Łączność między sieciami wirtualnymi za pomocą usługi RRASVNet to VNet connectivity with RRAS

W tym samym środowisku centrum Azure Stack można podłączyć dwa Azure Stack Hub sieci wirtualnych do siebie nawzajem.You can connect two Azure Stack Hub VNets to one another within the same Azure Stack Hub environment. Nie jest obecnie możliwe łączenie Azure Stack Hub sieci wirtualnych przy użyciu wbudowanej bramy Virtual Network.It is not currently possible to connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Do utworzenia tunelu sieci VPN między dwoma Azure Stack Hub sieci wirtualnych należy użyć urządzeń urządzenie WUS.You must use NVA appliances to create a VPN tunnel between two Azure Stack Hub VNets. W odniesieniu do szablonów w tym artykule są wdrażane dwie maszyny wirtualne z systemem Windows Server 2016 z zainstalowaną usługą RRAS.In the template references in this article, two Windows Server 2016 VMs are deployed with RRAS installed. Dwa serwery RRAS są skonfigurowane do implementacji tunelu S2SVPN IKEv2 między dwoma sieci wirtualnych.The two RRAS servers are configured to implement a S2SVPN IKEv2 tunnel between two VNETs. Odpowiednie reguły sieciowej grupy zabezpieczeń i UDR są tworzone w taki sposób, aby zezwalały na Routing między podsieciami na każdą sieć wirtualną wydaną jako wewnętrzną.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal.

Ten wzorzec wdrożenia jest podstawą, która umożliwi tworzenie tuneli VPN nie tylko w ramach wystąpienia Azure Stack Hub, ale także między wystąpieniami Azure Stack Hub i innymi zasobami, takimi jak sieci lokalne z użyciem tuneli sieci VPN S2S systemu Windows RRAS.This deployment pattern is the foundation that will allow VPN Tunnels to be created not only within an Azure Stack Hub instance but also between Azure Stack Hub Instances and to other resources such as on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

Szablony można znaleźć w repozytorium GitHub w usłudze Azure Intelligent Edge Patterns .You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. Szablon znajduje się w folderze S2SVPNTunnel .The template is in the S2SVPNTunnel folder.

Na diagramie przedstawiono implementację, która zapewnia tunel VPN między dwoma sieci wirtualnych.

WymaganiaRequirements

  • Wdrożenie z zastosowanymi najnowszymi aktualizacjami.A deployment with latest updates applied.
  • Wymagane elementy Azure Stack centrum Marketplace:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Datacenter (zalecana Najnowsza Kompilacja)Windows Server 2016 Datacenter (latest build recommended)
    • Rozszerzenie niestandardowego skryptuCustom Script Extension

Rzeczy do rozważeniaThings to consider

  • Sieciowa Grupa zabezpieczeń jest stosowana do podsieci tunelu szablonu.A Network Security Group is applied to the template Tunnel Subnet. Zaleca się zabezpieczenie podsieci wewnętrznej w każdej sieci wirtualnej przy użyciu dodatkowej sieciowej grupy zabezpieczeń.It is recommended to secure the internal subnet in each VNet with an additional NSG.
  • Reguła Odmów RDP jest stosowana do sieciowej grupy zabezpieczeń tunelu i musi być ustawiona na Zezwalaj, jeśli zamierzasz uzyskiwać dostęp do maszyn wirtualnych za pośrednictwem publicznego adresu IPAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • To rozwiązanie nie uwzględnia rozpoznawania nazw DNSThis solution does not take into account DNS resolution
  • Kombinacja nazwy sieci wirtualnej i vmName musi być krótsza niż 15 znakówThe combination of VNet name and vmName must be fewer than 15 characters
  • Ten szablon został zaprojektowany tak, aby nazwy sieci wirtualnej były dostosowane do VNet1 i VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
  • Ten szablon używa systemu Windows BYOLThis template is using BYOL windows
  • W przypadku usuwania grupy zasobów — obecnie włączona (1907) należy ręcznie odłączyć sieciowych grup zabezpieczeń od podsieci tunelu, aby upewnić się, że zostanie ukończona Usuwanie grupy zasobówWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Ten szablon korzysta z maszyny wirtualnej DS3v2.This template is using a DS3v2 vm. Usługa RRAS instaluje i uruchamia wewnętrzną SQL Server systemu Windows.The RRAS service installs and run Windows internal SQL Server. Może to spowodować problemy z pamięcią, jeśli rozmiar maszyny wirtualnej jest zbyt mały.This can cause memory issues if your VM size is too small. Sprawdź poprawność wydajności przed zmniejszeniem rozmiaru maszyny wirtualnej.Validate performance before reducing the VM size.
  • To nie jest rozwiązanie o wysokiej dostępności.This is not a highly available solution. Jeśli potrzebujesz więcej informacji o rozwiązaniu stylu HA, możesz dodać drugą maszynę wirtualną, trzeba ręcznie zmienić trasę w tabeli tras na wewnętrzny adres IP pomocniczego interfejsu.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Należy również skonfigurować wiele tuneli do połączenia krzyżowego.You would also need to configure the multiple Tunnels to cross connect.

OpcjeOptions

  • Możesz użyć własnego konta usługi BLOB Storage i tokenu sygnatury dostępu współdzielonego przy użyciu parametrów _artifactsLocation i _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Istnieją dwa dane wyjściowe tego szablonu INTERNALSUBNETREFVNET1 i INTERNALSUBNETREFVNET2, które są identyfikatorami zasobów dla podsieci wewnętrznych, jeśli chcesz użyć tego elementu we wzorcu wdrożenia stylu potoku.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Szablon zawiera wartości domyślne dla nazewnictwa sieci wirtualnej i adresowania IP.The template provides default values for VNet naming and IP addressing. Wymaga hasła administratora (rrasadmin), a także umożliwia korzystanie z własnego obiektu blob magazynu z tokenem SAS.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Zachowaj ostrożność, aby zachować te wartości w zakresach dozwolonych, ponieważ wdrożenie może się nie powieść.Be careful to keep these values within legal ranges as deployment may fail. Pakiet programu PowerShell DSC jest wykonywany na każdej maszynie wirtualnej usługi RRAS i instalowany jest Routing i wszystkie wymagane usługi i funkcje zależne.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Ta konfiguracja DSC może być również dostosowywana w razie konieczności.This DSC can be customized further if needed. Rozszerzenie niestandardowego skryptu uruchamia następujący skrypt i Add-Site2Site.ps1 konfiguruje tunel VPNS2S między dwoma serwerami RRAS przy użyciu klucza współużytkowanego.The custom script extension run the following script and Add-Site2Site.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Możesz wyświetlić szczegółowe dane wyjściowe z niestandardowego rozszerzenia skryptu, aby zobaczyć wyniki konfiguracji tunelu sieci VPN.You can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

Diagram o nazwie S2SVPNTunnel pokazuje dwie sieci wirtualnych połączone przez tunel VPN typu lokacja-lokacja.

Następne krokiNext steps

Różnice i zagadnienia dotyczące Azure Stack sieci centrówDifferences and considerations for Azure Stack Hub networking