Ligar o Azure Stack Hub ao Azure com a VPN

  • Artigo

Este artigo descreve como criar uma VPN site a site para ligar uma rede virtual no Azure Stack Hub a uma rede virtual no Azure.

Antes de começar

Para concluir a configuração da ligação, certifique-se de que tem os seguintes itens antes de começar:

  • Uma implementação de sistemas integrados (vários nós) do Azure Stack Hub que está diretamente ligada à Internet. O intervalo de endereços IP públicos externos tem de estar diretamente acessível a partir da Internet pública.
  • Uma subscrição válida do Azure. Se não tiver uma subscrição do Azure, pode criar uma conta gratuita do Azure aqui.

Diagrama de ligação VPN

A figura seguinte mostra o aspeto que a configuração da ligação deve ter quando terminar:

Configuração da ligação VPN site a site

Valores de exemplo de configuração de rede

A tabela de exemplos de configuração de rede mostra os valores que são utilizados para exemplos neste artigo. Pode utilizar estes valores ou pode fazer referência aos mesmos para compreender melhor os exemplos neste artigo:

Valor Azure Stack Hub Azure
Nome da rede virtual Azs-VNet AzureVNet
Espaço de endereços de rede virtual 10.1.0.0/16 10.100.0.0/16
Nome da sub-rede FrontEnd FrontEnd
Intervalo de endereços da sub-rede 10.1.0.0/24 10.100.0.0/24
Sub-rede de gateway 10.1.1.0/24 10.100.1.0/24

Criar os recursos de rede no Azure

Primeiro, crie os recursos de rede para o Azure. As seguintes instruções mostram como criar os recursos com a portal do Azure.

Criar a rede virtual e a sub-rede da máquina virtual (VM)

  1. Inicie sessão no portal do Azure com a sua conta do Azure.
  2. No portal de utilizador, selecione + Criar um recurso.
  3. Aceda ao Marketplace e, em seguida, selecione Rede.
  4. Selecione Rede virtual.
  5. Utilize as informações da tabela de configuração de rede para identificar os valores de Nome do Azure, Espaço de endereços, Nome da sub-rede e intervalo de endereços da Sub-rede.
  6. Para Grupo de Recursos, crie um novo grupo de recursos ou, se já tiver um, selecione Utilizar existente.
  7. Selecione a Localização da VNet. Se estiver a utilizar os valores de exemplo, selecione E.U.A. Leste ou utilize outra localização.
  8. Selecione Afixar ao dashboard.
  9. Selecione Criar.

Criar a sub-rede de gateway

  1. Abra o recurso de rede virtual que criou (AzureVNet) a partir do dashboard.

  2. Na secção Definições , selecione Sub-redes.

  3. Selecione Sub-rede do gateway para adicionar uma sub-rede de gateway à rede virtual.

  4. O nome da sub-rede está predefinido como GatewaySubnet.

    Importante

    As sub-redes de gateway são especiais e têm de ter este nome específico para funcionarem corretamente.

  5. No campo Intervalo de endereços , verifique se o endereço é 10.100.1.0/24.

  6. Selecione OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

  1. No portal do Azure, selecione + Criar um recurso.
  2. Aceda ao Marketplace e, em seguida, selecione Rede.
  3. Na lista de recursos de rede, selecione Gateway de rede virtual.
  4. No campo Nome , escreva Azure-GW.
  5. Para escolher uma rede virtual, selecione Rede virtual. Em seguida, selecione AzureVnet na lista.
  6. Selecione Endereço IP público. Quando a secção Escolher endereço IP público for aberta, selecione Criar novo.
  7. No campo Nome , escreva Azure-GW-PiP e, em seguida, selecione OK.
  8. Certifique-se de que a Subscrição e a Localização estão corretas. Pode afixar o recurso ao dashboard. Selecione Criar.

Criar o recurso de gateway de rede local

  1. No portal do Azure, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Rede.

  3. Na lista de recursos, selecione Gateway de rede local.

  4. No campo Nome , escreva Azs-GW.

  5. No campo Endereço IP, escreva o endereço IP público do gateway de Rede Virtual do Azure Stack Hub que está listado anteriormente na tabela de configuração de rede.

  6. No campo Espaço de Endereços , no Azure Stack Hub, escreva o espaço de endereços 10.1.0.0/24 e 10.1.1.0/24 para a AzureVNet.

  7. Verifique se a Subscrição, o Grupo de Recursos e a Localização estão corretos e, em seguida, selecione Criar.

Criar a ligação

  1. No portal de utilizador, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Rede.

  3. Na lista de recursos, selecione Ligação.

  4. Na secção Definições básicas , para o Tipo de ligação, selecione Site a site (IPSec).

  5. Selecione Subscrição, Grupo de Recursos e Localização e, em seguida, selecione OK.

  6. Na secção Definições , selecione Gateway de rede virtual e, em seguida, selecione Azure-GW.

  7. Selecione Gateway de rede local e, em seguida, selecione Azs-GW.

  8. Em Nome da ligação, escreva Azure-Azs.

  9. Em Chave partilhada (PSK), escreva 12345 e, em seguida, selecione OK.

    Nota

    Se utilizar um valor diferente para a chave partilhada, lembre-se de que tem de corresponder ao valor da chave partilhada que criar na outra extremidade da ligação.

  10. Reveja a secção Resumo e, em seguida, selecione OK.

Criar uma política IPSec personalizada

É necessária uma política IPSec personalizada para que o Azure corresponda ao Azure Stack Hub.

  1. Criar uma política personalizada:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Aplique a política à ligação:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Criar uma VM

Agora, crie uma VM no Azure e coloque-a na sub-rede da VM na rede virtual.

  1. No portal do Azure, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Computação.

  3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

  4. Na secção Noções básicas , em Nome, escreva AzureVM.

  5. Escreva um nome de utilizador e palavra-passe válidos. Utilize esta conta para iniciar sessão na VM depois de ser criada.

  6. Forneça uma Subscrição, Grupo de Recursos e Localização e, em seguida, selecione OK.

  7. Na secção Tamanho , selecione um tamanho de VM para esta instância e, em seguida, selecione Selecionar.

  8. Na secção Definições , pode utilizar as predefinições. Antes de selecionar OK, confirme que:

    • A rede virtual AzureVnet está selecionada.
    • A sub-rede está definida como 10.100.0.0/24.

    Selecione OK.

  9. Reveja as definições na secção Resumo e, em seguida, selecione OK.

Criar os recursos de rede no Azure Stack Hub

Em seguida, crie os recursos de rede no Azure Stack Hub.

Iniciar sessão como utilizador

Um administrador de serviços pode iniciar sessão como utilizador para testar os planos, as ofertas e as subscrições que os utilizadores poderão utilizar. Se ainda não tiver uma, crie uma conta de utilizador antes de iniciar sessão.

Criar a rede virtual e uma sub-rede de VM

  1. Utilize uma conta de utilizador para iniciar sessão no portal de utilizador.

  2. No portal de utilizador, selecione + Criar um recurso.

    Criar uma nova rede virtual

  3. Aceda ao Marketplace e, em seguida, selecione Rede.

  4. Selecione Rede virtual.

  5. Para Nome, Espaço de endereços, Nome da sub-rede e intervalo de endereços da Sub-rede, utilize os valores da tabela de configuração de rede.

  6. Em Subscrição, é apresentada a subscrição que criou anteriormente.

  7. Para o Grupo de Recursos, pode criar um grupo de recursos ou, se já tiver um, selecione Utilizar existente.

  8. Verifique a localização predefinida.

  9. Selecione Afixar ao dashboard.

  10. Selecione Criar.

Criar a sub-rede de gateway

  1. No dashboard, abra o Azs-VNet recurso de rede virtual que criou.

  2. Na secção Definições , selecione Sub-redes.

  3. Para adicionar uma sub-rede de gateway à rede virtual, selecione Sub-rede do Gateway.

    Adicionar sub-rede de gateway

  4. Por predefinição, o nome da sub-rede está definido como GatewaySubnet. Para que as sub-redes do gateway funcionem corretamente, têm de utilizar o nome GatewaySubnet .

  5. Em Intervalo de endereços, verifique se o endereço é 10.1.1.0/24.

  6. Selecione OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

  1. No portal do Azure Stack Hub, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Rede.

  3. Na lista de recursos de rede, selecione Gateway de rede virtual.

  4. Em Nome, escreva Azs-GW.

  5. Selecione o item Rede virtual para escolher uma rede virtual. Selecione Azs-VNet na lista.

  6. Selecione o item de menu Endereço IP público . Quando a secção Escolher endereço IP público for aberta, selecione Criar novo.

  7. Em Nome, escreva Azs-GW-PiP e, em seguida, selecione OK.

  8. Por predefinição, a opção Baseada em rotas está selecionada para o tipo de VPN. Mantenha o tipo de VPN baseado na rota .

  9. Certifique-se de que a Subscrição e a Localização estão corretas. Pode afixar o recurso ao dashboard. Selecione Criar.

Criar o gateway de rede local

O conceito de gateway de rede local no Azure Stack Hub é diferente de uma implementação do Azure.

Numa implementação do Azure, um gateway de rede local representa um dispositivo físico no local (na localização do utilizador) que se liga a um gateway de rede virtual no Azure. No entanto, no Azure Stack Hub, ambas as extremidades da ligação são gateways de rede virtual.

Uma descrição mais genérica é que o recurso do gateway de rede local indica sempre o gateway remoto na outra extremidade da ligação.

Criar o recurso de gateway de rede local

  1. Inicie sessão no portal do Azure Stack Hub.

  2. No portal de utilizador, selecione + Criar um recurso.

  3. Aceda ao Marketplace e, em seguida, selecione Rede.

  4. Na lista de recursos, selecione gateway de rede local.

  5. No campo Nome , escreva Azure-GW.

  6. No campo Endereço IP , escreva o endereço IP público do gateway de rede virtual no Azure Azure-GW-PiP. Este endereço é apresentado anteriormente na tabela de configuração de rede.

  7. No campo Espaço de Endereços , para o espaço de endereços da VNET do Azure que criou, escreva 10.100.0.0/24 e 10.100.1.0/24.

  8. Verifique se os valores de Subscrição, Grupo de Recursos e localização estão corretos e, em seguida, selecione Criar.

Criar a ligação

  1. No portal de utilizador, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Rede.

  3. Na lista de recursos, selecione Ligação.

  4. Na secção Definições básicas , para o Tipo de ligação, selecione Site a site (IPSec).

  5. Selecione Subscrição, Grupo de Recursos e Localização e, em seguida, selecione OK.

  6. Na secção Definições , selecione Gateway de rede virtual e, em seguida, selecione Azs-GW.

  7. Selecione Gateway de rede local e, em seguida, selecione Azure-GW.

  8. Em Nome da Ligação, escreva Azs-Azure.

  9. Em Chave partilhada (PSK), escreva 12345 e, em seguida, selecione OK.

  10. Na secção Resumo , selecione OK.

Criar uma VM

Para verificar a ligação VPN, crie duas VMs: uma no Azure e outra no Azure Stack Hub. Depois de criar estas VMs, pode utilizá-las para enviar e receber dados através do túnel VPN.

  1. No portal do Azure, selecione + Criar um recurso.

  2. Aceda ao Marketplace e, em seguida, selecione Computação.

  3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

  4. Na secção Noções básicas , em Nome, escreva Azs-VM.

  5. Escreva um nome de utilizador e palavra-passe válidos. Utilize esta conta para iniciar sessão na VM depois de ser criada.

  6. Forneça uma Subscrição, Grupo de Recursos e Localização e, em seguida, selecione OK.

  7. Na secção Tamanho , para esta instância, selecione um tamanho de VM e, em seguida, selecione Selecionar.

  8. Na secção Definições , aceite as predefinições. Certifique-se de que a rede virtual Azs-VNet está selecionada. Verifique se a sub-rede está definida como 10.1.0.0/24. Em seguida, selecione OK.

  9. Na secção Resumo , reveja as definições e, em seguida, selecione OK.

Testar a ligação

Depois de a ligação site a site ser estabelecida, deve verificar se consegue obter dados a fluir em ambas as direções. A forma mais fácil de testar a ligação é ao fazer um teste de ping:

  • Inicie sessão na VM que criou no Azure Stack Hub e envie um ping à VM no Azure.
  • Inicie sessão na VM que criou no Azure e faça ping à VM no Azure Stack Hub.

Nota

Para se certificar de que está a enviar tráfego através da ligação site a site, faça ping no endereço IP Direto (DIP) da VM na sub-rede remota e não no VIP.

Iniciar sessão na VM do utilizador no Azure Stack Hub

  1. Inicie sessão no portal do Azure Stack Hub.

  2. Na barra de navegação esquerda, selecione Máquinas Virtuais.

  3. Na lista de VMs, localize Azs-VM que criou anteriormente e, em seguida, selecione-a.

  4. Na secção da VM, selecione Ligar e, em seguida, abra o ficheiro Azs-VM.rdp.

    Botão Ligar

  5. Inicie sessão com a conta que configurou quando criou a VM.

  6. Abra um pedido de Windows PowerShell elevado.

  7. Escreva ipconfig /all.

  8. No resultado, localize o Endereço IPv4 e, em seguida, guarde o endereço para utilização posterior. Este é o endereço que faz ping a partir do Azure. No ambiente de exemplo, o endereço é 10.1.0.4, mas no seu ambiente pode ser diferente. Deve enquadrar-se na sub-rede 10.1.0.0/24 que criou anteriormente.

  9. Para criar uma regra de firewall que permita à VM responder a pings, execute o seguinte comando do PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Iniciar sessão na VM do inquilino no Azure

  1. Inicie sessão no portal do Azure.

  2. Na barra de navegação esquerda, selecione Máquinas Virtuais.

  3. Na lista de VMs, localize Azure-VM que criou anteriormente e, em seguida, selecione-a.

  4. Na secção da VM, selecione Ligar.

  5. Inicie sessão com a conta que configurou quando criou a VM.

  6. Abra uma janela de Windows PowerShell elevada.

  7. Escreva ipconfig /all.

  8. Deverá ver um endereço IPv4 que se insere em 10.100.0.0/24. No ambiente de exemplo, o endereço é 10.100.0.4, mas o seu endereço pode ser diferente.

  9. Para criar uma regra de firewall que permita à VM responder a pings, execute o seguinte comando do PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. A partir da VM no Azure, envie um ping à VM no Azure Stack Hub através do túnel. Para tal, envie um ping ao DIP que gravou a partir do Azs-VM. No ambiente de exemplo, este é 10.1.0.4, mas certifique-se de que faz ping no endereço que anotou no laboratório. Deverá ver um resultado semelhante à seguinte captura de ecrã:

    Ping com êxito

  11. Uma resposta da VM remota indica um teste com êxito. Pode fechar a janela da VM.

Também deve realizar testes de transferência de dados mais rigorosos (por exemplo, copiar ficheiros de tamanho diferente em ambas as direções).

Ver estatísticas de transferência de dados através da ligação de gateway

Se quiser saber a quantidade de dados que passa pela ligação site a site, estas informações estão disponíveis na secção Ligação . Este teste também é outra forma de verificar se o ping que acabou de enviar passou na ligação VPN.

  1. Quando tiver sessão iniciada na VM do utilizador no Azure Stack Hub, utilize a sua conta de utilizador para iniciar sessão no portal de utilizador.

  2. Aceda a Todos os recursos e, em seguida, selecione a ligação Azs-Azure . As ligações são apresentadas.

  3. Na secção Ligação , são apresentadas as estatísticas de Entrada e Saída de dados . Na captura de ecrã seguinte, os números grandes são atribuídos a transferências de ficheiros adicionais. Deverá ver alguns valores nãozero.

    Entrada e saída de dados

Passos seguintes