Konfigurace připojení brány VPN typu VNet-to-VNet pomocí Azure CLIConfigure a VNet-to-VNet VPN gateway connection using Azure CLI

Tento článek vám pomůže propojit virtuální sítě s použitím typu připojení VNet-to-VNet.This article helps you connect virtual networks by using the VNet-to-VNet connection type. Virtuální sítě se můžou nacházet ve stejné oblasti nebo v různých oblastech a můžou patřit do stejného předplatného nebo do různých předplatných.The virtual networks can be in the same or different regions, and from the same or different subscriptions. Pokud připojujete virtuální sítě z různých předplatných, tato předplatná nemusí být přidružená ke stejnému tenantovi Active Directory.When connecting VNets from different subscriptions, the subscriptions do not need to be associated with the same Active Directory tenant.

Postupy v tomto článku se týkají modelu nasazení Resource Manager a používají Azure CLI.The steps in this article apply to the Resource Manager deployment model and use Azure CLI. Tuto konfiguraci můžete vytvořit také pomocí jiného nástroje nasazení nebo pro jiný model nasazení, a to výběrem jiné možnosti z následujícího seznamu:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Informace o propojování virtuálních sítíAbout connecting VNets

Existuje více způsobů propojení virtuálních sítí.There are multiple ways to connect VNets. Následující oddíly popisují různé způsoby připojení virtuálních sítí.The sections below describe different ways to connect virtual networks.

VNet-to-VNetVNet-to-VNet

Konfigurace připojení VNet-to-VNet je dobrým způsobem, jak snadno připojit virtuální sítě.Configuring a VNet-to-VNet connection is a good way to easily connect VNets. Propojení virtuální sítě s jinou virtuální sítí s použitím typu připojení VNet-to-VNet je podobné jako vytvoření připojení Site-to-Site IPsec k místnímu umístění.Connecting a virtual network to another virtual network using the VNet-to-VNet connection type is similar to creating a Site-to-Site IPsec connection to an on-premises location. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec/IKE a oba komunikují stejným způsobem.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE, and both function the same way when communicating. Rozdílem mezi těmito typy připojení je způsob konfigurace místní síťové brány.The difference between the connection types is the way the local network gateway is configured. Při vytváření připojení typu VNet-to-VNet se nezobrazí adresní prostor místní síťové brány.When you create a VNet-to-VNet connection, you do not see the local network gateway address space. Vytvoří a naplní se automaticky.It is automatically created and populated. Pokud aktualizujete adresní prostor pro jednu virtuální síť, druhá virtuální síť bude automaticky znát trasu do aktualizovaného adresního prostoru.If you update the address space for one VNet, the other VNet automatically knows to route to the updated address space. Vytvoření připojení VNet-to-VNet je obvykle rychlejší a snazší než vytvoření připojení Site-to-Site mezi virtuálními sítěmi.Creating a VNet-to-VNet connection is typically faster and easier than creating a Site-to-Site connection between VNets.

Připojení virtuálních sítí pomocí kroků Site-to-Site (IPsec)Connecting VNets using Site-to-Site (IPsec) steps

Pokud pracujete se složitou konfigurací sítě, můžete chtít vaše virtuální sítě raději připojit pomocí kroků Site-to-Site než pomocí kroků VNet-to-VNet.If you are working with a complicated network configuration, you may prefer to connect your VNets using the Site-to-Site steps, instead of the VNet-to-VNet steps. Při použití kroků Site-to-Site vytvoříte a nakonfigurujete brány místní sítě ručně.When you use the Site-to-Site steps, you create and configure the local network gateways manually. Brána místní sítě pro každou virtuální síť zpracovává jiné virtuální sítě jako místní síť.The local network gateway for each VNet treats the other VNet as a local site. Ten vám umožní pro místní síťovou bránu zadat další adresní prostor pro směrování provozu.This lets you specify additional address space for the local network gateway in order to route traffic. Pokud se adresní prostor pro virtuální síť změní, musíte ručně aktualizovat odpovídající bránu místní sítě tak, aby tuto změnu odrážela.If the address space for a VNet changes, you need to manually update the corresponding local network gateway to reflect the change. Nedojde k automatické aktualizaci.It does not automatically update.

Partnerské vztahy virtuálních sítíVNet peering

Můžete chtít zvážit připojení vašich virtuálních sítí pomocí VNET Peering.You may want to consider connecting your VNets using VNet Peering. VNET Peering nepoužívá bránu sítě VPN a má jiná omezení.VNet peering does not use a VPN gateway and has different constraints. Kromě toho ceny pro VNET Peering se vypočítávají odlišně než ceny pro VNet-to-VNet VPN Gateway.Additionally, VNet peering pricing is calculated differently than VNet-to-VNet VPN Gateway pricing. Další informace najdete v tématu Partnerské vztahy virtuálních sítí.For more information, see VNet peering.

Proč vytvářet připojení typu VNet-to-VNet?Why create a VNet-to-VNet connection?

Virtuální sítě může být vhodné propojit pomocí připojení VNet-to-VNet z následujících důvodů:You may want to connect virtual networks using a VNet-to-VNet connection for the following reasons:

  • Geografická redundance napříč oblastmi a geografická přítomnostCross region geo-redundancy and geo-presence

    • Můžete nastavit vlastní geografickou replikaci nebo synchronizaci se zabezpečeným připojením bez procházení koncovými body připojenými k internetu.You can set up your own geo-replication or synchronization with secure connectivity without going over Internet-facing endpoints.
    • Pomocí Azure Traffic Manageru a služby Load Balancer je možné vytvářet úlohy s vysokou dostupností s geografickou redundancí nad několika oblastmi Azure.With Azure Traffic Manager and Load Balancer, you can set up highly available workload with geo-redundancy across multiple Azure regions. Jedním z důležitých příkladů je nastavení technologie SQL Always On se skupinami dostupnosti nad několika oblastmi Azure.One important example is to set up SQL Always On with Availability Groups spreading across multiple Azure regions.
  • Regionální vícevrstvé aplikace s izolací nebo administrativní hranicíRegional multi-tier applications with isolation or administrative boundary

    • V rámci stejné oblasti můžete vytvářet vícevrstvé aplikace s několika virtuálními sítěmi propojenými z důvodu izolace nebo požadavků na správu.Within the same region, you can set up multi-tier applications with multiple virtual networks connected together due to isolation or administrative requirements.

Komunikaci typu VNet-to-VNet můžete kombinovat s konfiguracemi s více servery.VNet-to-VNet communication can be combined with multi-site configurations. Díky tomu je možné vytvářet topologie sítí, ve kterých se používá propojování více míst i propojování virtuálních sítí.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

Které kroky VNet-to-VNet mám použít?Which VNet-to-VNet steps should I use?

V tomto článku uvidíte dvě různé sady kroků připojení VNet-to-VNet.In this article, you see two different sets of VNet-to-VNet connection steps. Jedna sada kroků pro virtuální sítě patřící do stejného předplatného a jedna pro virtuální sítě patřící do různých předplatných.One set of steps for VNets that reside in the same subscription and one for VNets that reside in different subscriptions.

Pro toto cvičení můžete konfigurace kombinovat nebo prostě vybrat tu, se kterou chcete pracovat.For this exercise, you can combine configurations, or just choose the one that you want to work with. Všechny konfigurace používají typ připojení VNet-to-VNet.All of the configurations use the VNet-to-VNet connection type. Provoz probíhá mezi virtuálními sítěmi, které jsou vzájemně přímo propojené.Network traffic flows between the VNets that are directly connected to each other. V tomto cvičení se provoz ze sítě TestVNet4 nesměruje do sítě TestVNet5.In this exercise, traffic from TestVNet4 does not route to TestVNet5.

Propojení virtuálních sítí patřících ke stejnému předplatnémuConnect VNets that are in the same subscription

Než začneteBefore you begin

Než začnete, nainstalujte si nejnovější verzi příkazů rozhraní příkazového řádku (2.0 nebo novější).Before beginning, install the latest version of the CLI commands (2.0 or later). Informace o instalaci příkazů rozhraní příkazového řádku najdete v tématu Instalace Azure CLI.For information about installing the CLI commands, see Install the Azure CLI.

Plánování rozsahů IP adresPlan your IP address ranges

V následujících krocích vytvoříte dvě virtuální sítě spolu s příslušnými podsítěmi a konfiguracemi brány.In the following steps, you create two virtual networks along with their respective gateway subnets and configurations. Potom vytvoříte propojení VPN mezi oběma virtuálními sítěmi.You then create a VPN connection between the two VNets. Je důležité určit rozsahy IP adres pro konfiguraci vaší sítě.It’s important to plan the IP address ranges for your network configuration. Mějte na paměti, že je třeba zajistit, aby se žádné rozsahy virtuálních sítí ani místní síťové rozsahy žádným způsobem nepřekrývaly.Keep in mind that you must make sure that none of your VNet ranges or local network ranges overlap in any way. V těchto příkladech nezahrnujeme server DNS.In these examples, we do not include a DNS server. Pokud chcete překlad IP adres pro virtuální sítě, přečtěte si téma Překlad IP adres.If you want name resolution for your virtual networks, see Name resolution.

V příkladech používáme následující hodnoty:We use the following values in the examples:

Hodnoty pro virtuální síť TestVNet1:Values for TestVNet1:

  • Název virtuální sítě: TestVNet1VNet Name: TestVNet1
  • Skupina prostředků: TestRG1Resource Group: TestRG1
  • Umístění: USA – východLocation: East US
  • TestVNet1: 10.11.0.0/16 & 10.12.0.0/16TestVNet1: 10.11.0.0/16 & 10.12.0.0/16
  • Front-endu: 10.11.0.0/24FrontEnd: 10.11.0.0/24
  • Back-endu: 10.12.0.0/24BackEnd: 10.12.0.0/24
  • GatewaySubnet: 10.12.255.0/27GatewaySubnet: 10.12.255.0/27
  • GatewayName: VNet1GWGatewayName: VNet1GW
  • Public IP: VNet1GWIPPublic IP: VNet1GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Connection(1to4): VNet1toVNet4Connection(1to4): VNet1toVNet4
  • Connection(1to5): VNet1toVNet5 (pro virtuální sítě v různých předplatných)Connection(1to5): VNet1toVNet5 (For VNets in different subscriptions)

Hodnoty pro virtuální síť TestVNet4:Values for TestVNet4:

  • Název virtuální sítě: TestVNet4VNet Name: TestVNet4
  • TestVNet2: 10.41.0.0/16 & 10.42.0.0/16TestVNet2: 10.41.0.0/16 & 10.42.0.0/16
  • Front-endu: 10.41.0.0/24FrontEnd: 10.41.0.0/24
  • Back-endu: 10.42.0.0/24BackEnd: 10.42.0.0/24
  • GatewaySubnet: 10.42.255.0/27GatewaySubnet: 10.42.255.0/27
  • Skupina prostředků: TestRG4Resource Group: TestRG4
  • Umístění: Západní USALocation: West US
  • GatewayName: VNet4GWGatewayName: VNet4GW
  • Public IP: VNet4GWIPPublic IP: VNet4GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Připojení: VNet4toVNet1Connection: VNet4toVNet1

Krok 1: Připojení k vašemu předplatnémuStep 1 - Connect to your subscription

  1. Přihlaste se k předplatnému Azure pomocí příkazu az login a postupujte podle pokynů na obrazovce.Sign in to your Azure subscription with the az login command and follow the on-screen directions. Další informace o přihlašování najdete v tématu Začínáme s Azure CLI.For more information about signing in, see Get Started with Azure CLI.

    az login
    
  2. Pokud máte více než jedno předplatné Azure, vypište předplatná pro daný účet.If you have more than one Azure subscription, list the subscriptions for the account.

    az account list --all
    
  3. Určete předplatné, které chcete použít.Specify the subscription that you want to use.

    az account set --subscription <replace_with_your_subscription_id>
    

Krok 2: Vytvoření a konfigurace virtuální sítě TestVNet1Step 2 - Create and configure TestVNet1

  1. Vytvořte skupinu prostředků.Create a resource group.

    az group create -n TestRG1  -l eastus
    
  2. Vytvořte virtuální síť TestVNet1 a její podsítě.Create TestVNet1 and the subnets for TestVNet1. Tento příklad vytvoří virtuální síť TestVNet1 a podsíť FrontEnd.This example creates a virtual network named TestVNet1 and a subnet named FrontEnd.

    az network vnet create -n TestVNet1 -g TestRG1 --address-prefix 10.11.0.0/16 -l eastus --subnet-name FrontEnd --subnet-prefix 10.11.0.0/24
    
  3. Vytvořte další adresní prostor pro podsíť back-endu.Create an additional address space for the backend subnet. Všimněte si, že v tomto kroku zadáváme jak adresní prostor, který jsme vytvořili dříve, tak i další adresní prostor, který chceme přidat.Notice that in this step, we specify both the address space that we created earlier, and the additional address space that we want to add. Důvodem je, že příkaz az network vnet update přepíše předchozí nastavení.This is because the az network vnet update command overwrites the previous settings. Nezapomeňte při použití tohoto příkazu zadat všechny předpony adres.Make sure to specify all of the address prefixes when using this command.

    az network vnet update -n TestVNet1 --address-prefixes 10.11.0.0/16 10.12.0.0/16 -g TestRG1
    
  4. Vytvořte podsíť back-endu.Create the backend subnet.

    az network vnet subnet create --vnet-name TestVNet1 -n BackEnd -g TestRG1 --address-prefix 10.12.0.0/24 
    
  5. Vytvořte podsíť brány.Create the gateway subnet. Všimněte si, že podsíť brány má název GatewaySubnet.Notice that the gateway subnet is named 'GatewaySubnet'. Název je povinný.This name is required. V příkladu používá podsíť brány možnost /27.In this example, the gateway subnet is using a /27. I když je možné vytvořit podsíť brány s minimální velikostí /29, doporučujeme vytvořit větší podsíť, která pojme více adres, tzn. vybrat velikost alespoň /28 nebo /27.While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. Tím vznikne dostatečný prostor pro adresy, který umožní nastavení případných dalších konfigurací v budoucnu.This will allow for enough addresses to accommodate possible additional configurations that you may want in the future.

    az network vnet subnet create --vnet-name TestVNet1 -n GatewaySubnet -g TestRG1 --address-prefix 10.12.255.0/27
    
  6. Vyžádejte si veřejnou IP adresu, která bude přidělena bráně, kterou vytvoříte pro příslušnou virtuální síť.Request a public IP address to be allocated to the gateway you will create for your VNet. Všimněte si, že metoda AllocationMethod je dynamická.Notice that the AllocationMethod is Dynamic. Není možné určit IP adresu, kterou chcete používat.You cannot specify the IP address that you want to use. Přiděluje se pro bránu dynamicky.It's dynamically allocated to your gateway.

    az network public-ip create -n VNet1GWIP -g TestRG1 --allocation-method Dynamic
    
  7. Vytvořte bránu virtuální sítě pro virtuální síť TestVNet1.Create the virtual network gateway for TestVNet1. Konfigurace propojení VNet-to-VNet vyžadují typ sítě VPN RouteBased.VNet-to-VNet configurations require a RouteBased VpnType. Pokud tento příkaz spustíte s použitím parametru --no-wait, nezobrazí se žádná zpětná vazba ani výstup.If you run this command using the '--no-wait' parameter, you don't see any feedback or output. Parametr --no-wait umožňuje bránu vytvořit na pozadí.The '--no-wait' parameter allows the gateway to create in the background. Neznamená to, že se brána VPN vytvoří okamžitě.It does not mean that the VPN gateway finishes creating immediately. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na použité skladové jednotce (SKU) brány.Creating a gateway can often take 45 minutes or more, depending on the gateway SKU that you use.

    az network vnet-gateway create -n VNet1GW -l eastus --public-ip-address VNet1GWIP -g TestRG1 --vnet TestVNet1 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Krok 3: Vytvoření a konfigurace virtuální sítě TestVNet4Step 3 - Create and configure TestVNet4

  1. Vytvořte skupinu prostředků.Create a resource group.

    az group create -n TestRG4  -l westus
    
  2. Vytvořte virtuální síť TestVNet4.Create TestVNet4.

    az network vnet create -n TestVNet4 -g TestRG4 --address-prefix 10.41.0.0/16 -l westus --subnet-name FrontEnd --subnet-prefix 10.41.0.0/24
    
  3. Vytvořte další podsítě pro virtuální síť TestVNet4.Create additional subnets for TestVNet4.

    az network vnet update -n TestVNet4 --address-prefixes 10.41.0.0/16 10.42.0.0/16 -g TestRG4 
    az network vnet subnet create --vnet-name TestVNet4 -n BackEnd -g TestRG4 --address-prefix 10.42.0.0/24 
    
  4. Vytvořte podsíť brány.Create the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet4 -n GatewaySubnet -g TestRG4 --address-prefix 10.42.255.0/27
    
  5. Vyžádejte si veřejnou IP adresu.Request a Public IP address.

    az network public-ip create -n VNet4GWIP -g TestRG4 --allocation-method Dynamic
    
  6. Vytvořte bránu virtuální sítě TestVNet4.Create the TestVNet4 virtual network gateway.

    az network vnet-gateway create -n VNet4GW -l westus --public-ip-address VNet4GWIP -g TestRG4 --vnet TestVNet4 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Krok 4: Vytvoření připojeníStep 4 - Create the connections

Nyní máte dvě virtuální sítě s bránami VPN.You now have two VNets with VPN gateways. Dalším krokem je vytvoření propojení bran VPN mezi bránami virtuálních sítí.The next step is to create VPN gateway connections between the virtual network gateways. Pokud jste použili výše uvedené příklady, vaše brány virtuálních sítí jsou v různých skupinách prostředků.If you used the examples above, your VNet gateways are in different resource groups. Když jsou brány v různých skupinách prostředků, musíte při vytváření propojení identifikovat a zadat ID prostředků pro každou bránu.When gateways are in different resource groups, you need to identify and specify the resource IDs for each gateway when making a connection. Pokud jsou vaše virtuální sítě ve stejné skupině prostředků, můžete použít druhou sadu pokynů, protože nemusíte zadávat ID prostředků.If your VNets are in the same resource group, you can use the second set of instructions because you don't need to specify the resource IDs.

Propojení virtuálních sítí patřících do různých skupin prostředkůTo connect VNets that reside in different resource groups

  1. Z výstupu následujícího příkazu získejte ID prostředku brány VNet1GW:Get the Resource ID of VNet1GW from the output of the following command:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    Ve výstupu vyhledejte řádek, který začíná na "id:".In the output, find the "id:" line. Hodnoty v uvozovkách budete potřebovat pro vytvoření propojení v další části.The values within the quotes are needed to create the connection in the next section. Zkopírujte tyto hodnoty do textového editoru, jako je Poznámkový blok, abyste je při vytváření propojení mohli jednoduše vložit.Copy these values to a text editor, such as Notepad, so that you can easily paste them when creating your connection.

    Příklad výstupu:Example output:

    "activeActive": false, 
    "bgpSettings": { 
     "asn": 65515, 
     "bgpPeeringAddress": "10.12.255.30", 
     "peerWeight": 0 
    }, 
    "enableBgp": false, 
    "etag": "W/\"ecb42bc5-c176-44e1-802f-b0ce2962ac04\"", 
    "gatewayDefaultSite": null, 
    "gatewayType": "Vpn", 
    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW", 
    "ipConfigurations":
    

    Zkopírujte hodnoty v uvozovkách následující po "id": .Copy the values after "id": within the quotes.

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. Získejte ID prostředku brány VNet4GW a zkopírujte hodnoty do textového editoru.Get the Resource ID of VNet4GW and copy the values to a text editor.

    az network vnet-gateway show -n VNet4GW -g TestRG4
    
  3. Vytvořte připojení virtuální sítě TestVNet1 k virtuální síti TestVNet4.Create the TestVNet1 to TestVNet4 connection. V tomto kroku vytvoříte připojení z virtuální sítě TestVNet1 do virtuální sítě TestVNet4.In this step, you create the connection from TestVNet1 to TestVNet4. V příkladech se uvádí sdílený klíč.There is a shared key referenced in the examples. Pro sdílený klíč můžete použít vlastní hodnoty.You can use your own values for the shared key. Důležité je, že se sdílený klíč pro obě připojení musí shodovat.The important thing is that the shared key must match for both connections. Vytvoření připojení nějakou dobu trvá.Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW 
    
  4. Vytvořte připojení virtuální sítě TestVNet4 k virtuální síti TestVNet1.Create the TestVNet4 to TestVNet1 connection. Tento krok je podobný předchozímu, vytváříte však připojení z virtuální sítě TestVNet4 do virtuální sítě TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. Ověřte, že se sdílené klíče shodují.Make sure the shared keys match. Navázání připojení trvá několik minut.It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG4 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG4/providers/Microsoft.Network/virtualNetworkGateways/VNet4GW -l westus --shared-key "aabbcc" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1G
    
  5. Ověřte stav připojení.Verify your connections. Viz Ověření stavu připojení.See Verify your connection.

Propojení virtuálních sítí patřících do stejné skupiny prostředkůTo connect VNets that reside in the same resource group

  1. Vytvořte připojení virtuální sítě TestVNet1 k virtuální síti TestVNet4.Create the TestVNet1 to TestVNet4 connection. V tomto kroku vytvoříte připojení z virtuální sítě TestVNet1 do virtuální sítě TestVNet4.In this step, you create the connection from TestVNet1 to TestVNet4. Všimněte si, že skupiny prostředků v příkladech jsou stejné.Notice the resource groups are the same in the examples. V příkladech také vidíte uvedený sdílený klíč.You also see a shared key referenced in the examples. Pro sdílený klíč můžete použít vlastní hodnoty, ale sdílené klíče pro obě připojení se musí shodovat.You can use your own values for the shared key, however, the shared key must match for both connections. Vytvoření připojení nějakou dobu trvá.Creating a connection takes a short while to complete.

    az network vpn-connection create -n VNet1ToVNet4 -g TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet4GW
    
  2. Vytvořte připojení virtuální sítě TestVNet4 k virtuální síti TestVNet1.Create the TestVNet4 to TestVNet1 connection. Tento krok je podobný předchozímu, vytváříte však připojení z virtuální sítě TestVNet4 do virtuální sítě TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. Ověřte, že se sdílené klíče shodují.Make sure the shared keys match. Navázání připojení trvá několik minut.It takes a few minutes to establish the connection.

    az network vpn-connection create -n VNet4ToVNet1 -g TestRG1 --vnet-gateway1 VNet4GW -l eastus --shared-key "eeffgg" --vnet-gateway2 VNet1GW
    
  3. Ověřte stav připojení.Verify your connections. Viz Ověření stavu připojení.See Verify your connection.

Propojení virtuálních sítí patřících k různým předplatnýmConnect VNets that are in different subscriptions

V tomto scénáři propojíte sítě TestVNet1 a TestVNet5.In this scenario, you connect TestVNet1 and TestVNet5. Virtuální sítě patří k různým předplatným.The VNets reside different subscriptions. Předplatná nemusí být přidružená ke stejnému tenantovi Active Directory.The subscriptions do not need to be associated with the same Active Directory tenant. Tento postup přidá nové propojení VNet-to-VNet pro připojení virtuální sítě TestVNet1 k virtuální síti TestVNet5.The steps for this configuration add an additional VNet-to-VNet connection in order to connect TestVNet1 to TestVNet5.

Krok 5: Vytvoření a konfigurace virtuální sítě TestVNet1Step 5 - Create and configure TestVNet1

Tyto pokyny navazují na kroky v předchozích částech.These instructions continue from the steps in the preceding sections. Je třeba vytvořit a konfigurovat virtuální síť TestVNet1 a bránu VPN pro virtuální síť TestVNet1 provedením kroku 1 a kroku 2.You must complete Step 1 and Step 2 to create and configure TestVNet1 and the VPN Gateway for TestVNet1. Pro tuto konfiguraci není nutné vytvářet virtuální síť TestVNet4 z předchozí části, ale pokud ji vytvoříte, nebude to s těmito kroky v konfliktu.For this configuration, you are not required to create TestVNet4 from the previous section, although if you do create it, it will not conflict with these steps. Po dokončení kroků 1 a 2 pokračujte krokem 6 (níže).Once you complete Step 1 and Step 2, continue with Step 6 (below).

Krok 6: Ověření rozsahů IP adresStep 6 - Verify the IP address ranges

Při vytváření dalších připojení je důležité ověřit, že se adresní prostor IP adres nové virtuální sítě nepřekrývá se žádným z rozsahů jiných virtuálních sítí ani rozsahů bran místních sítí.When creating additional connections, it's important to verify that the IP address space of the new virtual network does not overlap with any of your other VNet ranges or local network gateway ranges. Pro tento postup použijte následující hodnoty pro virtuální síť TestVNet5:For this exercise, you can use the following values for the TestVNet5:

Hodnoty pro virtuální síť TestVNet5:Values for TestVNet5:

  • Název virtuální sítě: TestVNet5VNet Name: TestVNet5
  • Skupina prostředků: TestRG5Resource Group: TestRG5
  • Umístění: Japonsko – východLocation: Japan East
  • TestVNet5: 10.51.0.0/16 & 10.52.0.0/16TestVNet5: 10.51.0.0/16 & 10.52.0.0/16
  • Front-endu: 10.51.0.0/24FrontEnd: 10.51.0.0/24
  • Back-endu: 10.52.0.0/24BackEnd: 10.52.0.0/24
  • GatewaySubnet: 10.52.255.0.0/27GatewaySubnet: 10.52.255.0.0/27
  • GatewayName: VNet5GWGatewayName: VNet5GW
  • Public IP: VNet5GWIPPublic IP: VNet5GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Připojení: VNet5toVNet1Connection: VNet5toVNet1
  • Typ připojení: VNet2VNetConnectionType: VNet2VNet

Krok 7: Vytvoření a konfigurace virtuální sítě TestVNet5Step 7 - Create and configure TestVNet5

Tento krok je třeba provést v rámci nového předplatného (předplatné 5).This step must be done in the context of the new subscription, Subscription 5. Tuto část může provést správce v organizaci, která je vlastníkem druhého předplatného.This part may be performed by the administrator in a different organization that owns the subscription. Chcete-li přepnout mezi předplatnými použijte az account list --all seznam předplatných dostupných ke svému účtu, potom použijte az account set --subscription <subscriptionID> přepnout do předplatného, který chcete použít.To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. Ujistěte se, že jste připojeni k předplatnému 5, a pak vytvořte skupinu prostředků.Make sure you are connected to Subscription 5, then create a resource group.

    az group create -n TestRG5  -l japaneast
    
  2. Vytvořte virtuální síť TestVNet5.Create TestVNet5.

    az network vnet create -n TestVNet5 -g TestRG5 --address-prefix 10.51.0.0/16 -l japaneast --subnet-name FrontEnd --subnet-prefix 10.51.0.0/24
    
  3. Přidejte podsítě.Add subnets.

    az network vnet update -n TestVNet5 --address-prefixes 10.51.0.0/16 10.52.0.0/16 -g TestRG5
    az network vnet subnet create --vnet-name TestVNet5 -n BackEnd -g TestRG5 --address-prefix 10.52.0.0/24
    
  4. Přidejte podsíť brány.Add the gateway subnet.

    az network vnet subnet create --vnet-name TestVNet5 -n GatewaySubnet -g TestRG5 --address-prefix 10.52.255.0/27
    
  5. Vyžádejte si veřejnou IP adresu.Request a public IP address.

    az network public-ip create -n VNet5GWIP -g TestRG5 --allocation-method Dynamic
    
  6. Vytvoření brány virtuální sítě TestVNet5Create the TestVNet5 gateway

    az network vnet-gateway create -n VNet5GW -l japaneast --public-ip-address VNet5GWIP -g TestRG5 --vnet TestVNet5 --gateway-type Vpn --sku VpnGw1 --vpn-type RouteBased --no-wait
    

Krok 8: Vytvoření připojeníStep 8 - Create the connections

Vzhledem k tomu, že brány patří do různých předplatných, je tento krok rozdělený do dvou relací rozhraní příkazového řádku označených jako [Předplatné 1] a [Předplatné 5] .This step is split into two CLI sessions marked as [Subscription 1], and [Subscription 5] because the gateways are in the different subscriptions. Chcete-li přepnout mezi předplatnými použijte az account list --all seznam předplatných dostupných ke svému účtu, potom použijte az account set --subscription <subscriptionID> přepnout do předplatného, který chcete použít.To switch between subscriptions use az account list --all to list the subscriptions available to your account, then use az account set --subscription <subscriptionID> to switch to the subscription that you want to use.

  1. [Předplatné 1] Přihlaste a připojte se k předplatnému 1.[Subscription 1] Log in and connect to Subscription 1. Spusťte následující příkaz a z výstupu získejte název a ID brány:Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet1GW -g TestRG1
    

    Zkopírujte část výstupu uvedeného textem „id:“.Copy the output for "id:". E-mailem nebo jiným způsobem odešlete ID a název brány virtuální sítě (VNet1GW) správci předplatného 5.Send the ID and the name of the VNet gateway (VNet1GW) to the administrator of Subscription 5 via email or another method.

    Příklad výstupu:Example output:

    "id": "/subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW"
    
  2. [Předplatné 5] Přihlaste a připojte se k předplatnému 5.[Subscription 5] Log in and connect to Subscription 5. Spusťte následující příkaz a z výstupu získejte název a ID brány:Run the following command to get the name and ID of the Gateway from the output:

    az network vnet-gateway show -n VNet5GW -g TestRG5
    

    Zkopírujte část výstupu uvedeného textem „id:“.Copy the output for "id:". E-mailem nebo jiným způsobem odešlete ID a název brány virtuální sítě (VNet5GW) správci předplatného 1.Send the ID and the name of the VNet gateway (VNet5GW) to the administrator of Subscription 1 via email or another method.

  3. [Předplatné 1] V tomto kroku vytvoříte připojení z virtuální sítě TestVNet1 k virtuální síti TestVNet5.[Subscription 1] In this step, you create the connection from TestVNet1 to TestVNet5. Pro sdílený klíč můžete použít vlastní hodnoty, ale sdílené klíče pro obě připojení se musí shodovat.You can use your own values for the shared key, however, the shared key must match for both connections. Vytvoření připojení může nějakou dobu trvat.Creating a connection can take a short while to complete. Ujistěte se, že jste připojeni k předplatnému 1. Make sure you connect to Subscription 1.

    az network vpn-connection create -n VNet1ToVNet5 -g TestRG1 --vnet-gateway1 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW -l eastus --shared-key "eeffgg" --vnet-gateway2 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
    
  4. [Předplatné 5] Tento krok je podobný předchozímu, vytváříte však připojení z virtuální sítě TestVNet5 k virtuální síti TestVNet1.[Subscription 5] This step is similar to the one above, except you are creating the connection from TestVNet5 to TestVNet1. Zkontrolujte, že se sdílené klíče shodují a že se připojujete k předplatnému 5.Make sure that the shared keys match and that you connect to Subscription 5.

    az network vpn-connection create -n VNet5ToVNet1 -g TestRG5 --vnet-gateway1 /subscriptions/e7e33b39-fe28-4822-b65c-a4db8bbff7cb/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW -l japaneast --shared-key "eeffgg" --vnet-gateway2 /subscriptions/d6ff83d6-713d-41f6-a025-5eb76334fda9/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
    

Ověření stavu připojeníVerify the connections

Důležité

Při práci s podsítěmi brány nepřidružujte skupinu zabezpečení sítě (NSG) k podsíti brány.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Pokud byste k této podsíti přidružili skupinu zabezpečení sítě, brána sítě VPN by mohla přestat fungovat podle očekávání.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. Další informace o skupinách zabezpečení sítě najdete v článku Co je skupina zabezpečení sítě (NSG).For more information about network security groups, see What is a network security group?

Pomocí příkazu az network vpn-connection show můžete ověřit, že vaše připojení bylo úspěšné.You can verify that your connection succeeded by using the az network vpn-connection show command. V příkladu odkazuje  --name na název připojení, které chcete testovat.In the example, '--name' refers to the name of the connection that you want to test. Pokud navazování připojení probíhá, zobrazí se stav připojení Connecting (Připojování).When the connection is in the process of being established, its connection status shows 'Connecting'. Jakmile bude připojení navázáno, stav se změní na Connected (Připojeno).Once the connection is established, the status changes to 'Connected'.

az network vpn-connection show --name VNet1toSite2 --resource-group TestRG1

Nejčastější dotazy týkající se propojení VNet-to-VNetVNet-to-VNet FAQ

Nejčastější dotazy týkající se připojení typu VNet-to-VNet se týká připojení brány VPN.The VNet-to-VNet FAQ applies to VPN gateway connections. Informace o metodě VNet peering najdete v tématu partnerský vztah virtuálních sítí.For information about VNet peering, see Virtual network peering.

Účtuje se v Azure provoz mezi virtuálními sítěmi?Does Azure charge for traffic between VNets?

Provoz VNet-to-VNet v rámci stejné oblasti je bezplatný v obou směrech, při použití připojení brány VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. Výchozí přenos VNet-to-VNet mezi oblastmi se účtuje s rychlosti přenosu dat odchozí sítěmi podle zdrojových oblastí.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Další informace najdete v tématu VPN Gateway stránce s cenami.For more information, see VPN Gateway pricing page. Pokud se připojujete vašich virtuálních sítí pomocí VNet peering místo VPN gateway, přečtěte si téma ceny služby Virtual network.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

Prochází provoz VNet-to-VNet přes internet?Does VNet-to-VNet traffic travel across the internet?

Ne.No. Provoz VNet-to-VNet se přenáší prostřednictvím páteřní síti Microsoft Azure, nikoli po Internetu.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

Můžete vytvořit připojení VNet-to-VNet mezi tenanty Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Ano, připojení VNet-to-VNet pomocí Azure VPN Gateway fungovat tenantů AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

Je provoz VNet-to-VNet bezpečný?Is VNet-to-VNet traffic secure?

Ano, je chráněný šifrováním protokolu IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

Je k propojení virtuálních sítí potřeba zařízení VPN?Do I need a VPN device to connect VNets together?

Ne.No. Propojení více virtuálních sítí Azure nevyžaduje žádná zařízení VPN, pokud není vyžadována možnost připojení mezi různými místy.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

Je nutné, aby virtuální sítě byly ve stejné oblasti?Do my VNets need to be in the same region?

Ne.No. Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.The virtual networks can be in the same or different Azure regions (locations).

Pokud tyto virtuální sítě nejsou ve stejném předplatném, předplatná musí být přidružená stejnému tenantu Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

Ne.No.

Je možné použít VNet-to-VNet k propojení virtuálních sítí v samostatných instancích Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

Ne.No. VNet-to-VNet podporuje propojování virtuálních sítí v rámci stejné instance Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Například nelze vytvořit připojení mezi globální Azure a čínština/němčina/US government Azure instancí.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Zvažte použití připojení VPN typu Site-to-Site pro tyto scénáře.Consider using a Site-to-Site VPN connection for these scenarios.

Je možné použít VNet-to-VNet společně s připojením propojujícím víc serverů?Can I use VNet-to-VNet along with multi-site connections?

Ano.Yes. Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery.Virtual network connectivity can be used simultaneously with multi-site VPNs.

Ke kolika místních serverům a virtuálním sítím se může připojit jedna virtuální síť?How many on-premises sites and virtual networks can one virtual network connect to?

Zobrazit požadavky na bránu tabulky.See the Gateway requirements table.

Je možné použít VNet-to-VNet k propojení virtuálních počítačů nebo cloudových služeb mimo virtuální síť?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

Ne.No. Propojení VNet-to-VNet podporují propojování virtuálních sítí.VNet-to-VNet supports connecting virtual networks. Nepodporuje propojování virtuálních počítačů nebo cloudových služeb, které nejsou ve virtuální síti.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

Můžete cloudovou službu nebo koncový bod Vyrovnávání zatížení pracovat nad virtuálními sítěmi?Can a cloud service or a load-balancing endpoint span VNets?

Ne.No. Cloudová služba nebo koncový bod Vyrovnávání zatížení nemohou pracovat nad více virtuálními sítěmi, i v případě, že jsou propojeny.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

Můžete použít síť VPN typu PolicyBased pro připojení typu VNet-to-VNet nebo multi-Site?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

Ne.No. Připojení typu VNet-to-VNet a multi-Site vyžadují brány Azure VPN s RouteBased (dříve nazývané dynamické směrování) typy sítě VPN.VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

Je možné připojit virtuální síť typu RouteBased k jiné virtuální síti typu PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

Ne, obě virtuální sítě musí používat VPN založené na směrování (dříve nazývané dynamické směrování).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

Sdílejí tunely VPN šířku pásma?Do VPN tunnels share bandwidth?

Ano.Yes. Všechna tunelová propojení sítí VPN v rámci virtuální sítě sdílejí v bráně VPN Azure šířku pásma, která je k dispozici, a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

Jsou podporovány redundantní tunely?Are redundant tunnels supported?

Redundantní tunely mezi párem virtuálních sítí jsou podporovány, pokud je jedna brána virtuální sítě nakonfigurována jako aktivní-aktivní.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

Můžou se překrývat adresní prostory pro konfigurace VNet-to-VNet?Can I have overlapping address spaces for VNet-to-VNet configurations?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Můžou se překrývat adresní prostory mezi propojenými virtuálními sítěmi a místními servery?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

Ne.No. Není možné, aby se rozsahy IP adres překrývaly.You can't have overlapping IP address ranges.

Další postupNext steps