Připojení místní sítě k virtuální síti Microsoft Azure

Virtuální síť Azure mezi místy je připojená k vaší místní síti a rozšiřuje vaši síť tak, aby zahrnovala podsítě a virtuální počítače hostované ve službách infrastruktury Azure. Toto připojení umožňuje počítačům v místní síti přímý přístup k virtuálním počítačům v Azure a naopak.

Například server synchronizace adresářů spuštěný na virtuálním počítači Azure se musí dotazovat místních řadičů domény na změny účtů a synchronizovat tyto změny s vaším předplatným Microsoftu 365. V tomto článku se dozvíte, jak nastavit virtuální síť Azure mezi místy pomocí připojení site-to-site virtuální privátní sítě (VPN), které je připravené k hostování virtuálních počítačů Azure.

Konfigurace virtuální sítě Azure mezi různými místy

Vaše virtuální počítače v Azure nemusí být izolované od místního prostředí. Pokud chcete připojit virtuální počítače Azure k místním síťovým prostředkům, musíte nakonfigurovat virtuální síť Azure mezi různými místy. Následující diagram znázorňuje požadované komponenty pro nasazení virtuální sítě Azure mezi místy s virtuálním počítačem v Azure.

V diagramu jsou dvě sítě propojené připojením site-to-site VPN: místní síť a virtuální síť Azure. Připojení VPN typu site-to-site je následující:

• Mezi dvěma koncovými body, které jsou adresovatelné a umístěné na veřejném internetu.
• Ukončí ho zařízení VPN v místní síti a brána Azure VPN Gateway ve virtuální síti Azure.

Virtuální síť Azure hostuje virtuální počítače. Síťový provoz pocházející z virtuálních počítačů ve virtuální síti Azure se přesměruje do brány VPN, která pak přesměruje provoz přes připojení VPN typu site-to-site do zařízení VPN v místní síti. Infrastruktura směrování místní sítě pak přesměruje provoz do svého cíle.

Poznámka

Můžete také použít ExpressRoute, což je přímé připojení mezi vaší organizací a sítí Microsoftu. Provoz přes ExpressRoute neprovádí veřejný internet. Tento článek nepopisuje použití ExpressRoute.

Pokud chcete nastavit připojení VPN mezi vaší virtuální sítí Azure a místní sítí, postupujte takto:

1. Místní: Definujte a vytvořte místní síťovou trasu pro adresní prostor virtuální sítě Azure, která odkazuje na vaše místní zařízení VPN.
2. Microsoft Azure: Vytvořte virtuální síť Azure s připojením site-to-site VPN.
3. Místní: Nakonfigurujte místní hardwarové nebo softwarové zařízení VPN tak, aby ukončilo připojení VPN, které používá protokol IPsec (Internet Protocol security).

Po navázání připojení VPN typu site-to-site přidáte virtuální počítače Azure do podsítí virtuální sítě.

Plánování virtuální sítě Azure

Požadavky

• Předplatné Azure. Informace o předplatných Azure najdete na stránce Jak koupit Azure.
• Dostupný privátní adresní prostor IPv4, který se přiřadí virtuální síti a jejím podsítím, s dostatečným prostorem pro růst, aby se pojal počet virtuálních počítačů potřebných v současnosti i v budoucnu.
• Dostupné zařízení VPN ve vaší místní síti pro ukončení připojení VPN typu site-to-site, které podporuje požadavky na protokol IPsec. Další informace najdete v tématu Informace o zařízeních VPN pro připojení virtuální sítě typu site-to-site.
• Změní infrastrukturu směrování tak, aby se provoz směrovaný do adresního prostoru virtuální sítě Azure přesměrováoval do zařízení VPN, které je hostitelem připojení site-to-site VPN.
• Webový proxy server, který poskytuje počítačům připojeným k místní síti a virtuální síti Azure přístup k internetu.

Předpoklady návrhu architektury řešení

Následující seznam obsahuje volby návrhu, které byly provedeny pro tuto architekturu řešení.

• Toto řešení používá jednu virtuální síť Azure s připojením VPN typu site-to-site. Virtuální síť Azure hostuje jednu podsíť, která může obsahovat více virtuálních počítačů.
• Pomocí služby Směrování a vzdálený přístup (RRAS) v Windows Server 2016 nebo Windows Server 2012 můžete vytvořit připojení site-to-site VPN protokolu IPsec mezi místní sítí a virtuální sítí Azure. Můžete také použít jiné možnosti, například zařízení VPN Cisco nebo Juniper Networks.
• Místní síť může stále obsahovat síťové služby, jako jsou Active Directory Domain Services (AD DS), DNS (Domain Name System) a proxy servery. V závislosti na vašich požadavcích může být vhodné umístit některé z těchto síťových prostředků do virtuální sítě Azure.

V případě existující virtuální sítě Azure s jednou nebo více podsítěmi na základě vašich požadavků určete, jestli zbývá adresní prostor pro další podsíť pro hostování potřebných virtuálních počítačů. Pokud nemáte zbývající adresní prostor pro další podsíť, vytvořte další virtuální síť, která má vlastní připojení VPN typu site-to-site.

Plánování změn infrastruktury směrování pro virtuální síť Azure

Místní infrastrukturu směrování musíte nakonfigurovat tak, aby přesměrovala provoz určený pro adresní prostor virtuální sítě Azure do místního zařízení VPN, které je hostitelem připojení SITE-to-Site VPN.

Přesný způsob aktualizace infrastruktury směrování závisí na tom, jak spravujete informace o směrování, což může být:

• Aktualizace směrovací tabulky na základě ruční konfigurace
• Směrovací tabulka se aktualizuje na základě směrovacích protokolů, jako je protokol RIP (Routing Information Protocol) nebo OSPF (Open Shortest Path First).

Obraťte se na odborníka na směrování a ujistěte se, že se provoz určený pro virtuální síť Azure přesměruje do místního zařízení VPN.

Plánování pravidel brány firewall pro provoz do a z místního zařízení VPN

Pokud je vaše zařízení VPN v hraniční síti, která má bránu firewall mezi hraniční sítí a internetem, možná budete muset nakonfigurovat bránu firewall pro následující pravidla, která povolí připojení site-to-site VPN.

• Provoz do zařízení VPN (příchozí z internetu):

  • Cílová IP adresa zařízení VPN a protokol IP 50
  • Cílová IP adresa zařízení VPN a cílový port UDP 500
  • Cílová IP adresa zařízení VPN a cílový port UDP 4500

• Provoz ze zařízení VPN (odchozí do internetu):

  • Zdrojová IP adresa zařízení VPN a protokol IP 50
  • Zdrojová IP adresa zařízení VPN a zdrojový port UDP 500
  • Zdrojová IP adresa zařízení VPN a zdrojový port UDP 4500

Plánování adresního prostoru privátních IP adres virtuální sítě Azure

Adresní prostor privátních IP adres virtuální sítě Azure musí být schopný pojmout adresy používané Azure k hostování virtuální sítě a s alespoň jednou podsítí, která má dostatek adres pro vaše virtuální počítače Azure.

Pokud chcete určit počet adres potřebných pro podsíť, spočítejte počet virtuálních počítačů, které teď potřebujete, odhadněte budoucí růst a pak pomocí následující tabulky určete velikost podsítě.

Počet potřebných virtuálních počítačů	Počet potřebných bitů hostitele	Velikost podsítě
1-3	3	/29
4-11	4	/28
12-27	5	/27
28-59	6	/26
60-123	7	/25

Plánovací list pro konfiguraci virtuální sítě Azure

Než vytvoříte virtuální síť Azure pro hostování virtuálních počítačů, musíte v následujících tabulkách určit potřebná nastavení.

Pokud chcete zadat nastavení virtuální sítě, vyplňte tabulku V.

Tabulka V: Konfigurace virtuální sítě mezi různými místy

Položka	Element konfigurace	Popis	Hodnota
1.	Název virtuální sítě	Název, který se má přiřadit k virtuální síti Azure (například DirSyncNet).
2.	Umístění virtuální sítě	Datacentrum Azure, které bude obsahovat virtuální síť (například USA – západ).
3.	IP adresa zařízení VPN	Veřejná IPv4 adresa rozhraní vašeho zařízení VPN na internetu. Na určení této adresy se obraťte na oddělení IT.
4.	Adresní prostor virtuální sítě	Adresní prostor (definovaný v jedné předponě privátní adresy) pro virtuální síť. Spolupracujte se svým IT oddělením a zjistěte tento adresní prostor. Adresní prostor by měl být ve formátu CIDR (Classless Interdomain Routing), označovaný také jako formát předpony sítě. Příkladem je 10.24.64.0/20.
5.	Sdílený klíč IPsec	32znakový náhodný alfanumerický řetězec, který se použije k ověření obou stran připojení VPN typu site-to-site. Ve spolupráci s it oddělením nebo oddělením zabezpečení určete tuto hodnotu klíče a pak ji uložte na bezpečném místě. Případně si přečtěte téma Vytvoření náhodného řetězce pro předsdílený klíč IPsec.

Vyplňte tabulku S pro podsítě tohoto řešení.

• U první podsítě určete 28bitový adresní prostor (s délkou předpony /28) pro podsíť brány Azure. Informace o tom, jak tento adresní prostor určit, najdete v tématu Výpočet adresního prostoru podsítě brány pro virtuální sítě Azure .

• Pro druhou podsíť zadejte popisný název, jeden adresní prostor IP adres na základě adresního prostoru virtuální sítě a popisný účel.

Ve spolupráci s oddělením IT určete tyto adresní prostory z adresního prostoru virtuální sítě. Oba adresní prostory by měly být ve formátu CIDR.

Tabulka S: Podsítě ve virtuální síti

Položka	Název podsítě	Adresní prostor podsítě	Účel
1.	Podsíť brány		Podsíť používaná bránou Azure.
2.

U místních serverů DNS, které mají virtuální počítače ve virtuální síti používat, vyplňte tabulku D. Každému serveru DNS zadejte popisný název a jednu IP adresu. Tento popisný název se nemusí shodovat s názvem hostitele nebo názvem počítače serveru DNS. Všimněte si, že jsou uvedené dvě prázdné položky, ale můžete přidat další. Spolupracujte se svým IT oddělením a zjistěte tento seznam.

Tabulka D: Místní servery DNS

Položka	Popisný název serveru DNS	IP adresa serveru DNS
1.
2.

Pokud chcete směrovat pakety z virtuální sítě Azure do sítě vaší organizace přes připojení VPN typu site-to-site, musíte virtuální síť nakonfigurovat s místní sítí. Tato místní síť obsahuje seznam adresních prostorů (ve formátu CIDR) pro všechna umístění v místní síti vaší organizace, ke kterým se musí virtuální počítače ve virtuální síti dostat. Může to být všechna umístění v místní síti nebo podmnožina. Seznam adresních prostorů, které definují vaši místní síť, musí být jedinečný a nesmí se překrývat s adresovými prostory používanými pro tuto virtuální síť nebo jiné virtuální sítě mezi místy.

Pro sadu adresních prostorů místní sítě vyplňte tabulku L. Všimněte si, že jsou uvedené tři prázdné položky, ale obvykle jich budete potřebovat víc. Spolupracujte se svým IT oddělením a zjistěte tento seznam.

Tabulka L: Předpony adres pro místní síť

Položka	Adresní prostor místní sítě
1.
2.
3.

Plán nasazení

Vytvoření virtuální sítě mezi místy a přidání virtuálních počítačů v Azure se skládá ze tří fází:

• Fáze 1: Příprava místní sítě
• Fáze 2: Vytvoření virtuální sítě mezi místy v Azure
• Fáze 3 (volitelné): Přidejte virtuální počítače.

Fáze 1: Příprava místní sítě

U místní sítě musíte nakonfigurovat trasu, která odkazuje na a nakonec doručuje provoz určený pro adresní prostor virtuální sítě do směrovače na okraji místní sítě. Obraťte se na správce sítě a zjistěte, jak přidat trasu do infrastruktury směrování místní sítě.

Tady je výsledná konfigurace.

Fáze 2: Vytvoření virtuální sítě napříč místy v Azure

Nejprve otevřete Azure PowerShell výzvu. Pokud jste Azure PowerShell nenainstalovali, přečtěte si téma Začínáme s Azure PowerShell.

Dále se pomocí tohoto příkazu přihlaste ke svému účtu Azure.

Connect-AzAccount

Pomocí následujícího příkazu získejte název předplatného.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Nastavte předplatné Azure pomocí těchto příkazů. Nahraďte vše v uvozovkách, včetně < znaků a > , správným názvem předplatného.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Dále vytvořte novou skupinu prostředků pro vaši virtuální síť. Pokud chcete určit jedinečný název skupiny prostředků, použijte tento příkaz k zobrazení seznamu existujících skupin prostředků.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Pomocí těchto příkazů vytvořte novou skupinu prostředků.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

Dále vytvoříte virtuální síť Azure.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Tady je výsledná konfigurace.

Dále pomocí těchto příkazů vytvořte brány pro připojení VPN typu site-to-site.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Tady je výsledná konfigurace.

Dále nakonfigurujte místní zařízení VPN tak, aby se připojilo ke službě Azure VPN Gateway. Další informace najdete v tématu o zařízeních VPN pro připojení Azure Virtual Network typu site-to-site.

Ke konfiguraci zařízení VPN budete potřebovat následující:

• Veřejná IPv4 adresa brány Azure VPN pro vaši virtuální síť. K zobrazení této adresy použijte příkaz Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName .
• Předsdílený klíč protokolu IPsec pro připojení site-to-site VPN (tabulka V – položka 5 – sloupec hodnota).

Tady je výsledná konfigurace.

Fáze 3 (volitelné): Přidání virtuálních počítačů

Vytvořte virtuální počítače, které potřebujete v Azure. Další informace najdete v tématu Vytvoření virtuálního počítače s Windows pomocí Azure Portal.

Použijte následující nastavení:

• Na kartě Základy vyberte stejné předplatné a skupinu prostředků jako vaše virtuální síť. Budete je potřebovat později pro přihlášení k virtuálnímu počítači. V části Podrobnosti o instanci zvolte odpovídající velikost virtuálního počítače. Uživatelské jméno a heslo účtu správce si zaznamenejte na zabezpečeném místě.
• Na kartě Sítě vyberte název vaší virtuální sítě a podsíť pro hostování virtuálních počítačů (ne podsíť GatewaySubnet). U všech ostatních nastavení ponechte výchozí hodnoty.

Ověřte, že váš virtuální počítač používá DNS správně, a to tak, že zkontrolujete interní DNS a ujistěte se, že se pro nový virtuální počítač přidaly záznamy Adresy (A). Pro přístup k internetu musí být virtuální počítače Azure nakonfigurované tak, aby používaly proxy server místní sítě. Požádejte správce sítě o další kroky konfigurace, které je třeba provést na serveru.

Tady je výsledná konfigurace.

Další krok

Nasazení synchronizace adresářů Microsoft 365 v Microsoft Azure