Virtuális hálózatok közötti kapcsolat konfigurálása (klasszikus)

  • Cikk

Ez a cikk segít VPN-átjárókapcsolatot létrehozni a virtuális hálózatok között. A virtuális hálózatok lehetnek azonos vagy eltérő régiókban, illetve azonos vagy eltérő előfizetésekben.

A cikkben szereplő lépések a klasszikus (örökölt) üzemi modellre vonatkoznak, és nem vonatkoznak a Resource Manager aktuális üzemi modelljére. Már nem hozhat létre átjárót a klasszikus üzemi modellel. Ehelyett tekintse meg a cikk Resource Manager-verzióját.

Fontos

A továbbiakban nem hozhat létre új virtuális hálózati átjárókat a klasszikus üzemi modellhez (szolgáltatásfelügyeleti) virtuális hálózatokhoz. Új virtuális hálózati átjárók csak Resource Manager-alapú virtuális hálózatokhoz hozhatók létre.

Diagram showing classic VNet-to-VNet architecture.

Megjegyzés:

Ez a cikk a klasszikus (örökölt) üzemi modellhez készült. Javasoljuk, hogy inkább a legújabb Azure-beli üzemi modellt használja. A Resource Manager-alapú üzemi modell a legújabb üzemi modell, és több lehetőséget és funkciókompatibilitást kínál, mint a klasszikus üzemi modell. A két üzemi modell közötti különbség megértéséhez tekintse meg az üzembehelyezési modellek és az erőforrások állapotát.

Ha a cikk másik verzióját szeretné használni, használja a bal oldali panelen található tartalomjegyzéket.

Tudnivalók a virtuális hálózatok közötti kapcsolatokról

Csatlakozás virtuális hálózat egy másik virtuális hálózathoz (VNet–VNet) való csatlakoztatása a klasszikus üzemi modellben VPN-átjáró használatával hasonló a virtuális hálózat helyszíni helyhez való csatlakoztatásához. Mindkét kapcsolattípus egy VPN-átjárót használ a biztonságos alagút IPsec/IKE használatával való kialakításához.

A csatlakoztatni kívánt virtuális hálózatok különböző előfizetésekben és régiókban lehetnek. A virtuális hálózat és a virtuális hálózatok közötti kommunikáció többhelyes konfigurációkkal kombinálható. Így létrehozhat olyan hálózati topológiákat, amelyek a létesítmények közötti kapcsolatokat a virtuális hálózatok közötti kapcsolatokkal kombinálják.

Diagram showing VNet-VNet connections.

Miért érdemes összekapcsolni a virtuális hálózatokat?

A következő okokból érdemes virtuális hálózatokat csatlakoztatni:

  • Georedundancia és földrajzi jelenlét több régióban

    • Beállíthatja a saját georeplikációját vagy szinkronizálását biztonságos kapcsolaton át, internetes végpontok használata nélkül.
    • Az Azure Load Balancer és a Microsoft vagy harmadik féltől származó fürtözési technológiával magas rendelkezésre állású számítási feladatokat állíthat be georedundanciával több Azure-régióban. Például beállíthat folyamatosan működő SQL-t több Azure-régióban található rendelkezésre állási csoportokkal.

  • Regionális többrétegű alkalmazások erős elkülönítési határral

    • Ugyanazon a régión belül többrétegű alkalmazásokat állíthat be, amelyekhez több virtuális hálózat csatlakozik, erős elkülönítéssel és biztonságos rétegközi kommunikációval.

  • Előfizetések közötti, szervezetközi kommunikáció az Azure-ban

    • Ha több Azure-előfizetéssel rendelkezik, a különböző előfizetések számítási feladatait biztonságosan összekapcsolhatja a virtuális hálózatok között.
    • Vállalatok vagy szolgáltatók számára engedélyezheti a szervezetek közötti kommunikációt biztonságos VPN-technológiával az Azure-ban.

A virtuális hálózatok közötti kapcsolatokról további információt a cikk végén, A virtuális hálózatok közötti kapcsolatokra vonatkozó szempontok című részben talál.

Előfeltételek

A legtöbb lépéshez a portált használjuk, de a virtuális hálózatok közötti kapcsolatok létrehozásához a PowerShellt kell használnia. Az Azure Portal használatával nem hozhatók létre kapcsolatok, mert a portálon nincs mód a megosztott kulcs megadására. A klasszikus üzemi modell használatakor nem használhatja az Azure Cloud Shellt. Ehelyett helyileg kell telepítenie az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját a számítógépre. Ezek a parancsmagok eltérnek az AzureRM vagy az Az parancsmagoktól. Az SM-parancsmagok telepítéséhez lásd : Service Management-parancsmagok telepítése. Az Azure PowerShell-lel kapcsolatos további információkért tekintse meg az Azure PowerShell dokumentációját.

Tervezés

Fontos eldönteni, hogy mely tartományokat fogja használni a virtuális hálózatok konfigurálásához. Ebben a konfigurációban győződjön meg arról, hogy egyik virtuális hálózat tartománya sem fedi egymást, sem a helyi hálózatokat, amelyekhez csatlakoznak.

Virtuális hálózatok

Ebben a gyakorlatban a következő példaértékeket használjuk:

A TestVNet1 értékei

Név: TestVNet1
Címtér: 10.11.0.0/16, 10.12.0.0/16 (nem kötelező)
Alhálózat neve: alapértelmezett
Alhálózati címtartomány: 10.11.0.0/24
Erőforráscsoport: ClassicRG
Hely: USA keleti régiója
GatewaySubnet: 10.11.1.0/27

A TestVNet4 értékei

Név: TestVNet4
Címtér: 10.41.0.0/16, 10.42.0.0/16 (nem kötelező)
Alhálózat neve: alapértelmezett
Alhálózati címtartomány: 10.41.0.0/24
Erőforráscsoport: ClassicRG
Hely: West US
GatewaySubnet: 10.41.1.0/27

Kapcsolatok

Az alábbi táblázat egy példát mutat be a virtuális hálózatok csatlakoztatására. Csak útmutatóként használja a tartományokat. Írja le a virtuális hálózatok tartományait. A későbbi lépésekhez szüksége lesz ezekre az információkra.

Ebben a példában a TestVNet1 egy "VNet4Local" nevű helyi hálózati helyhez csatlakozik. A VNet4Local beállításai tartalmazzák a TestVNet4 címelőtagokat. Az egyes virtuális hálózatok helyi helye a másik virtuális hálózat. A konfigurációnkhoz a következő példaértékeket használjuk:

Example

Virtual Network Címtartomány Hely Csatlakozás a helyi hálózati helyre
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 West US SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Virtuális hálózatok létrehozása

Ebben a lépésben két klasszikus virtuális hálózatot hoz létre, a TestVNet1-et és a TestVNet4-et. Ha ezt a cikket gyakorlatként használja, használja a példaértékeket.

A virtuális hálózatok létrehozásakor tartsa szem előtt a következő beállításokat:

  • Virtuális hálózati címterek – A Virtuális hálózati címterek lapon adja meg a virtuális hálózathoz használni kívánt címtartományt. Ezek a dinamikus IP-címek lesznek hozzárendelve a virtuális hálózaton üzembe helyezendő virtuális gépekhez és más szerepkörpéldányokhoz.
    A kiválasztott címterek nem fedhetik át a többi virtuális hálózat vagy helyszíni hely címtereit, amelyekhez a virtuális hálózat csatlakozni fog.

  • Hely – Virtuális hálózat létrehozásakor egy Azure-helyhez (régióhoz) társítja. Ha például azt szeretné, hogy a virtuális hálózaton üzembe helyezett virtuális gépek fizikailag az USA nyugati régiójában legyenek, válassza ki ezt a helyet. A létrehozása után nem módosíthatja a virtuális hálózathoz társított helyet.

A virtuális hálózatok létrehozása után a következő beállításokat adhatja meg:

  • Címtér – Ehhez a konfigurációhoz nincs szükség további címtérre, de a virtuális hálózat létrehozása után további címteret adhat hozzá.

  • Alhálózatok – Ehhez a konfigurációhoz nincs szükség további alhálózatokra, de előfordulhat, hogy a virtuális gépeket egy olyan alhálózatban szeretné használni, amely eltér a többi szerepkörpéldánytól.

  • DNS-kiszolgálók – Adja meg a DNS-kiszolgáló nevét és IP-címét. Ez a beállítás nem hoz létre DNS-kiszolgálót. Lehetővé teszi, hogy megadja azokat a DNS-kiszolgálókat, amelyeket névfeloldásra kíván használni ennél a virtuális hálózatnál.

Klasszikus virtuális hálózat létrehozása

  1. Egy böngészőből keresse fel az Azure portált, majd jelentkezzen be az Azure-fiókjával, ha szükséges.
  2. Válassza az +Erőforrás létrehozása lehetőséget. A Piactér keresése mezőbe írja be a „Virtuális hálózat” kifejezést. Keresse meg a virtuális hálózatot a visszaadott listából, és válassza ki a virtuális hálózat lap megnyitásához.
  3. A Virtuális hálózat lapon, a Létrehozás gomb alatt megjelenik a "Telepítés a Resource Managerrel (váltás klasszikusra)". A Resource Manager az alapértelmezett virtuális hálózat létrehozásához. Nem szeretne Resource Manager virtuális hálózatot létrehozni. Klasszikus virtuális hálózat létrehozásához válassza a (klasszikusra váltás) lehetőséget. Ezután válassza az Áttekintés lapot, és válassza a Létrehozás lehetőséget.
  4. A Virtuális hálózat létrehozása (klasszikus) lap Alapszintű beállítások lapján konfigurálja a virtuális hálózat beállításait a példaértékekkel.
  5. Válassza a Véleményezés + létrehozás lehetőséget a virtuális hálózat ellenőrzéséhez.
  6. Az érvényesítés lefut. A virtuális hálózat ellenőrzése után válassza a Létrehozás lehetőséget.

A dns-beállítások nem szükségesek a konfigurációhoz, de a DNS-re akkor van szükség, ha névfeloldást szeretne a virtuális gépek között. Az érték megadásával nem jön létre új DNS-kiszolgáló. A megadott DNS-kiszolgáló IP-címének olyan DNS-kiszolgálónak kell lennie, amely fel tudja oldani azoknak az erőforrásoknak a nevét, amelyekkel Ön kapcsolatot fog létesíteni.

Miután létrehozta a virtuális hálózatot, hozzáadhatja a DNS-kiszolgáló IP-címét a névfeloldás kezelésének érdekében. Nyissa meg a virtuális hálózat beállításait, válassza ki a DNS-kiszolgálókat, és adja hozzá a névfeloldáshoz használni kívánt DNS-kiszolgáló IP-címét.

  1. Keresse meg a virtuális hálózatot a portálon.
  2. A virtuális hálózat lapjának Gépház szakaszában válassza ki a DNS-kiszolgálókat.
  3. Adjon meg egy DNS-kiszolgálót.
  4. A beállítások mentéséhez válassza a Lap tetején található Mentés lehetőséget.

Webhelyek és átjárók konfigurálása

Az Azure az egyes helyi hálózati helyeken megadott beállításokkal határozza meg, hogyan irányíthatja a forgalmat a virtuális hálózatok között. Minden virtuális hálózatnak arra a helyi hálózatra kell mutatnia, amelyhez a forgalmat irányítani szeretné. Ön határozza meg, hogy melyik nevet szeretné használni az egyes helyi hálózati helyekre való hivatkozáshoz. A legjobb, ha valami leírót használ.

A TestVNet1 például egy "VNet4Local" nevű helyi hálózati helyhez csatlakozik. A VNet4Local beállításai tartalmazzák a TestVNet4 címelőtagokat.

Ne feledje, hogy az egyes virtuális hálózatok helyi webhelye a másik virtuális hálózat.

Virtual Network Címtartomány Hely Csatlakozás a helyi hálózati helyre
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)		 East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)		 West US SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Webhely konfigurálása

A helyi hely általában a használat helyszínét jelenti. Tartalmazza annak a VPN-eszköznek az IP-címét, amelyhez kapcsolatot kíván létrehozni, valamint a VPN-átjárón keresztül a VPN-eszközre irányított IP-címtartományokat.

  1. A virtuális hálózat lapjának Gépház területén válassza a Helyek közötti kapcsolatok lehetőséget.

  2. A Helyek közötti kapcsolatok lapon válassza a + Hozzáadás lehetőséget.

  3. A VPN-kapcsolat és az átjáró konfigurálása lapon a Csatlakozás ion típusnál hagyja bejelölve a helyek közötti kapcsolatot.

    • VPN-átjáró IP-címe: Ez a helyszíni hálózaton található VPN-eszköz nyilvános IP-címe. Ebben a gyakorlatban megadhat egy álcímet, mert még nem rendelkezik a VPN-átjáró IP-címével a másik helyhez. Például: 5.4.3.2. Később, miután konfigurálta az átjárót a másik virtuális hálózathoz, módosíthatja ezt az értéket.

    • Ügyfélcímtér: Listázhatja azokat az IP-címtartományokat, amelyeket ezen az átjárón keresztül a másik virtuális hálózathoz szeretne irányítani. Több címtartományt is felvehet. Győződjön meg arról, hogy az itt megadott tartományok nem fedik át azokat a tartományokat, amelyekhez a virtuális hálózat csatlakozik, vagy magának a virtuális hálózatnak a címtartományaival.

  4. A lap alján NE válassza a Véleményezés + létrehozás lehetőséget. Ehelyett válassza a Tovább: Átjáró> lehetőséget.

Virtuális hálózati átjáró konfigurálása

  1. Az Átjáró lapon válassza ki a következő értékeket:

    • Méret: Ez az átjáró termékváltozata, amelyet a virtuális hálózati átjáró létrehozásához használ. A klasszikus VPN-átjárók a régi (örökölt) átjáró-termékváltozatokat használják. Az átjárók örökölt termékváltozatairól a virtuális hálózati átjárók termékváltozatainak (régi termékváltozatok) használatát bemutató cikkben talál további információt. Ehhez a gyakorlathoz kiválaszthatja a Standard lehetőséget.

    • Átjáró alhálózata: A megadott átjáróalhálózat mérete a létrehozni kívánt VPN-átjáró konfigurációjától függ. Bár az átjáró alhálózata akár /29-ben is létrehozható, javasoljuk, hogy a /27-et vagy a /28-at használja. Ez nagyobb, több címet tartalmazó alhálózatot hoz létre. Nagyobb átjáróalhálózat használatával elegendő IP-cím áll rendelkezésre az esetleges jövőbeni konfigurációk megvalósításához.

  2. A beállítások érvényesítéséhez válassza a Lap alján található Véleményezés + létrehozás lehetőséget. Válassza a Létrehozás lehetőséget az üzembe helyezéshez. A kiválasztott átjáró termékváltozatától függően a virtuális hálózati átjáró létrehozása akár 45 percet is igénybe vehet.

  3. Az átjáró létrehozása közben továbbléphet a következő lépésre.

TestVNet4-beállítások konfigurálása

Ismételje meg a Hely és átjáró létrehozása a TestVNet4 konfigurálásához szükséges lépéseket, szükség esetén helyettesítve az értékeket. Ha ezt gyakorlatként végzi, használja a példaértékeket.

Helyi webhelyek frissítése

Miután mindkét virtuális hálózathoz létrehozta a virtuális hálózati átjárókat, módosítania kell a VPN-átjáró IP-címének helyi helytulajdonságait.

Virtuális hálózat neve Csatlakozás webhely Átjáró IP-címe
TestVNet1 VNet4Local VPN-átjáró IP-címe a TestVNet4-hez
TestVNet4 VNet1Local VPN-átjáró IP-címe a TestVNet1-hez

1. rész – A virtuális hálózati átjáró nyilvános IP-címének lekérése

  1. Lépjen a virtuális hálózatra az Erőforrás csoportra lépve, és válassza ki a virtuális hálózatot.
  2. A virtuális hálózat oldalán, a jobb oldali Essentials panelen keresse meg az átjáró IP-címét , és másolja a vágólapra.

2. rész – A helyi webhely tulajdonságainak módosítása

  1. A Helyek közötti kapcsolatok területen válassza ki a kapcsolatot. Például: SiteVNet4.
  2. A Helyek közötti kapcsolat Tulajdonságok lapján válassza a Helyi hely szerkesztése lehetőséget.
  3. A VPN-átjáró IP-cím mezőjébe illessze be az előző szakaszban másolt VPN-átjáró IP-címét.
  4. Válassza az OK lehetőséget.
  5. A mező frissül a rendszerben. Ezzel a módszerrel további IP-címeket is hozzáadhat, amelyeket erre a webhelyre szeretne irányítani.

3. rész – A többi virtuális hálózat lépéseinek ismétlése

Ismételje meg a TestVNet4 lépéseit.

Konfigurációs értékek lekérése

Amikor klasszikus virtuális hálózatokat hoz létre az Azure Portalon, a megjelenített név nem a PowerShellhez használt teljes név. Előfordulhat például, hogy a portálon TestVNet1 nevű virtuális hálózat neve sokkal hosszabb lehet a hálózati konfigurációs fájlban. A "ClassicRG" erőforráscsoportban lévő virtuális hálózatok neve a következőhöz hasonló lehet: Group ClassicRG TestVNet1. A kapcsolatok létrehozásakor fontos, hogy a hálózati konfigurációs fájlban látható értékeket használja.

A következő lépésekben csatlakozni fog az Azure-fiókjához, és letölti és megtekinti a hálózati konfigurációs fájlt a kapcsolatokhoz szükséges értékek beszerzéséhez.

  1. Töltse le és telepítse az Azure Service Management (SM) PowerShell-parancsmagok legújabb verzióját. A legtöbben helyileg telepítették a Resource Manager-modulokat, de nem rendelkeznek Service Management-modulokkal. A szolgáltatásfelügyeleti modulok régiek, és külön kell telepíteni. További információ: Service Management-parancsmagok telepítése.

  2. Nyissa meg emelt szintű jogosultságokkal a PowerShell konzolt, és csatlakozzon a fiókjához. A csatlakozáshoz használja az alábbi példákat. Ezeket a parancsokat helyileg kell futtatnia a PowerShell szolgáltatásfelügyeleti modul használatával. Csatlakozás a fiókhoz. A következő példa segít a kapcsolódásban:

    Add-AzureAccount

  3. Keresse meg a fiókot az előfizetésekben.

    Get-AzureSubscription

  4. Ha egynél több előfizetéssel rendelkezik, akkor válassza ki azt, amelyiket használni szeretné.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"

  5. Hozzon létre egy könyvtárat a számítógépen. Például: C:\AzureVNet

  6. Exportálja a hálózati konfigurációs fájlt a könyvtárba. Ebben a példában a hálózati konfigurációs fájl a C:\AzureNetbe lesz exportálva.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

  7. Nyissa meg a fájlt egy szövegszerkesztővel, és tekintse meg a virtuális hálózatok és webhelyek nevét. Ezek a nevek lesznek a kapcsolatok létrehozásakor használt nevek.
    A virtuális hálózatok nevei VirtualNetworkSite név =
    A helyneveka LocalNetworkSiteRef név =

Create connections

Az előző lépések elvégzése után beállíthatja az IPsec/IKE előre megosztott kulcsokat, és létrehozhatja a kapcsolatot. Ez a lépéskészlet a PowerShellt használja. A klasszikus üzemi modell virtuális hálózatok közötti kapcsolatai nem konfigurálhatók az Azure Portalon, mert a megosztott kulcs nem adható meg a portálon.

A példákban figyelje meg, hogy a megosztott kulcs pontosan ugyanaz. A megosztott kulcsnak mindig egyeznie kell. Mindenképpen cserélje le az ezekben a példákban szereplő értékeket a virtuális hálózatok és a helyi hálózati helyek pontos nevére.

  1. Hozza létre a TestVNet1–TestVNet4 kapcsolatot. Mindenképpen módosítsa az értékeket.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
-LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4

  2. Hozza létre a TestVNet4–TestVNet1 kapcsolatot.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
-LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4

  3. Várja meg, amíg a kapcsolatok inicializálódnak. Az átjáró inicializálása után az állapot "Sikeres".

    Error          :
HttpStatusCode : OK
Id             :
Status         : Successful
RequestId      :
StatusCode     : OK

Gyakori kérdések és szempontok

Ezek a szempontok a klasszikus virtuális hálózatokra és a klasszikus virtuális hálózati átjárókra vonatkoznak.

  • A virtuális hálózatok lehetnek azonos vagy különböző előfizetésekben.
  • A virtuális hálózatok lehetnek azonos vagy eltérő Azure-régiókban (helyeken).
  • A felhőszolgáltatás vagy a terheléselosztási végpontok nem terjedhetnek át a virtuális hálózatokon, még akkor sem, ha össze vannak kapcsolva.
  • Csatlakozás több virtuális hálózat együttes használata nem igényel VPN-eszközöket.
  • A virtuális hálózatok közötti kapcsolat támogatja az Azure-beli virtuális hálózatok csatlakoztatását. Nem támogatja a virtuális hálózathoz nem telepített virtuális gépek vagy felhőszolgáltatások csatlakoztatását.
  • A virtuális hálózatok közötti hálózat dinamikus útválasztási átjárókat igényel. Az Azure statikus útválasztási átjárói nem támogatottak.
  • A virtuális hálózati kapcsolat használható többhelyes virtuális VPN-ekkel együtt. A virtuális hálózati VPN-átjárók legfeljebb 10 VPN-alagutat használhatnak, amelyek más virtuális hálózatokhoz vagy helyszíni helyekhez csatlakoznak.
  • A virtuális hálózatok címterei és a helyszíni helyi hálózati helyek nem lehetnek egymással átfedésben. Az átfedésben lévő címterek miatt a virtuális hálózatok létrehozása vagy a netcfg-konfigurációs fájlok feltöltése meghiúsul.
  • A virtuális hálózatok párja közötti redundáns alagutak nem támogatottak.
  • A virtuális hálózat összes VPN-alagútja, beleértve a P2S VPN-eket is, osztozik a VPN-átjáró elérhető sávszélességén, és ugyanazzal a VPN-átjáró üzemidejű SLA-val az Azure-ban.
  • A virtuális hálózatok közötti forgalom az Azure gerinchálózatán halad át.

Következő lépések

Ellenőrizze a kapcsolatokat. Lásd: VPN Gateway-kapcsolat ellenőrzése.