azure ze zásad na základě založené na směrování nebo jiným způsobem přímo. Nejdřív musíte bránu odstranit. Pak se zachová IP adresa a předsdílený klíč. Pak můžete vytvořit novou bránu požadovaného typu.

Pokud chcete odstranit a vytvořit bránu, použijte následující postup:

  1. Odstraňte všechna připojení přidružená k původní bráně.
  2. Odstraňte bránu pomocí Azure Portal, PowerShellu nebo klasického prostředí PowerShell:
  3. Postupujte podle kroků v části Vytvoření brány VPN a vytvořte novou bránu požadovaného typu a dokončete nastavení sítě VPN.

Poznámka

Tento proces bude trvat přibližně 60 minut.

Další kroky