Konfigurieren der Tunnelerzwingung mit dem Azure Resource Manager-BereitstellungsmodellConfigure forced tunneling using the Azure Resource Manager deployment model

Über die Tunnelerzwingung können Sie die Umleitung des gesamten Internetdatenverkehrs an Ihren lokalen Standort „erzwingen“. Sie verwenden dazu einen Standort-zu-Standort-VPN-Tunnel für die Kontrolle und Überwachung.Forced tunneling lets you redirect or "force" all Internet-bound traffic back to your on-premises location via a Site-to-Site VPN tunnel for inspection and auditing. Dies ist eine wichtige Sicherheitsvoraussetzung der IT-Richtlinien für die meisten Unternehmen.This is a critical security requirement for most enterprise IT policies. Ohne die Tunnelerzwingung wird der Datenverkehr Ihrer virtuellen Computer zum Internet in Azure immer direkt von der Azure-Netzwerkinfrastruktur an das Internet geleitet, ohne dass Sie die Möglichkeit haben, diesen zu überprüfen oder zu überwachen.Without forced tunneling, Internet-bound traffic from your VMs in Azure always traverses from Azure network infrastructure directly out to the Internet, without the option to allow you to inspect or audit the traffic. Nicht autorisierter Zugriff auf das Internet kann potenziell zur Offenlegung von Informationen oder anderen Arten von Sicherheitsverletzungen führen.Unauthorized Internet access can potentially lead to information disclosure or other types of security breaches.

In Azure können derzeit zwei Bereitstellungsmodelle verwendet werden: die Resource Manager-Bereitstellung und die klassische Bereitstellung.Azure currently works with two deployment models: Resource Manager and classic. Die beiden Modelle sind nicht vollständig kompatibel.The two models are not completely compatible with each other. Bevor Sie beginnen, müssen Sie wissen, in welchem Modell Sie arbeiten möchten.Before you begin, you need to know which model that you want to work in. Informationen zu den Bereitstellungsmodellen finden Sie unter Understanding deployment models (Grundlagen von Bereitstellungsmodellen).For information about the deployment models, see Understanding deployment models. Wenn Sie noch nicht mit Azure vertraut sind, wird die Verwendung des Resource Manager-Modells empfohlen.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Dieser Artikel beschreibt die Konfiguration der Tunnelerzwingung für virtuelle Netzwerke, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden.This article walks you through configuring forced tunneling for virtual networks created using the Resource Manager deployment model. Das erzwungene Tunneling kann mithilfe von PowerShell konfiguriert werden, nicht über das Portal.Forced tunneling can be configured by using PowerShell, not through the portal. Wenn Sie das erzwungene Tunneling für das klassische Bereitstellungsmodell konfigurieren möchten, wählen Sie aus der folgenden Dropdownliste den klassischen Artikel aus:If you want to configure forced tunneling for the classic deployment model, select classic article from the following dropdown list:

Informationen zur TunnelerzwingungAbout forced tunneling

Das folgende Diagramm veranschaulicht die Funktionsweise der Tunnelerzwingung.The following diagram illustrates how forced tunneling works.

Tunnelerzwingung

Im obigen Beispiel wird für das Frontend-Subnetz kein Tunneln erzwungen.In the example above, the Frontend subnet is not forced tunneled. Die Workloads im Frontend-Subnetz können weiterhin Kundenanfragen direkt aus dem Internet akzeptieren und darauf reagieren.The workloads in the Frontend subnet can continue to accept and respond to customer requests from the Internet directly. Für die Subnetze "Midtier" und "Backend" wird das Tunneln erzwungen.The Mid-tier and Backend subnets are forced tunneled. Bei allen ausgehenden Verbindungen mit dem Internet aus diesen zwei Subnetzen wird eine Umleitung an einen lokalen Standort über einen der S2S-VPN-Tunnel erzwungen.Any outbound connections from these two subnets to the Internet will be forced or redirected back to an on-premises site via one of the S2S VPN tunnels.

Dadurch können Sie den Internetzugriff über die virtuellen Computer oder Clouddienste in Azure einschränken und überprüfen, während die erforderliche mehrschichtige Dienstarchitektur weiterhin in Betrieb bleibt.This allows you to restrict and inspect Internet access from your virtual machines or cloud services in Azure, while continuing to enable your multi-tier service architecture required. Wenn in diesen keine Workloads mit Internetverbindung erforderlich sind, können Sie das erzwungene Tunneln auch auf alle virtuellen Netzwerke anwenden.If there are no Internet-facing workloads in your virtual networks, you also can apply forced tunneling to the entire virtual networks.

Anforderungen und ÜberlegungenRequirements and considerations

Die Tunnelerzwingung in Azure wird über benutzerdefinierte Routen im virtuellen Netzwerk konfiguriert.Forced tunneling in Azure is configured via virtual network user-defined routes. Das Umleiten von Datenverkehr an einen lokalen Standort wird als eine Standardroute zum Azure-VPN-Gateway umgesetzt.Redirecting traffic to an on-premises site is expressed as a Default Route to the Azure VPN gateway. Weitere Informationen zu benutzerdefiniertem Routing und virtuellen Netzwerken finden Sie unter Was sind benutzerdefinierte Routen und IP-Weiterleitung?.For more information about user-defined routing and virtual networks, see User-defined routes and IP forwarding.

  • Jedes Subnetz des virtuellen Netzwerks verfügt über eine integrierte Systemroutingtabelle.Each virtual network subnet has a built-in, system routing table. Die Systemroutingtabelle verfügt über die folgenden drei Gruppen von Routen:The system routing table has the following three groups of routes:

    • Lokale VNET-Routen: direkt zu den virtuellen Zielcomputern im gleichen virtuellen Netzwerk.Local VNet routes: Directly to the destination VMs in the same virtual network.
    • Lokale Routen: zum Azure VPN Gateway.On-premises routes: To the Azure VPN gateway.
    • Standardroute: direkt zum Internet.Default route: Directly to the Internet. Pakete an private IP-Adressen, die nicht durch die vorherigen beiden Routen abgedeckt sind, werden verworfen.Packets destined to the private IP addresses not covered by the previous two routes are dropped.
  • In diesem Verfahren werden benutzerdefinierte Routen (User Defined Routes, UDR) verwendet, um eine Routingtabelle zu erstellen, damit eine Standardroute hinzugefügt wird. Anschließend verknüpfen Sie die Routingtabelle mit den VNet-Subnetzen, um die Tunnelerzwingung in diesen Subnetzen zu aktivieren.This procedure uses user-defined routes (UDR) to create a routing table to add a default route, and then associate the routing table to your VNet subnet(s) to enable forced tunneling on those subnets.

  • Die Tunnelerzwingung muss einem VNet zugeordnet werden, das über ein routenbasiertes VPN-Gateway verfügt.Forced tunneling must be associated with a VNet that has a route-based VPN gateway. Sie müssen einen "Standardstandort" unter den standortübergreifenden lokalen Standorten auswählen, der mit dem virtuellen Netzwerk verbunden ist.You need to set a "default site" among the cross-premises local sites connected to the virtual network. Darüber hinaus muss das lokale VPN-Gerät für die Verwendung von „0.0.0.0/0“ als Datenverkehrsauswahl konfiguriert werden.Also, the on-premises VPN device must be configured using 0.0.0.0/0 as traffic selectors.

  • Die ExpressRoute-Tunnelerzwingung kann über diesen Mechanismus nicht konfiguriert werden. Sie wird stattdessen durch Anfordern einer Standardroute über die ExpressRoute-BGP-Peeringsitzungen aktiviert.ExpressRoute forced tunneling is not configured via this mechanism, but instead, is enabled by advertising a default route via the ExpressRoute BGP peering sessions. Weitere Informationen finden Sie in der Dokumentation zu ExpressRoute.For more information, see the ExpressRoute Documentation.

KonfigurationsübersichtConfiguration overview

Das folgende Verfahren unterstützt Sie beim Erstellen einer Ressourcengruppe und eines VNets.The following procedure helps you create a resource group and a VNet. Anschließend erstellen Sie ein VPN-Gateway und konfigurieren die Tunnelerzwingung.You'll then create a VPN gateway and configure forced tunneling. In dieser Vorgehensweise verfügt das virtuelle Netzwerk „MultiTier-VNet“ über die drei Subnetze „Frontend“, „Midtier“ und „Backend“ mit vier standortübergreifenden Verbindungen: „DefaultSiteHQ“ und drei Verzweigungen.In this procedure, the virtual network 'MultiTier-VNet' has three subnets: 'Frontend', 'Midtier', and 'Backend', with four cross-premises connections: 'DefaultSiteHQ', and three Branches.

Mithilfe der Schritte wird festgelegt, dass „DefaultSiteHQ“ die Standard-Standortverbindung für die Tunnelerzwingung ist und die Subnetze „Midtier“ und „Backend“ die Tunnelerzwingung verwenden müssen.The procedure steps set the 'DefaultSiteHQ' as the default site connection for forced tunneling, and configure the 'Midtier' and 'Backend' subnets to use forced tunneling.

VoraussetzungenBefore you begin

Installieren Sie die aktuelle Version der PowerShell-Cmdlets für Azure Resource Manager.Install the latest version of the Azure Resource Manager PowerShell cmdlets. Weitere Informationen zur Installation der PowerShell-Cmdlets finden Sie unter Installieren und Konfigurieren von Azure PowerShell .See How to install and configure Azure PowerShell for more information about installing the PowerShell cmdlets.

Wichtig

Es muss die neueste Version der PowerShell-Cmdlets installiert sein.Installing the latest version of the PowerShell cmdlets is required. Andernfalls können bei der Ausführung einiger Cmdlets Überprüfungsfehler auftreten.Otherwise, you may receive validation errors when running some of the cmdlets.

Zum AnmeldenTo log in

Öffnen Sie die PowerShell-Konsole mit erhöhten Rechten.Open your PowerShell console with elevated privileges.

Wenn Sie Azure PowerShell lokal ausführen, stellen Sie eine Verbindung mit Ihrem Azure-Konto her.If you are running Azure PowerShell locally, connect to your Azure account. Das Cmdlet Connect-AzAccount fordert Sie zur Eingabe von Anmeldeinformationen auf.The Connect-AzAccount cmdlet prompts you for credentials. Nach der Authentifizierung werden Ihre Kontoeinstellungen heruntergeladen, damit sie Azure PowerShell zur Verfügung stehen.After authenticating, it downloads your account settings so that they are available to Azure PowerShell. Wenn Sie stattdessen Azure Cloud Shell verwenden, ist es nicht erforderlich, Connect-AzAccount- auszuführen.If you are using Azure Cloud Shell instead, you do not need to run Connect-AzAccount. Azure Cloud Shell stellt automatisch eine Verbindung mit Ihrem Azure-Konto her.Azure Cloud Shell connects to your Azure account automatically.

Connect-AzAccount

Falls Sie über mehrere Abonnements verfügen, rufen Sie eine Liste Ihrer Azure-Abonnements ab.If you have more than one subscription, get a list of your Azure subscriptions.

Get-AzSubscription

Geben Sie das Abonnement an, das Sie verwenden möchten.Specify the subscription that you want to use.

Select-AzSubscription -SubscriptionName "Name of subscription"

Konfigurieren der TunnelerzwingungConfigure forced tunneling

Hinweis

Eventuell werden Warnungen wie die Folgende angezeigt: „Der Ausgabeobjekttyp dieses Cmdlets wird in einer zukünftigen Version geändert.“You may see warnings saying "The output object type of this cmdlet will be modified in a future release". Dies ist das erwartete Verhalten. Sie können diese Warnungen einfach ignorieren.This is expected behavior and you can safely ignore these warnings.

  1. Erstellen Sie eine Ressourcengruppe.Create a resource group.

    New-AzResourceGroup -Name 'ForcedTunneling' -Location 'North Europe'
    
  2. Erstellen Sie ein virtuelles Netzwerks, und geben Sie Subnetze an.Create a virtual network and specify subnets.

    $s1 = New-AzVirtualNetworkSubnetConfig -Name "Frontend" -AddressPrefix "10.1.0.0/24"
    $s2 = New-AzVirtualNetworkSubnetConfig -Name "Midtier" -AddressPrefix "10.1.1.0/24"
    $s3 = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.1.2.0/24"
    $s4 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.200.0/28"
    $vnet = New-AzVirtualNetwork -Name "MultiTier-VNet" -Location "North Europe" -ResourceGroupName "ForcedTunneling" -AddressPrefix "10.1.0.0/16" -Subnet $s1,$s2,$s3,$s4
    
  3. Erstellen Sie die lokalen Netzwerkgateways.Create the local network gateways.

    $lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
    $lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
    $lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
    $lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"
    
  4. Erstellen Sie die Routingtabelle und die Routingregel.Create the route table and route rule.

    New-AzRouteTable –Name "MyRouteTable" -ResourceGroupName "ForcedTunneling" –Location "North Europe"
    $rt = Get-AzRouteTable –Name "MyRouteTable" -ResourceGroupName "ForcedTunneling" 
    Add-AzRouteConfig -Name "DefaultRoute" -AddressPrefix "0.0.0.0/0" -NextHopType VirtualNetworkGateway -RouteTable $rt
    Set-AzRouteTable -RouteTable $rt
    
  5. Ordnen Sie die Routingtabelle den Subnetzen „Midtier“ und „Backend“ zu.Associate the route table to the Midtier and Backend subnets.

    $vnet = Get-AzVirtualNetwork -Name "MultiTier-Vnet" -ResourceGroupName "ForcedTunneling"
    Set-AzVirtualNetworkSubnetConfig -Name "MidTier" -VirtualNetwork $vnet -AddressPrefix "10.1.1.0/24" -RouteTable $rt
    Set-AzVirtualNetworkSubnetConfig -Name "Backend" -VirtualNetwork $vnet -AddressPrefix "10.1.2.0/24" -RouteTable $rt
    Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  6. Erstellen Sie das virtuelle Netzwerkgateway.Create the virtual network gateway. Dieser Schritt dauert einige Zeit (manchmal 45 Minuten oder länger), da Sie das Gateway erstellen und konfigurieren.This step takes some time to complete, sometimes 45 minutes or more, because you are creating and configuring the gateway. Wenn ValidateSet-Fehler zum GatewaySKU-Wert angezeigt werden, sollten Sie überprüfen, ob Sie die aktuelle Version der PowerShell-Cmdlets installiert haben.If you see ValidateSet errors regarding the GatewaySKU value, verify that you have installed the latest version of the PowerShell cmdlets. Die aktuelle Version der PowerShell-Cmdlets enthält die neuen überprüften Werte für die neuesten Gateway-SKUs.The latest version of the PowerShell cmdlets contains the new validated values for the latest Gateway SKUs.

    $pip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -AllocationMethod Dynamic
    $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $ipconfig = New-AzVirtualNetworkGatewayIpConfig -Name "gwIpConfig" -SubnetId $gwsubnet.Id -PublicIpAddressId $pip.Id
    New-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -IpConfigurations $ipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -EnableBgp $false
    
  7. Weisen Sie einen Standardstandort für das virtuelle Netzwerkgateway zu.Assign a default site to the virtual network gateway. Der Cmdlet-Parameter -GatewayDefaultSite sorgt dafür, dass die erzwungene Routingkonfiguration funktioniert. Achten Sie daher darauf, diese Einstellung korrekt zu konfigurieren.The -GatewayDefaultSite is the cmdlet parameter that allows the forced routing configuration to work, so take care to configure this setting properly.

    $LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling"
    $VirtualGateway = Get-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling"
    Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway
    
  8. Richten Sie die Standort-zu-Standort-VPN-Verbindungen ein.Establish the Site-to-Site VPN connections.

    $gateway = Get-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling"
    $lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling" 
    $lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "ForcedTunneling" 
    $lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "ForcedTunneling" 
    $lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "ForcedTunneling" 
    
    New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey"
    New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey"
    New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey"
    New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"
    
    Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "ForcedTunneling"