Konfigurowanie połączenia sieć wirtualna-sieć wirtualna (wersja klasyczna)

Ten artykuł ułatwia utworzenie połączenia bramy sieci VPN między sieciami wirtualnymi. Sieci wirtualne mogą być zlokalizowane w tych samych lub różnych regionach i mogą funkcjonować w ramach tej samej lub różnych subskrypcji.

Diagram showing classic VNet-to-VNet architecture

Uwaga

Ten artykuł dotyczy klasycznego modelu wdrażania. Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji oraz większą zgodność funkcji niż klasyczny model wdrażania. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania).

Aby uzyskać Resource Manager wersję tego artykułu, wybierz ją z listy rozwijanej lub z spisu treści po lewej stronie.

Kroki opisane w tym artykule dotyczą klasycznego modelu wdrażania i Azure Portal. Tę konfigurację możesz również utworzyć przy użyciu innego narzędzia wdrażania lub modelu wdrażania, wybierając inną opcję z następującej listy:

Informacje o połączeniach między sieciami wirtualnymi

Łączenie sieci wirtualnej z inną siecią wirtualną (sieć wirtualna-sieć wirtualna) w klasycznym modelu wdrażania przy użyciu bramy sieci VPN jest podobne do łączenia sieci wirtualnej z lokalizacją lokacji lokalnej. Oba typy połączeń wykorzystują bramę sieci VPN, aby zapewnić bezpieczny tunel z użyciem protokołu IPsec/IKE.

Sieci wirtualne, z którymi się łączysz, mogą znajdować się w różnych subskrypcjach i różnych regionach. Możesz połączyć komunikację między sieciami wirtualnymi z konfiguracjami obejmującymi wiele lokacji. Pozwala to tworzyć topologie sieci, które łączą wdrożenia obejmujące wiele lokalizacji z połączeniami między sieciami wirtualnymi.

Diagram showing connections

Dlaczego łączy się sieci wirtualne?

Sieci wirtualne można łączyć z następujących powodów:

  • Niezależna od regionu nadmiarowość i obecność geograficzna

    • Można tworzyć własne replikacje geograficzne lub przeprowadzać synchronizację z bezpiecznym połączeniem bez przechodzenia przez punkty końcowe dostępne z Internetu.
    • Dzięki technologii klastrowania Azure Load Balancer i firmy Microsoft lub innej firmy można skonfigurować obciążenie o wysokiej dostępności z nadmiarowością geograficzną w wielu regionach świadczenia usługi Azure. Istotnym przykładem jest konfiguracja ustawienia SQL Zawsze włączone, w przypadku którego grupy dostępności rozciągają się na wiele regionów świadczenia usługi Azure.
  • Regionalne aplikacje wielowarstwowe z silną granicą izolacji

    • W tym samym regionie można skonfigurować aplikacje wielowarstwowe z wieloma sieciami wirtualnymi połączonymi z silną izolacją i bezpieczną komunikacją między warstwami.
  • Komunikacja między subskrypcjami i między organizacjami na platformie Azure

    • Jeśli masz wiele subskrypcji platformy Azure, możesz bezpiecznie łączyć obciążenia z różnych subskrypcji między sieciami wirtualnymi.
    • W przypadku przedsiębiorstw lub dostawców usług można włączyć komunikację między organizacjami z bezpieczną technologią sieci VPN na platformie Azure.

Więcej informacji na temat połączeń między sieciami wirtualnymi znajduje się w sekcji Zagadnienia dotyczące połączeń między sieciami wirtualnymi na końcu tego artykułu.

Wymagania wstępne

W większości kroków używamy portalu, ale do utworzenia połączeń między sieciami wirtualnymi należy użyć programu PowerShell. Nie można utworzyć połączeń przy użyciu Azure Portal, ponieważ nie ma możliwości określenia klucza współużytkowanego w portalu. Podczas pracy z klasycznym modelem wdrażania nie można używać usługi Azure Cloud Shell. Zamiast tego należy zainstalować najnowszą wersję poleceń cmdlet programu PowerShell zarządzania usługami platformy Azure (SM) lokalnie na komputerze. Te polecenia cmdlet różnią się od poleceń cmdlet AzureRM lub Az. Aby zainstalować polecenia cmdlet programu SM, zobacz Instalowanie poleceń cmdlet zarządzania usługami. Aby uzyskać więcej informacji na temat Azure PowerShell ogólnie, zobacz dokumentację Azure PowerShell.

Planowanie

Ważne jest, aby zdecydować o zakresach, których będziesz używać do konfigurowania sieci wirtualnych. W przypadku tej konfiguracji należy upewnić się, że żaden z zakresów sieci wirtualnych nie nakłada się na siebie ani z żadną z sieci lokalnych, z którymi się łączą.

Sieci wirtualne

W tym ćwiczeniu użyjemy następujących przykładowych wartości:

Wartości sieci TestVNet1

Nazwa: TestVNet1
Przestrzeń adresowa: 10.11.0.0/16, 10.12.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.11.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: Wschodnie stany USA
GatewaySubnet: 10.11.1.0/27

Wartości dla sieci TestVNet4

Nazwa: TestVNet4
Przestrzeń adresowa: 10.41.0.0/16, 10.42.0.0/16 (opcjonalnie)
Nazwa podsieci: domyślna
Zakres adresów podsieci: 10.41.0.0/24
Grupa zasobów: ClassicRG
Lokalizacja: West US
GatewaySubnet: 10.41.1.0/27

Połączenia

W poniższej tabeli przedstawiono przykład sposobu łączenia sieci wirtualnych. Użyj zakresów tylko jako wytycznych. Zanotuj zakresy dla sieci wirtualnych. Te informacje są potrzebne do wykonania dalszych kroków.

W tym przykładzie sieć TestVNet1 łączy się z lokalną lokacją sieciową o nazwie "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4. Lokacja lokalna dla każdej sieci wirtualnej jest drugą siecią wirtualną. Następujące przykładowe wartości są używane dla naszej konfiguracji:

Przykład

Virtual Network Przestrzeń adresowa Lokalizacja Nawiązuje połączenie z lokalną lokacją sieciową
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)
East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)
Zachodnie stany USA SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Tworzenie sieci wirtualnych

W tym kroku utworzysz dwie klasyczne sieci wirtualne: TestVNet1 i TestVNet4. Jeśli używasz tego artykułu jako ćwiczenia, użyj przykładowych wartości.

Podczas tworzenia sieci wirtualnych pamiętaj o następujących ustawieniach:

  • Virtual Network Przestrzenie adresowe — na stronie Virtual Network Przestrzenie adresowe określ zakres adresów, który ma być używany dla sieci wirtualnej. Są to dynamiczne adresy IP, które zostaną przypisane do maszyn wirtualnych i innych wystąpień roli wdrożonych w tej sieci wirtualnej.
    Wybrane przestrzenie adresowe nie mogą nakładać się na przestrzenie adresowe dla żadnej z innych sieci wirtualnych lub lokalizacji lokalnych, z którymi ta sieć wirtualna będzie się łączyć.

  • Lokalizacja — podczas tworzenia sieci wirtualnej należy skojarzyć ją z lokalizacją platformy Azure (regionem). Jeśli na przykład chcesz, aby maszyny wirtualne wdrożone w sieci wirtualnej znajdowały się fizycznie w regionie Zachodnie stany USA, wybierz tę lokalizację. Nie można zmienić lokalizacji skojarzonej z siecią wirtualną po jej utworzeniu.

Po utworzeniu sieci wirtualnych można dodać następujące ustawienia:

  • Przestrzeń adresowa — dodatkowa przestrzeń adresowa nie jest wymagana dla tej konfiguracji, ale można dodać dodatkową przestrzeń adresową po utworzeniu sieci wirtualnej.

  • Podsieci — dodatkowe podsieci nie są wymagane dla tej konfiguracji, ale możesz mieć maszyny wirtualne w podsieci, która jest oddzielona od innych wystąpień roli.

  • Serwery DNS — wprowadź nazwę i adres IP serwera DNS. To ustawienie nie powoduje jednak utworzenia serwera DNS. Umożliwia natomiast określenie serwerów DNS, które mają być używane do rozpoznawania nazw dla tej sieci wirtualnej.

Aby utworzyć klasyczną sieć wirtualną

  1. W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.
  2. Wybierz pozycję +Utwórz zasób. W polu Wyszukaj w witrynie Marketplace wpisz "Virtual Network". Znajdź Virtual Network z zwróconej listy i wybierz ją, aby otworzyć stronę Virtual Network.
  3. Na stronie Virtual Network w obszarze przycisku Utwórz zostanie wyświetlony komunikat "Wdróż za pomocą Resource Manager (zmień na klasyczny)". Resource Manager jest domyślnym ustawieniem tworzenia sieci wirtualnej. Nie chcesz tworzyć Resource Manager sieci wirtualnej. Wybierz pozycję (przejdź do wersji klasycznej), aby utworzyć klasyczną sieć wirtualną. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.
  4. Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie Podstawy skonfiguruj ustawienia sieci wirtualnej przy użyciu przykładowych wartości.
  5. Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować sieć wirtualną.
  6. Przebiegi walidacji. Po zweryfikowaniu sieci wirtualnej wybierz pozycję Utwórz.

Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale dns jest niezbędny, jeśli chcesz rozpoznawanie nazw między maszynami wirtualnymi. Określenie wartości nie powoduje utworzenia nowego serwera DNS. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.

Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i dodaj adres IP serwera DNS, którego chcesz użyć do rozpoznawania nazw.

  1. Znajdź sieć wirtualną w portalu.
  2. Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję Serwery DNS.
  3. Dodaj serwer DNS.
  4. Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.

Konfigurowanie lokacji i bram

Platforma Azure używa ustawień określonych w każdej lokacji sieci lokalnej, aby określić sposób kierowania ruchu między sieciami wirtualnymi. Każda sieć wirtualna musi wskazywać odpowiednią sieć lokalną, do której ma być kierowany ruch. Należy określić nazwę, której chcesz użyć do odwoływania się do każdej lokacji sieci lokalnej. Najlepiej używać czegoś opisowego.

Na przykład sieć TestVNet1 łączy się z lokalną lokacją sieciową o nazwie "VNet4Local". Ustawienia sieci VNet4Local zawierają prefiksy adresów dla sieci TestVNet4.

Należy pamiętać, że lokacja lokalna dla każdej sieci wirtualnej jest drugą siecią wirtualną.

Virtual Network Przestrzeń adresowa Lokalizacja Nawiązuje połączenie z lokalną lokacją sieciową
TestVNet1 TestVNet1
(10.11.0.0/16)
(10.12.0.0/16)
East US SiteVNet4
(10.41.0.0/16)
(10.42.0.0/16)
TestVNet4 TestVNet4
(10.41.0.0/16)
(10.42.0.0/16)
Zachodnie stany USA SiteVNet1
(10.11.0.0/16)
(10.12.0.0/16)

Aby skonfigurować lokację

Lokacja lokalna zazwyczaj oznacza lokalizację lokalną. Zawiera ona adres IP urządzenia sieci VPN, z którym będzie tworzone połączenie, oraz zakresy adresów IP, które będą kierowane za pośrednictwem bramy sieci VPN do tego urządzenia sieci VPN.

  1. Na stronie sieci wirtualnej w obszarze Ustawienia wybierz pozycję Połączenia typu lokacja-lokacja.

  2. Na stronie Połączenia typu lokacja-lokacja wybierz pozycję + Dodaj.

  3. Na stronie Konfigurowanie połączenia sieci VPN i bramy w polu Typ połączenia pozostaw wybraną opcję Lokacja-lokacja .

    • Adres IP bramy sieci VPN: Publiczny adres IP urządzenia sieci VPN w sieci lokalnej. W tym ćwiczeniu można umieścić fikcyjny adres, ponieważ nie masz jeszcze adresu IP bramy sieci VPN dla innej lokacji. Na przykład 5.4.3.2. Później, po skonfigurowaniu bramy dla drugiej sieci wirtualnej, możesz dostosować tę wartość.

    • Przestrzeń adresowa klienta: Wyświetl listę zakresów adresów IP, które mają być kierowane do drugiej sieci wirtualnej za pośrednictwem tej bramy. Można dodać wiele zakresów przestrzeni adresów. Upewnij się, że określone w tym miejscu zakresy nie pokrywają się z zakresami innych sieci, z którymi łączy się Twoja sieć wirtualna, ani z zakresami adresów samej sieci wirtualnej.

  4. W dolnej części strony NIE wybieraj pozycji Przejrzyj i utwórz. Zamiast tego wybierz pozycję Dalej: Brama>.

Aby skonfigurować bramę sieci wirtualnej

  1. Na stronie Brama wybierz następujące wartości:

    • Rozmiar: Jest to jednostka SKU bramy używana do tworzenia bramy sieci wirtualnej. Klasyczne bramy sieci VPN używają starych (starszych) jednostek SKU bramy. Aby uzyskać więcej informacji o starszych jednostkach SKU bramy, zobacz Working with virtual network gateway SKUs (old SKUs) (Praca z jednostkami SKU [starymi jednostkami SKU] bramy sieci wirtualnej). Dla tego ćwiczenia możesz wybrać pozycję Standardowa .

    • Typ routingu: Wybierz typ routingu dla bramy. Jest on również nazywany typem sieci VPN. Ważne jest, aby wybrać prawidłowy typ, ponieważ nie można przekonwertować bramy z jednego typu na inny. Urządzenie sieci VPN musi być zgodne z wybranym typem routingu. Aby uzyskać więcej informacji na temat typu routingu, zobacz About VPN Gateway Ustawienia (Informacje o VPN Gateway Ustawienia). W niektórych artykułach mogą znajdować się odwołania do typów sieci VPN „RouteBased” i „PolicyBased”. Typ „Dynamiczny” odpowiada typowi „RouteBased”, a „Statyczny” — typowi „PolicyBased”. Dla tej konfiguracji wybierz pozycję Dynamiczne.

    • Podsieć bramy: Rozmiar określonej podsieci bramy zależy od konfiguracji bramy sieci VPN, którą chcesz utworzyć. Jest możliwe utworzenie małej podsieci bramy (/29), jednak zalecamy użycie rozmiaru /27 lub /28. Spowoduje to utworzenie większej podsieci obejmującej więcej adresów. Zastosowanie większej podsieci bramy daje wystarczającą liczbę adresów IP, aby uwzględnić możliwe przyszłe konfiguracje.

  2. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony, aby zweryfikować ustawienia. Wybierz pozycję Utwórz , aby wdrożyć. Utworzenie bramy sieci wirtualnej w zależności od wybranej jednostki SKU bramy może potrwać do 45 minut.

  3. Możesz rozpocząć przechodzenie do następnego kroku podczas tworzenia tej bramy.

Konfigurowanie ustawień sieci TestVNet4

Powtórz kroki tworzenia lokacji i bramy , aby skonfigurować sieć TestVNet4, podstawiając wartości w razie potrzeby. Jeśli robisz to jako ćwiczenie, użyj przykładowych wartości.

Aktualizowanie witryn lokalnych

Po utworzeniu bram sieci wirtualnej dla obu sieci wirtualnych należy dostosować właściwości lokacji lokalnej dla adresu IP bramy sieci VPN.

Nazwa sieci wirtualnej Połączona witryna Adres IP bramy
TestVNet1 VNet4Local Adres IP bramy sieci VPN dla sieci TestVNet4
TestVNet4 VNet1Local Adres IP bramy sieci VPN dla sieci TestVNet1

Część 1 . Uzyskiwanie publicznego adresu IP bramy sieci wirtualnej

  1. Przejdź do sieci wirtualnej, przechodząc do grupy zasobów i wybierając sieć wirtualną.
  2. Na stronie sieci wirtualnej w okienku Podstawy po prawej stronie znajdź adres IP bramy i skopiuj go do schowka.

Część 2 . Modyfikowanie właściwości lokacji lokalnej

  1. W obszarze Połączenia typu lokacja-lokacja wybierz połączenie. Na przykład siteVNet4.
  2. Na stronie Właściwości połączenia lokacja-lokacja wybierz pozycję Edytuj lokację lokalną.
  3. W polu Adres IP bramy sieci VPN wklej skopiowany w poprzedniej sekcji adres IP bramy sieci VPN.
  4. Wybierz przycisk OK.
  5. Pole jest aktualizowane w systemie. Możesz również użyć tej metody, aby dodać dodatkowy adres IP, który ma być kierowany do tej witryny.

Część 3 . Powtórz kroki dla innej sieci wirtualnej

Powtórz kroki dla sieci TestVNet4.

Pobieranie wartości konfiguracji

Podczas tworzenia klasycznych sieci wirtualnych w Azure Portal nazwa wyświetlana nie jest pełną nazwą używaną dla programu PowerShell. Na przykład sieć wirtualna o nazwie TestVNet1 w portalu może mieć znacznie dłuższą nazwę w pliku konfiguracji sieci. W przypadku sieci wirtualnej w nazwie grupy zasobów "ClassicRG" może wyglądać następująco: Grupa ClassicRG TestVNet1. Podczas tworzenia połączeń ważne jest użycie wartości widocznych w pliku konfiguracji sieci.

W poniższych krokach połączysz się z kontem platformy Azure i pobierzesz i wyświetlisz plik konfiguracji sieci, aby uzyskać wartości wymagane dla połączeń.

  1. Pobierz i zainstaluj najnowszą wersję poleceń cmdlet programu PowerShell usługi Azure Service Management (SM). Większość osób ma zainstalowane lokalnie moduły Resource Manager, ale nie mają modułów zarządzania usługami. Moduły zarządzania usługami są starsze i muszą być instalowane oddzielnie. Aby uzyskać więcej informacji, zobacz Instalowanie poleceń cmdlet zarządzania usługami.

  2. Otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się ze swoim kontem. Skorzystaj z poniższych przykładów, aby ułatwić nawiązywanie połączenia. Te polecenia należy uruchomić lokalnie przy użyciu modułu Zarządzania usługami programu PowerShell. Połącz się ze swoim kontem. Użyj poniższego przykładu w celu łatwiejszego nawiązania połączenia:

    Add-AzureAccount
    
  3. Sprawdź subskrypcje dostępne na koncie.

    Get-AzureSubscription
    
  4. Jeśli masz więcej niż jedną subskrypcję, wybierz tę, której chcesz użyć.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
    
  5. Utwórz katalog na komputerze. Na przykład C:\AzureVNet

  6. Wyeksportuj plik konfiguracji sieci do katalogu. W tym przykładzie plik konfiguracji sieci jest eksportowany do folderu C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
    
  7. Otwórz plik za pomocą edytora tekstów i wyświetl nazwy sieci wirtualnych i witryn. Te nazwy będą nazwami używanymi podczas tworzenia połączeń.
    Nazwy sieci wirtualnych są wyświetlane jako Nazwa witryny VirtualNetworkSite =
    Nazwy witryn są wyświetlane jako Nazwa LocalNetworkSiteRef =

Tworzenie połączeń

Po zakończeniu wszystkich poprzednich kroków można ustawić klucze wstępne protokołu IPsec/IKE i utworzyć połączenie. Ten zestaw kroków używa programu PowerShell. Nie można skonfigurować połączeń między sieciami wirtualnymi dla klasycznego modelu wdrażania w Azure Portal, ponieważ nie można określić klucza współużytkowanego w portalu.

W przykładach zwróć uwagę, że klucz wspólny jest dokładnie taki sam. Klucz wspólny musi być zawsze zgodny. Pamiętaj, aby zastąpić wartości w tych przykładach dokładnymi nazwami sieci wirtualnych i lokacjami sieci lokalnej.

  1. Utwórz połączenie z sieci wirtualnej TestVNet1 do sieci wirtualnej TestVNet4. Pamiętaj, aby zmienić wartości.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' `
    -LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4
    
  2. Utwórz połączenie z sieci wirtualnej TestVNet4 do sieci wirtualnej TestVNet1.

    Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' `
    -LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4
    
  3. Poczekaj na zainicjowanie połączeń. Po zainicjowaniu bramy stan to "Powodzenie".

    Error          :
    HttpStatusCode : OK
    Id             :
    Status         : Successful
    RequestId      :
    StatusCode     : OK
    

Często zadawane pytania i zagadnienia

Te zagadnienia dotyczą klasycznych sieci wirtualnych i klasycznych bram sieci wirtualnych.

  • Sieci wirtualne mogą znajdować się w tych samych lub różnych subskrypcjach.
  • Sieci wirtualne mogą znajdować się w tym samym regionie lub w różnych regionach (lokalizacjach) świadczenia usługi Azure.
  • Usługa w chmurze lub punkt końcowy równoważenia obciążenia nie może obejmować sieci wirtualnych, nawet jeśli są połączone razem.
  • Łączenie wielu sieci wirtualnych razem nie wymaga żadnych urządzeń sieci VPN.
  • Sieć wirtualna-sieć wirtualna obsługuje łączenie sieci wirtualnych platformy Azure. Nie obsługuje on łączenia maszyn wirtualnych ani usług w chmurze, które nie są wdrażane w sieci wirtualnej.
  • Sieć wirtualna-sieć wirtualna wymaga bram routingu dynamicznego. Bramy routingu statycznego platformy Azure nie są obsługiwane.
  • Połączenie sieci wirtualnej może być używane równocześnie z sieciami VPN obejmującymi wiele lokacji. Istnieje maksymalnie 10 tuneli SIECI VPN dla bramy sieci VPN sieci wirtualnej łączącej się z innymi sieciami wirtualnymi lub lokacjami lokalnymi.
  • Przestrzenie adresów sieci wirtualnych i lokalnych witryn sieci obejmujących lokalizacje w obrębie organizacji nie mogą się nakładać. Nakładające się przestrzenie adresowe spowodują niepowodzenie tworzenia sieci wirtualnych lub przekazywania plików konfiguracji netcfg.
  • Nadmiarowe tunele między dwiema sieciami wirtualnymi nie są obsługiwane.
  • Wszystkie tunele sieci VPN dla sieci wirtualnej, w tym sieci VPN typu punkt-lokacja, współdzielą dostępną przepustowość bramy sieci VPN i tę samą umowę SLA w czasie działania bramy sieci VPN na platformie Azure.
  • Ruch między sieciami wirtualnymi jest przesyłany przez sieć szkieletową platformy Azure.

Następne kroki

Sprawdź połączenia. Zobacz Weryfikowanie połączenia VPN Gateway.