Azure Stack Hub verbinden met Azure met behulp van VPN

  • Artikel
  • 11 minuten om te lezen

In dit artikel wordt beschreven hoe u een site-naar-site-VPN maakt om een virtueel netwerk in Azure Stack Hub te verbinden met een virtueel netwerk in Azure.

Voordat u begint

Zorg ervoor dat u de volgende items hebt voordat u begint om de verbindingsconfiguratie te voltooien:

  • Een Azure Stack Hub-implementatie van geïntegreerde systemen (met meerdere knooppunt) die rechtstreeks is verbonden met internet. Uw externe openbare IP-adresbereik moet rechtstreeks bereikbaar zijn vanaf het openbare internet.
  • Een geldig Azure-abonnement. Als u geen Azure-abonnement hebt, kunt u hier een gratis Azure-account maken.

Diagram van VPN-verbinding

In de volgende afbeelding ziet u hoe de verbindingsconfiguratie eruit moet zien wanneer u klaar bent:

Configuratie van site-naar-site-VPN-verbinding

Voorbeeldwaarden voor netwerkconfiguratie

In de tabel met voorbeelden van netwerkconfiguratie ziet u de waarden die worden gebruikt voor voorbeelden in dit artikel. U kunt deze waarden gebruiken of u kunt ze verwijzen om meer inzicht te krijgen in de voorbeelden in dit artikel:

Waarde Azure Stack Hub Azure
Naam van virtueel netwerk Azs-VNet AzureVNet
Adresruimte van virtueel netwerk 10.1.0.0/16 10.100.0.0/16
Subnetnaam FrontEnd FrontEnd
Subnetadresbereik 10.1.0.0/24 10.100.0.0/24
Gatewaysubnet 10.1.1.0/24 10.100.1.0/24

Maak de netwerkresources in Azure

Maak eerst de netwerkbronnen voor Azure. De volgende instructies laten zien hoe u de resources maakt met behulp van de Azure Portal.

Het subnet van het virtuele netwerk en de virtuele machine (VM) maken

  1. Meld u aan bij de Azure Portal met uw Azure-account.
  2. Selecteer + Een resource maken in de gebruikersportal.
  3. Ga naar Marketplaceen selecteer netwerken.
  4. Selecteer Virtueel netwerk.
  5. Gebruik de informatie uit de netwerkconfiguratietabel om de waarden voor Azure-naam,Adresruimte, Subnetnaamen Subnetadresbereik te identificeren.
  6. Maak voor Resourcegroepeen nieuwe resourcegroep of selecteer Bestaande gebruiken als u er al een hebt.
  7. Selecteer de locatie van uw VNet. Als u de voorbeeldwaarden gebruikt, selecteert u VS - oost of gebruikt u een andere locatie.
  8. Selecteer Vastmaken aan dashboard.
  9. Selecteer Maken.

Her gatewaysubnet maken

  1. Open de resource voor het virtuele netwerk die u hebt gemaakt(AzureVNet)vanuit het dashboard.

  2. Selecteer in Instellingen sectie Subnetten.

  3. Selecteer Gatewaysubnet om een gatewaysubnet toe te voegen aan het virtuele netwerk.

  4. De naam van het subnet is standaard ingesteld op Gatewaysubnet.

    Belangrijk

    Gatewaysubnetten zijn speciaal en hebben deze specifieke naam nodig om goed te functioneren.

  5. Controleer in het veld Adresbereik of het adres 10.100.1.0/24 is.

  6. Selecteer OK om het gatewaysubnet te maken.

De gateway van het virtuele netwerk maken

  1. Selecteer in Azure Portal + Een resource maken.
  2. Ga naar Marketplaceen selecteer netwerken.
  3. Selecteer virtuele netwerkgateway in de lijst met netwerkbronnen.
  4. Typ Azure-GWin het veld Naam.
  5. Als u een virtueel netwerk wilt kiezen, selecteert u Virtueel netwerk. Selecteer vervolgens AzureVnet in de lijst.
  6. Selecteer Openbaar IP-adres. Wanneer de sectie Openbaar IP-adres kiezen wordt geopend, selecteert u Nieuwe maken.
  7. Typ Azure-GW-PiPin het veld Naam en selecteer ok.
  8. Controleer of Abonnement en Locatie juist zijn. U kunt de resource vastmaken aan het dashboard. Selecteer Maken.

De lokale netwerkgatewayresource maken

  1. Selecteer in Azure Portal + Een resource maken.

  2. Ga naar Marketplaceen selecteer netwerken.

  3. Selecteer lokale netwerkgateway in de lijst met resources.

  4. Typ Azs-GWin het veld Naam.

  5. Typ in het veld IP-adres het openbare IP-adres voor uw Azure Stack Hub Virtual Network Gateway die eerder in de netwerkconfiguratietabel wordt vermeld.

  6. Typ in het veld Adresruimte Azure Stack Hub de adresruimte 10.1.0.0/24 en 10.1.1.0/24 voor AzureVNet.

  7. Controleer of uw Abonnement,Resourcegroepen Locatie juist zijn en selecteer vervolgens Maken.

De verbinding maken

  1. Selecteer + Een resource maken in de gebruikersportal.

  2. Ga naar Marketplaceen selecteer netwerken.

  3. Selecteer Verbinding in de lijst met resources.

  4. Kies in de sectie Basisinstellingen voor Verbindingstypede optie Site-naar-site (IPSec).

  5. Selecteer het abonnement, de resourcegroepen de locatieen selecteer vervolgens OK.

  6. Selecteer in Instellingen sectie Virtuele netwerkgatewayen selecteer vervolgens Azure-GW.

  7. Selecteer Lokale netwerkgatewayen selecteer vervolgens Azs-GW.

  8. In Verbindingsnaam typtu Azure-Azs.

  9. In Gedeelde sleutel (PSK)typt u 12345en selecteert u VERVOLGENS OK.

    Notitie

    Als u een andere waarde gebruikt voor de gedeelde sleutel, moet deze overeenkomen met de waarde voor de gedeelde sleutel die u aan het andere uiteinde van de verbinding maakt.

  10. Controleer de sectie Samenvatting en selecteer vervolgens OK.

Een aangepast IPSec-beleid maken

Er is een aangepast IPSec-beleid nodig om ervoor te kunnen Azure Stack Hub.

  1. Een aangepast beleid maken:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Pas het beleid toe op de verbinding:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Een virtuele machine maken

Maak nu een virtuele machine in Azure en plaats deze in uw VM-subnet in uw virtuele netwerk.

  1. Selecteer in Azure Portal + Een resource maken.

  2. Ga naar Marketplaceen selecteer Compute.

  3. Selecteer in de lijst met VM-afbeeldingen de Windows Server 2016 Datacenter Eval-afbeelding.

  4. Typ in de sectie Basisbeginselen bij Naamde tekst AzureVM.

  5. Typ een geldige gebruikersnaam en een geldig wachtwoord. U gebruikt dit account om u aan te melden bij de VM nadat deze is gemaakt.

  6. Geef een abonnement,resourcegroepen locatieop en selecteer vervolgens OK.

  7. Selecteer in de sectie Grootte een VM-grootte voor dit exemplaar en selecteer vervolgens Selecteren.

  8. In de Instellingen kunt u de standaardinstellingen gebruiken. Voordat u OK selecteert,bevestigt u dat:

    • Het virtuele netwerk AzureVnet is geselecteerd.
    • Het subnet is ingesteld op 10.100.0.0/24.

    Selecteer OK.

  9. Controleer de instellingen in de sectie Samenvatting en selecteer vervolgens OK.

Maak de netwerkbronnen in Azure Stack Hub

Maak vervolgens de netwerkbronnen in Azure Stack Hub.

Aanmelden als gebruiker

Een servicebeheerder kan zich aanmelden als een gebruiker om de plannen, aanbiedingen en abonnementen te testen die hun gebruikers mogelijk gebruiken. Als u nog geen account hebt, maakt u een gebruikersaccount voordat u zich aan melden.

Het virtuele netwerk en een VM-subnet maken

  1. Gebruik een gebruikersaccount om u aan te melden bij de gebruikersportal.

  2. Selecteer + Een resource maken in de gebruikersportal.

    Nieuw virtueel netwerk maken

  3. Ga naar Marketplaceen selecteer netwerken.

  4. Selecteer Virtueel netwerk.

  5. Gebruik voor Naam,Adresruimte,Subnetnaamen Subnetadresbereikde waarden uit de netwerkconfiguratietabel.

  6. In Abonnementwordt het abonnement weergegeven dat u eerder hebt gemaakt.

  7. Voor Resourcegroepkunt u een resourcegroep maken of bestaande gebruiken selecteren als u er al een hebt.

  8. Controleer de standaardlocatie.

  9. Selecteer Vastmaken aan dashboard.

  10. Selecteer Maken.

Her gatewaysubnet maken

  1. Open op het dashboard de resource Azs-VNet virtueel netwerk dat u hebt gemaakt.

  2. Selecteer in Instellingen sectie Subnetten.

  3. Selecteer Gatewaysubnetom een gatewaysubnet toe te voegen aan het virtuele netwerk.

    Gatewaysubnet toevoegen

  4. De naam van het subnet is standaard ingesteld op GatewaySubnet. Gatewaysubnetten werken alleen goed als ze de gatewaysubnetnaam gebruiken.

  5. Controleer in Adresbereikof het adres 10.1.1.0/24 is.

  6. Selecteer OK om het gatewaysubnet te maken.

De gateway van het virtuele netwerk maken

  1. Selecteer in Azure Stack Hub portal + Een resource maken.

  2. Ga naar Marketplaceen selecteer netwerken.

  3. Selecteer virtuele netwerkgateway in de lijst met netwerkbronnen.

  4. Bij Naamtypt u Azs-GW.

  5. Selecteer het item Virtueel netwerk om een virtueel netwerk te kiezen. Selecteer Azs-VNet in de lijst.

  6. Selecteer de menu-item Openbaar IP-adres. Wanneer de sectie Openbaar IP-adres kiezen wordt geopend, selecteert u Nieuwe maken.

  7. Bij Naamtypt u Azs-GW-PiPen selecteert u OK.

  8. Op route gebaseerd is standaard geselecteerd als VPN-type. Houd het vpn-type op basis van route.

  9. Controleer of Abonnement en Locatie juist zijn. U kunt de resource vastmaken aan het dashboard. Selecteer Maken.

De lokale netwerkgateway maken

Het concept van een lokale netwerkgateway in Azure Stack Hub verschilt van in een Azure-implementatie.

In een Azure-implementatie vertegenwoordigt een lokale netwerkgateway een on-premises (op de gebruikerslocatie) fysiek apparaat dat u verbindt met een virtuele netwerkgateway in Azure. In het Azure Stack Hub beide uiteinden van de verbinding echter virtuele netwerkgateways zijn.

Een algemenere beschrijving is dat de resource van de lokale netwerkgateway altijd de externe gateway aan het andere uiteinde van de verbinding aangeeft.

De lokale netwerkgatewayresource maken

  1. Meld u aan bij de Azure Stack Hub portal.

  2. Selecteer + Een resource maken in de gebruikersportal.

  3. Ga naar Marketplaceen selecteer netwerken.

  4. Selecteer lokale netwerkgateway in de lijst met resources.

  5. Typ Azure-GWin het veld Naam.

  6. Typ in het veld IP-adres het openbare IP-adres voor de gateway van het virtuele netwerk in Azure Azure-GW-PiP. Dit adres wordt eerder in de netwerkconfiguratietabel weergegeven.

  7. Typ in het veld Adresruimte 10.100.0.0/24 en 10.100.100.0/24 en 10.100.1.0/24voor de adresruimte van het Azure-VNET dat u hebt gemaakt.

  8. Controleer of de waarden voor Abonnement,Resourcegroepen Locatie juist zijn en selecteer vervolgens Maken.

De verbinding maken

  1. Selecteer + Een resource maken in de gebruikersportal.

  2. Ga naar Marketplaceen selecteer netwerken.

  3. Selecteer Verbinding in de lijst met resources.

  4. Selecteer in de sectie Basisinstellingen voor Verbindingstypede optie Site-naar-site (IPSec).

  5. Selecteer het abonnement, de resourcegroepen de locatieen selecteer vervolgens OK.

  6. Selecteer in Instellingen sectie Virtuele netwerkgatewayen selecteer vervolgens Azs-GW.

  7. Selecteer Lokale netwerkgatewayen selecteer vervolgens Azure-GW.

  8. In Verbindingsnaamtypt u Azs-Azure.

  9. In Gedeelde sleutel (PSK)typt u 12345en selecteert u OK.

  10. Selecteer OK in de sectie Samenvatting.

Een virtuele machine maken

Als u de VPN-verbinding wilt controleren, maakt u twee VM's: één in Azure en één in Azure Stack Hub. Nadat u deze VM's hebt gemaakt, kunt u ze gebruiken om gegevens te verzenden en te ontvangen via de VPN-tunnel.

  1. Selecteer in Azure Portal + Een resource maken.

  2. Ga naar Marketplaceen selecteer Compute.

  3. Selecteer in de lijst met VM-afbeeldingen de Windows Server 2016 Datacenter Eval-afbeelding.

  4. Typ azs-VMin desectie Basisinformatie in Naam.

  5. Typ een geldige gebruikersnaam en een geldig wachtwoord. U gebruikt dit account om u aan te melden bij de VM nadat deze is gemaakt.

  6. Geef een abonnement,resourcegroepen locatieop en selecteer vervolgens OK.

  7. Selecteer in de sectie Grootte voor dit exemplaar een VM-grootte en selecteer vervolgens Selecteren.

  8. Accepteer in Instellingen sectie de standaardwaarden. Zorg ervoor dat het virtuele netwerk Azs-VNet is geselecteerd. Controleer of het subnet is ingesteld op 10.1.0.0/24. Selecteer vervolgens OK.

  9. Controleer de instellingen in de sectie Samenvatting en selecteer OK.

De verbinding testen

Nadat de site-naar-site-verbinding tot stand is gebracht, moet u controleren of u gegevens in beide richtingen kunt laten stromen. De eenvoudigste manier om de verbinding te testen, is door een pingtest uit te doen:

  • Meld u aan bij de VM die u hebt gemaakt in Azure Stack Hub ping de VM in Azure.
  • Meld u aan bij de VM die u in Azure hebt gemaakt en ping de VM in Azure Stack Hub.

Notitie

Om ervoor te zorgen dat u verkeer via de site-naar-site-verbinding stuurt, pingt u het DIRECT IP-adres (DIP) van de virtuele machine op het externe subnet, niet het VIP.

Meld u aan bij de gebruikers-VM in Azure Stack Hub

  1. Meld u aan bij Azure Stack Hub portal.

  2. Selecteer in de linkernavigatiebalk Virtual Machines.

  3. Zoek in de lijst met VM's Azs-VM die u eerder hebt gemaakt en selecteer deze.

  4. Selecteer in de sectie voor de virtuele Verbinding maken enopen vervolgens het bestand Azs-VM.rdp.

    Knop Verbinding maken

  5. Meld u aan met het account dat u hebt geconfigureerd tijdens het maken van de VM.

  6. Open een prompt met verhoogde Windows PowerShell opdrachtprompt.

  7. Typ ipconfig /all.

  8. Zoek in de uitvoer het IPv4-adresen sla het adres op voor later gebruik. Dit is het adres dat u pingt vanuit Azure. In de voorbeeldomgeving is het adres 10.1.0.4,maar in uw omgeving kan dit anders zijn. Deze moet binnen het subnet 10.1.0.0/24 vallen dat u eerder hebt gemaakt.

  9. Voer de volgende PowerShell-opdracht uit om een firewallregel te maken waarmee de VM kan reageren op pings:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Aanmelden bij de tenant-VM in Azure

  1. Meld u aan bij Azure Portal.

  2. Selecteer in de linkernavigatiebalk Virtual Machines.

  3. Ga in de lijst met VM's naar Azure-VM die u eerder hebt gemaakt en selecteer deze.

  4. Selecteer in de sectie voor de VM Verbinding maken.

  5. Meld u aan met het account dat u hebt geconfigureerd tijdens het maken van de VM.

  6. Open een venster met verhoogde Windows PowerShell.

  7. Typ ipconfig /all.

  8. U ziet een IPv4-adres dat binnen 10.100.0.0/24 valt. In de voorbeeldomgeving is het adres 10.100.0.4,maar uw adres kan anders zijn.

  9. Voer de volgende PowerShell-opdracht uit om een firewallregel te maken waarmee de VM kan reageren op pings:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Ping vanaf de VM in Azure de virtuele Azure Stack Hub via de tunnel. Hiervoor pingt u het DIP dat u hebt genoteerd van Azs-VM. In de voorbeeldomgeving is dit 10.1.0.4,maar zorg ervoor dat u het adres pingt dat u in uw lab hebt genoteerd. U ziet een resultaat dat lijkt op de volgende schermopname:

    Geslaagde ping

  11. Een antwoord van de externe VM geeft aan dat de test is geslaagd. U kunt het VM-venster sluiten.

U moet ook strengere tests voor gegevensoverdracht uitvoeren (bijvoorbeeld het kopiëren van bestanden van verschillende grootte in beide richtingen).

Statistieken van gegevensoverdracht via de gatewayverbinding weergeven

Als u wilt weten hoeveel gegevens via uw site-naar-site-verbinding worden door gegeven, is deze informatie beschikbaar in de sectie Verbinding. Deze test is ook een andere manier om te controleren of de ping die u zojuist hebt verzonden, daadwerkelijk via de VPN-verbinding is gegaan.

  1. Terwijl u bent aangemeld bij de gebruikers-VM in Azure Stack Hub, gebruikt u uw gebruikersaccount om u aan te melden bij de gebruikersportal.

  2. Ga naar Alle resourcesen selecteer vervolgens de verbinding Azs-Azure. Verbindingen worden weergegeven.

  3. In de sectie Verbinding worden de statistieken weergegeven voor Gegevens in en Gegevens uit. In de volgende schermopname worden de grote getallen toegeschreven aan extra bestandsoverdracht. Als het goed is, ziet u hier enkele niet-zero-waarden.

    Gegevens in en uit

Volgende stappen