Konfigurace připojení brány VPN typu VNet-to-VNet – Azure Portal

  • Článek

Tento článek vám pomůže propojit virtuální sítě pomocí typu připojení typu VNet-to-VNet pomocí webu Azure Portal. Virtuální sítě můžou být v různých oblastech a z různých předplatných. Když připojíte virtuální sítě z různých předplatných, nemusí být předplatná přidružená ke stejnému tenantovi. Tento typ konfigurace vytvoří připojení mezi dvěma bránami virtuální sítě. Tento článek se nevztahuje na partnerský vztah virtuálních sítí. Informace o partnerském vztahu virtuálních sítí najdete v článku o partnerském vztahu virtuálních sítí.

VNet to VNet diagram.

Tuto konfiguraci můžete vytvořit pomocí různých nástrojů v závislosti na modelu nasazení vaší virtuální sítě. Postup v tomto článku se týká modelu nasazení Azure Resource Manager a webu Azure Portal. Pokud chcete přepnout na jiný model nasazení nebo článek o metodě nasazení, použijte rozevírací seznam.

Informace o propojování virtuálních sítí

Následující části popisují různé způsoby připojení virtuálních sítí.

Připojení vnet-to-vnet (mezi virtuálními sítěmi)

Konfigurace připojení typu VNet-to-VNet je jednoduchý způsob připojení virtuálních sítí. Když připojíte virtuální síť k jiné virtuální síti s typem připojení typu VNet-to-VNet (VNet2VNet), podobá se vytvoření připojení site-to-site IPsec k místnímu umístění. Oba typy připojení používají bránu VPN k zajištění zabezpečeného tunelu s protokolem IPsec/IKE a fungují stejným způsobem při komunikaci. Liší se ale způsobem konfigurace brány místní sítě.

Když vytvoříte připojení typu VNet-to-VNet, automaticky se vytvoří a naplní adresní prostor brány místní sítě. Pokud aktualizujete adresní prostor pro jednu virtuální síť, druhá virtuální síť automaticky směruje do aktualizovaného adresního prostoru. Obvykle je rychlejší a jednodušší vytvořit připojení typu VNet-to-VNet než připojení typu Site-to-Site. Brána místní sítě ale v této konfiguraci není viditelná.

  • Pokud víte, že chcete pro bránu místní sítě zadat více adresních prostorů, nebo chcete později přidat další připojení a potřebujete upravit bránu místní sítě, měli byste konfiguraci vytvořit pomocí kroků typu Site-to-Site.
  • Připojení typu VNet-to-VNet nezahrnuje adresní prostor fondu klientů typu Point-to-Site. Pokud potřebujete tranzitivní směrování pro klienty typu Point-to-Site, vytvořte připojení typu Site-to-Site mezi branami virtuální sítě nebo použijte partnerský vztah virtuálních sítí.

Site-to-Site (IPsec)

Pokud pracujete se složitou konfigurací sítě, můžete raději připojit virtuální sítě pomocí připojení typu Site-to-Site. Když budete postupovat podle kroků IPsec typu Site-to-Site, vytvoříte a nakonfigurujete brány místní sítě ručně. Brána místní sítě pro každou virtuální síť zpracovává jiné virtuální sítě jako místní síť. Tyto kroky umožňují zadat více adresních prostorů pro bránu místní sítě pro směrování provozu. Pokud se adresní prostor virtuální sítě změní, musíte ručně aktualizovat odpovídající bránu místní sítě.

Partnerské vztahy virtuálních sítí

Virtuální sítě můžete připojit také pomocí partnerského vztahu virtuálních sítí.

  • VNet Peering nepoužívá bránu VPN a má různá omezení.
  • Ceny partnerských vztahů virtuálních sítí se počítají jinak než ceny služby VPN Gateway typu VNet-to-VNet.
  • Další informace o partnerském vztahu virtuálních sítí najdete v článku o partnerském vztahu virtuálních sítí.

Proč vytvářet připojení typu VNet-to-VNet?

K propojení virtuálních sítí můžete použít připojení typu VNet-to-VNet z následujících důvodů:

Geografická redundance napříč oblastmi a geografická přítomnost

  • Můžete nastavit vlastní geografickou replikaci nebo synchronizaci se zabezpečeným připojením, aniž byste museli přejíždět přes internetové koncové body.
  • Pomocí Azure Traffic Manageru a Azure Load Balanceru můžete nastavit vysoce dostupné úlohy s geografickou redundancí napříč několika oblastmi Azure. Můžete například nastavit skupiny dostupnosti AlwaysOn SQL Serveru napříč několika oblastmi Azure.

Regionální vícevrstvé aplikace s izolací nebo hranicemi správy

  • Ve stejné oblasti můžete nastavit vícevrstvé aplikace s několika virtuálními sítěmi, které jsou propojené z důvodu izolace nebo požadavků na správu.

Komunikaci typu VNet-to-VNet můžete kombinovat s konfiguracemi s více servery. Tyto konfigurace umožňují vytvořit síťové topologie, které kombinují připojení mezi místními sítěmi s připojením mezi virtuálními sítěmi, jak je znázorněno v následujícím diagramu:

VNet connections diagram.

Tento článek ukazuje, jak připojit virtuální sítě pomocí typu připojení VNet-to-VNet. Když jako cvičení použijete tento postup, můžete použít následující ukázkové hodnoty nastavení. V tomto příkladu jsou virtuální sítě ve stejném předplatném, ale v různých skupinách prostředků. Pokud jsou vaše virtuální sítě v různých předplatných, nelze vytvořit připojení na portálu. Místo toho použijte PowerShell nebo rozhraní příkazového řádku . Další informace o připojeních typu VNet-to-VNet najdete v nejčastějších dotazech k VNet-to-VNet.

Ukázkové nastavení

Hodnoty pro virtuální síť 1:

  • Nastavení virtuální sítě

    • Název: VNet1
    • Adresní prostor: 10.1.0.0/16
    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: TestRG1
    • Umístění: USA – východ
    • Podsíť
      • Název: FrontEnd
      • Rozsah adres: 10.1.0.0/24

  • Nastavení brány virtuální sítě

    • Název: VNet1GW
    • Skupina prostředků: USA – východ
    • Generování: generace 2
    • Typ brány: Vyberte VPN.
    • Typ sítě VPN: Vyberte trasu založenou na trasách.
    • SKU: VpnGw2
    • Generování: Generace 2
    • Virtuální síť: VNet1
    • Rozsah adres podsítě brány: 10.1.255.0/27
    • Veřejná IP adresa: Vytvoření nové
    • Název veřejné IP adresy: VNet1GWpip
    • Povolit režim aktivní-aktivní: Zakázáno
    • Konfigurace protokolu BGP: Zakázáno

  • Připojení

    • Název: VNet1toVNet4
    • Sdílený klíč: Sdílený klíč můžete vytvořit sami. Když vytvoříte připojení mezi virtuálními sítěmi, musí se hodnoty shodovat. V tomto cvičení použijte abc123.

Hodnoty pro virtuální síť 4:

  • Nastavení virtuální sítě

    • Název: VNet4
    • Adresní prostor: 10.41.0.0/16
    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: TestRG4
    • Umístění: USA – západ
    • Podsíť
    • Název: FrontEnd
    • Rozsah adres: 10.41.0.0/24

  • Nastavení brány virtuální sítě

    • Název: VNet4GW
    • Skupina prostředků: USA – západ
    • Generování: generace 2
    • Typ brány: Vyberte VPN.
    • Typ sítě VPN: Vyberte trasu založenou na trasách.
    • SKU: VpnGw2
    • Generování: Generace 2
    • Virtuální síť: VNet4
    • Rozsah adres podsítě brány: 10.41.255.0/27
    • Veřejná IP adresa: Vytvoření nové
    • Název veřejné IP adresy: VNet4GWpip
    • Povolit režim aktivní-aktivní: Zakázáno
    • Konfigurace protokolu BGP: Zakázáno

  • Připojení

    • Název: VNet4toVNet1
    • Sdílený klíč: Sdílený klíč můžete vytvořit sami. Když vytvoříte připojení mezi virtuálními sítěmi, musí se hodnoty shodovat. V tomto cvičení použijte abc123.

Vytvoření a konfigurace virtuální sítě VNet1

Pokud již máte virtuální síť vytvořenou, ověřte, zda jsou nastavení kompatibilní s vaším návrhem brány VPN. Věnujte zvláštní pozornost všem podsítím, které se můžou překrývat s jinými sítěmi. Pokud máte překrývající se podsítě, připojení nebude fungovat správně.

Vytvoření virtuální sítě

Poznámka:

Pokud používáte virtuální síť jako součást architektury mezi místy, nezapomeňte koordinovat správce místní sítě a vyřešovat rozsah IP adres, který můžete použít speciálně pro tuto virtuální síť. Pokud na obou stranách připojení VPN existuje duplicitní rozsah adres, provoz se neočekávaně směruje. Navíc pokud chcete tuto virtuální síť připojit k jiné virtuální síti, adresní prostor se nemůže překrývat s druhou virtuální sítí. Odpovídajícím způsobem naplánujte konfiguraci sítě.

  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Screenshot that shows the Basics tab.

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde budou prostředky, které do této virtuální sítě nasadíte.

  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Příkladem je FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.

  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Vytvoření brány virtuální sítě 1

V tomto kroku vytvoříte bránu virtuální sítě pro svou virtuální síť. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Informace o cenách skladové položky brány najdete v tématu Ceny. Pokud tuto konfiguraci vytváříte jako cvičení, podívejte se na ukázková nastavení.

Brána virtuální sítě vyžaduje konkrétní podsíť s názvem GatewaySubnet. Podsíť brány je součástí rozsahu IP adres pro vaši virtuální síť a obsahuje IP adresy, které používají prostředky a služby brány virtuální sítě.

Při vytváření podsítě brány zadáte počet IP adres, které podsíť obsahuje. Potřebný počet IP adres závisí na konfiguraci brány VPN, kterou chcete vytvořit. Některé konfigurace vyžadují víc IP adres než jiné. Nejlepší je zadat /27 nebo větší (/26, /25 atd.) pro vaši podsíť brány.

Pokud se zobrazí chyba, která určuje, že se adresní prostor překrývají s podsítí nebo že podsíť není obsažená v adresního prostoru vaší virtuální sítě, zkontrolujte rozsah adres virtuální sítě. Možná nemáte dostatek IP adres dostupných v rozsahu adres, který jste vytvořili pro vaši virtuální síť. Pokud například vaše výchozí podsíť zahrnuje celý rozsah adres, nebudou k dispozici žádné IP adresy pro vytvoření dalších podsítí. Můžete upravit podsítě v rámci existujícího adresního prostoru, aby se uvolnily IP adresy, nebo zadat jiný rozsah adres a vytvořit podsíť brány.

Chcete-li vytvořit bránu virtuální sítě

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

    Screenshot that shows the Search field.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Screenshot that shows the Instance fields.

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Toto nastavení se automaticky vyplňuje, když na této stránce vyberete virtuální síť.

    • Název: Zadejte pro bránu název. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány, který vytváříte.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Viz skladové položky brány. Na portálu závisí skladové položky dostupné v rozevíracím seznamu na VPN type vybraném místě. Skladovou položku Basic je možné nakonfigurovat jenom pomocí Azure CLI nebo PowerShellu. Skladovou položku Basic nemůžete nakonfigurovat na webu Azure Portal.

    • Generování: Vyberte generaci, kterou chcete použít. Doporučujeme použít skladovou položku Generation2. Další informace najdete v části Skladové jednotky (SKU) brány.

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, pro kterou chcete vytvořit bránu, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V tuto chvíli má toto pole několik různých chování v závislosti na adresních prostorech virtuální sítě a na tom, jestli jste už vytvořili podsíť s názvem GatewaySubnet pro vaši virtuální síť.

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty pro veřejnou IP adresu. Tato nastavení určují objekt veřejné IP adresy, který se přidružuje k bráně VPN. Při vytváření brány VPN se k tomuto objektu přiřadí veřejná IP adresa. Jedinou dobou, kdy se primární veřejná IP adresa změní, je odstranění a opětovné vytvoření brány. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění.

    Screenshot that shows the Public IP address field.

    • Typ veřejné IP adresy: Pokud máte v tomto cvičení možnost zvolit typ adresy, vyberte Standardní.
    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .
    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.
    • Skladová položka veřejné IP adresy: Nastavení je automaticky vybráno.
    • Přiřazení: Přiřazení je obvykle automaticky vybráno a může být dynamické nebo statické.
    • Povolit režim aktivní-aktivní: Vyberte Zakázáno. Toto nastavení povolte jenom v případě, že vytváříte konfiguraci brány aktivní-aktivní.
    • Konfigurace protokolu BGP: Vyberte Zakázáno, pokud konfigurace výslovně nevyžaduje toto nastavení. Pokud toto nastavení vyžadujete, výchozí hodnota ASN je 65515, i když tuto hodnotu můžete změnit.

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Po úspěšném ověření vyberte Vytvořit a nasaďte bránu VPN.

Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Úplné vytvoření a nasazení brány může trvat 45 minut nebo déle. Po vytvoření brány můžete zobrazením virtuální sítě na portálu zobrazit IP adresu, která jí byla přiřazena. Brána se zobrazí jako připojené zařízení.

Důležité

Při práci s podsítěmi brány se vyhněte přidružení skupiny zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Vytvoření a konfigurace virtuální sítě VNet4

Po nakonfigurování virtuální sítě 1 vytvořte bránu VNet4 a VNet4 opakováním předchozích kroků a nahrazením hodnot hodnotami VNet4. Před konfigurací virtuální sítě VNet4 nemusíte čekat na dokončení vytváření brány virtuální sítě pro virtuální síť VNet1. Pokud používáte vlastní hodnoty, ujistěte se, že se adresní prostory nepřekrývají s žádnou z virtuálních sítí, ke kterým se chcete připojit.

Konfigurace připojení

Po dokončení bran VPN pro virtuální síť VNet1 i VNet4 můžete vytvořit připojení brány virtuální sítě.

Virtuální sítě ve stejném předplatném je možné připojit pomocí portálu, i když jsou v různých skupinách prostředků. Pokud jsou ale vaše virtuální sítě v různých předplatných, musíte k vytvoření připojení použít PowerShell .

Můžete vytvořit obousměrné nebo jednosměrové připojení. V tomto cvičení určíme obousměrné připojení. Obousměrná hodnota připojení vytvoří dvě samostatná připojení, aby provoz mohl proudit v obou směrech.

  1. Na portálu přejděte na VNet1GW.

  2. Na stránce brány virtuální sítě přejděte na Připojení iony. Vyberte +Přidat.

    Screenshot showing the connections page.

  3. Na stránce Vytvořit připojení vyplňte hodnoty připojení.

    Screenshot showing the Create Connection page.

    • typ Připojení: V rozevíracím seznamu vyberte VNet-to-VNet.
    • Navázání obousměrného připojení: Vyberte tuto hodnotu.
    • Název prvního připojení: VNet1-to-VNet4
    • Druhý název připojení: VNet4-to-VNet1
    • Oblast: USA – východ (oblast pro VNet1GW)

  4. Kliknutím na tlačítko Další: Nastavení>v dolní části stránky přejděte na stránku Nastavení.

  5. Na stránce Nastavení zadejte následující hodnoty:

    • První brána virtuální sítě: V rozevíracím seznamu vyberte VNet1GW .
    • Druhá brána virtuální sítě: V rozevíracím seznamu vyberte VNet4GW .
    • Sdílený klíč (PSK):: Do tohoto pole zadejte sdílený klíč pro vaše připojení. Tento klíč si můžete vygenerovat nebo vytvořit sami. V připojení typu site-to-site je klíč, který používáte, stejný pro místní zařízení a připojení brány virtuální sítě. Koncept je tady podobný s tím rozdílem, že místo připojení k zařízení VPN se připojujete k jiné bráně virtuální sítě.
    • Protokol IKE: IKEv2

  6. V tomto cvičení můžete zbývající nastavení ponechat jako výchozí hodnoty.

  7. Vyberte Zkontrolovat a vytvořit a pak vytvořte připojení.

Ověření připojení

  1. Na webu Azure Portal vyhledejte bránu virtuální sítě. Například VNet1GW

  2. Na stránce brány virtuální sítě vyberte Připojení iony a zobrazte stránku Připojení ionů brány virtuální sítě. Po navázání připojení uvidíte, že se hodnoty stavu změní na Připojení.

    Screenshot connection status.

  3. Pod sloupcem Název vyberte jedno z připojení, abyste zobrazili další informace. Po zahájení toku dat se zobrazí hodnoty pro data v datech a data ven.

    Screenshot shows a resource group with values for Data in and Data out.

Přidání dalších připojení

Pokud chcete přidat další připojení, přejděte na bránu virtuální sítě, ze které chcete vytvořit připojení, a pak vyberte Připojení iony. Můžete vytvořit další připojení VNet-to-VNet nebo vytvořit připojení IPsec Site-to-Site k místnímu umístění. Nezapomeňte upravit Typ připojení tak, aby odpovídal typu připojení, které chcete vytvořit. Než vytvoříte další připojení, ověřte, že se adresní prostor vaší virtuální sítě nepřekrývá s žádnými adresními prostory, ke kterým se chcete připojit. Postup vytvoření připojení Site-to-Site najdete v tématu Vytvoření připojení typu Site-to-Site.

Nejčastější dotazy týkající se propojení VNet-to-VNet

Nejčastější dotazy k virtuální síti VNet-to-VNet najdete v nejčastějších dotazech ke službě VPN Gateway.

Další kroky

  • Informace o tom, jak můžete omezit síťový provoz na prostředky ve virtuální síti, najdete v tématu Zabezpečení sítě.

  • Informace o tom, jak Azure směruje provoz mezi Azure, místním prostředím a internetovými prostředky, najdete v tématu Směrování provozu virtuální sítě.