Schnellstart: Routen zu VNets für gemeinsame Dienste mithilfe einer ARM-Vorlage

In dieser Schnellstartanleitung wird beschrieben, wie Sie mithilfe einer ARM-Vorlage (Azure Resource Manager) Routen für den Zugriff auf ein VNet für gemeinsame Dienste mit Workloads einrichten, auf die alle VNets und Branches (VPN/ER/P2S) zugreifen können. Solche gemeinsam genutzten Workloads können beispielsweise virtuelle Computer mit Diensten wie Domänencontrollern oder Dateifreigaben sein oder Azure-Dienste, die intern über einen private Azure-Endpunkt verfügbar gemacht werden.

Eine Azure Resource Manager-Vorlage ist eine JSON-Datei (JavaScript Object Notation), die die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.

Wenn Ihre Umgebung die Voraussetzungen erfüllt und Sie mit der Verwendung von ARM-Vorlagen vertraut sind, klicken Sie auf die Schaltfläche In Azure bereitstellen. Die Vorlage wird im Azure-Portal geöffnet.

Voraussetzungen

• Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
• Für diese Konfiguration werden Daten für ein Zertifikat mit öffentlichem Schlüssel benötigt. Beispieldaten werden im Artikel bereitgestellt. Die Beispieldaten werden hierbei nur bereitgestellt, um die Anforderungen der Vorlage für die Erstellung eines P2S-Gateways zu erfüllen. Nachdem der Vorlagenvorgang abgeschlossen und die Ressourcen bereitgestellt wurden, müssen Sie dieses Feld mit Ihren eigenen Zertifikatdaten aktualisieren, damit die Konfiguration funktioniert. Weitere Informationen finden Sie unter Generieren und Exportieren von Zertifikaten für Benutzer-VPN-Verbindungen.

Überprüfen der Vorlage

Die in dieser Schnellstartanleitung verwendete Vorlage stammt von der Seite mit den Azure-Schnellstartvorlagen. Die Vorlage für diesen Artikel ist zu lang und kann hier nicht angezeigt werden. Die Vorlage können Sie sich in azuredeploy.json ansehen.

In dieser Schnellstartanleitung erstellen Sie eine Azure Virtual WAN-Bereitstellung mit mehreren Hubs, die alle Gateways und VNET-Verbindungen umfasst. Die Liste mit den Eingabeparametern wurde absichtlich so kurz wie möglich gehalten. Das Schema für die IP-Adressierung kann geändert werden, indem die Variablen in der Vorlage modifiziert werden. Das Szenario wird im Artikel Szenario: Routen zu VNets für gemeinsame Dienste ausführlicher erläutert.

Mit dieser Vorlage wird eine voll funktionsfähige Azure Virtual WAN-Umgebung mit den folgenden Ressourcen erstellt:

• Zwei einzelne Hubs in unterschiedlichen Regionen
• Vier virtuelle Azure-Netzwerke (VNets)
• Zwei VNet-Verbindungen für jeden vWAN-Hub
• Ein Point-to-Site-VPN-Gateway (P2S) auf jedem Hub
• Ein Site-to-Site-VPN-Gateway (S2S) auf jedem Hub
• Ein ExpressRoute-Gateway auf jedem Hub
• Benutzerdefinierte Routingtabellen vom Typ „RT_SHARED“ auf jedem Hub
• Die Bezeichnung LBL_RT_SHARED zum Gruppieren von Routingtabellen vom Typ „RT_SHARED“

In der Vorlage sind mehrere Azure-Ressourcen definiert:

• Microsoft.Network/virtualwans
• Microsoft.Network/virtualhubs
• Microsoft.Network/virtualnetworks
• Microsoft.Network/hubvirtualnetworkconnections
• Microsoft.Network/hubroutetables
• Microsoft.Network/p2svpngateways
• Microsoft.Network/vpngateways
• Microsoft.Network/expressroutegateways
• Microsoft.Network/vpnserverconfigurations

Hinweis

Mit dieser ARM-Vorlage werden nicht die Ressourcen für die Kundenseite erstellt, die für die Hybridkonnektivität erforderlich sind. Nach dem Bereitstellen der Vorlage müssen Sie noch die P2S-VPN-Clients und die VPN-Branches (lokale Standorte) erstellen und konfigurieren und die Verbindung für die ExpressRoute-Leitungen herstellen.

Weitere Vorlagen finden Sie unter Azure-Schnellstartvorlagen.

Bereitstellen der Vorlage

Für die korrekte Bereitstellung dieser Vorlage müssen Sie anstelle von anderen Vorgehensweisen die Schaltfläche „Deploy to Azure“ (In Azure bereitstellen) und das Azure-Portal verwenden. Dies hat die folgenden Gründe:

• Zum Erstellen der P2S-Konfiguration müssen Sie die Daten des Stammzertifikats hochladen. Vom Datenfeld werden die Zertifikatdaten nicht akzeptiert, wenn PowerShell oder die CLI genutzt wird.
• Aufgrund des Uploads der Zertifikatdaten funktioniert diese Vorlage nicht richtig, wenn Cloud Shell verwendet wird.
• Darüber hinaus ist es für Sie leicht möglich, die Vorlage und die Parameter im Portal so zu ändern, dass die IP-Adressbereiche und andere Werte abgedeckt sind.

1. Klicken Sie auf Schaltfläche zum Bereitstellen in Azure.

   

2. Klicken Sie zum Anzeigen der Vorlage auf Vorlage bearbeiten. Auf dieser Seite können Sie einige Werte anpassen, z. B. den Adressraum oder den Namen bestimmter Ressourcen. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern, oder wählen Sie Verwerfen aus.

3. Geben Sie auf der Vorlagenseite die Werte ein. Für diese Vorlage werden die Daten des öffentlichen P2S-Zertifikats benötigt. Das folgende Beispiel zeigt die Zertifikatdaten an. Sie können die gleichen Zertifikatdaten für beide Hubs verwenden. Beachten Sie, dass es zwar möglich ist, diese Beispieldaten zum Ausführen der Schritte für diese Übung zu verwenden, sie müssen jedoch Ihre eigenen Zertifikatdaten für Ihre Hubs bereitstellen, um eine ordnungsgemäße Verbindung herzustellen. Weitere Informationen finden Sie unter Zertifikatdaten.

   MIIC5zCCAc+gAwIBAgIQGxd3Av1q6LJDZ71e3TzqcTANBgkqhkiG9w0BAQsFADAW
   MRQwEgYDVQQDDAtQMlNSb290Q2VydDAeFw0yMDExMDkyMjMxNTVaFw0yMTExMDky
   MjUxNTVaMBYxFDASBgNVBAMMC1AyU1Jvb3RDZXJ0MIIBIjANBgkqhkiG9w0BAQEF
   AAOCAQ8AMIIBCgKCAQEA33fFra/E0YmGuXLKmYcdvjsYpKwQmw8DjjDkbwhE9jcc
   Dp50e7F1P6Rxo1T6Hm3dIhEji+0QkP4Ie0XPpw0eW77+RWUiG9XJxGqtJ3Q4tyRy
   vBfsHORcqMlpV3VZOXIxrk+L/1sSm2xAc2QGuOqKaDNNoKmjrSGNVAeQHigxbTQg
   zCcyeuhFxHxAaxpW0bslK2hEZ9PhuAe22c2SHht6fOIDeXkadzqTFeV8wEZdltLr
   6Per0krxf7N2hFo5Cfz0KgWlvgdKLL7dUc9cjHo6b6BL2pNbLh8YofwHQOQbwt6H
   miAkEnx1EJ5N8AWuruUTByR2jcWyCnEAUSH41+nk4QIDAQABozEwLzAOBgNVHQ8B
   Af8EBAMCAgQwHQYDVR0OBBYEFJMgnJSYHH5AJ+9XB11usKRwjbjNMA0GCSqGSIb3
   DQEBCwUAA4IBAQBOy8Z5FBd/nvgDcjvAwNCw9h5RHzgtgQqDP0qUjEqeQv3ALeC+
   k/F2Tz0OWiPEzX5N+MMrf/jiYsL2exXuaPWCF5U9fu8bvs89GabHma8MGU3Qua2x
   Imvt0whWExQMjoyU8SNUi2S13fnRie9ZlSwNh8B/OIUUEtVhQsd4OfuZZFVH4xGp
   ibJMSMe5JBbZJC2tCdSdTLYfYJqrLkVuTjynXOjmz2JXfwnDNqEMdIMMjXzlNavR
   J8SNtAoptMOK5vAvlySg4LYtFyXkl0W0vLKIbbHf+2UszuSCijTUa3o/Y1FoYSfi
   eJH431YTnVLuwdd6fXkXFBrXDhjNsU866+hE
   

4. Wählen Sie nach dem Eingeben der Werte die Option Überprüfen + erstellen aus.

5. Wählen Sie nach bestandener Überprüfung auf der Seite Überprüfen + erstellen die Option Erstellen aus.

6. Es dauert ungefähr 75 Minuten, bis der Bereitstellungsvorgang abgeschlossen ist. Sie können den Status auf der Seite Übersicht der Vorlage verfolgen. Wenn Sie das Portal schließen, wird der Bereitstellungsvorgang fortgesetzt.

   

Überprüfen der Bereitstellung

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie im linken Bereich Ressourcengruppen aus.

3. Wählen Sie die Ressourcengruppe aus, die Sie im vorherigen Abschnitt erstellt haben. Die Anzeige auf der Seite Übersicht ähnelt dem folgenden Beispiel:

4. Klicken Sie auf die Virtual WAN-Instanz, um die Hubs anzuzeigen. Klicken Sie auf der Virtual WAN-Seite auf die einzelnen Hubs, um Verbindungen und andere Hubinformationen anzuzeigen.

Durchführen der Hybridkonfiguration

Mit der Vorlage werden nicht alle Einstellungen konfiguriert, die für ein Hybridnetzwerk erforderlich sind. Sie müssen je nach Ihren Anforderungen die folgenden Konfigurationen und Einstellungen vornehmen.

• Konfigurieren der VPN-Branches: Lokale Standorte
• Durchführen der P2S-VPN-Konfiguration
• Herstellen der ExpressRoute-Verbindungen

Bereinigen der Ressourcen

Wenn Sie die von Ihnen erstellten Ressourcen nicht mehr benötigen, können Sie sie löschen. Einige Virtual WAN-Ressourcen müssen aufgrund von Abhängigkeiten in einer bestimmten Reihenfolge gelöscht werden. Das Löschen kann bis zu 30 Minuten dauern.

1. Öffnen Sie die Virtual WAN-Instanz, die Sie erstellt haben.

2. Wählen Sie einen virtuellen Hub aus, der der Virtual WAN-Instanz zugeordnet ist, um die Seite für den Hub zu öffnen.

3. Löschen Sie alle Gatewayentitäten in der unten angegebenen Reihenfolge für jeden Gatewaytyp. Dieser Vorgang kann bis zu 30 Minuten dauern.

   VPN:

   • VPN-Standorte trennen
   • VPN-Verbindungen löschen
   • VPN-Gateways löschen

   ExpressRoute:

   • ExpressRoute-Verbindungen löschen
   • ExpressRoute-Gateways löschen

4. Wiederholen Sie diesen Schritt für alle Hubs, die der Virtual WAN-Instanz zugeordnet sind.

5. Sie können die Hubs entweder jetzt oder zu einem späteren Zeitpunkt löschen, wenn Sie die Ressourcengruppe löschen.

6. Navigieren Sie im Azure-Portal zur Ressourcengruppe.

7. Wählen Sie die Option Ressourcengruppe löschen. Hierdurch werden die anderen in der Ressourcengruppe enthaltenen Ressourcen gelöscht, einschließlich der Hubs und der Virtual WAN-Instanz.

Nächste Schritte

Durchführen der P2S-VPN-Konfiguration

Konfigurieren der VPN-Branches: Lokale Standorte

Herstellen der ExpressRoute-Verbindungen