Configurar uma conexão de gateway de VPN de VNet para VNet – portal do Azure

  • Artigo

Este artigo ajuda você a conectar VNets (redes virtuais) usando o tipo de conexão VNet a VNet no portal do Azure. As redes virtuais podem estar em regiões diferentes e ser de assinaturas diferentes. Ao conectar VNets de assinaturas diferentes, as assinaturas não precisam ser associadas ao mesmo locatário. Esse tipo de configuração cria uma conexão entre dois gateways de rede virtual. Este artigo não se aplica ao Emparelhamento VNet. Para saber mais sobre o Emparelhamento VNET, confira o artigo Emparelhamento de rede virtual.

VNet to VNet diagram.

Você pode criar essa configuração usando várias ferramentas, dependendo do modelo de implantação da VNet. As etapas neste artigo se aplicam ao modelo de implantação do Azure Resource Manager e ao portal do Azure. Para alternar para um artigo sobre um modelo de implantação ou um método de implantação diferente, use o menu suspenso.

Sobre a conexão de VNets

As seções a seguir descrevem as diferentes maneiras de conectar redes virtuais.

VNet a VNet

Configurar uma conexão de VNet a VNet é uma maneira simples de conectar VNets. Quando você conecta uma rede virtual a outra rede virtual com um tipo de conexão VNet2VNet (VNet a VNet), é semelhante a criar uma conexão IPsec Site a Site com uma localização local. Os dois tipos de conexão usam um gateway de VPN para fornecer um túnel seguro com IPsec/IKE e funcionam da mesma forma ao se comunicar. No entanto, diferem na maneira como gateway de rede local é configurado.

Quando você cria uma conexão de VNet a VNet, o espaço de endereço de gateway de rede local é automaticamente criado e preenchido. Se você atualizar o espaço de endereço de uma VNet, a outra roteará automaticamente para o espaço de endereço atualizado. Normalmente, é mais rápido e fácil criar uma conexão de VNet a VNet do que uma conexão Site a Site. No entanto, o gateway de rede local não fica visível nessa configuração.

  • Se você sabe que deseja especificar mais espaços de endereço para o gateway de rede local ou pretende adicionar mais conexões posteriormente e precisa ajustar o gateway de rede local, crie a configuração usando as etapas da conexão site a site.
  • A conexão VNet a VNet não inclui o espaço de endereço do pool de clientes Ponto a Site. Se você precisar de roteamento transitivo para clientes de Ponto a Site, crie uma conexão site a site entre os gateways de rede virtual ou use o Emparelhamento VNET.

Site a Site (IPsec)

Caso você esteja trabalhando com uma configuração de rede complicada, talvez prefira conectar as VNets usando uma conexão site a site. Quando você segue as etapas de IPsec Site a Site, cria e configura os gateways de rede local manualmente. O gateway de rede local para cada VNet trata a outra VNet como um site local. Estas etapas permitem que você especifique mais espaços de endereço para o gateway de rede local a fim de rotear o tráfego. Se o espaço de endereço para uma VNet mudar, você deverá atualizar manualmente o gateway de rede local correspondente.

Emparelhamento VNet

Você também pode conectar suas VNets usando o Emparelhamento VNET.

Por que criar uma conexão de VNet a VNet?

Talvez você queira conectar as redes virtuais com uma conexão VNet a VNet pelos seguintes motivos:

Redundância geográfica entre regiões e presença geográfica

  • Você pode configurar sua própria sincronização ou replicação geográfica com conectividade segura sem passar por pontos de extremidade voltados para a Internet.
  • Com o Azure Load Balancer e o Gerenciador de Tráfego do Azure você pode configurar a carga de trabalho de alta disponibilidade com redundância geográfica em várias regiões do Azure. Por exemplo, você pode configurar grupos de disponibilidade Always On do SQL Server em várias regiões do Azure.

Aplicativos multicamadas regionais com limites administrativos ou de isolamento

  • Na mesma região, você pode configurar aplicativos multicamadas com várias redes virtuais conectadas devido aos requisitos administrativos ou de isolamento.

Você pode combinar a comunicação de VNet a VNet usando configurações multissite. Essas configurações permitem que você estabeleça topologias de rede que combinam conectividade entre locais com a conectividade de rede intervirtual, conforme mostrado no diagrama a seguir:

VNet connections diagram.

Este artigo mostra como conectar VNets usando o tipo de conexão VNet a VNet. Ao realizar estas etapas como um exercício, você pode usar os valores de configurações de exemplo a seguir. No exemplo, as redes virtuais estão na mesma assinatura, mas em diferentes grupos de recursos. Se suas redes virtuais estiverem em assinaturas diferentes, não será possível criar a conexão no portal. Use PowerShell ou CLI em vez disso. Para obter mais informações sobre conexões de rede virtual para rede virtual, confira Perguntas frequentes sobre VNet a VNet.

Configurações de exemplo

Valores para o VNet1:

  • Configurações de rede virtual

    • Nome: VNet1
    • Espaço de endereço: 10.1.0.0/16
    • Assinatura: Selecione a assinatura que você deseja usar.
    • Grupo de recursos: TestRG1
    • Local: Leste dos EUA
    • Sub-rede
      • Nome: FrontEnd
      • Intervalo de endereços: 10.1.0.0/24

  • Configurações de gateway de rede virtual

    • Nome: Vnet1GW
    • Grupo de recursos: leste dos EUA
    • Geração: geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo de VPN: selecione baseado em rota.
    • SKU: VpnGw2
    • Geração: Geração 2
    • Rede virtual: VNet1
    • Intervalo de endereços da sub-rede do gateway: 10.1.255.0/27
    • Endereço de IP público: Criar novo
    • Nome do endereço IP público: VNet1GWpip
    • Habilitar modo ativo-ativo : Desabilitado
    • Configurar BGP: Desabilitado

  • Conexão

    • Nome: VNet1toVNet4
    • Chave compartilhada: você pode criar a chave compartilhada por conta própria. Quando você cria a conexão entre as redes virtuais, os valores devem corresponder. Para este exercício, use abc123.

Valores para VNet4:

  • Configurações de rede virtual

    • Nome: VNet4
    • Espaço de endereço: 10.41.0.0/16
    • Assinatura: Selecione a assinatura que você deseja usar.
    • Grupo de recursos: TestRG4
    • Localização: Oeste dos EUA
    • Sub-rede
    • Nome: FrontEnd
    • Intervalo de endereços: 10.41.0.0/24

  • Configurações de gateway de rede virtual

    • Nome: VNet4GW
    • Grupo de recursos: Oeste dos EUA
    • Geração: geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo de VPN: selecione baseado em rota.
    • SKU: VpnGw2
    • Geração: Geração 2
    • Rede virtual: VNet4
    • Intervalo de endereços da Sub-rede do Gateway: 10.41.255.0/27
    • Endereço de IP público: Criar novo
    • Endereço IP público: VNet4GWpip
    • Habilitar modo ativo-ativo : Desabilitado
    • Configurar BGP: Desabilitado

  • Conexão

    • Nome: VNet4toVNet1
    • Chave compartilhada: você pode criar a chave compartilhada por conta própria. Quando você cria a conexão entre as redes virtuais, os valores devem corresponder. Para este exercício, use abc123.

Crie e configure o VNet1

Se você já tiver uma rede virtual, verifique se as configurações são compatíveis com seu design de gateway de VPN. Preste atenção especial a todas as sub-redes que podem se sobrepor a outras redes. Sua conexão não funcionará corretamente se você tiver uma sobreposição de sub-redes.

Para criar uma rede virtual

Observação

Quando você usa uma rede virtual como parte de uma arquitetura entre locais, é necessário coordenar com o responsável pela administração da rede local para que consiga um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se houver um intervalo de endereços duplicado nos dois lados da conexão de VPN, o tráfego será roteado inesperadamente. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não poderá se sobrepor ao da outra rede virtual. Planeje sua configuração de rede de forma adequada.

  1. Entre no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Informações Básicas, defina as configurações Detalhes do projeto e Detalhes da instância da rede virtual. Você verá uma marca de seleção verde quando os valores que você inserir forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Screenshot that shows the Basics tab.

    • Assinatura: verifique se a assinatura listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos ou clique em Criar para criar um novo. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
    • Name: insira o nome de sua rede virtual.
    • Região: selecione o local da sua rede virtual. O local determina onde ficarão os recursos que você implantar nessa rede virtual.

  5. Selecione Próximo ou Segurança para acessar a guia Segurança. Para este exercício, mantenha os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP ou vá para a guia Endereços IP. Na guia Endereços IP, faça as configurações.

    • Espaço de endereço IPv4: por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Defina as configurações a seguir e depois selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços para esta sub-rede. Alguns exemplos são 10.1.0.0 e /24.

  7. Examine a página endereços IP e remova todos os espaços de endereço ou sub-redes que você não precisa.

  8. Selecione Examinar + criar para validar as configurações de rede virtual.

  9. Após validar as configurações, selecione Criar para criar a rede virtual.

Crie o gateway VNet1

Nesta etapa, você cria o gateway de rede virtual para sua rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Para saber o preço da SKU do gateway, consulte Preços. Se você estiver criando esta configuração como um exercício, confira Configurações de exemplo.

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. O número de endereços IP necessários depende da configuração do gateway VPN que você deseja criar. Algumas configurações exigem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25 etc.) para sua sub-rede de gateway.

Se aparecer um erro especificando que o espaço de endereço se sobrepõe a uma sub-rede, ou que a sub-rede não está contida no espaço de endereço da rede virtual, verifique o intervalo de endereços da sua rede virtual. Talvez você não tenha endereços IP suficientes disponíveis no intervalo de endereços que você criou para sua rede virtual. Por exemplo, se a sua sub-rede padrão abranger todo o intervalo de endereços, não restará nenhum endereço IP para criar mais sub-redes. Você pode ajustar suas sub-redes no espaço de endereço existente para liberar endereços IP ou especificar outro intervalo de endereços e criar a sub-rede de gateway lá.

Para criar um gateway da rede virtual

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize o Gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

    Screenshot that shows the Search field.

  2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.

    Screenshot that shows the Instance fields.

    • Assinatura: escolha na lista de seleção a assinatura que deseja usar.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona a rede virtual nesta página.

    • Nome: nomeie o seu gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. Trata-se do nome do objeto de gateway que você está criando.

    • Região: Selecione a região na qual deseja criar este recurso. A região do gateway deve ser a mesma que da rede virtual.

    • Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.

    • SKU: na lista de seleção, escolha o SKU do gateway que dá suporte aos recursos que você deseja usar. Confira SKUs de Gateway. No portal, os SKUs disponíveis na lista de seleção dependem do VPN type que você seleciona. O SKU Básico só pode ser configurado usando a CLI do Azure ou o PowerShell. Não é possível configurar o SKU Básico no portal do Azure.

    • Geração: selecione a geração que você quer usar. Recomendamos usar um SKU de Geração2. Para obter mais informações, confira SKUs de gateway.

    • Rede virtual: na lista de seleção, escolha a rede virtual à qual você deseja adicionar este gateway. Se você não conseguir ver a rede virtual para a qual deseja criar um gateway, verifique se selecionou a assinatura e a região corretas nas configurações anteriores.

    • Intervalo de endereços da sub-rede do gateway ou Sub-rede: a sub-rede do gateway é necessária para criar um gateway de VPN.

      Neste ponto, o comportamento deste campo depende do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção para criá-la nesta página, volte para sua rede virtual e crie a sub-rede do gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores do Endereço IP público. Essas configurações especificam o objeto de endereço IP público que será associado ao gateway da VPN. O endereço IP público é atribuído a esse objeto quando o gateway de VPN é criado. A única vez em que o endereço IP público primário muda é quando o gateway é excluído e recriado. Isso não altera o redimensionamento, a redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.

    Screenshot that shows the Public IP address field.

    • Tipo de endereço IP público: Para este exercício, se você tiver a opção de escolher o tipo de endereço, selecione Standard.
    • Endereço IP público: Deixe criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
    • SKU de endereço IP público: A configuração é selecionada automaticamente.
    • Atribuição: a atribuição normalmente é selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Habilitar o modo ativo-ativo: selecione Desabilitado. Habilite esta configuração somente se você estiver criando uma configuração de gateway ativo-ativo.
    • Configurar BGP: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

  2. Selecione Examinar + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN.

Você poderá ver o status de implantação na página de Visão Geral do gateway. Podem ser necessários 45 minutos ou mais para criar e implantar um gateway por completo. Depois de criar o gateway você pode exibir, observando a Rede Virtual no portal, o endereço IP que foi atribuído a esse gateway. O gateway aparecerá como um dispositivo conectado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede de gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (gateways VPN e Express Route) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.

Crie e configure o VNet4

Depois de configurar o VNet1, crie o VNet4 e o gateway VNet4 repetindo as etapas anteriores e substituindo os valores por valores de VNet4. Você não precisa esperar até que o gateway de rede virtual para VNet1 tenha terminado a criação antes de configurar o VNet4. Se você estiver usando seus próprios valores, verifique se os espaços de endereço não se sobrepõem a nenhuma das redes virtuais às quais você deseja se conectar.

Configure suas conexões

Quando os gateways de VPN para a VNet1 e a VNet4 estiverem concluídos, você poderá criar suas conexões de gateway de rede virtual.

As VNets na mesma assinatura podem ser conectadas usando o portal, mesmo que estejam em grupos de recursos diferentes. No entanto, se as VNets estiverem em assinaturas diferentes, você deverá usar o PowerShell para fazer as conexões.

Você pode criar uma conexão bidirecional ou de direção única. Para esse exercício, especificaremos uma conexão bidirecional. O valor da conexão bidirecional cria duas conexões separadas para que o tráfego possa fluir em ambas as direções.

  1. No portal, acesse VNet1GW.

  2. Na página do gateway de rede virtual, acesse as Conexões. Selecione +Adicionar.

    Screenshot showing the connections page.

  3. Na página Criar conexão, preencha os valores da conexão.

    Screenshot showing the Create Connection page.

    • Tipo de conexão: selecione VNet-para-VNet na lista suspensa.
    • Estabelecer a conectividade bidirecional: Selecione esse valor
    • Nome da primeira conexão : VNet1-para-VNet4
    • Nome da segunda conexão: VNet4-para-VNet1
    • Região: Leste dos EUA (a região da VNet1GW)

  4. Clique em Avançar : Configurações > na parte inferior da página para avançar para a página Configurações.

  5. Na página Configurações, especifique os seguintes valores:

    • Primeiro gateway de rede virtual : selecione VNet1GW na lista suspensa.
    • Segundo gateway de rede virtual : selecione VNet4GW na lista suspensa.
    • Chave compartilhada (PSK) : neste campo, insira uma chave compartilhada para sua conexão. Você pode gerar ou criar essa chave. Em uma conexão site a site, a chave usada é a mesma que para o dispositivo local e a conexão de gateway de rede virtual. O conceito é semelhante aqui, exceto que, em vez de se conectar a um dispositivo VPN, você se conectará a outro gateway de rede virtual.
    • Protocolo IKE: IKEv2

  6. Para esse exercício, você pode deixar o restante das configurações com seus valores padrão.

  7. Selecione Revisar + criar e, em seguida, Criar para validar e criar suas conexões.

Verificar as conexões

  1. Localize o gateway de rede virtual no portal do Azure. Por exemplo, VNet1GW

  2. Na página Gateway de rede virtual, selecione Conexões para exibir a página Conexões para o gateway de rede virtual. Depois que a conexão for estabelecida, você verá os valores do Status mudarem para Conectado.

    Screenshot connection status.

  3. Na coluna Nome, selecione uma das conexões para exibir mais informações. Quando dados começarem a fluir, você verá valores de Entrada de dados e de Saída de dados.

    Screenshot shows a resource group with values for Data in and Data out.

Adicionar mais conexões

Caso deseje adicionar mais conexões, navegue até o gateway de rede virtual do qual deseja criar a conexão e selecione Conexões. Você pode criar outra conexão de rede virtual a rede virtual ou criar uma conexão Site a site (IPsec) para um lugar local. Verifique se você ajustou o Tipo de conexão para que corresponda ao tipo de conexão que deseja criar. Antes de criar mais conexões, verifique se o espaço de endereço da rede virtual não se sobrepõe a nenhum dos espaços de endereço aos quais você deseja se conectar. Para obter as etapas para criar uma conexão Site a site, consulte Criar uma conexão Site a site.

Perguntas Frequentes sobre VNet a VNet

Consulte as perguntas frequentes sobre o Gateway de VPN para as perguntas frequentes sobre a conexão VNet a VNet.

Próximas etapas

  • Para obter mais informações sobre como você pode limitar o tráfego de rede para recursos em uma rede virtual, confira Segurança de Rede.

  • Para obter mais informações sobre como o Azure roteia o tráfego entre o Azure, locais e recursos da Internet, consulte Roteamento de tráfego da rede virtual.