Vytvoření virtuální sítě pomocí připojení VPN Site-to-Site s použitím prostředí PowerShellCreate a VNet with a Site-to-Site VPN connection using PowerShell

Tento článek ukazuje, jak pomocí PowerShellu vytvořit připojení brány VPN typu Site-to-Site z místní sítě k virtuální síti.This article shows you how to use PowerShell to create a Site-to-Site VPN gateway connection from your on-premises network to the VNet. Postupy v tomto článku se týkají modelu nasazení Resource Manager.The steps in this article apply to the Resource Manager deployment model. Tuto konfiguraci můžete vytvořit také pomocí jiného nástroje nasazení nebo pro jiný model nasazení, a to výběrem jiné možnosti z následujícího seznamu:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Připojení brány VPN typu Site-to-Site slouží k připojení místní sítě k virtuální síti Azure přes tunel VPN IPsec/IKE (IKEv1 nebo IKEv2).A Site-to-Site VPN gateway connection is used to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu.This type of connection requires a VPN device located on-premises that has an externally facing public IP address assigned to it. Další informace o bránách VPN najdete v tématu Informace o službě VPN Gateway.For more information about VPN gateways, see About VPN gateway.

Diagram připojení VPN Gateway typu Site-to-Site mezi různými místy

Než začneteBefore you begin

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Před zahájením konfigurace ověřte, že splňujete následující kritéria:Verify that you have met the following criteria before beginning your configuration:

  • Ujistěte se, že máte kompatibilní zařízení VPN a někoho, kdo jej umí nakonfigurovat.Make sure you have a compatible VPN device and someone who is able to configure it. Další informace o kompatibilních zařízeních VPN a konfiguraci zařízení najdete v tématu Informace o zařízeních VPN.For more information about compatible VPN devices and device configuration, see About VPN Devices.
  • Ověřte, že máte veřejnou IPv4 adresu pro vaše zařízení VPN.Verify that you have an externally facing public IPv4 address for your VPN device.
  • Pokud neznáte rozsahy IP adres v konfiguraci vaší místní sítě, budete se muset spojit s někým, kdo vám s tím pomůže.If you are unfamiliar with the IP address ranges located in your on-premises network configuration, you need to coordinate with someone who can provide those details for you. Při vytváření této konfigurace musíte zadat předpony rozsahu IP adres, které bude Azure směrovat do vašeho místního umístění.When you create this configuration, you must specify the IP address range prefixes that Azure will route to your on-premises location. Žádná z podsítí vaší místní sítě se nesmí překrývat s podsítěmi virtuální sítě, ke kterým se chcete připojit.None of the subnets of your on-premises network can over lap with the virtual network subnets that you want to connect to.

Použití služby Azure Cloud ShellUse Azure Cloud Shell

Hostitelé Azure Azure Cloud Shell interaktivní prostředí prostředí, které můžete používat v prohlížeči.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. Cloud Shell vám umožní pracovat se bash službami PowerShell Azure pomocí nebo.Cloud Shell lets you use either bash or PowerShell to work with Azure services. Můžete použít Cloud Shell předinstalované příkazy ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do svého místního prostředí.You can use the Cloud Shell pre-installed commands to run the code in this article without having to install anything on your local environment.

Spuštění Azure Cloud Shell:To launch Azure Cloud Shell:

MožnostOption Příklad nebo propojeníExample/Link
Zvolte Vyzkoušet v pravém horním rohu bloku kódu.Select Try It in the upper-right corner of a code block. Při výběru možnosti vyzkoušet se kód automaticky nezkopíruje do Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Příklad pokusu o Azure Cloud Shell
V prohlížeči otevřete Cloud Shell kliknutím na tlačítko Spustit Cloud Shell. https://shell.azure.comGo to https://shell.azure.com or select the Launch Cloud Shell button to open Cloud Shell in your browser. Spustit Cloud Shell v novém okněLaunch Cloud Shell in a new window
Vyberte tlačítko Cloud Shell v pravém horním panelu nabídek v Azure Portal.Select the Cloud Shell button on the top-right menu bar in the Azure portal. Tlačítko Cloud Shell na webu Azure Portal

Chcete-li spustit kód v tomto článku v Azure Cloud Shell:To run the code in this article in Azure Cloud Shell:

  1. Spusťte Cloud Shell.Launch Cloud Shell.

  2. Vyberte tlačítko Kopírovat na bloku kódu ke zkopírování kódu.Select the Copy button on a code block to copy the code.

  3. Vložte kód do relace Cloud Shell stisknutím kombinace kláves CTRL+SHIFT+v v systému Windows a Linux nebo příkazem cmd+SHIFT+v v MacOS.Paste the code into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS.

  4. Stiskněte klávesu ENTER pro spuštění kódu.Press Enter to run the code.

Místní použití PowerShelluRunning PowerShell locally

Pokud se rozhodnete nainstalovat a používat PowerShell místně, nainstalujte nejnovější verzi rutin PowerShellu pro Azure Resource Manager.If you choose to install and use the PowerShell locally, install the latest version of the Azure Resource Manager PowerShell cmdlets. Rutiny PowerShellu se často aktualizují a obvykle bude třeba rutiny PowerShellu aktualizovat, abyste získali nejnovější funkce.PowerShell cmdlets are updated frequently and you will typically need to update your PowerShell cmdlets to get the latest feature functionality. Pokud rutiny PowerShellu neaktualizujete, zadané hodnoty nemusí fungovat.If you don't update your PowerShell cmdlets, the values specify may fail.

Pokud chcete zjistit verzi, kterou používáte, spusťte rutinu Get-Module-ListAvailable AZ.To find the version you are using, run 'Get-Module -ListAvailable Az'. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell.If you need to upgrade, see Install the Azure PowerShell module. Další informace najdete v tématu Instalace a konfigurace Azure PowerShellu.For more information, see How to install and configure Azure PowerShell. Pokud používáte prostředí PowerShell místně, je také potřeba spustit příkaz Connect-AzAccount a vytvořit připojení k Azure.If you are running PowerShell locally, you also need to run 'Connect-AzAccount' to create a connection with Azure.

Příklady hodnotExample values

V příkladech v tomto článku se používají následující hodnoty.The examples in this article use the following values. Tyto hodnoty můžete použít k vytvoření testovacího prostředí nebo můžou sloužit k lepšímu pochopení příkladů v tomto článku.You can use these values to create a test environment, or refer to them to better understand the examples in this article.

#Example values

VnetName                = VNet1
ResourceGroup           = TestRG1
Location                = East US 
AddressSpace            = 10.1.0.0/16 
SubnetName              = Frontend 
Subnet                  = 10.1.0.0/24 
GatewaySubnet           = 10.1.255.0/27
LocalNetworkGatewayName = Site1
LNG Public IP           = <On-premises VPN device IP address> 
Local Address Prefixes  = 10.101.0.0/24, 10.101.1.0/24
Gateway Name            = VNet1GW
PublicIP                = VNet1GWPIP
Gateway IP Config       = gwipconfig1 
VPNType                 = RouteBased 
GatewayType             = Vpn 
ConnectionName          = VNet1toSite1

1. Vytvoření virtuální sítě a podsítě brány1. Create a virtual network and a gateway subnet

Pokud ještě nemáte virtuální síť, vytvořte si ji.If you don't already have a virtual network, create one. Při vytváření virtuální sítě ověřte, že se zadané adresní prostory nepřekrývají s adresními prostory ve vaší místní síti.When creating a virtual network, make sure that the address spaces you specify don't overlap any of the address spaces that you have on your on-premises network.

Poznámka

Aby se tato virtuální síť připojila k místnímu umístění, budete se muset domluvit se správcem vaší místní sítě a vyčlenit rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť.In order for this VNet to connect to an on-premises location, you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Pokud existuje duplicitní rozsah adres na obou stranách připojení VPN, provoz se nemusí směrovat očekávaným způsobem.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Pokud navíc chcete připojit tuto virtuální síť k jiné virtuální síti, adresní prostor se nesmí překrývat s jinou virtuální sítí.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Podle toho pečlivě naplánujte konfiguraci sítě.Take care to plan your network configuration accordingly.

O podsíti brányAbout the gateway subnet

Brána virtuální sítě používá konkrétní podsíť nazývanou podsíť brány.The virtual network gateway uses specific subnet called the gateway subnet. Podsíť brány je součástí rozsahu IP adres virtuální sítě, který zadáváte při konfiguraci virtuální sítě.The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. Obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.It contains the IP addresses that the virtual network gateway resources and services use. Podsíť musí mít název GatewaySubnet, aby služba Azure mohla nasadit prostředky brány.The subnet must be named 'GatewaySubnet' in order for Azure to deploy the gateway resources. Pro nasazení prostředků brány není možné zadat jinou podsíť.You can't specify a different subnet to deploy the gateway resources to. Pokud nemáte podsíť GatewaySubnet, vytváření brány VPN selže.If you don't have a subnet named 'GatewaySubnet', when you create your VPN gateway, it will fail.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit.The number of IP addresses needed depends on the VPN gateway configuration that you want to create. Některé konfigurace vyžadují víc IP adres než jiné.Some configurations require more IP addresses than others. Doporučujeme vytvořit podsíť brány používající velikost /27 nebo /28.We recommend that you create a gateway subnet that uses a /27 or /28.

Pokud se zobrazí chyba oznamující překrývání adresního prostoru a podsítě nebo umístění podsítě mimo adresní prostor vaší virtuální sítě, zkontroluje rozsah adres vaší virtuální sítě.If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. V rozsahu adres, který jste pro svou virtuální síť vytvořili, možná není k dispozici dostatek IP adres.You may not have enough IP addresses available in the address range you created for your virtual network. Pokud například vaše výchozí podsíť zahrnuje celý rozsah adres, k vytvoření dalších podsítí už nejsou k dispozici žádné IP adresy.For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. Můžete upravit podsítě v rámci stávajícího adresního prostoru a tím uvolnit IP adresy nebo můžete zadat další rozsah adres a vytvořit podsíť brány v něm.You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Pokud byste k této podsíti přidružili skupinu zabezpečení sítě, brána sítě VPN by mohla přestat fungovat podle očekávání.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).For more information about network security groups, see What is a network security group?

Vytvoření virtuální sítě a podsítě brányCreate a virtual network and a gateway subnet

Tento příklad vytvoří virtuální síť a podsíť brány.This example creates a virtual network and a gateway subnet. Pokud již máte virtuální síť, do které potřebujete přidat podsíť brány, přejděte k části Chcete-li přidat podsíť brány k již vytvořené virtuální síti.If you already have a virtual network that you need to add a gateway subnet to, see To add a gateway subnet to a virtual network you have already created.

Vytvořte skupinu prostředků:Create a resource group:

New-AzResourceGroup -Name TestRG1 -Location 'East US'

Vytvořte virtuální síť.Create your virtual network.

  1. Nastavte proměnné.Set the variables.

    $subnet1 = New-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27
    $subnet2 = New-AzVirtualNetworkSubnetConfig -Name 'Frontend' -AddressPrefix 10.1.0.0/24
    
  2. Vytvořte virtuální síť.Create the VNet.

    New-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1 `
    -Location 'East US' -AddressPrefix 10.1.0.0/16 -Subnet $subnet1, $subnet2
    

Chcete přidat podsíť brány k již vytvořené virtuální sítiTo add a gateway subnet to a virtual network you have already created

Postup v této části použijte v případě, že už máte virtuální síť, ale potřebujete přidat podsíť brány.Use the steps in this section if you already have a virtual network, but need to add a gateway subnet.

  1. Nastavte proměnné.Set the variables.

    $vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1
    
  2. Vytvořte podsíť brány.Create the gateway subnet.

    Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet
    
  3. Nastavte konfiguraci.Set the configuration.

    Set-AzVirtualNetwork -VirtualNetwork $vnet
    

2. Vytvoření brány místní sítě2. Create the local network gateway

Brána místní sítě (LNG) obvykle odkazuje na vaše místní umístění.The local network gateway (LNG) typically refers to your on-premises location. Nejedná se o stejnou bránu virtuální sítě.It is not the same as a virtual network gateway. Pro toto umístění určíte název, podle kterého na něj bude Azure odkazovat, a pak zadáte IP adresu místního zařízení VPN, ke kterému vytvoříte připojení.You give the site a name by which Azure can refer to it, then specify the IP address of the on-premises VPN device to which you will create a connection. Zadáte také předpony IP adres, které se budou přes bránu VPN směrovat do zařízení VPN.You also specify the IP address prefixes that will be routed through the VPN gateway to the VPN device. Předpony adres, které zadáte, jsou předpony ve vaší místní síti.The address prefixes you specify are the prefixes located on your on-premises network. V případě změny vaší místní sítě můžete tyto předpony snadno aktualizovat.If your on-premises network changes, you can easily update the prefixes.

Použijte následující hodnoty:Use the following values:

  • GatewayIPAddress je IP adresa vašeho místního zařízení VPN.The GatewayIPAddress is the IP address of your on-premises VPN device.
  • AddressPrefix je váš místní adresní prostor.The AddressPrefix is your on-premises address space.

Chcete-li přidat bránu místní sítě s jednou předponou adresy:To add a local network gateway with a single address prefix:

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.101.0.0/24'

Chcete-li přidat bránu místní sítě s více předponami adresy:To add a local network gateway with multiple address prefixes:

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '23.99.221.164' -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')

Chcete-li upravit předpony IP adres pro bránu místní sítě:To modify IP address prefixes for your local network gateway:

Někdy dojde ke změně předpon brány místní sítě.Sometimes your local network gateway prefixes change. Postup upravení předpon IP adresy závisí na tom, zda jste vytvořili připojení k bráně VPN.The steps you take to modify your IP address prefixes depend on whether you have created a VPN gateway connection. Viz oddíl Úprava předpon IP adresy pro bránu místní sítě v tomto článku.See the Modify IP address prefixes for a local network gateway section of this article.

3. Vyžádání veřejné IP adresy3. Request a Public IP address

Brána VPN musí mít veřejnou IP adresu.A VPN gateway must have a Public IP address. Nejprve si vyžádáte prostředek IP adresy a pak na něj budete odkazovat při vytváření brány virtuální sítě.You first request the IP address resource, and then refer to it when creating your virtual network gateway. IP adresa se dynamicky přiřadí k prostředku po vytvoření brány VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created.

Služba VPN Gateway aktuálně podporuje pouze dynamické přidělení veřejné IP adresy.VPN Gateway currently only supports Dynamic Public IP address allocation. Nemůžete si vyžádat statické přiřazení IP adresy.You cannot request a Static Public IP address assignment. To však neznamená, že se IP adresa po přiřazení k vaší bráně VPN změní.However, this does not mean that the IP address will change after it has been assigned to your VPN gateway. Veřejná IP adresa se změní pouze v případě odstranění a nového vytvoření brány.The only time the Public IP address changes is when the gateway is deleted and re-created. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

Vyžádejte si veřejnou IP adresu, která bude přiřazena k bráně VPN vaší virtuální sítě.Request a Public IP address that will be assigned to your virtual network VPN gateway.

$gwpip= New-AzPublicIpAddress -Name VNet1GWPIP -ResourceGroupName TestRG1 -Location 'East US' -AllocationMethod Dynamic

4. Vytvoření konfigurace adresování IP brány4. Create the gateway IP addressing configuration

Konfigurace brány definuje podsíť (GatewaySubnet) a veřejnou IP adresu, která se má použít.The gateway configuration defines the subnet (the 'GatewaySubnet') and the public IP address to use. Podle následujícího příkladu vytvořte vlastní konfiguraci brány:Use the following example to create your gateway configuration:

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

5. Vytvoření brány VPN5. Create the VPN gateway

Vytvořte bránu VPN virtuální sítě.Create the virtual network VPN gateway.

Použijte následující hodnoty:Use the following values:

  • Hodnota -GatewayType pro konfiguraci Site-to-Site je Vpn.The -GatewayType for a Site-to-Site configuration is Vpn. Typ brány je vždy specifický pro konfiguraci, kterou implementujete.The gateway type is always specific to the configuration that you are implementing. Například jiné konfigurace brány mohou vyžadovat jako -GatewayType hodnotu ExpressRoute.For example, other gateway configurations may require -GatewayType ExpressRoute.
  • Hodnota -VpnType může být RouteBased (v některé dokumentaci nazývaná Dynamická brána), nebo PolicyBased (v některé dokumentaci nazývaná Statická brána).The -VpnType can be RouteBased (referred to as a Dynamic Gateway in some documentation), or PolicyBased (referred to as a Static Gateway in some documentation). Další informace o typech brány VPN najdete v tématu Informace o službě VPN Gateway.For more information about VPN gateway types, see About VPN Gateway.
  • Vyberte SKU brány, kterou chcete použít.Select the Gateway SKU that you want to use. Pro určité skladové jednotky (SKU) platí omezení konfigurace.There are configuration limitations for certain SKUs. Další informace najdete v části Skladové jednotky (SKU) brány.For more information, see Gateway SKUs. Pokud při vytváření brány VPN dojde k chybě související s parametrem -GatewaySku, ověřte, že máte nainstalovanou nejnovější verzi rutin PowerShellu.If you get an error when creating the VPN gateway regarding the -GatewaySku, verify that you have installed the latest version of the PowerShell cmdlets.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'East US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

Po spuštění tohoto příkazu může dokončení konfigurace brány trvat až 45 minut.After running this command, it can take up to 45 minutes for the gateway configuration to complete.

6. Konfigurace zařízení VPN6. Configure your VPN device

Připojení Site-to-Site k místní síti vyžadují zařízení VPN.Site-to-Site connections to an on-premises network require a VPN device. V tomto kroku nakonfigurujete zařízení VPN.In this step, you configure your VPN device. Při konfiguraci zařízení VPN, budete potřebovat následující položky:When configuring your VPN device, you need the following items:

  • Sdílený klíč.A shared key. Jedná se o stejný sdílený klíč, který zadáváte při vytváření připojení VPN Site-to-Site.This is the same shared key that you specify when creating your Site-to-Site VPN connection. V našich ukázkách používáme základní sdílený klíč.In our examples, we use a basic shared key. Doporučujeme, abyste pro použití vygenerovali složitější klíč.We recommend that you generate a more complex key to use.

  • Veřejnou IP adresu vaší brány virtuální sítě.The Public IP address of your virtual network gateway. Veřejnou IP adresu můžete zobrazit pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku.You can view the public IP address by using the Azure portal, PowerShell, or CLI. Pokud chcete zjistit veřejnou IP adresu brány virtuální sítě pomocí PowerShellu, použijte následující příklad.To find the Public IP address of your virtual network gateway using PowerShell, use the following example. V tomto příkladu je VNet1GWPIP názvem prostředku veřejné IP adresy, který jste vytvořili v předchozím kroku.In this example, VNet1GWPIP is the name of the public IP address resource that you created in an earlier step.

    Get-AzPublicIpAddress -Name VNet1GWPIP -ResourceGroupName TestRG1
    

Stažení konfiguračních skriptů zařízení VPN:To download VPN device configuration scripts:

V závislosti na vašem zařízení VPN možná budete moct stáhnut konfigurační skript zařízení VPN.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Další informace najdete v článku Stažení konfiguračních skriptů zařízení VPN.For more information, see Download VPN device configuration scripts.

Na následujících odkazech najdete další informace o konfiguraci:See the following links for additional configuration information:

7. Vytvoření připojení VPN7. Create the VPN connection

Dále vytvoříte připojení VPN typu Site-to-Site mezi bránou virtuální sítě a zařízením VPN.Next, create the Site-to-Site VPN connection between your virtual network gateway and your VPN device. Nezapomeňte hodnoty nahradit vlastními.Be sure to replace the values with your own. Sdílený klíč se musí shodovat s hodnotou, kterou jste použili pro konfiguraci zařízení VPN.The shared key must match the value you used for your VPN device configuration. Všimněte si, že hodnota -ConnectionType pro připojení typu Site-to-Site je IPsec.Notice that the '-ConnectionType' for Site-to-Site is IPsec.

  1. Nastavte proměnné.Set the variables.

    $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Vytvořte připojení.Create the connection.

    New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
    -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
    -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
    

Za malou chvíli dojde k vytvoření připojení.After a short while, the connection will be established.

8. Ověření připojení VPN8. Verify the VPN connection

Existuje několik různých způsobů, jak ověřit připojení VPN.There are a few different ways to verify your VPN connection.

Můžete ověřit, že vaše připojení bylo úspěšné, že pomocí rutiny "Get-AzVirtualNetworkGatewayConnection", s nebo bez něj "-Debug".You can verify that your connection succeeded by using the 'Get-AzVirtualNetworkGatewayConnection' cmdlet, with or without '-Debug'.

  1. Použijte následující příklad rutiny a nakonfigurujte hodnoty tak, aby odpovídaly vašemu prostředí.Use the following cmdlet example, configuring the values to match your own. Po zobrazení výzvy vyberte možnost „A“, abyste spustili „vše“.If prompted, select 'A' in order to run 'All'. V příkladu odkazuje -Name na název připojení, které chcete testovat.In the example, '-Name' refers to the name of the connection that you want to test.

    Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
    
  2. Po dokončení zpracování rutiny si prohlédněte hodnoty.After the cmdlet has finished, view the values. Ve výše uvedeném příkladu se zobrazí stav připojení Připojeno a vy vidíte příchozí a odchozí bajty.In the example below, the connection status shows as 'Connected' and you can see ingress and egress bytes.

    "connectionStatus": "Connected",
    "ingressBytesTransferred": 33509044,
    "egressBytesTransferred": 4142431
    

Připojení k virtuálnímu počítačiTo connect to a virtual machine

K virtuálnímu počítači nasazenému ve vaší virtuální síti se můžete připojit vytvořením Připojení ke vzdálené ploše tohoto virtuálního počítače.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. Nejlepším způsobem, jak na začátku ověřit, že se k virtuálnímu počítači můžete připojit, je použít k připojení privátní IP adresu místo názvu počítače.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Tímto způsobem testujete, jestli se můžete připojit, a ne, jestli je správně nakonfigurovaný překlad IP adres.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Vyhledejte privátní IP adresu.Locate the private IP address. Privátní IP adresu virtuálního počítače je možné vyhledat více způsoby.You can find the private IP address of a VM in multiple ways. Níže uvádíme kroky pro Azure Portal a PowerShell.Below, we show the steps for the Azure portal and for PowerShell.

    • Azure Portal – Vyhledejte virtuální počítač na webu Azure Portal.Azure portal - Locate your virtual machine in the Azure portal. Zobrazte vlastnosti virtuálního počítače.View the properties for the VM. Ve výpisu uvidíte privátní IP adresu.The private IP address is listed.

    • PowerShell – Pomocí příkladu zobrazte seznam virtuálních počítačů a privátních IP adres z vašich skupin prostředků.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. Tento příklad nemusíte před použitím upravovat.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Zkontrolujte, že jste k virtuální síti připojeni pomocí připojení VPN.Verify that you are connected to your VNet using the VPN connection.

  3. Otevřete Připojení ke vzdálené ploše tak, že do vyhledávacího pole na hlavním panelu zadáte „RDP“ nebo „Připojení ke vzdálené ploše“ a pak vyberete Připojení ke vzdálené ploše.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Připojení ke vzdálené ploše můžete otevřít také v PowerShellu pomocí příkazu mstsc.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. V Připojení ke vzdálené ploše zadejte privátní IP adresu virtuálního počítače.In Remote Desktop Connection, enter the private IP address of the VM. Můžete kliknout na Zobrazit možnosti a upravit další nastavení, pak se připojte.You can click "Show Options" to adjust additional settings, then connect.

Řešení potíží s připojením ke vzdálené ploše virtuálního počítačeTo troubleshoot an RDP connection to a VM

Pokud se vám nedaří připojit k virtuálnímu počítači přes připojení VPN, zkontrolujte následující:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Ověřte, že je úspěšně navázáno připojení VPN.Verify that your VPN connection is successful.
  • Ověřte, že se připojujete k privátní IP adrese virtuálního počítače.Verify that you are connecting to the private IP address for the VM.
  • Pokud se k virtuálnímu počítači můžete připojit s použitím privátní IP adresy, ale ne pomocí názvu počítače, ověřte, že jste správně nakonfigurovali DNS.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Další informace o tom, jak funguje překlad IP adres pro virtuální počítače, najdete v tématu Překlad IP adres pro virtuální počítače.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Další informace o připojení ke vzdálené ploše najdete v tématu Řešení potíží s připojením ke vzdálené ploše virtuálního počítače.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Úprava předpony IP adresy pro místní síťovou bránuTo modify IP address prefixes for a local network gateway

Pokud se změní předpony IP adres, které chcete směrovat do vašeho místního umístění. můžete upravit bránu místní sítě.If the IP address prefixes that you want routed to your on-premises location change, you can modify the local network gateway. K dispozici jsou dvě sady pokynů.Two sets of instructions are provided. Pokyny, které zvolíte, závisí na tom, jestli jste už vytvořili připojení brány.The instructions you choose depend on whether you have already created your gateway connection. Při použití těchto příkladů upravte hodnoty tak, aby odpovídaly vašemu prostředí.When using these examples, modify the values to match your environment.

Úprava předpon IP adres místní síťové brány – žádné připojení brányTo modify local network gateway IP address prefixes - no gateway connection

Přidání dalších předpon adres:To add additional address prefixes:

  1. Nastavte proměnnou pro LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Upravte předpony.Modify the prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
    

Odebrání předpon adres:To remove address prefixes:

Vynechte předpony, které už nepotřebujete.Leave out the prefixes that you no longer need. V tomto příkladu jsme už nepotřebujeme předponu 10.101.2.0/24 (z předchozího příkladu), takže bránu místní sítě aktualizujeme, a tuto předponu vyloučíme.In this example, we no longer need prefix 10.101.2.0/24 (from the previous example), so we update the local network gateway, excluding that prefix.

  1. Nastavte proměnnou pro LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Nastavte bránu s předponami aktualizované.Set the gateway with the updated prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
    

Úprava předpon IP adres místní síťové brány – existující připojení brányTo modify local network gateway IP address prefixes - existing gateway connection

Pokud máte připojení k bráně a chcete přidat nebo odebrat předpony IP adres obsažené v bráně místní sítě, musíte v uvedeném pořadí provést následující kroky.If you have a gateway connection and want to add or remove the IP address prefixes contained in your local network gateway, you need to do the following steps, in order. Způsobí to určitý výpadek připojení VPN.This results in some downtime for your VPN connection. Při upravování předpon IP adres není potřeba odstraňovat bránu VPN.When modifying IP address prefixes, you don't need to delete the VPN gateway. Stačí jenom odebrat připojení.You only need to remove the connection.

  1. Odeberte připojení.Remove the connection.

    Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
    
  2. Nastavte bránu místní sítě s upravenou předpony.Set the local network gateway with the modified address prefixes.

    Nastavte proměnnou pro LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    

    Upravte předpony.Modify the prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
    
  3. Vytvořte připojení.Create the connection. V tomto příkladu konfigurujeme typ připojení IPsec.In this example, we configure an IPsec connection type. Až budete připojení znovu vytvářet, použijte typ připojení stanovený pro vaši konfiguraci.When you recreate your connection, use the connection type that is specified for your configuration. Informace o dalších typech připojení najdete na stránce Rutina prostředí PowerShell.For additional connection types, see the PowerShell cmdlet page.

    Nastavte proměnnou pro VirtualNetworkGateway.Set the variable for the VirtualNetworkGateway.

    $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW  -ResourceGroupName TestRG1
    

    Vytvořte připojení.Create the connection. Tento příklad používá proměnnou $local, kterou jste nastavili v kroku 2.This example uses the variable $local that you set in step 2.

    New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
    -ResourceGroupName TestRG1 -Location 'East US' `
    -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
    -ConnectionType IPsec `
    -RoutingWeight 10 -SharedKey 'abc123'
    

Změna IP adresy místní síťové brányTo modify the gateway IP address for a local network gateway

Úprava IP adresy brány místní sítě (GatewayIpAddress) – žádné připojení brányTo modify the local network gateway 'GatewayIpAddress' - no gateway connection

Pokud zařízení VPN, ke kterému se chcete připojit, změnilo svou veřejnou IP adresu, musíte upravit bránu místní sítě, aby odrážela tuto změnu.If the VPN device that you want to connect to has changed its public IP address, you need to modify the local network gateway to reflect that change. Pomocí tohoto příkladu upravte bránu místní sítě, která nemá připojení brány.Use the example to modify a local network gateway that does not have a gateway connection.

Při upravování této hodnoty můžete také zároveň upravit předpony adres.When modifying this value, you can also modify the address prefixes at the same time. Ujistěte se, že k přepsání aktuálního nastavení používáte existující název brány místní sítě.Be sure to use the existing name of your local network gateway in order to overwrite the current settings. Pokud použijete jiný název, vytvoříte novou bránu místní sítě, místo abyste přepsali tu stávající.If you use a different name, you create a new local network gateway, instead of overwriting the existing one.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Úprava IP adresy brány místní sítě (GatewayIpAddress) – existující připojení brányTo modify the local network gateway 'GatewayIpAddress' - existing gateway connection

Pokud zařízení VPN, ke kterému se chcete připojit, změnilo svou veřejnou IP adresu, musíte upravit bránu místní sítě, aby odrážela tuto změnu.If the VPN device that you want to connect to has changed its public IP address, you need to modify the local network gateway to reflect that change. Pokud už nějaké připojení brány existuje, musíte ho nejdřív odebrat.If a gateway connection already exists, you first need to remove the connection. Po odebrání připojení můžete upravit IP adresu brány a vytvořit nové připojení.After the connection is removed, you can modify the gateway IP address and recreate a new connection. Můžete také zároveň upravit předpony adresy.You can also modify the address prefixes at the same time. Způsobí to určitý výpadek připojení VPN.This results in some downtime for your VPN connection. Při upravování IP adresy brány není potřeba odstraňovat bránu VPN.When modifying the gateway IP address, you don't need to delete the VPN gateway. Stačí jenom odebrat připojení.You only need to remove the connection.

  1. Odeberte připojení.Remove the connection. Jméno vašeho připojení můžete najít pomocí rutiny "Get-AzVirtualNetworkGatewayConnection".You can find the name of your connection by using the 'Get-AzVirtualNetworkGatewayConnection' cmdlet.

    Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
    -ResourceGroupName TestRG1
    
  2. Upravte hodnotu GatewayIpAddress.Modify the 'GatewayIpAddress' value. Můžete také zároveň upravit předpony adresy.You can also modify the address prefixes at the same time. Ujistěte se, že k přepsání aktuálního nastavení používáte existující název brány místní sítě.Be sure to use the existing name of your local network gateway to overwrite the current settings. Pokud to neuděláte, vytvoříte novou bránu místní sítě, místo abyste přepsali tu stávající.If you don't, you create a new local network gateway, instead of overwriting the existing one.

    New-AzLocalNetworkGateway -Name Site1 `
    -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
    -GatewayIpAddress "104.40.81.124" -ResourceGroupName TestRG1
    
  3. Vytvořte připojení.Create the connection. V tomto příkladu konfigurujeme typ připojení IPsec.In this example, we configure an IPsec connection type. Až budete připojení znovu vytvářet, použijte typ připojení stanovený pro vaši konfiguraci.When you recreate your connection, use the connection type that is specified for your configuration. Informace o dalších typech připojení najdete na stránce Rutina prostředí PowerShell.For additional connection types, see the PowerShell cmdlet page. Pokud chcete získat název brány VirtualNetworkGateway, můžete spustit rutinu "Get-AzVirtualNetworkGateway".To obtain the VirtualNetworkGateway name, you can run the 'Get-AzVirtualNetworkGateway' cmdlet.

    Nastavte proměnné.Set the variables.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
    $vnetgw = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
    

    Vytvořte připojení.Create the connection.

    New-AzVirtualNetworkGatewayConnection -Name VNet1Site1 -ResourceGroupName TestRG1 `
    -Location "East US" `
    -VirtualNetworkGateway1 $vnetgw `
    -LocalNetworkGateway2 $local `
    -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
    

Další postupNext steps