Cvičení – vytvoření brány VPN typu site-to-site pomocí příkazů Azure CLI
Teď jste připraveni k tomu, abyste bránu VPN typu site-to-site dokončili tím, že vytvoříte veřejné IP adresy, brány virtuální sítě a připojení. Mějte na paměti, že při vytváření bran místní sítě jste místo veřejné IP adresy použili zástupce. Jedním z vašich úkolů je teď tedy aktualizace těchto bran pomocí skutečných veřejných IP adres, které jsou přiřazeny k branám virtuální sítě.
V ideálním případě by veřejné IP adresy a brány virtuální sítě měly být vytvořeny dříve než brány místní sítě. V tomto cvičení se dozvíte, jak aktualizovat brány místní sítě. Stejné příkazy můžete použít k aktualizaci jakéhokoli elementu konfigurace bran místní sítě, například adresních prostorů vzdálené sítě.
Vytvoření brány sítě VPN na straně Azure
Nejprve vytvoříte bránu VPN pro konec připojení Azure. Vytvoření brány virtuální sítě může trvat až 45 minut. Pokud chcete ušetřit čas, použijte příkazy Azure CLI s parametrem --no-wait . Tento parametr vám umožní vytvářet obě brány virtuální sítě současně a minimalizovat tak celkovou dobu potřebnou k vytvoření těchto prostředků.
Spuštěním následujícího příkazu v Cloud Shellu vytvořte veřejnou IP adresu PIP-VNG-Azure-VNet-1 .
az network public-ip create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-Azure-VNet-1 \ --allocation-method StaticSpuštěním následujícího příkazu v Cloud Shellu vytvořte virtuální síť VNG-Azure-VNet-1 .
az network vnet create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-Azure-VNet-1 \ --subnet-name GatewaySubnetSpuštěním následujícího příkazu v Cloud Shellu vytvořte bránu virtuální sítě VNG-Azure-VNet-1 .
az network vnet-gateway create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-Azure-VNet-1 \ --public-ip-addresses PIP-VNG-Azure-VNet-1 \ --vnet VNG-Azure-VNet-1 \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-wait
Vytvoření místní brány sítě VPN
Dále vytvoříte bránu VPN pro simulaci místního zařízení VPN.
Spuštěním následujícího příkazu v Cloud Shellu vytvořte veřejnou IP adresu PIP-VNG-HQ-Network .
az network public-ip create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-HQ-Network \ --allocation-method StaticSpuštěním následujícího příkazu v Cloud Shellu vytvořte virtuální síť VNG-HQ-Network .
az network vnet create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-HQ-Network \ --subnet-name GatewaySubnetSpuštěním následujícího příkazu v Cloud Shellu vytvořte bránu virtuální sítě VNG-HQ-Network .
az network vnet-gateway create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name VNG-HQ-Network \ --public-ip-addresses PIP-VNG-HQ-Network \ --vnet VNG-HQ-Network \ --gateway-type Vpn \ --vpn-type RouteBased \ --sku VpnGw1 \ --no-waitVytvoření brány trvá přibližně 30 minut. Pokud chcete sledovat proces vytvoření brány, spusťte následující příkaz. K pravidelnému spuštění příkazu používáme linuxový
watchaz network vnet-gateway listpříkaz, který umožňuje sledovat průběh.watch -d -n 5 az network vnet-gateway list \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --output tableAž se u každé brány VPN zobrazí ve sloupci ProvisioningState stav Succeeded (Úspěšné), můžete pokračovat. Po vytvoření brány stiskněte kombinaci kláves Ctrl+C, kterou příkaz zastavíte.
ActiveActive EnableBgp EnablePrivateIpAddress GatewayType Location Name ProvisioningState ResourceGroup ResourceGuid VpnType -------------- ----------- ------------------------ ------------- -------------- ---------------- ------------------- ----------------------------- ------------------------------------ ---------- False False False Vpn southcentralus VNG-Azure-VNet-1 Succeeded <rgn>[sandbox resource group name]</rgn> 48dc714e-a700-42ad-810f-a8163ee8e001 RouteBased False False False Vpn southcentralus VNG-HQ-Network Succeeded <rgn>[sandbox resource group name]</rgn> 49b3041d-e878-40d9-a135-58e0ecb7e48b RouteBased
Aktualizace odkazů na IP adresy bran místní sítě
Důležité
Před zahájením tohoto dalšího cvičení musí být brány virtuální sítě úspěšně nasazené. Dokončení brány může trvat až 30 minut. Pokud se stav zřizování ještě nezobrazuje "Úspěch", musíte počkat.
V této části aktualizujete odkazy na IP adresy vzdálené brány, které jsou definovány v branách místní sítě. Brány místní sítě nelze aktualizovat, dokud nevytvoříte brány VPN a dokud k nim není přiřazena adresa IPv4.
Spuštěním následujícího příkazu Azure CLI zkontrolujte, jestli byly vytvořeny obě brány virtuální sítě. Počáteční stav zobrazuje aktualizaci. Chcete vidět úspěch v síti VNG-Azure-VNet-1 i VNG-HQ-Network.
az network vnet-gateway list \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --output tableName Location GatewayType VpnType VpnGatewayGeneration EnableBgp EnablePrivateIpAddress Active ResourceGuid ProvisioningState ResourceGroup ---------------- ---------- ------------- ---------- ---------------------- ----------- ------------------------ -------- ------------------------------------ ------------------- ------------------------------------------ VNG-Azure-VNet-1 westus Vpn RouteBased Generation1 False False False 9a2e60e6-da57-4274-99fd-e1f8b2c0326d Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09e VNG-HQ-Network westus Vpn RouteBased Generation1 False False False c36430ed-e6c0-4230-ae40-cf937a102bcd Succeeded learn-cfbcca66-16fd-423e-b688-66f242d8f09ePočkejte, dokud se seznamy bran úspěšně nevrátí. Připomínáme, že prostředky bran místní sítě definují nastavení vzdálené brány a sítě, po které jsou pojmenovány. Například brána místní sítě LNG-Azure-VNet-1 obsahuje informace, jako jsou IP adresa a sítě pro Azure-VNet-1.
Spuštěním následujícího příkazu v Cloud Shellu načtěte adresu IPv4 přiřazenou pip-VNG-Azure-VNet-1 a uložte ji do proměnné.
PIPVNGAZUREVNET1=$(az network public-ip show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-Azure-VNet-1 \ --query "[ipAddress]" \ --output tsv)Spuštěním následujícího příkazu v Cloud Shellu aktualizujte bránu místní sítě LNG-Azure-VNet-1 tak, aby odkazovat na veřejnou IP adresu připojenou k bráně virtuální sítě VNG-Azure-VNet-1 .
az network local-gateway update \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name LNG-Azure-VNet-1 \ --gateway-ip-address $PIPVNGAZUREVNET1Spuštěním následujícího příkazu v Cloud Shellu načtěte adresu IPv4 přiřazenou pip-VNG-HQ-Network a uložte ji do proměnné.
PIPVNGHQNETWORK=$(az network public-ip show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name PIP-VNG-HQ-Network \ --query "[ipAddress]" \ --output tsv)Spuštěním následujícího příkazu v Cloud Shellu aktualizujte bránu místní sítě LNG-HQ-Network tak, aby odkazovat na veřejnou IP adresu připojenou k bráně virtuální sítě VNG-HQ-Network .
az network local-gateway update \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name LNG-HQ-Network \ --gateway-ip-address $PIPVNGHQNETWORK
Vytvoření připojení
Konfiguraci dokončíte vytvořením připojení z každé brány VPN k bráně místní sítě, která obsahuje odkazy na veřejné IP adresy pro vzdálenou síť této brány.
Vytvořte sdílený klíč, který se použije pro tato připojení. V následujícím příkazu nahraďte
<shared key>textovým řetězcem, který se použije pro předsdílený klíč IPSec. Předsdílený klíč je řetězec tisknutelných znaků ASCII delší než 128 znaků. Nemůže obsahovat speciální znaky, jako jsou spojovníky a tilda. Tento předsdílený klíč použijete na obou připojeních.Poznámka:
V tomto příkladu budou všechny sady čísel fungovat pro sdílený klíč: SHAREDKEY=123456789. V produkčních prostředích doporučujeme použít řetězec tisknutelných znaků ASCII delší než 128 znaků bez speciálních znaků, jako jsou spojovníky nebo vlnky.
SHAREDKEY=<shared key>Připomínáme, že LNG-HQ-Network obsahuje odkaz na IP adresu vašeho simulovaného místního zařízení VPN. Spuštěním následujícího příkazu v Cloud Shellu vytvořte připojení z VNG-Azure-VNet-1 k LNG-HQ-Network.
az network vpn-connection create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name Azure-VNet-1-To-HQ-Network \ --vnet-gateway1 VNG-Azure-VNet-1 \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-HQ-NetworkPřipomínáme, že LNG-Azure-VNet-1 obsahuje odkaz na veřejnou IP adresu, která je přidružena k bráně sítě VPN VNG-Azure-VNet-1. Toto připojení by se normálně vytvořilo z místního zařízení. Spuštěním následujícího příkazu v Cloud Shellu vytvořte připojení z VNG-HQ-Network k LNG-Azure-VNet-1.
az network vpn-connection create \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name HQ-Network-To-Azure-VNet-1 \ --vnet-gateway1 VNG-HQ-Network \ --shared-key $SHAREDKEY \ --local-gateway2 LNG-Azure-VNet-1
Dokončili jste konfiguraci připojení typu site-to-site. Může to trvat několik minut, ale tunely by se měly automaticky připojit a aktivovat.
Postup ověření
Pojďme se ujistit, že jsou tunely VPN připojené.
Spuštěním následujícího příkazu potvrďte, že je připojená síť Azure-VNet-1-To-HQ-Network.
az network vpn-connection show \ --resource-group <rgn>[sandbox resource group name]</rgn> \ --name Azure-VNet-1-To-HQ-Network \ --output table \ --query '{Name:name,ConnectionStatus:connectionStatus}'Měl by se zobrazit výstup podobný následujícímu, což znamená, že připojení bylo úspěšné. Pokud se
ConnectionStatuszobrazí jakoConnectingneboUnknown, počkejte minutu nebo dvě a spusťte příkaz znovu. Úplné připojení může trvat několik minut.Name ConnectionStatus -------------------------- ------------------ Azure-VNet-1-To-HQ-Network Connected
Tímto je konfigurace typu site-to-site dokončena. Konečná topologie, včetně podsítí a připojení s logickými spojovacími body, se zobrazí v následujícím diagramu. Teď, když byla úspěšně navázána připojení přes síť VPN, spolu mohou virtuální počítače nasazené v podsítích Services a Applications vzájemně komunikovat.
