Como criar um túnel VPN usando GRE em Azure Stack HubHow to create a VPN tunnel using GRE in Azure Stack Hub

Pode utilizar o modelo Azure Stack Hub Resource Manager nesta solução para ligar dois VNets Azure Stack Hub dentro do mesmo ambiente Azure Stack Hub.You can use the Azure Stack Hub Resource Manager template in this solution to connect two Azure Stack Hub VNets within the same Azure Stack Hub environment. Não é possível ligar os VNets Azure Stack Hub utilizando o Gateway de Rede Virtual incorporado.You can't connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Por enquanto, deve utilizar aparelhos virtuais de rede (NVA) para criar um túnel VPN entre dois VNets Azure Stack Hub.For now, you must use network virtual appliances (NVA)s to create a VPN tunnel between two Azure Stack Hub VNets. O modelo de solução implementa dois VMs Windows Server 2016 com RRAS instalados.The solution template deploys two Windows Server 2016 VMs with RRAS installed. A solução configura os dois servidores RRAS para utilizar um túnel S2SVPN IKEv2 entre os dois VNETs.The solution configures the two RRAS servers to use a S2SVPN IKEv2 tunnel between the two VNETs. As regras adequadas de NSG e UDR são criadas para permitir o encaminhamento entre as sub-redes em cada VNET designado como internoThe appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal

Este padrão de implementação é a base que lhe permitirá criar túneis VPN não só dentro da sua instância Azure Stack Hub, mas também entre instâncias do Azure Stack Hub e outros recursos, como as suas redes no local com a utilização dos túneis VPN VPN windows RRAS S2S.This deployment pattern is the foundation that will allow you to create VPN tunnels not only within your Azure Stack Hub instance, but also between Azure Stack Hub instances and to other resources, such as your on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

Pode encontrar os modelos no repositório GitHub dos Padrões inteligentes de borda Azure.You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. O modelo está na pasta rras-gre-vnet-vnet.The template is in the rras-gre-vnet-vnet folder.

O diagrama mostra uma implementação que fornece um túnel VPN entre dois VNETs.

RequirementsRequirements

  • Um sistema implementado com as últimas atualizações aplicadas.A system deployed with latest updates applied.
  • Itens necessários para a Azure Stack Hub Marketplace:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Datacenter (mais recente construção recomendada)Windows Server 2016 Datacenter (latest build recommended)
    • Extensão de Script PersonalizadoCustom Script Extension

Coisas a considerarThings to consider

  • Um Grupo de Segurança de Rede é aplicado na sub-rede do túnel do modelo.A Network Security Group is applied to the template Tunnel Subnet. Fixe a sub-rede interna em cada VNet com um NSG adicional.Secure the internal subnet in each VNet with an additional NSG.
  • Uma regra de Negação de RDP é aplicada ao Túnel NSG e terá de ser definida para permitir se pretender aceder aos VMs através do endereço IP públicoAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • Esta solução não tem em conta a resolução do DNSThis solution does not take into account DNS resolution
  • A combinação de nome VNet e vmName deve ser inferior a 15 caracteresThe combination of VNet name and vmName must be fewer than 15 characters
  • Este modelo foi concebido para ter os nomes VNet personalizados para VNet1 e VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
  • Este modelo está usando janelas BYOLThis template is using BYOL windows
  • Ao eliminar o grupo de recursos, atualmente em (1907) tem de retirar manualmente os NSGs da sub-rede do túnel para garantir que o grupo de recursos de eliminação está completoWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Este modelo está a usar um DS3v2 vm.This template is using a DS3v2 vm. O serviço RRAS instala e funciona o Servidor SQL interno do Windows.The RRAS service installs and run Windows internal SQL Server. Isto pode causar problemas de memória se o seu tamanho VM for demasiado pequeno.This can cause memory issues if your VM size is too small. Valide o desempenho antes de reduzir o tamanho do VM.Validate performance before reducing the VM size.
  • Esta não é uma solução altamente disponível.This is not a highly available solution. Se necessitar de uma solução de estilo HA mais que possa adicionar um segundo VM, terá de alterar manualmente a rota na tabela de rotas para o IP interno da interface secundária.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Também é necessário configurar os múltiplos túneis para atravessar a ligação.You would also need to configure the multiple Tunnels to cross connect.

OpçõesOptions

  • Você pode usar sua própria conta de armazenamento Blob e token SAS usando os parâmetros de _artifactsLocation e _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Existem duas saídas neste modelo INTERNALSUBNETREFVNET1 e INTERNALSUBNETREFVNET2, que são os IDs de recursos para as sub-redes internas, se quiser usá-lo num padrão de implementação de estilo de pipeline.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Este modelo fornece valores predefinidos para o nome de VNet e endereço IP.This template provides default values for VNet naming and IP addressing. Requer uma palavra-passe para o administrador (rrasadmin) e também oferece a capacidade de usar a sua própria bolha de armazenamento com token SAS.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Tenha cuidado para manter estes valores dentro dos intervalos legais, uma vez que a implementação pode falhar.Be careful to keep these values within legal ranges as deployment may fail. O pacote PowerShell DSC é executado em cada RRAS VM e instalando o encaminhamento e todos os serviços e funcionalidades dependentes necessários.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Este DSC pode ser personalizado ainda mais se necessário.This DSC can be customized further if needed. A extensão de script personalizada executa o seguinte script e Add-Site2SiteGRE.ps1 configura o túnel VPNS2S entre os dois servidores RRAS com uma chave partilhada.The custom script extension run the following script and Add-Site2SiteGRE.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Pode ver a saída detalhada da extensão de script personalizada para ver os resultados da configuração do túnel VPNYou can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

O diagrama, intitulado S2SVPNTunnel, mostra dois VNETs ligados por um túnel VPN local.

Próximos passosNext steps

Diferenças e considerações para a rede Azure Stack HubDifferences and considerations for Azure Stack Hub networking
Como configurar um túnel VPN vpn de vários locaisHow to set up a multiple site-to-site VPN tunnel