Helyek közötti kapcsolat létrehozása az Azure Portal használatával (klasszikus)

Ez a cikk bemutatja, hogyan használhatja az Azure Portalt egy helyek közötti VPN-átjárókapcsolat létrehozására egy helyszíni hálózat és a Vnet között. A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Ehelyett tekintse meg a cikk Resource Manager-verzióját.

Fontos

A továbbiakban nem hozhat létre új virtuális hálózati átjárókat a klasszikus üzemi modellhez (szolgáltatásfelügyeleti) virtuális hálózatokhoz. Új virtuális hálózati átjárók csak Resource Manager-alapú virtuális hálózatokhoz hozhatók létre.

A helyek közötti VPN-átjárókapcsolat használatával kapcsolat hozható létre a helyszíni hálózat és egy Azure-beli virtuális hálózat között egy IPsec/IKE (IKEv1 vagy IKEv2) VPN-alagúton keresztül. Az ilyen típusú kapcsolatokhoz egy helyszíni VPN-eszközre van szükség, amelyhez hozzá van rendelve egy kifelé irányuló, nyilvános IP-cím. További információk a VPN-átjárókról: Információk a VPN Gatewayről.

Megjegyzés:

Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.

Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.

Előkészületek

A konfigurálás megkezdése előtt győződjön meg a következő feltételek teljesüléséről:

• Erősítse meg, hogy a klasszikus üzemi modellt kívánja használni. Ha a Resource Manager-alapú üzemi modellben szeretne dolgozni, olvassa el a Helyek közötti kapcsolat létrehozása (Resource Manager) című témakört. Javasoljuk, hogy a Resource Manager-alapú üzemi modellt használja, mivel a klasszikus modell örökölt.
• Győződjön meg arról, hogy rendelkezésre áll egy kompatibilis VPN-eszköz és egy azt konfigurálni képes személy. További információk a kompatibilis VPN-eszközökről és az eszközkonfigurációról: Tudnivalók a VPN-eszközökről.
• Győződjön meg arról, hogy rendelkezik egy kifelé irányuló, nyilvános IPv4-címmel a VPN-eszköz számára.
• Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, egyeztetnie kell valakivel, aki meg tudja adni önnek ezeket az adatokat. Amikor létrehozza ezt a konfigurációt, meg kell határoznia az IP-címtartományok előtagjait, amelyeket az Azure majd a helyszínre irányít. A helyszíni hálózat egyik alhálózata sem lehet átfedésben azokkal a virtuális alhálózatokkal, amelyekhez csatlakozni kíván.
• A megosztott kulcs megadásához és a VPN Gateway-kapcsolat létrehozásához PowerShell szükséges. A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.

Konfigurációs mintaértékek ehhez a gyakorlathoz

A cikkben szereplő példák a következő értékeket használják. Ezekkel az értékekkel létrehozhat egy tesztkörnyezetet, vagy a segítségükkel értelmezheti a cikkben szereplő példákat. Ha a címtér IP-címértékeivel dolgozik, általában a hálózati rendszergazdával szeretne egyeztetni, hogy elkerülje az átfedésben lévő címtereket, ami befolyásolhatja az útválasztást. Ebben az esetben cserélje le az IP-címértékeket a saját értékére, ha munkakapcsolatot szeretne létrehozni.

• Erőforráscsoport: TestRG1
• Virtuális hálózat neve: TestVNet1
• Címtér: 10.11.0.0/16
• Alhálózat neve: FrontEnd
• Alhálózati címtartomány: 10.11.0.0/24
• Átjáróalhálózat: 10.11.255.0/27
• Régió: (USA) USA keleti régiója
• Helyi hely neve: Site2
• Ügyfélcímtér: A helyszíni helyen található címtér.

Virtuális hálózat létrehozása

Amikor S2S-kapcsolathoz használandó virtuális hálózatot hoz létre, győződjön meg arról, hogy a megadott címterek nem fedik egymást azoknak a helyi webhelyeknek az ügyfélcímtereivel, amelyekhez csatlakozni szeretne. Egymást átfedő alhálózatok esetén a kapcsolat nem fog megfelelően működni.

• Ha már rendelkezik egy virtuális hálózattal, győződjön meg arról, hogy a beállításai kompatibilisek a VPN-átjáró kialakításával. Különös figyelmet kell fordítani minden olyan alhálózatra, amely átfedésben lehet más hálózatokkal.

• Ha még nem rendelkezik virtuális hálózattal, akkor hozzon létre egyet. A képernyőképek csak példaként szolgálnak. Ne felejtse el ezeket az értékeket a saját értékeire cserélni.

Virtuális hálózat létrehozása

1. Egy böngészőből keresse fel az Azure portált, majd jelentkezzen be az Azure-fiókjával, ha szükséges.
2. Válassza az +Erőforrás létrehozása lehetőséget. A Piactér keresése mezőbe írja be a „Virtuális hálózat” kifejezést. Keresse meg a virtuális hálózatot a visszaadott listából, és válassza ki a virtuális hálózat lap megnyitásához.
3. A Virtuális hálózat lapon, a Létrehozás gomb alatt megjelenik a "Telepítés a Resource Managerrel (váltás klasszikusra)". A Resource Manager az alapértelmezett virtuális hálózat létrehozásához. Nem szeretne Resource Manager virtuális hálózatot létrehozni. Klasszikus virtuális hálózat létrehozásához válassza a (klasszikusra váltás) lehetőséget. Ezután válassza az Áttekintés lapot, és válassza a Létrehozás lehetőséget.
4. A Virtuális hálózat létrehozása (klasszikus) lap Alapszintű beállítások lapján konfigurálja a virtuális hálózat beállításait a példaértékekkel.
5. Válassza a Véleményezés + létrehozás lehetőséget a virtuális hálózat ellenőrzéséhez.
6. Az érvényesítés lefut. A virtuális hálózat ellenőrzése után válassza a Létrehozás lehetőséget.

A dns-beállítások nem szükségesek a konfigurációhoz, de a DNS-re akkor van szükség, ha névfeloldást szeretne a virtuális gépek között. Az érték megadásával nem jön létre új DNS-kiszolgáló. A megadott DNS-kiszolgáló IP-címének olyan DNS-kiszolgálónak kell lennie, amely fel tudja oldani azoknak az erőforrásoknak a nevét, amelyekkel Ön kapcsolatot fog létesíteni.

Miután létrehozta a virtuális hálózatot, hozzáadhatja a DNS-kiszolgáló IP-címét a névfeloldás kezelésének érdekében. Nyissa meg a virtuális hálózat beállításait, válassza ki a DNS-kiszolgálókat, és adja hozzá a névfeloldáshoz használni kívánt DNS-kiszolgáló IP-címét.

1. Keresse meg a virtuális hálózatot a portálon.
2. A virtuális hálózat lapjának Gépház szakaszában válassza ki a DNS-kiszolgálókat.
3. Adjon meg egy DNS-kiszolgálót.
4. A beállítások mentéséhez válassza a Lap tetején található Mentés lehetőséget.

A hely és az átjáró konfigurálása

A webhely konfigurálása

A helyi hely általában a használat helyszínét jelenti. Tartalmazza annak a VPN-eszköznek az IP-címét, amelyhez létre fog hozni egy kapcsolatot, valamint azOKAT az IP-címtartományokat, amelyek a VPN-átjárón keresztül a VPN-eszközre lesznek irányítva.

1. A virtuális hálózat lapjának Gépház területén válassza a Helyek közötti kapcsolatok lehetőséget.

2. A Helyek közötti kapcsolatok lapon válassza a + Hozzáadás lehetőséget.

3. A VPN-kapcsolat és az átjáró konfigurálása lapon a Csatlakozás ion típusnál hagyja bejelölve a helyek közötti kapcsolatot. Ebben a gyakorlatban a példaértékek és a saját értékek kombinációját kell használnia.

   • VPN-átjáró IP-címe: Ez a helyszíni hálózaton található VPN-eszköz nyilvános IP-címe. A VPN-eszköznek nyilvános IPv4 IP-címmel kell rendelkeznie. Adjon meg egy érvényes nyilvános IP-címet azon VPN-eszköznek, amelyhez csatlakozni kíván. Az Azure-nak elérhetőnek kell lennie. Ha nem ismeri a VPN-eszköz IP-címét, használhat egy helyőrző értéket (érvényes nyilvános IP-cím formátumban), amelyet később módosíthat.

   • Ügyfélcímtér: A helyszíni hálózatra ezen az átjárón keresztül átirányítani kívánt IP-címtartományok listája. Több címtartományt is felvehet. Győződjön meg arról, hogy az itt megadott tartományok nem fedik át azokat a tartományokat, amelyekhez a virtuális hálózat csatlakozik, vagy magának a virtuális hálózatnak a címtartományaival.

4. A lap alján NE válassza a Véleményezés + létrehozás lehetőséget. Ehelyett válassza a Tovább: Átjáró> lehetőséget.

A virtuális hálózati átjáró konfigurálása

1. Az Átjáró lapon válassza ki a következő értékeket:

   • Méret: Ez az átjáró termékváltozata, amelyet a virtuális hálózati átjáró létrehozásához használ. A klasszikus VPN-átjárók a régi (örökölt) átjáró-termékváltozatokat használják. Az átjárók örökölt termékváltozatairól a virtuális hálózati átjárók termékváltozatainak (régi termékváltozatok) használatát bemutató cikkben talál további információt. Ehhez a gyakorlathoz kiválaszthatja a Standard lehetőséget.

   • Átjáró alhálózata: A megadott átjáróalhálózat mérete a létrehozni kívánt VPN-átjáró konfigurációjától függ. Bár az átjáró alhálózata akár /29-ben is létrehozható, javasoljuk, hogy a /27-et vagy a /28-at használja. Ez nagyobb, több címet tartalmazó alhálózatot hoz létre. Nagyobb átjáróalhálózat használatával elegendő IP-cím áll rendelkezésre az esetleges jövőbeni konfigurációk megvalósításához.

2. A beállítások érvényesítéséhez válassza a Lap alján található Véleményezés + létrehozás lehetőséget. Válassza a Létrehozás lehetőséget az üzembe helyezéshez. A kiválasztott átjáró termékváltozatától függően a virtuális hálózati átjáró létrehozása akár 45 percet is igénybe vehet.

VPN-eszköz konfigurálása

A helyszíni hálózaton a helyek közötti kapcsolatok létesítéséhez VPN-eszközre van szükség. Ebben a lépésben a VPN-eszköz konfigurálása következik. A VPN-eszköz konfigurálásakor a következő értékekre van szüksége:

• Megosztott kulcs. Ez ugyanaz a megosztott kulcs, amelyet a helyek közötti VPN-kapcsolat létrehozásakor ad meg. A példákban alapvető megosztott kulcsot használunk. Javasoljuk egy ennél összetettebb kulcs létrehozását.
• A virtuális hálózati átjáró nyilvános IP-címe. A nyilvános IP-címet az Azure Portalon, valamint a PowerShell vagy a CLI használatával is megtekintheti.

VPN-eszközök konfigurációs szkriptjeinek letöltése:

A meglévő VPN-eszköztől függően lehet, hogy letölthet egy VPN-eszközhöz kapcsolódó konfigurációs szkriptet. További információ: VPN-eszközök konfigurációs szkriptjeinek letöltése.

További konfigurációs információért lásd az alábbi hivatkozásokat:

• A kompatibilis VPN-eszközökkel kapcsolatos információért tekintse meg a VPN-eszközökkel foglalkozó szakaszt.

• A VPN-eszköz konfigurálása előtt ellenőrizze, hogy a használni kívánt VPN-eszközre nem vonatkoznak-e ismert eszközkompatibilitási problémák.

• Az eszköz konfigurációs beállításaira mutató hivatkozásokért tekintse meg az ellenőrzött VPN-eszközökkel kapcsolatos témakört. Az eszközkonfigurációs hivatkozásokat képességeinkhez mérten biztosítjuk. A legfrissebb konfigurációs információkért érdemes az eszköz gyártójához fordulni. A listán az általunk tesztelt verziók láthatók. Ha az operációs rendszere nem szerepel a listán, attól még lehetséges, hogy a verzió kompatibilis. Forduljon az eszköz gyártójához annak ellenőrzéséhez, hogy a VPN-eszköz operációs rendszerének verziója kompatibilis-e.

• A VPN-eszközök konfigurálásának áttekintéséhez tekintse meg a VPN-eszközök konfigurációjának áttekintését.

• Az eszközök konfigurációs mintáinak szerkesztésével kapcsolatos információkért tekintse meg a minták szerkesztésével kapcsolatos részt.

• A titkosítási követelményekért lásd a titkosítási követelményeket és az Azure VPN-átjárókat ismertető cikket.

• Az IPsec/IKE-paraméterekkel kapcsolatban lásd a helyek közötti VPN Gateway-kapcsolatok VPN-eszközeinek IPsec/IKE-paramétereiről szóló információkat. Ez a hivatkozás információkat jelenít meg az IKE-verzióról, a Diffie-Hellman csoportról, a hitelesítési módszerről, a titkosítási és kivonatoló algoritmusokról, az SA élettartamáról, a PFS-ről és DPD-ről, valamint egyéb paraméterekről, amelyekre szüksége van a konfigurálás befejezéséhez.

• Az IPsec/IKE-szabályzat konfigurálásának lépéseivel kapcsolatban lásd az IPsec/IKE-szabályzat S2S VPN- vagy VNet–VNet-kapcsolatokhoz történő konfigurálását ismertető cikket.

• A több házirendalapú VPN-eszköz csatlakoztatásával kapcsolatos részletekért tekintse meg az Azure VPN-átjárók több helyszíni házirendalapú VPN-eszközhöz való csatlakoztatása a PowerShell-lel című cikket.

Értékek lekérése

Amikor klasszikus virtuális hálózatokat hoz létre az Azure Portalon, a megjelenített név nem a PowerShellhez használt teljes név. Előfordulhat például, hogy a portálon TestVNet1 nevű virtuális hálózat neve sokkal hosszabb lehet a hálózati konfigurációs fájlban. A "ClassicRG" erőforráscsoportban lévő virtuális hálózatok neve a következőhöz hasonló lehet: Group ClassicRG TestVNet1. A kapcsolatok létrehozásakor fontos, hogy a hálózati konfigurációs fájlban látható értékeket használja.

A következő lépésekben csatlakozni fog az Azure-fiókjához, és letölti és megtekinti a hálózati konfigurációs fájlt a kapcsolatokhoz szükséges értékek beszerzéséhez.

1. Töltse le és telepítse az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját. A legtöbben helyileg telepítették a Resource Manager-modulokat, de nem rendelkeznek Service Management-modulokkal. A szolgáltatásfelügyeleti modulok régiek, és külön kell telepíteni. További információ: Service Management-parancsmagok telepítése.

2. Nyissa meg emelt szintű jogosultságokkal a PowerShell konzolt, és csatlakozzon a fiókjához. A csatlakozáshoz használja az alábbi példákat. Ezeket a parancsokat helyileg kell futtatnia a PowerShell szolgáltatásfelügyeleti modul használatával. Csatlakozás a fiókhoz. A következő példa segít a kapcsolódásban:

   Add-AzureAccount
   

3. Keresse meg a fiókot az előfizetésekben.

   Get-AzureSubscription
   

4. Ha egynél több előfizetéssel rendelkezik, akkor válassza ki azt, amelyiket használni szeretné.

   Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
   

5. Hozzon létre egy könyvtárat a számítógépen. Például: C:\AzureVNet

6. Exportálja a hálózati konfigurációs fájlt a könyvtárba. Ebben a példában a hálózati konfigurációs fájl a C:\AzureNetbe lesz exportálva.

   Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
   

7. Nyissa meg a fájlt egy szövegszerkesztővel, és tekintse meg a virtuális hálózatok és webhelyek nevét. Ezek a nevek lesznek a kapcsolatok létrehozásakor használt nevek.
   A virtuális hálózatok nevei VirtualNetworkSite név =
   A helyneveka LocalNetworkSiteRef név =

A kapcsolat létrehozása

Megjegyzés:

A klasszikus üzemi modell esetében ez a lépés nem érhető el az Azure Portalon vagy az Azure Cloud Shellen keresztül. Az Azure PowerShell-parancsmagok szolgáltatásfelügyeleti (SM) verzióját helyileg kell használnia az asztalról.

Ebben a lépésben az előző lépések értékeit használva beállítja a megosztott kulcsot, és létrehozza a kapcsolatot. A beállított kulcsnak meg kell egyeznie a VPN-eszköz konfigurációjában használt kulccsal.

1. Állítsa be a megosztott kulcsot, és hozza létre a kapcsolatot.

   • Módosítsa a -VNetName és a -LocalNetworkSiteName értéket. Amikor szóközt tartalmazó nevet ad meg, zárja az értéket szimpla idézőjelek közé.
   • A "-SharedKey" egy létrehozott érték, majd adja meg. A példában az "abc123" kifejezést használtuk, de létrehozhat (és kellene) valami összetettebbet. Vegye figyelembe, hogy az itt megadott értéknek meg kell egyeznie a VPN-eszköz konfigurálásakor meghatározott értékkel.

   Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
   -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
   

2. Amikor létrejött a kapcsolat, az eredmény Status: Successful (Állapot: Sikeres) lesz.

A kapcsolat ellenőrzése

Az Azure Portalon a kapcsolatra lépve tekintheti meg a klasszikus virtuális hálózat VPN-átjárójának kapcsolati állapotát. Az alábbi lépések a kapcsolat megkeresését és ellenőrzését mutatják be.

1. Az Azure Portalon lépjen a klasszikus virtuális hálózatra (VNet).
2. A virtuális hálózat lapján kattintson a megtekinteni kívánt kapcsolat típusára. Például helyek közötti kapcsolatok.
3. A Helyek közötti kapcsolatok lap Név területén válassza ki a megtekinteni kívánt webhelykapcsolatot.
4. A Tulajdonságok lapon tekintse meg a kapcsolat adatait.

Ha problémát tapasztal a csatlakozás során, tekintse meg a bal oldali panel tartalomjegyzékének Hibaelhárítás szakaszát.

VPN-átjáró alaphelyzetbe állítása

Az Azure VPN Gateway alaphelyzetbe állítása akkor hasznos, ha egy vagy több helyek közötti VPN-alagúton elveszíti a létesítmények közötti VPN-kapcsolatot. Ebben az esetben a helyszíni VPN-eszközei megfelelően működnek, de nem tudnak Ipsec-alagutakat létesíteni az Azure VPN Gateway átjárókkal. A lépéseket lásd: VPN Gateway alaphelyzetbe állítása.

Átjáró termékváltozatának átméretezése

A klasszikus üzemi modell átjárójának átméretezéséhez a Service Management PowerShell-parancsmagokat kell használnia. Használja az alábbi parancsot:

Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance

További lépések

• Miután a kapcsolat létrejött, hozzáadhat virtuális gépeket a virtuális hálózataihoz. További információkért lásd: Virtuális gépek.
• Információk a kényszerített bújtatásról: Információk a kényszerített bújtatásról.