Como criar um túnel VPN usando o GRE no Hub de Azure StackHow to create a VPN tunnel using GRE in Azure Stack Hub

Você pode usar o modelo do Gerenciador de recursos do Hub Azure Stack nesta solução para conectar duas Azure Stack de Hub de VNets dentro do mesmo ambiente de Hub de Azure Stack.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. Você não pode se conectar Azure Stack Hub VNets usando o gateway de rede virtual interno.You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Por enquanto, você deve usar NVA (soluções de virtualização de rede) para criar um túnel VPN entre duas Azure Stack Hub VNets.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. O modelo de solução implanta duas VMs do Windows Server 2016 com o RRAS instalado.The solution template deploys two Windows Server 2016 VMs with RRAS installed. A solução configura os dois servidores RRAS para usar um túnel IKEv2 S2SVPN entre os dois VNETs.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. As regras apropriadas de NSG e UDR são criadas para permitir o roteamento entre as sub-redes em cada VNET designada como internoThe appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

Esse padrão de implantação é a base que permitirá que você crie túneis VPN não apenas dentro de sua instância de Hub de Azure Stack, mas também entre instâncias de Hub Azure Stack e outros recursos, como suas redes locais com o uso dos túneis VPN S2S do Windows RRAS.This deployment pattern is the foundation that will allow you to create VPN tunnels not only within your Azure Stack Hub instance, but also between Azure Stack Hub instances and to other resources, such as your on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

Você pode encontrar os modelos no repositório GitHub de padrões de borda inteligente do Azure .You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. O modelo está na pasta RRAS-GRE-vnet-vnet .The template is in the rras-gre-vnet-vnet folder.

O diagrama mostra uma implementação que fornece um túnel VPN entre dois VNETs.

RequisitosRequirements

  • Um sistema implantado com as atualizações mais recentes aplicadas.A system deployed with latest updates applied.
  • Itens do Marketplace do Hub Azure Stack necessários:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 datacenter (versão mais recente recomendada)Windows Server 2016 Datacenter (latest build recommended)
    • Extensão de script personalizadoCustom Script Extension

Itens a serem consideradosThings to consider

  • Um grupo de segurança de rede é aplicado à sub-rede de túnel de modelo.A Network Security Group is applied to the template Tunnel Subnet. Proteja a sub-rede interna em cada VNet com um NSG adicional.Secure the internal subnet in each VNet with an additional NSG.
  • Uma regra de negação de RDP é aplicada ao túnel NSG e precisará ser definida para permitir que se você pretende acessar as VMs por meio do endereço IP públicoAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • Esta solução não leva em conta a resolução de DNSThis solution does not take into account DNS resolution
  • A combinação de nome da VNet e vmName deve ter menos de 15 caracteresThe combination of VNet name and vmName must be fewer than 15 characters
  • Este modelo foi criado para ter os nomes de VNet personalizados para VNet1 e VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
  • Este modelo está usando o Windows BYOLThis template is using BYOL windows
  • Ao excluir o grupo de recursos, atualmente em (1907), você precisa desanexar manualmente o NSGs da sub-rede do túnel para garantir que o grupo de recursos de exclusão seja concluídoWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Este modelo está usando uma VM DS3v2.This template is using a DS3v2 vm. O serviço RRAS instala e executa o SQL Server interno do Windows.The RRAS service installs and run Windows internal SQL Server. Isso poderá causar problemas de memória se o tamanho da VM for muito pequeno.This can cause memory issues if your VM size is too small. Valide o desempenho antes de reduzir o tamanho da VM.Validate performance before reducing the VM size.
  • Essa não é uma solução altamente disponível.This is not a highly available solution. Se você precisar de uma solução de estilo mais HA, poderá adicionar uma segunda VM, você precisaria alterar manualmente a rota na tabela de rotas para o IP interno da interface secundária.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Você também precisaria configurar os vários túneis para conexão cruzada.You would also need to configure the multiple Tunnels to cross connect.

OpçõesOptions

  • Você pode usar sua própria conta de armazenamento de BLOBs e token SAS usando os parâmetros _artifactsLocation e _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Há duas saídas neste modelo INTERNALSUBNETREFVNET1 e INTERNALSUBNETREFVNET2, que são as IDs de recurso para as sub-redes internas, se você quiser usá-las em um padrão de implantação de estilo de pipeline.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Este modelo fornece valores padrão para nomear VNet e endereçamento IP.This template provides default values for VNet naming and IP addressing. Ele requer uma senha para o administrador (rrasadmin) e também oferece a capacidade de usar seu próprio blob de armazenamento com o token SAS.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Tenha cuidado para manter esses valores dentro de intervalos válidos, pois a implantação pode falhar.Be careful to keep these values within legal ranges as deployment may fail. O pacote DSC do PowerShell é executado em cada VM do RRAS e instala o roteamento e todos os serviços e recursos dependentes necessários.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Essa DSC pode ser personalizada ainda mais se necessário.This DSC can be customized further if needed. A extensão de script personalizado executa o script a seguir e Add-Site2SiteGRE.ps1 configura o túnel VPNS2S entre os dois servidores RRAS com uma chave compartilhada.The custom script extension run the following script and Add-Site2SiteGRE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Você pode exibir a saída detalhada da extensão de script personalizado para ver os resultados da configuração do túnel VPNYou can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

O diagrama, intitulado S2SVPNTunnel, mostra dois VNETs conectados por um túnel VPN site a site.

Próximas etapasNext steps

Diferenças e considerações para a rede Azure Stack HubDifferences and considerations for Azure Stack Hub networking
Como configurar um túnel VPN de vários sites a siteHow to set up a multiple site-to-site VPN tunnel