Een VPN-tunnel maken met behulp van GRE in Azure Stack hubHow to create a VPN tunnel using GRE in Azure Stack Hub

U kunt de Azure Stack hub Resource Manager-sjabloon in deze oplossing gebruiken om twee Azure Stack hub-VNets binnen dezelfde Azure Stack hub-omgeving te verbinden.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. U kunt Azure stack hub VNets niet verbinden met behulp van de ingebouwde Virtual Network gateway.You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Voor nu moet u virtuele netwerk apparaten (NVA) s gebruiken om een VPN-tunnel te maken tussen twee Azure Stack hub VNets.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. Met de oplossings sjabloon worden twee virtuele machines met Windows Server 2016 geïmplementeerd waarop RRAS is geïnstalleerd.The solution template deploys two Windows Server 2016 VMs with RRAS installed. De oplossing configureert de twee RRAS-servers voor het gebruik van een S2SVPN IKEv2-tunnel tussen de twee VNETs.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. De juiste NSG-en UDR-regels worden gemaakt om route ring tussen de subnetten op elke VNET die als intern is aangewezen, toe te staan.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

Dit implementatie patroon is de basis waarmee u VPN-tunnels kunt maken die zich niet alleen binnen uw Azure Stack hub-exemplaar bevindt, maar ook tussen Azure Stack hub-instanties en andere resources, zoals uw on-premises netwerken met het gebruik van de Windows RRAS S2S VPN-tunnels.This deployment pattern is the foundation that will allow you to create VPN tunnels not only within your Azure Stack Hub instance, but also between Azure Stack Hub instances and to other resources, such as your on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

U kunt de sjablonen vinden in de GitHub-opslag plaats van de Azure intelligent Edge-patronen .You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. De sjabloon bevindt zich in de map RRAS-GRE-vnet-vnet .The template is in the rras-gre-vnet-vnet folder.

Het diagram toont een implementatie die een VPN-tunnel tussen twee VNETs biedt.

VereistenRequirements

  • Een systeem dat wordt geïmplementeerd met de meest recente updates.A system deployed with latest updates applied.
  • Vereiste items Azure Stack hub Marketplace:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Data Center (nieuwste build aanbevolen)Windows Server 2016 Datacenter (latest build recommended)
    • Aangepaste scriptextensieCustom Script Extension

AandachtspuntenThings to consider

  • Er wordt een netwerk beveiligings groep toegepast op het subnet met de sjabloon tunnel.A Network Security Group is applied to the template Tunnel Subnet. Beveilig het interne subnet in elk VNet met een extra NSG.Secure the internal subnet in each VNet with an additional NSG.
  • Een regel voor het weigeren van RDP wordt toegepast op het tunnel NSG en moet worden ingesteld op toestaan als u toegang wilt tot de Vm's via het open bare IP-adresAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • Deze oplossing houdt geen DNS-omzetting van het account bijThis solution does not take into account DNS resolution
  • De combi natie van VNet-naam en vmName moet korter zijn dan 15 tekensThe combination of VNet name and vmName must be fewer than 15 characters
  • Deze sjabloon is zodanig ontworpen dat de VNet-namen zijn aangepast voor VNet1 en VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
  • Deze sjabloon maakt gebruik van BYOL WindowsThis template is using BYOL windows
  • Wanneer u de resource groep verwijdert, momenteel op (1907), moet u de Nsg's hand matig loskoppelen van het tunnel-subnet om ervoor te zorgen dat de bron groep verwijderen is voltooidWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Deze sjabloon maakt gebruik van een DS3v2-VM.This template is using a DS3v2 vm. De RRAS-service installeert en voert Windows interne SQL Server uit.The RRAS service installs and run Windows internal SQL Server. Dit kan leiden tot geheugen problemen als de VM-grootte te klein is.This can cause memory issues if your VM size is too small. Valideer de prestaties voordat u de VM-grootte verkleint.Validate performance before reducing the VM size.
  • Dit is geen Maxi maal beschik bare oplossing.This is not a highly available solution. Als u een meer HA-stijl oplossing nodig hebt, kunt u een tweede virtuele machine toevoegen. u moet de route in de route tabel hand matig wijzigen in het interne IP-adres van de secundaire interface.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. U moet ook de meerdere tunnels configureren om cross-verbinding te maken.You would also need to configure the multiple Tunnels to cross connect.

OptiesOptions

  • U kunt uw eigen Blob-opslag account en SAS-token gebruiken met de para meters _artifactsLocation en _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Er zijn twee uitvoer van deze sjabloon INTERNALSUBNETREFVNET1 en INTERNALSUBNETREFVNET2. Dit zijn de resource-Id's voor de interne subnetten als u deze wilt gebruiken in een implementatie patroon voor de pijplijn stijl.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Deze sjabloon biedt standaard waarden voor VNet-naamgeving en IP-adres sering.This template provides default values for VNet naming and IP addressing. Hiervoor is een wacht woord vereist voor de beheerder (rrasadmin) en biedt ook de mogelijkheid om uw eigen opslag-blob met SAS-token te gebruiken.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Zorg ervoor dat deze waarden binnen het bereik van juridische bereiken worden bewaard, anders mislukt de implementatie.Be careful to keep these values within legal ranges as deployment may fail. Het Power shell DSC-pakket wordt uitgevoerd op elke RRAS-VM en de route ring en alle vereiste afhankelijke services en functies worden geïnstalleerd.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Deze DSC kan indien nodig verder worden aangepast.This DSC can be customized further if needed. Met de aangepaste script extensie voert u het volgende script uit en Add-Site2SiteGRE.ps1 configureert u de VPNS2S-tunnel tussen de twee RRAS-servers met een gedeelde sleutel.The custom script extension run the following script and Add-Site2SiteGRE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. U kunt de gedetailleerde uitvoer van de aangepaste script extensie bekijken om de resultaten van de configuratie van de VPN-tunnel te bekijkenYou can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

In het diagram, met de titel S2SVPNTunnel, worden twee VNETs weer gegeven die zijn verbonden met een site-naar-site-VPN-tunnel.

Volgende stappenNext steps

Verschillen en overwegingen voor Azure Stack hub-netwerkenDifferences and considerations for Azure Stack Hub networking
Een meerdere site-naar-site-VPN-tunnel instellenHow to set up a multiple site-to-site VPN tunnel