Konfigurace připojení typu VNet-to-VNet (Classic)

  • Článek

Tento článek vám pomůže vytvořit připojení brány VPN mezi virtuálními sítěmi. Virtuální sítě se můžou nacházet ve stejné oblasti nebo v různých oblastech a můžou patřit do stejného předplatného nebo do různých předplatných.

Kroky v tomto článku platí pro model nasazení Classic (starší verze) a nevztahují se na aktuální model nasazení Resource Manager. Bránu už nemůžete vytvořit pomocí modelu nasazení Classic. Podívejte se na verzi Resource Manageru tohoto článku .

Důležité

Už nemůžete vytvářet nové brány virtuální sítě pro virtuální sítě modelu nasazení Classic (správa služeb). Nové brány virtuální sítě je možné vytvořit pouze pro virtuální sítě Resource Manageru.

Diagram showing classic VNet-to-VNet architecture.

Poznámka:

Tento článek je napsaný pro model nasazení Classic (starší verze). Doporučujeme místo toho použít nejnovější model nasazení Azure. Model nasazení Resource Manager je nejnovější model nasazení a nabízí více možností a kompatibilitu funkcí než model nasazení Classic. Pokud chcete porozumět rozdílu mezi těmito dvěma modely nasazení, přečtěte si téma Principy modelů nasazení a stavu vašich prostředků.

Pokud chcete použít jinou verzi tohoto článku, použijte obsah v levém podokně.

Informace o propojeních VNet-to-VNet

Připojení připojení virtuální sítě k jiné virtuální síti (VNet-to-VNet) v modelu nasazení Classic pomocí brány VPN se podobá připojení virtuální sítě k místnímu umístění lokality. Oba typy připojení využívají bránu VPN k poskytnutí zabezpečeného tunelového propojení prostřednictvím protokolu IPsec/IKE.

Virtuální sítě, které připojíte, můžou být v různých předplatných a různých oblastech. Komunikaci virtuální sítě s virtuální sítí můžete kombinovat s konfigurací s více lokalitami. Díky tomu je možné vytvářet topologie sítí, ve kterých se používá propojování více míst i propojování virtuálních sítí.

Diagram showing VNet-VNet connections.

Proč propojovat virtuální sítě?

Virtuální sítě můžete chtít propojit z následujících důvodů:

  • Geografická redundance napříč oblastmi a geografická přítomnost

    • Můžete nastavit vlastní geografickou replikaci nebo synchronizaci se zabezpečeným připojením bez procházení koncovými body připojenými k internetu.
    • Pomocí Azure Load Balanceru a technologie clusteringu od Microsoftu nebo třetích stran můžete nastavit vysoce dostupnou úlohu s geografickou redundancí napříč několika oblastmi Azure. Jedním z důležitých příkladů je nastavení technologie SQL Always On se skupinami dostupnosti nad několika oblastmi Azure.

  • Regionální vícevrstvé aplikace se silnou izolací

    • Ve stejné oblasti můžete nastavit vícevrstvé aplikace s několika virtuálními sítěmi propojenými se silnou izolací a zabezpečenou komunikaci mezi vrstvami.

  • Komunikace mezi předplatnými, komunikace mezi organizacemi v Azure

    • Pokud máte více předplatných Azure, můžete mezi virtuálními sítěmi bezpečně propojit úlohy z různých předplatných.
    • Pro podniky nebo poskytovatele služeb můžete povolit komunikaci mezi organizacemi pomocí zabezpečené technologie VPN v Rámci Azure.

Další informace o propojeních VNet-to-VNet najdete v části Aspekty propojení VNet-to-VNet na konci tohoto článku.

Předpoklady

Pro většinu kroků používáme portál, ale k vytvoření připojení mezi virtuálními sítěmi musíte použít PowerShell. Připojení nemůžete vytvořit pomocí webu Azure Portal, protože neexistuje způsob, jak na portálu zadat sdílený klíč. Při práci s modelem nasazení Classic nemůžete použít Azure Cloud Shell. Místo toho musíte nainstalovat nejnovější verzi rutin PowerShellu pro správu služeb Azure (SM) místně do počítače. Tyto rutiny se liší od rutin AzureRM nebo Az. Pokud chcete nainstalovat rutiny SM, přečtěte si téma Instalace rutin správy služeb. Další informace o Azure PowerShellu obecně najdete v dokumentaci k Azure PowerShellu.

Plánování

Je důležité určit rozsahy, které použijete ke konfiguraci virtuálních sítí. Pro tuto konfiguraci je nutné zajistit, aby se žádné rozsahy virtuálních sítí navzájem nepřekrývaly ani s žádnou místní sítí, ke které se připojují.

Virtuální sítě

V tomto cvičení použijeme následující ukázkové hodnoty:

Hodnoty pro virtuální síť TestVNet1

Název: TestVNet1
Adresní prostor: 10.11.0.0/16, 10.12.0.0/16 (volitelné)
Název podsítě: výchozí
Rozsah adres podsítě: 10.11.0.0/24
Skupina prostředků: ClassicRG
Umístění: USA – východ
Podsíť brány: 10.11.1.0/27

Hodnoty pro virtuální síť TestVNet4

Název: TestVNet4
Adresní prostor: 10.41.0.0/16, 10.42.0.0/16 (volitelné)
Název podsítě: výchozí
Rozsah adres podsítě: 10.41.0.0/24
Skupina prostředků: ClassicRG
Umístění: USA – západ
Podsíť brány: 10.41.1.0/27

Připojení

Následující tabulka ukazuje příklad připojení virtuálních sítí. Rozsahy používejte jenom jako vodítko. Poznamenejte si rozsahy virtuálních sítí. Tyto informace budete potřebovat pro pozdější kroky.

V tomto příkladu se virtuální síť TestVNet1 připojí k lokalitě místní sítě, kterou vytvoříte s názvem VNet4Local. Nastavení virtuální sítě VNet4Local obsahuje předpony adres pro virtuální síť TestVNet4. Místní lokalita pro každou virtuální síť je druhá virtuální síť. Pro naši konfiguraci se používají následující ukázkové hodnoty:

Příklad

Virtual Network Adresní prostor Poloha Připojení s to local network site
Virtuální síť TestVNet1 Virtuální síť TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 USA – západ SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Vytvoření virtuálních sítí

V tomto kroku vytvoříte dvě klasické virtuální sítě TestVNet1 a TestVNet4. Pokud tento článek používáte jako cvičení, použijte ukázkové hodnoty.

Při vytváření virtuálních sítí mějte na paměti následující nastavení:

  • Adresní prostory virtuální sítě – Na stránce Adresní prostory virtuální sítě zadejte rozsah adres, který chcete použít pro virtuální síť. Jedná se o dynamické IP adresy, které budou přiřazeny virtuálním počítačům a dalším instancím rolí, které nasadíte do této virtuální sítě.
    Vybrané adresní prostory se nemůžou překrývat s adresními prostory pro žádné z jiných virtuálních sítí nebo místních umístění, ke kterým se bude tato virtuální síť připojovat.

  • Umístění – Když vytvoříte virtuální síť, přidružíte ji k umístění Azure (oblast). Pokud například chcete, aby virtuální počítače nasazené do vaší virtuální sítě byly fyzicky umístěné v oblasti USA – západ, vyberte toto umístění. Po vytvoření nemůžete změnit umístění přidružené k vaší virtuální síti.

Po vytvoření virtuálních sítí můžete přidat následující nastavení:

  • Adresní prostor – Pro tuto konfiguraci není potřeba další adresní prostor, ale po vytvoření virtuální sítě můžete přidat další adresní prostor.

  • Podsítě – Pro tuto konfiguraci nejsou potřeba další podsítě, ale možná budete chtít mít virtuální počítače v podsíti, která je oddělená od ostatních instancí rolí.

  • Servery DNS – Zadejte název a IP adresu serveru DNS. Toto nastavení nevytvoří server DNS. Umožňuje určit server DNS, který chcete použít pro překlad názvů pro tuto virtuální síť.

Vytvoření klasické virtuální sítě

  1. V prohlížeči přejděte na portál Azure Portal a v případě potřeby se přihlaste pomocí účtu Azure.
  2. Vyberte +Vytvořit prostředek. Do pole Hledat na Marketplace zadejte text „Virtuální síť“. Vyhledejte virtuální síť z vráceného seznamu a vyberte ji, aby se otevřela stránka Virtuální síť .
  3. Na stránce Virtuální síť pod tlačítkem Vytvořit se zobrazí "Nasazení pomocí Resource Manageru (změna na Classic)". Resource Manager je výchozí hodnota pro vytvoření virtuální sítě. Nechcete vytvořit virtuální síť Resource Manageru. Vyberte (změnit na Classic) a vytvořte virtuální síť Classic. Pak vyberte kartu Přehled a vyberte Vytvořit.
  4. Na stránce Vytvořit virtuální síť (Classic) na kartě Základy nakonfigurujte nastavení virtuální sítě s ukázkovými hodnotami.
  5. Vyberte Zkontrolovat a vytvořit a ověřte virtuální síť.
  6. Spustí se ověřování. Po ověření virtuální sítě vyberte Vytvořit.

Nastavení DNS není požadovaná součástí této konfigurace, ale pokud chcete překlad názvů mezi virtuálními počítači, je potřeba dns. Zadání hodnoty nevytvoří nový server DNS. Server DNS, jehož IP adresu zadáte, by měl být server DNS, který dokáže přeložit názvy pro prostředky, ke kterým se připojujete.

Po vytvoření virtuální sítě můžete přidat IP adresu serveru DNS, aby bylo možné zpracovávat překlad názvů. Otevřete nastavení pro virtuální síť, vyberte servery DNS a přidejte IP adresu serveru DNS, který chcete použít k překladu ip adres.

  1. Vyhledejte virtuální síť na portálu.
  2. Na stránce pro vaši virtuální síť v části Nastavení vyberte servery DNS.
  3. Přidejte server DNS.
  4. Pokud chcete nastavení uložit, vyberte Uložit v horní části stránky.

Konfigurace lokalit a bran

Azure používá nastavení zadaná v každé místní síťové lokalitě k určení způsobu směrování provozu mezi virtuálními sítěmi. Každá virtuální síť musí odkazovat na příslušnou místní síť, do které chcete směrovat provoz. Určíte název, který chcete použít pro odkaz na každou místní síťovou lokalitu. Nejlepší je použít něco popisného.

Například TestVNet1 se připojuje k místní síťové lokalitě, kterou vytvoříte s názvem VNet4Local. Nastavení virtuální sítě VNet4Local obsahuje předpony adres pro virtuální síť TestVNet4.

Mějte na paměti, že místní lokalita pro každou virtuální síť je druhá virtuální síť.

Virtual Network Adresní prostor Poloha Připojení s to local network site
Virtuální síť TestVNet1 Virtuální síť TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 USA – západ SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Konfigurace lokality

Místní lokalita obvykle odkazuje na vaše místní umístění. Obsahuje IP adresu zařízení VPN, ke kterému vytvoříte připojení, a rozsahy IP adres směrované přes bránu VPN do zařízení VPN.

  1. Na stránce vaší virtuální sítě v části Nastavení vyberte připojení typu Site-to-Site.

  2. Na stránce Připojení typu Site-to-Site vyberte + Přidat.

  3. Na stránce Konfigurace připojení VPN a brány pro typ Připojení ponechte vybranou možnost Site-to-Site.

    • IP adresa brány VPN: Toto je veřejná IP adresa zařízení VPN pro vaši místní síť. V tomto cvičení můžete zadat fiktivní adresu, protože ještě nemáte IP adresu pro bránu VPN pro jinou lokalitu. Například 5.4.3.2. Jakmile později nakonfigurujete bránu pro jinou virtuální síť, můžete tuto hodnotu upravit.

    • Adresní prostor klienta: Uveďte rozsahy IP adres, které chcete směrovat do druhé virtuální sítě prostřednictvím této brány. Můžete přidat více různých rozsahů adres. Ujistěte se, že se zde zadané rozsahy nepřekrývají s rozsahy jiných sítí, ke kterým se vaše virtuální síť připojuje, nebo s rozsahy adres samotné virtuální sítě.

  4. V dolní části stránky nevybírejte Zkontrolovat a vytvořit. Místo toho vyberte Další: Brána>.

Konfigurace brány virtuální sítě

  1. Na stránce Brána vyberte následující hodnoty:

    • Velikost: Jedná se o skladovou položku brány, kterou používáte k vytvoření brány virtuální sítě. Brány VPN Classic používají staré (starší) skladové položky brány. Další informace o starších skladových položkách brány najdete v tématu Práce se skladovými položkami bran virtuálních sítí (staré skladové položky). Pro toto cvičení můžete vybrat standard .

    • Podsíť brány: Velikost zadané podsítě brány závisí na konfiguraci brány VPN, kterou chcete vytvořit. I když je možné vytvořit podsíť brány tak malou jako /29, doporučujeme použít /27 nebo /28. Vytvoří se tak vetší podsíť zahrnující více adres. Použitím větší podsítě brány zajistíte dostatek IP adres pro případné další konfigurace.

  2. Výběrem možnosti Zkontrolovat a vytvořit v dolní části stránky ověřte nastavení. Vyberte Vytvořit , které chcete nasadit. Vytvoření brány virtuální sítě může trvat až 45 minut v závislosti na vybrané SKU brány.

  3. Během vytváření této brány můžete začít pokračovat k dalšímu kroku.

Konfigurace nastavení virtuální sítě TestVNet4

Opakujte kroky pro vytvoření lokality a brány a nakonfigurujte virtuální síť TestVNet4 a v případě potřeby nahraďte hodnoty. Pokud to provádíte jako cvičení, použijte ukázkové hodnoty.

Aktualizace místních webů

Po vytvoření bran virtuální sítě pro obě virtuální sítě musíte upravit vlastnosti místní lokality pro IP adresu brány VPN.

Název virtuální sítě web Připojení IP adresa brány
Virtuální síť TestVNet1 VNet4Local IP adresa brány VPN pro virtuální síť TestVNet4
TestVNet4 VNet1Local IP adresa brány VPN pro virtuální síť TestVNet1

Část 1 – Získání veřejné IP adresy brány virtuální sítě

  1. Přejděte do virtuální sítě tak, že přejdete do skupiny prostředků a vyberete virtuální síť.
  2. Na stránce vaší virtuální sítě v podokně Základy na pravé straně vyhledejte IP adresu brány a zkopírujte ji do schránky.

Část 2 – Úprava vlastností místní lokality

  1. V části Připojení typu Site-to-Site vyberte připojení. Například SiteVNet4.
  2. Na stránce Vlastnosti pro připojení typu Site-to-Site vyberte Upravit místní web.
  3. Do pole IP adresy brány VPN vložte IP adresu brány VPN, kterou jste zkopírovali v předchozí části.
  4. Vyberte OK.
  5. Pole se aktualizuje v systému. Tuto metodu můžete použít také k přidání další IP adresy, kterou chcete směrovat na tento web.

Část 3 – Opakování kroků pro druhou virtuální síť

Opakujte kroky pro virtuální síť TestVNet4.

Načtení hodnot konfigurace

Když vytváříte klasické virtuální sítě na webu Azure Portal, název, který zobrazíte, není úplný název, který používáte pro PowerShell. Například virtuální síť, která se zdá být na portálu pojmenovaná TestVNet1 , může mít v konfiguračním souboru sítě mnohem delší název. Název virtuální sítě ve skupině prostředků ClassicRG může vypadat nějak takto: Group ClassicRG TestVNet1. Při vytváření připojení je důležité použít hodnoty, které vidíte v konfiguračním souboru sítě.

V následujících krocích se připojíte ke svému účtu Azure a stáhnete a zobrazíte konfigurační soubor sítě, abyste získali hodnoty potřebné pro vaše připojení.

  1. Stáhněte a nainstalujte nejnovější verzi rutin PowerShellu pro správu služeb Azure. Většina lidí má místně nainstalované moduly Resource Manageru, ale nemají moduly Service Management. Moduly Service Management jsou starší verze a musí se instalovat samostatně. Další informace najdete v tématu Instalace rutin správy služeb.

  2. Otevřete konzolu PowerShellu se zvýšenými oprávněními a připojte se ke svému účtu. S připojením vám pomůžou následující příklady. Tyto příkazy musíte spouštět místně pomocí modulu Správa služby PowerShellu. Připojte se ke svému účtu. Připojení vám usnadní následující ukázka:

    Add-AzureAccount

  3. Zkontrolujte předplatná pro příslušný účet.

    Get-AzureSubscription

  4. Máte-li více předplatných, vyberte předplatné, které chcete použít.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Vytvořte adresář v počítači. Například C:\AzureVNet

  6. Exportujte konfigurační soubor sítě do adresáře. V tomto příkladu se konfigurační soubor sítě exportuje do C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Otevřete soubor pomocí textového editoru a prohlédněte si názvy virtuálních sítí a webů. Tyto názvy budou názvy, které použijete při vytváření připojení.
    Názvy virtuálních sítí jsou uvedeny jako název VirtualNetworkSite =
    Názvy webů jsou uvedeny jako LocalNetworkSiteRef name =

Vytvoření připojení

Po dokončení všech předchozích kroků můžete nastavit předsdílené klíče IPsec/IKE a vytvořit připojení. Tato sada kroků používá PowerShell. Připojení typu VNet-to-VNet pro model nasazení Classic nejde nakonfigurovat na webu Azure Portal, protože sdílený klíč nejde zadat na portálu.

V příkladech si všimněte, že sdílený klíč je úplně stejný. Sdílený klíč se musí vždy shodovat. Nezapomeňte nahradit hodnoty v těchto příkladech přesnými názvy virtuálních sítí a místních síťových lokalit.

  1. Vytvořte připojení virtuální sítě TestVNet1 k virtuální síti TestVNet4. Nezapomeňte změnit hodnoty.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Vytvořte připojení virtuální sítě TestVNet4 k virtuální síti TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Počkejte, až se připojení inicializují. Po inicializaci brány je stav Úspěšný.

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

Nejčastější dotazy a důležité informace

Tyto aspekty platí pro klasické virtuální sítě a brány klasických virtuálních sítí.

  • Virtuální sítě můžou být ve stejném nebo jiném předplatném.
  • Virtuální sítě se můžou nacházet ve stejné oblasti (umístění) Azure nebo v různých oblastech.
  • Cloudová služba nebo koncový bod vyrovnávání zatížení nemůžou přesahovat mezi virtuálními sítěmi, i když jsou propojené dohromady.
  • Připojení společné více virtuálních sítí nevyžaduje žádná zařízení VPN.
  • VNet-to-VNet podporuje připojení virtuálních sítí Azure. Nepodporuje připojení virtuálních počítačů ani cloudových služeb, které nejsou nasazené do virtuální sítě.
  • VNet-to-VNet vyžaduje brány dynamického směrování. Brány statického směrování Azure se nepodporují.
  • Možnost připojení k virtuální síti je možné využívat současně se sítěmi VPN s více servery. Pro bránu VPN virtuální sítě, která se připojuje k jiným virtuálním sítím nebo k místním lokalitám, existuje maximálně 10 tunelů VPN.
  • Adresní prostory virtuálních sítí a místních serverů místních sítí se nesmějí překrývat. Překrývající se adresní prostory způsobují selhání vytváření virtuálních sítí nebo nahrávání konfiguračních souborů netcfg.
  • Redundantní tunely mezi dvojicí virtuálních sítí se nepodporují.
  • Všechny tunely VPN pro virtuální síť, včetně sítí VPN typu P2S, sdílejí dostupnou šířku pásma pro bránu VPN a stejnou smlouvu SLA pro dostupnost brány VPN v Azure.
  • Provoz typu VNet-to-VNet prochází přes páteřní síť Azure.

Další kroky

Ověřte stav připojení. Viz Ověření připojení ke službě VPN Gateway.