Erstellen eines routenbasierten VPN-Gateways mit PowerShell

  • Artikel

In diesem Artikel erfahren Sie, wie Sie schnell ein routenbasiertes Azure-VPN-Gateway mit PowerShell erstellen. Ein VPN-Gateway wird beim Herstellen einer VPN-Verbindung mit Ihrem lokalen Netzwerk verwendet. Sie können Verbindungen mit VNets auch mit einem VPN-Gateway herstellen.

Ein VPN-Gateway ist nur ein Teil einer Verbindungsarchitektur, mit der Sie sicher auf Ressourcen in einem virtuellen Netzwerk zugreifen können.

Diagram that shows a virtual network and a VPN gateway.

  • Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
  • Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.

Voraussetzungen

Mit den Schritten in diesem Artikel werden ein VNet, ein Subnetz, ein Gatewaysubnetz und ein routenbasiertes VPN-Gateway (Gateway des virtuellen Netzwerks) erstellt. Wenn die Gatewayerstellung abgeschlossen ist, können Sie Verbindungen herstellen. Diese Schritte erfordern ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Arbeiten mit Azure PowerShell

In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.

Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.

Erstellen einer Ressourcengruppe

Erstellen Sie mit New-AzResourceGroup eine Azure-Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Öffnen Sie bei lokaler Ausführung von PowerShell Ihre PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her, indem Sie den Befehl Connect-AzAccount verwenden.

New-AzResourceGroup -Name TestRG1 -Location EastUS

Erstellen eines virtuellen Netzwerks

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. Im folgenden Beispiel wird ein virtuelles Netzwerk mit dem Namen VNet1 am Standort USA, Osten erstellt:

$virtualNetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Erstellen Sie mit dem New-AzVirtualNetworkSubnetConfig-Cmdlet eine Subnetzkonfiguration.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name Frontend `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualNetwork

Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.

$virtualNetwork | Set-AzVirtualNetwork

Hinzufügen eines Gatewaysubnetzes

Das Gatewaysubnetz enthält die reservierten IP-Adressen, die von den Diensten des virtuellen Netzwerkgateways verwendet werden. Verwenden Sie die folgenden Beispiele, um ein Gatewaysubnetz hinzufügen:

Legen Sie eine Variable für das VNet fest.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Erstellen Sie das Gatewaysubnetz mit dem Add-AzVirtualNetworkSubnetConfig-Cmdlet.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.

$vnet | Set-AzVirtualNetwork

Anfordern einer öffentlichen IP-Adresse

Ein VPN-Gateway muss über eine zugewiesene öffentliche IP-Adresse verfügen. Wenn Sie eine Verbindung mit einem VPN-Gateway herstellen, geben Sie diese IP-Adresse an. Fordern Sie gemäß des folgenden Beispiels eine öffentliche IP-Adresse an:

$gwpip = New-AzPublicIpAddress -Name "VNet1GWIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static

Erstellen der Gateway-IP-Adresskonfiguration

Die Gatewaykonfiguration definiert das zu verwendende Subnetz und die zu verwendende öffentliche IP-Adresse. Verwenden Sie das folgende Beispiel, um Ihre Gatewaykonfiguration zu erstellen:

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

Erstellen des VPN-Gateways

Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Sobald das Gateway fertig gestellt ist, können Sie eine Verbindung Ihres virtuellen Netzwerks mit einem anderen VNet herstellen. Alternativ können Sie eine Verbindung zwischen dem virtuellen Netzwerk und einem lokalen Standort erstellen. Erstellen Sie mit dem Cmdlet New-AzVirtualNetworkGateway ein VPN-Gateway.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig -GatewayType "Vpn" `
-VpnType "RouteBased" -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"

Anzeigen des VPN-Gateways

Sie können das VPN-Gateway mit dem Get-AzVirtualNetworkGateway-Cmdlet anzeigen.

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Anzeigen der öffentlichen IP-Adresse

Verwenden Sie zum Anzeigen der öffentlichen IP-Adresse für Ihr VPN-Gateway das Get-AzPublicIpAddress-Cmdlet.

Get-AzPublicIpAddress -Name VNet1GWIP -ResourceGroupName TestRG1

Bereinigen von Ressourcen

Wenn Sie die erstellten Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe mit dem Befehl Remove-AzResourceGroup. Damit löschen Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen.

Remove-AzResourceGroup -Name TestRG1

Nächste Schritte

Sobald das Gateway fertig gestellt ist, können Sie eine Verbindung Ihres virtuellen Netzwerks mit einem anderen VNet herstellen. Alternativ können Sie eine Verbindung zwischen dem virtuellen Netzwerk und einem lokalen Standort erstellen.

Herstellen einer Site-to-Site-Verbindung

Herstellen einer Point-to-Site-Verbindung

Herstellen einer Verbindung mit einem anderen VNet