Plánování a implementace sítě Virtual Wide Area, včetně zabezpečeného virtuálního centra
Virtual WAN se připojuje k vašim prostředkům v Azure přes připojení VPN IPsec/IKE (IKEv1 a IKEv2). Tento typ připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu.
Požadavky
- Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.
- Rozhodněte rozsah IP adres, který chcete použít pro privátní adresní prostor virtuálního centra. Tyto informace se používají při konfiguraci virtuálního centra. Virtuální centrum je virtuální síť vytvořená a používaná službou Virtual WAN. Je to jádro vaší sítě Virtual WAN v oblasti. Rozsah adresního prostoru musí odpovídat určitým pravidlům.
- Rozsah adres, který zadáte pro centrum, se nemůže překrývat s žádnou z existujících virtuálních sítí, ke kterým se připojujete.
- Rozsah adres se nemůže překrývat s místními rozsahy adres, ke kterým se připojujete.
- Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, spojte se s někým, kdo vám může tyto podrobnosti poskytnout.
- Rozsah adres, který zadáte pro centrum, se nemůže překrývat s žádnou z existujících virtuálních sítí, ke kterým se připojujete.
Azure Portal nebo Azure PowerShell
K vytvoření připojení typu site-to-site ke službě Azure Virtual WAN můžete použít azure Portal nebo rutiny Azure PowerShellu. Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované a nakonfigurované běžné nástroje Azure pro použití s vaším účtem.
Cloud Shell otevřete tak, že v pravém horním rohu bloku kódu vyberete Otevřít Cloud Shell . Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/powershell. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte je do Cloud Shellu a stisknutím klávesy Enter je spusťte.
Na počítači můžete také nainstalovat a spustit rutiny Azure PowerShellu místně. Rutiny PowerShellu se často aktualizují. Pokud jste nenainstalovali nejnovější verzi, můžou selhat hodnoty uvedené v pokynech. Pokud chcete najít verze Azure PowerShellu nainstalované v počítači, použijte příkaz Get-Module -ListAvailable Az cmdlet.
Přihlásit se
Pokud používáte Azure Cloud Shell , budete po otevření Cloud Shellu automaticky přesměrováni na přihlášení ke svému účtu. Nemusíte spouštět Connect-AzAccount. Po přihlášení můžete předplatná v případě potřeby změnit pomocí a Get-AzSubscriptionSelect-AzSubscription.
Pokud používáte PowerShell místně, otevřete konzolu PowerShellu se zvýšenými oprávněními a připojte se ke svému účtu Azure. Rutina Připojení-AzAccount vás vyzve k zadání přihlašovacích údajů. Po ověření stáhne nastavení vašeho účtu, aby byly dostupné pro Azure PowerShell. Předplatné můžete změnit pomocí a Get-AzSubscriptionSelect-AzSubscription -SubscriptionName "Name of subscription".
Vytvoření virtuální sítě WAN
Než budete moct vytvořit virtual wan, musíte vytvořit skupinu prostředků pro hostování virtuální sítě WAN nebo použít existující skupinu prostředků. Použijte jeden z následujících příkladů.
Tento příklad vytvoří novou skupinu prostředků s názvem TestRG v umístění USA – východ. Pokud chcete místo toho použít existující skupinu prostředků, můžete příkaz upravit $resourceGroup = Get-AzResourceGroup -ResourceGroupName "NameofResourceGroup"a pak provést kroky v tomto cvičení pomocí vlastních hodnot.
Vytvořte skupinu prostředků.
New-AzResourceGroup -Location "East US" -Name "TestRG"Vytvořte virtual wan pomocí rutiny New-AzVirtualWan.
$virtualWan = New-AzVirtualWan -ResourceGroupName TestRG -Name TestVWAN1 -Location "East US"
Vytvoření centra a konfigurace nastavení centra
Centrum je virtuální síť, která může obsahovat brány pro funkce site-to-site, ExpressRoute nebo point-to-site. Vytvoření virtuálního centra pomocí New-AzVirtualHubnástroje . Tento příklad vytvoří výchozí virtuální centrum s názvem Hub1 se zadanou předponou adresy a umístěním centra.
$virtualHub = New-AzVirtualHub -VirtualWan $virtualWan -ResourceGroupName "TestRG" -Name "Hub1" -AddressPrefix "10.1.0.0/16" -Location "westus"
Vytvoření brány VPN typu site-to-site
V této části vytvoříte bránu VPN typu site-to-site ve stejném umístění jako odkazované virtuální centrum. Při vytváření brány VPN zadáte požadované jednotky škálování. Vytvoření brány trvá přibližně 30 minut.
Pokud jste azure Cloud Shell zavřeli nebo vypršel časový limit připojení, možná budete muset proměnnou znovu deklarovat pro $virtualHub.
$virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1"Vytvořte bránu VPN pomocí rutiny New-AzVpnGateway.
New-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" -VirtualHubId $virtualHub.Id -VpnGatewayScaleUnit 2Po vytvoření brány VPN ji můžete zobrazit pomocí následujícího příkladu.
Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1"
Vytvoření lokality a připojení
V této části vytvoříte weby, které odpovídají vašim fyzickým umístěním a připojením. Tyto lokality obsahují vaše místní koncové body zařízení VPN, ve službě Virtual WAN můžete vytvořit až 1 000 lokalit na virtuální centrum. Pokud máte více center, můžete na každé z těchto center vytvořit 1000.
Nastavte proměnnou pro bránu VPN a adresní prostor IP adres umístěný v místní lokalitě. Provoz určený do tohoto adresního prostoru se přesměruje do místní lokality. To se vyžaduje, když pro lokalitu není povolený protokol BGP.
$vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSiteAddressSpaces = New-Object string[] 2 $vpnSiteAddressSpaces[0] = "192.168.2.0/24" $vpnSiteAddressSpaces[1] = "192.168.3.0/24"Vytvořte odkazy pro přidání informací o fyzických odkazech ve větvi, včetně metadat o rychlosti propojení, názvu poskytovatele propojení a veřejné IP adrese místního zařízení.
$vpnSiteLink1 = New-AzVpnSiteLink -Name "TestSite1Link1" -IpAddress "15.25.35.45" -LinkProviderName "SomeTelecomProvider" -LinkSpeedInMbps "10" $vpnSiteLink2 = New-AzVpnSiteLink -Name "TestSite1Link2" -IpAddress "15.25.35.55" -LinkProviderName "SomeTelecomProvider2" -LinkSpeedInMbps "100"Vytvořte lokalitu VPN a odkazujte na proměnné propojení lokalit VPN, které jste právě vytvořili. Pokud jste azure Cloud Shell zavřeli nebo vypršel časový limit připojení, znovu předefinujte proměnnou virtuální sítě WAN:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1"Vytvořte web VPN pomocí rutiny New-AzVpnSite.
$vpnSite = New-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1" -Location "westus" -VirtualWan $virtualWan -AddressSpace $vpnSiteAddressSpaces -DeviceModel "SomeDevice" -DeviceVendor "SomeDeviceVendor" -VpnSiteLink @($vpnSiteLink1, $vpnSiteLink2)Vytvořte připojení propojení lokality. Připojení se skládá ze dvou tunelů aktivní-aktivní z větve nebo lokality do škálovatelné brány.
$vpnSiteLinkConnection1 = New-AzVpnSiteLinkConnection -Name "TestLinkConnection1" -VpnSiteLink $vpnSite.VpnSiteLinks[0] -ConnectionBandwidth 100 $vpnSiteLinkConnection2 = New-AzVpnSiteLinkConnection -Name "testLinkConnection2" -VpnSiteLink $vpnSite.VpnSiteLinks[1] -ConnectionBandwidth 10
Připojení lokalitu VPN do centra
Před spuštěním příkazu možná budete muset předefinovat následující proměnné:
$virtualWan = Get-AzVirtualWAN -ResourceGroupName "TestRG" -Name "TestVWAN1" $vpnGateway = Get-AzVpnGateway -ResourceGroupName "TestRG" -Name "vpngw1" $vpnSite = Get-AzVpnSite -ResourceGroupName "TestRG" -Name "TestSite1"Připojení lokalitu VPN do centra.
New-AzVpnConnection -ResourceGroupName $vpnGateway.ResourceGroupName -ParentResourceName $vpnGateway.Name -Name "testConnection" -VpnSite $vpnSite -VpnSiteLinkConnection @($vpnSiteLinkConnection1, $vpnSiteLinkConnection2)
Připojení virtuální síť do centra
Dalším krokem je připojení centra k virtuální síti. Pokud jste pro toto cvičení vytvořili novou skupinu prostředků, obvykle ve skupině prostředků ještě nebudete mít virtuální síť. Následující postup vám pomůže vytvořit virtuální síť, pokud ji ještě nemáte. Pak můžete vytvořit připojení mezi centrem a virtuální sítí.
Vytvoření virtuální sítě
K vytvoření virtuální sítě můžete použít následující ukázkové hodnoty. Nezapomeňte nahradit hodnoty v příkladech hodnotami, které jste použili pro vaše prostředí.
Vytvořte virtuální síť.
$vnet = @{ Name = 'VNet1' ResourceGroupName = 'TestRG' Location = 'eastus' AddressPrefix = '10.21.0.0/16' } $virtualNetwork = New-AzVirtualNetwork @vnetZadejte nastavení podsítě.
$subnet = @{ Name = 'Subnet-1' VirtualNetwork = $virtualNetwork AddressPrefix = '10.21.0.0/24' } $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnetNastavte virtuální síť.
$virtualNetwork | Set-AzVirtualNetwork
Připojení virtuální sítě k rozbočovači
Následující kroky umožňují připojit virtuální síť k virtuálnímu centru pomocí PowerShellu. K dokončení této úlohy můžete použít také Azure Portal. Uvedený postup zopakujte pro všechny virtuální sítě, které chcete připojit.
Než vytvoříte připojení, mějte na paměti následující skutečnosti:
- Virtuální síť je možné připojit pouze k jednomu virtuálnímu centru najednou.
- Pokud ho chcete připojit k virtuálnímu rozbočovači, vzdálená virtuální síť nemůže mít bránu.
- Některá nastavení konfigurace, například rozšířit statickou trasu, je možné v tuto chvíli nakonfigurovat jenom na webu Azure Portal.
Pokud se brány VPN nacházejí ve virtuálním centru, může tato operace i jakákoli jiná operace zápisu v připojené virtuální síti způsobit odpojení klientů typu point-to-site a opětovné připojení tunelů typu site-to-site a relací protokolu BGP (Border Gateway Protocol).
Přidat připojení
Deklarujte proměnné pro existující prostředky, včetně existující virtuální sítě.
$resourceGroup = Get-AzResourceGroup -ResourceGroupName "TestRG" $virtualWan = Get-AzVirtualWan -ResourceGroupName "TestRG" -Name "TestVWAN1" $virtualHub = Get-AzVirtualHub -ResourceGroupName "TestRG" -Name "Hub1" $remoteVirtualNetwork = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"Vytvořte připojení k partnerskému vztahu virtuální sítě k virtuálnímu centru.
New-AzVirtualHubVnetConnection -ResourceGroupName "TestRG" -VirtualHubName "Hub1" -Name "VNet1-connection" -RemoteVirtualNetwork $remoteVirtualNetwork
Konfigurace zařízení VPN
Stažení konfigurace zařízení VPN
Ke konfiguraci místního zařízení VPN použijte konfigurační soubor zařízení VPN. Zde jsou základní kroky:
- Na stránce Virtual WAN přejděte na stránku Hubs ->Your virtual hub ->VPN (Site to Site).
- V horní části stránky VPN (site-to-site) klikněte na Stáhnout konfiguraci SÍTĚ VPN. Při vytváření nového účtu úložiště ve skupině prostředků microsoft-network-[location] se zobrazí řada zpráv, kde umístění je umístění sítě WAN. Existující účet úložiště můžete přidat také kliknutím na Použít existující a přidáním platné adresy URL SAS s povolenými oprávněními k zápisu.
- Jakmile se soubor dokončí, kliknutím na odkaz soubor stáhněte. Tím se vytvoří nový soubor s konfigurací SÍTĚ VPN v zadaném umístění adresy URL SAS.
- Konfiguraci použijte u svého místního zařízení VPN. Další informace najdete v části Konfigurace zařízení VPN v této části.
- Po použití konfigurace u zařízení VPN nemusíte uchovávat účet úložiště, který jste vytvořili.
- Adresní prostor virtuální sítě.
- Příklad:
"AddressSpace":"10.1.0.0/24"
- Příklad:
- Adresní prostor virtuálních sítí, které jsou připojené k virtuálnímu centru.
- Příklad:
"ConnectedSubnets":["10.2.0.0/16","10.3.0.0/16"]
- Příklad:
- Adresní prostor IP virtuálního centra vpngateway. Vzhledem k tomu, že každé připojení vpngateway se skládá ze dvou tunelů v konfiguraci aktivní-aktivní, uvidíte obě IP adresy uvedené v tomto souboru. V tomto příkladu vidíte pro každou lokalitu položky Instance0 a Instance1.
- Příklad:
"Instance0":"nnn.nn.nn.nnn""Instance1":"nnn.nn.nn.nnn"
- Příklad:
- Veřejná IP adresa: Přiřazená Azure.
- Privátní IP adresa: Přiřazená Azure.
- Výchozí IP adresa protokolu BGP: Přiřazená Službou Azure.
- Vlastní IP adresa protokolu BGP: Toto pole je vyhrazené pro rozhraní APIPA (automatické privátní přidělování IP adres). podpora Azure ip adresu protokolu BGP v rozsahech 169.254.21.* a 169.254.22.*. Azure přijímá připojení protokolu BGP v těchto oblastech, ale bude vytáčet připojení s výchozí IP adresou protokolu BGP. Uživatelé mohou pro každou instanci zadat několik vlastních IP adres protokolu BGP. Pro obě instance by se neměla používat stejná vlastní IP adresa protokolu BGP.
- Adresní prostor virtuální sítě.
Konfigurační soubor zařízení VPN
Konfigurační soubor zařízení obsahuje nastavení, které se má použít při konfiguraci místního zařízení VPN. Při prohlížení souboru si všimněte následujících informací:
- vpnSiteConfiguration – Tato část označuje nastavení podrobností o zařízení jako lokalitu, která se připojuje k virtuální síti WAN. Zahrnuje název a veřejnou IP adresu zařízení větve.
vpnSite Připojení ions – tato část obsahuje informace o následujících nastaveních:
- Podrobnosti o konfiguraci připojení vpngateway, jako je protokol BGP, předsdílený klíč atd. PsK je předsdílený klíč, který se automaticky vygeneruje za vás. Připojení můžete kdykoli upravit na stránce Přehled pro vlastní předsdílený klíč (PSK).
Příklad konfiguračního souboru zařízení
{ "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"r403583d-9c82-4cb8-8570-1cbbcd9983b5" }, "vpnSiteConfiguration":{ "Name":"testsite1", "IPAddress":"73.239.3.208" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe", "ConnectedSubnets":[ "10.2.0.0/16", "10.3.0.0/16" ] }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.186", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"bkOWe5dPPqkx0DfFE3tyuP7y3oYqAEbI", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"1f33f891-e1ab-42b8-8d8c-c024d337bcac" }, "vpnSiteConfiguration":{ "Name":" testsite2", "IPAddress":"66.193.205.122" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"XzODPyAYQqFs4ai9WzrJour0qLzeg7Qg", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }, { "configurationVersion":{ "LastUpdatedTime":"2018-07-03T18:29:49.8405161Z", "Version":"cd1e4a23-96bd-43a9-93b5-b51c2a945c7" }, "vpnSiteConfiguration":{ "Name":" testsite3", "IPAddress":"182.71.123.228" }, "vpnSiteConnections":[ { "hubConfiguration":{ "AddressSpace":"10.1.0.0/24", "Region":"West Europe" }, "gatewayConfiguration":{ "IpAddresses":{ "Instance0":"104.45.18.187", "Instance1":"104.45.13.195" } }, "connectionConfiguration":{ "IsBgpEnabled":false, "PSK":"YLkSdSYd4wjjEThR3aIxaXaqNdxUwSo9", "IPsecParameters":{ "SADataSizeInKilobytes":102400000, "SALifeTimeInSeconds":3600 } } } ] }
Konfigurace zařízení VPN
Poznámka:
Pokud pracujete s partnerským řešením pro Virtual WAN, konfigurace zařízení VPN se provede automaticky. Kontroler zařízení získá konfigurační soubor z Azure, použije ho na zařízení a tím nastaví připojení k Azure. To znamená, že nemusíte vědět, jak se zařízení VPN konfiguruje ručně.
Zobrazení nebo úprava nastavení brány
Nastavení brány VPN můžete kdykoli zobrazit a upravit. Přejděte do svého virtuálního centra ->VPN (site-to-site) a vyberte Zobrazit/Konfigurovat.
Na stránce Upravit bránu VPN Gateway můžete vidět následující nastavení:
