Jak utworzyć tunel VPN przy użyciu protokołu GRE w Azure Stack HubHow to create a VPN tunnel using GRE in Azure Stack Hub

Możesz użyć szablonu Menedżer zasobów Azure Stack Hub w tym rozwiązaniu, aby połączyć dwa Azure Stack Hub sieci wirtualnych w tym samym środowisku centrum Azure Stack.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. Nie można nawiązać połączenia z usługą Azure Stack Hub sieci wirtualnych przy użyciu wbudowanej bramy Virtual Network.You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Na razie należy użyć wirtualnych urządzeń sieciowych (urządzenie WUS) s do utworzenia tunelu sieci VPN między dwoma Azure Stack Hub sieci wirtualnych.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. Szablon rozwiązania wdraża dwie maszyny wirtualne z systemem Windows Server 2016 z zainstalowaną usługą RRAS.The solution template deploys two Windows Server 2016 VMs with RRAS installed. Rozwiązanie konfiguruje dwa serwery RRAS do używania tunelu S2SVPN IKEv2 między tymi dwoma sieci wirtualnych.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. Odpowiednie reguły sieciowej grupy zabezpieczeń i UDR są tworzone w taki sposób, aby zezwalały na Routing między podsieciami na każdą sieć wirtualną wydaną jako wewnętrznąThe appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

Ten wzorzec wdrożenia jest podstawą, która umożliwia tworzenie tuneli VPN nie tylko w ramach wystąpienia Azure Stack Hub, ale również między wystąpieniami Azure Stack Hub i innymi zasobami, takimi jak sieci lokalne z użyciem tuneli sieci VPN S2S systemu Windows RRAS.This deployment pattern is the foundation that will allow you to create VPN tunnels not only within your Azure Stack Hub instance, but also between Azure Stack Hub instances and to other resources, such as your on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

Szablony można znaleźć w repozytorium GitHub w usłudze Azure Intelligent Edge Patterns .You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. Szablon znajduje się w folderze RRAS-gre-VNET-VNET .The template is in the rras-gre-vnet-vnet folder.

Na diagramie przedstawiono implementację, która zapewnia tunel VPN między dwoma sieci wirtualnych.

WymaganiaRequirements

 • System wdrożony z najnowszymi zastosowanymi aktualizacjami.A system deployed with latest updates applied.
 • Wymagane elementy Azure Stack centrum Marketplace:Required Azure Stack Hub Marketplace items:
  • Windows Server 2016 Datacenter (zalecana Najnowsza Kompilacja)Windows Server 2016 Datacenter (latest build recommended)
  • Rozszerzenie niestandardowego skryptuCustom Script Extension

Rzeczy do rozważeniaThings to consider

 • Sieciowa Grupa zabezpieczeń jest stosowana do podsieci tunelu szablonu.A Network Security Group is applied to the template Tunnel Subnet. Zabezpiecz wewnętrzną podsieć w każdej sieci wirtualnej przy użyciu dodatkowej sieciowej grupy zabezpieczeń.Secure the internal subnet in each VNet with an additional NSG.
 • Reguła Odmów RDP jest stosowana do sieciowej grupy zabezpieczeń tunelu i musi być ustawiona na Zezwalaj, jeśli zamierzasz uzyskiwać dostęp do maszyn wirtualnych za pośrednictwem publicznego adresu IPAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
 • To rozwiązanie nie uwzględnia rozpoznawania nazw DNSThis solution does not take into account DNS resolution
 • Kombinacja nazwy sieci wirtualnej i vmName musi być krótsza niż 15 znakówThe combination of VNet name and vmName must be fewer than 15 characters
 • Ten szablon został zaprojektowany tak, aby nazwy sieci wirtualnej były dostosowane do VNet1 i VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
 • Ten szablon używa systemu Windows BYOLThis template is using BYOL windows
 • W przypadku usuwania grupy zasobów — obecnie włączona (1907) należy ręcznie odłączyć sieciowych grup zabezpieczeń od podsieci tunelu, aby upewnić się, że zostanie ukończona Usuwanie grupy zasobówWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
 • Ten szablon korzysta z maszyny wirtualnej DS3v2.This template is using a DS3v2 vm. Usługa RRAS instaluje i uruchamia wewnętrzną SQL Server systemu Windows.The RRAS service installs and run Windows internal SQL Server. Może to spowodować problemy z pamięcią, jeśli rozmiar maszyny wirtualnej jest zbyt mały.This can cause memory issues if your VM size is too small. Sprawdź poprawność wydajności przed zmniejszeniem rozmiaru maszyny wirtualnej.Validate performance before reducing the VM size.
 • To nie jest rozwiązanie o wysokiej dostępności.This is not a highly available solution. Jeśli potrzebujesz więcej informacji o rozwiązaniu stylu HA, możesz dodać drugą maszynę wirtualną, trzeba ręcznie zmienić trasę w tabeli tras na wewnętrzny adres IP pomocniczego interfejsu.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Należy również skonfigurować wiele tuneli do połączenia krzyżowego.You would also need to configure the multiple Tunnels to cross connect.

OpcjeOptions

 • Możesz użyć własnego konta usługi BLOB Storage i tokenu sygnatury dostępu współdzielonego przy użyciu parametrów _artifactsLocation i _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
 • Istnieją dwa dane wyjściowe tego szablonu INTERNALSUBNETREFVNET1 i INTERNALSUBNETREFVNET2, które są identyfikatorami zasobów dla podsieci wewnętrznych, jeśli chcesz użyć tego elementu we wzorcu wdrożenia stylu potoku.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Ten szablon zawiera wartości domyślne dla nazewnictwa sieci wirtualnej i adresowania IP.This template provides default values for VNet naming and IP addressing. Wymaga hasła administratora (rrasadmin), a także umożliwia korzystanie z własnego obiektu blob magazynu z tokenem SAS.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Zachowaj ostrożność, aby zachować te wartości w zakresach dozwolonych, ponieważ wdrożenie może się nie powieść.Be careful to keep these values within legal ranges as deployment may fail. Pakiet programu PowerShell DSC jest wykonywany na każdej maszynie wirtualnej usługi RRAS i instalowany jest Routing i wszystkie wymagane usługi i funkcje zależne.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Ta konfiguracja DSC może być również dostosowywana w razie konieczności.This DSC can be customized further if needed. Rozszerzenie niestandardowego skryptu uruchamia następujący skrypt, a Add-Site2SiteGRE.ps1 konfiguruje tunel VPNS2S między dwoma serwerami RRAS przy użyciu klucza współużytkowanego.The custom script extension run the following script and Add-Site2SiteGRE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Możesz wyświetlić szczegółowe dane wyjściowe z niestandardowego rozszerzenia skryptu, aby zobaczyć wyniki konfiguracji tunelu sieci VPN.You can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

Diagram o nazwie S2SVPNTunnel pokazuje dwie sieci wirtualnych połączone przez tunel VPN typu lokacja-lokacja.

Następne krokiNext steps

Różnice i zagadnienia dotyczące Azure Stack sieci centrówDifferences and considerations for Azure Stack Hub networking
Jak skonfigurować wiele tuneli VPN między lokacjamiHow to set up a multiple site-to-site VPN tunnel