VPN-alagút létrehozása az IPSEC használatával Azure Stack hub-banHow to create a VPN Tunnel using IPSEC in Azure Stack Hub

Ebben a megoldásban a Azure Stack hub Resource Manager-sablonnal csatlakoztathat két Azure Stack hub-virtuális hálózatok ugyanazon a Azure Stack hub-környezetben belül.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. Azure stack hub-virtuális hálózatok nem csatlakoztatható a beépített Virtual Network átjáró használatával.You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Egyelőre a Network Virtual Appliances (NVA) s használatával VPN-alagutat kell létrehoznia két Azure Stack hub-virtuális hálózatok között.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. A megoldás sablonja két Windows Server 2016 virtuális gépet telepít, amelyeken az RRAS telepítve van.The solution template deploys two Windows Server 2016 VMs with RRAS installed. A megoldás úgy konfigurálja a két RRAS-kiszolgálót, hogy S2SVPN IKEv2 alagutat használjanak a két virtuális hálózatok között.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. A megfelelő NSG-és UDR-szabályok úgy jönnek létre, hogy lehetővé tegyék az alhálózatok közötti útválasztást az egyes, belsőként kijelölt VNET.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

Ez a megoldás az az alapja, amely lehetővé teszi, hogy a VPN-alagutak ne csak Azure Stack hub-példányon belül jöjjenek létre, hanem Azure Stack hub-példányok és más erőforrások, például a Windows RRAS S2S VPN-alagutak használatát használó helyszíni hálózatok számára is.This solution is the foundation that will allow VPN Tunnels to be created not only within an Azure Stack Hub instance but also between Azure Stack Hub Instances and to other resources such as on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

A sablonokat az Azure intelligens Edge Pattern GitHub-tárházában találja.You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. A sablon az RRAS-GRE-vnet-vnet mappában található.The template is in the rras-gre-vnet-vnet folder.

A diagram egy olyan implementációt mutat be, amely VPN-alagutat biztosít két virtuális hálózatok között.

KövetelményekRequirements

  • A legújabb frissítések alkalmazásával telepített rendszer.A system deployed with latest updates applied.
  • Szükséges Azure Stack hub Marketplace-elemek:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Datacenter vagy Windows Server 2019 Datacenter (a legújabb Build ajánlott)Windows Server 2016 Datacenter or Windows Server 2019 Datacenter (latest build recommended)
    • Egyéni szkriptbővítményCustom Script Extension

Megfontolandó dolgokThings to consider

  • A rendszer a sablon alagút-alhálózatára alkalmazza a hálózati biztonsági csoportot.A Network Security Group is applied to the template Tunnel Subnet. Javasoljuk, hogy a belső alhálózatot minden VNet egy további NSG biztonságossá tegye.It is recommended to secure the internal subnet in each VNet with an additional NSG.
  • A rendszer RDP-megtagadási szabályt alkalmaz az alagút NSG, és engedélyezni kell, hogy a virtuális gépeket a nyilvános IP-címen keresztül kívánja elérniAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • Ez a megoldás nem veszi figyelembe a DNS-feloldást.This solution does not take into account DNS resolution
  • A VNet-név és a vmName kombinációjának 15 karakternél rövidebbnek kell lennieThe combination of VNet name and vmName must be fewer than 15 characters
  • Ez a sablon úgy van kialakítva, hogy a VNet1 és a VNet2 testreszabott VNet-neveket rendelkezzenThis template is designed to have the VNet names customized for VNet1 and VNet2
  • Ez a sablon BYOL Windows-t használThis template is using BYOL windows
  • Az erőforráscsoport törlésekor a jelenleg (1907) elemnél manuálisan le kell választania a NSG az alagút-alhálózatból, hogy a törlési erőforráscsoport befejeződjön.When deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Ez a sablon DS3v2 virtuális gépet használ.This template is using a DS3v2 vm. Az RRAS szolgáltatás a belső Windows-SQL Server telepíti és futtatja.The RRAS service installs and run Windows internal SQL Server. Ez memóriabeli problémákat okozhat, ha a virtuális gép mérete túl kicsi.This can cause memory issues if your VM size is too small. A virtuális gép méretének csökkentése előtt ellenőrizze a teljesítményt.Validate performance before reducing the VM size.
  • Ez nem egy magasan elérhető megoldás.This is not a highly available solution. Ha még több megoldásra van szüksége, egy második virtuális gépet is hozzáadhat, manuálisan kell módosítania az útvonalat az útválasztási táblázatban a másodlagos csatoló belső IP-címére.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Emellett a több alagutat is konfigurálnia kell a többhöz való kapcsolódáshoz.You would also need to configure the multiple Tunnels to cross connect.

VálaszthatóOptional

  • A blob Storage-fiókját és az SAS-tokent a _artifactsLocation és a _artifactsLocationSasToken paraméterek használatával is használhatjaYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Ennek a sablonnak két kimenete van a INTERNALSUBNETREFVNET1 és a INTERNALSUBNETREFVNET2, amely a belső alhálózatok erőforrás-azonosítói, ha ezt szeretné használni egy folyamat típusú telepítési mintában.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Ez a sablon a VNet elnevezési és IP-címzési alapértelmezett értékeit tartalmazza.This template provides default values for VNet naming and IP addressing. A rendszergazdának (rrasadmin) jelszót kell használnia, és a saját tárolási blobját is használhatja SAS-token használatával.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Ügyeljen arra, hogy ezeket az értékeket a jogi tartományokon belül tárolja, mivel a telepítés sikertelen lehet.Be careful to keep these values within legal ranges as deployment may fail. A PowerShell DSC-csomag minden RRAS virtuális gépen fut, és az Útválasztás és az összes szükséges függő szolgáltatás és szolgáltatás telepítése történik.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Ezt a DSC-t szükség esetén tovább lehet testreszabni.This DSC can be customized further if needed. Az egyéni szkriptek bővítménye a következő parancsfájlt futtatja, és Add-Site2SiteIKE.ps1 konfigurálja a VPNS2S-alagutat a két RRAS-kiszolgáló között egy megosztott kulccsal.The custom script extension run the following script and Add-Site2SiteIKE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Az egyéni szkriptek bővítményének részletes kimenetét megtekintve megtekintheti a VPN-alagút konfigurációjának eredményét.You can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

A S2SVPNTunnel című diagram két, helyek közötti VPN-alagúthoz csatlakoztatott virtuális hálózatok mutat be.

További lépésekNext steps

A Azure Stack hub hálózatkezelésével kapcsolatos különbségek és megfontolásokDifferences and considerations for Azure Stack Hub networking
Több helyek közötti VPN-alagút beállításaHow to set up a multiple site-to-site VPN tunnel
VPN-alagút létrehozása a GRE használatávalHow to create a VPN Tunnel using GRE