Kurz: Vytvoření a správa brány VPN pomocí webu Azure Portal

  • Článek

Tento kurz vám pomůže vytvořit a spravovat bránu virtuální sítě (bránu VPN) pomocí webu Azure Portal. Brána VPN je jen jednou z částí architektury připojení, která vám pomůže bezpečně přistupovat k prostředkům ve virtuální síti.

Diagram znázorňující virtuální síť a bránu VPN

  • Na levé straně diagramu se zobrazuje virtuální síť a brána VPN, kterou vytvoříte pomocí kroků v tomto článku.
  • Později můžete přidat různé typy připojení, jak je znázorněno na pravé straně diagramu. Můžete například vytvořit připojení typu site-to-site a point-to-site . Pokud chcete zobrazit různé architektury návrhu, které můžete sestavit, podívejte se na návrh brány VPN.

Pokud chcete získat další informace o nastavení konfigurace použitých v tomto kurzu, přečtěte si informace o nastavení konfigurace služby VPN Gateway. Další informace o službě Azure VPN Gateway najdete v tématu Co je Azure VPN Gateway?

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť.
  • Vytvořte bránu VPN.
  • Zobrazte veřejnou IP adresu brány.
  • Změna velikosti brány VPN (změna velikosti skladové položky)
  • Resetujte bránu VPN.

Požadavky

Potřebujete účet Azure s aktivním předplatným. Pokud ho nemáte, vytvořte si ho zdarma.

Vytvoření virtuální sítě

Vytvořte virtuální síť pomocí následujících hodnot:

  • Skupina prostředků: TestRG1
  • Název: VNet1
  • Oblast: USA – východ
  • Adresní prostor IPv4: 10.1.0.0/16
  • Název podsítě: FrontEnd
  • Adresní prostor podsítě: 10.1.0.0/24

  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Snímek obrazovky znázorňující kartu Základy

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.

  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Příkladem je FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.

  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Po vytvoření virtuální sítě můžete volitelně nakonfigurovat službu Azure DDoS Protection. Ochranu je možné jednoduše povolit v jakékoli nové nebo existující virtuální síti a nevyžadují se žádné změny aplikací ani prostředků. Další informace o službě Azure DDoS Protection najdete v tématu Co je Azure DDoS Protection?.

Vytvoření podsítě brány

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě. Zadejte podsíť brány, která je /27 nebo větší.

  1. Na stránce vaší virtuální sítě v levém podokně vyberte Podsítě a otevřete stránku Podsítě .
  2. V horní části stránky výběrem podsítě + Brána otevřete podokno Přidat podsíť.
  3. Název se automaticky zadá jako GatewaySubnet. V případě potřeby upravte hodnotu rozsahu IP adres. Příkladem je 10.1.255.0/27.
  4. Neupravujte ostatní hodnoty na stránce. Podsíť uložíte výběrem možnosti Uložit v dolní části stránky.

Vytvoření brány VPN

V tomto kroku vytvoříte bránu virtuální sítě (bránu VPN) pro vaši virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Vytvořte bránu virtuální sítě pomocí následujících hodnot:

  • Název: VNet1GW
  • Oblast: USA – východ
  • Typ brány: Síť VPN
  • SKU: VpnGw2
  • Generování: generace 2
  • Virtuální síť: VNet1
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Veřejná IP adresa: Vytvoření nové
  • Název veřejné IP adresy: VNet1GWpip

V tomto cvičení nevyberete zónově redundantní skladovou položku. Pokud se chcete dozvědět o zónově redundantních SKU, přečtěte si téma O zónově redundantních branách virtuální sítě. Kromě toho nejsou tyto kroky určeny ke konfiguraci brány aktivní-aktivní. Další informace naleznete v tématu Konfigurace bran aktivní-aktivní.

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující pole Instance

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Toto nastavení se automaticky vyplňuje, když na této stránce vyberete virtuální síť.

    • Název: Zadejte pro bránu název. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány, který vytváříte.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Viz skladové položky brány. Na portálu závisí skladové položky dostupné v rozevíracím seznamu na VPN type vybraném místě. Skladovou položku Basic je možné nakonfigurovat jenom pomocí Azure CLI nebo PowerShellu. Skladovou položku Basic nemůžete nakonfigurovat na webu Azure Portal.

    • Generování: Vyberte generaci, kterou chcete použít. Doporučujeme použít skladovou položku Generation2. Další informace najdete v části Skladové jednotky (SKU) brány.

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, pro kterou chcete vytvořit bránu, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V tuto chvíli může toto pole zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekt veřejné IP adresy, který se přidružuje k bráně VPN. Při vytváření brány VPN se k tomuto objektu přiřadí veřejná IP adresa. Jedinou dobou, kdy se primární veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.

    Snímek obrazovky s polem Veřejná IP adresa

    • Typ veřejné IP adresy: Pokud se zobrazí tato možnost, vyberte Standardní. Skladová položka veřejné IP adresy úrovně Basic je podporovaná jenom pro brány VPN úrovně Basic .
    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .
    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.
    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno.
    • Přiřazení: Přiřazení je obvykle automaticky vybráno. Pro skladovou položku Standard je přiřazení vždy statické.
    • Povolit režim aktivní-aktivní: Vyberte Zakázáno. Toto nastavení povolte jenom v případě, že vytváříte konfiguraci brány aktivní-aktivní.
    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete ip adresu přiřazenou k ní zobrazit tak, že se podíváte na virtuální síť na portálu. Brána se zobrazí jako připojené zařízení.

Důležité

Při práci s podsítěmi brány se vyhněte přidružení skupiny zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Zobrazení veřejné IP adresy

Veřejnou IP adresu brány můžete zobrazit na stránce Přehled vaší brány. Veřejná IP adresa se používá při konfiguraci připojení typu site-to-site k bráně VPN.

Snímek obrazovky znázorňující stránku Přehled sloužící k zobrazení pole Veřejná IP adresa

Pokud chcete zobrazit další informace o objektu veřejné IP adresy, vyberte odkaz na název nebo IP adresu vedle veřejné IP adresy.

Změna velikosti skladové položky brány

Existují konkrétní pravidla pro změnu velikosti a změny skladové položky brány. V této části změníte velikost skladové položky. Další informace najdete v tématu Změna velikosti nebo změny skladových položek brány.

  1. Přejděte na stránku Konfigurace brány virtuální sítě.

  2. Na pravé straně stránky vyberte šipku rozevíracího seznamu a zobrazte seznam dostupných skladových položek.

    Všimněte si, že seznam naplní jenom skladové položky, které můžete použít ke změně velikosti aktuální skladové položky. Pokud nevidíte skladovou položku, kterou chcete použít, místo změny velikosti, musíte přejít na novou skladovou položku.

    Snímek obrazovky, který ukazuje, jak změnit velikost brány

  3. V rozevíracím seznamu vyberte skladovou položku.

Resetování brány

  1. Na portálu přejděte na bránu virtuální sítě, kterou chcete resetovat.
  2. Na stránce brány virtuální sítě se v levém podokně posuňte dolů k resetování.
  3. Na stránce Obnovit vyberte Obnovit. Po vydání příkazu se aktuální aktivní instance služby Azure VPN Gateway okamžitě restartuje. Resetování brány způsobí mezeru v připojení VPN a může omezit budoucí analýzu původní příčiny problému.

Vyčištění prostředků

Pokud nebudete tuto aplikaci dál používat nebo přejdete k dalšímu kurzu, odstraňte tyto prostředky.

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků a vyberte ji z výsledků hledání.

  2. Vyberte Odstranit skupinu prostředků.

  3. Jako název skupiny prostředků zadejte název skupiny prostředků a vyberte Odstranit.

Další kroky

Po vytvoření brány VPN můžete nakonfigurovat další nastavení a připojení brány. Následující články vám pomůžou vytvořit několik nejběžnějších konfigurací:

Připojení VPN typu Site-to-Site

Připojení VPN typu Point-to-Site