Configure uma ligação de gateway VNet-to-VNet VPN utilizando o portal Azure

Este artigo ajuda-o a ligar redes virtuais (VNets) utilizando o tipo de ligação VNet-to-VNet utilizando o portal Azure. As redes virtuais podem estar em diferentes regiões e de diferentes subscrições. Quando conecta VNets de diferentes subscrições, as subscrições não precisam de ser associadas ao mesmo inquilino ative. Este tipo de configuração cria uma ligação entre dois gateways de rede virtuais. Este artigo não se aplica ao observação da VNet. Para espreitar o VNet, consulte o artigo de observação da Rede Virtual.

Diagrama VNet para VNet

Pode criar esta configuração utilizando várias ferramentas, dependendo do modelo de implementação do seu VNet. Os passos deste artigo aplicam-se ao modelo de implementação do Gestor de Recursos Azure e ao portal Azure. Para mudar para um modelo de implementação ou artigo de método de implantação diferente, utilize o dropdown.

Sobre a ligação de VNets

As seguintes secções descrevem as diferentes formas de ligar redes virtuais.

VNet a VNet

Configurar uma ligação VNet-vNet é uma forma simples de ligar VNets. Quando liga uma rede virtual a outra rede virtual com um tipo de ligação VNet-to-VNet (VNet2VNet), é semelhante à criação de uma ligação IPsec site-to-site a uma localização no local. Ambos os tipos de ligação utilizam uma porta de entrada VPN para fornecer um túnel seguro com IPsec/IKE e funcionam da mesma forma ao comunicar. No entanto, diferem na forma como o portal de rede local está configurado.

Quando cria uma ligação VNet-para-VNet, o espaço de endereço de gateway de rede local é automaticamente criado e povoado. Se atualizar o espaço de endereço para um VNet, o outro VNet liga automaticamente para o espaço de endereço atualizado. É tipicamente mais rápido e fácil criar uma ligação VNet-vNet do que uma ligação Site-to-Site. No entanto, o gateway de rede local não é visível nesta configuração.

  • Se souber que pretende especificar espaços de endereço adicionais para o gateway de rede local, ou planeia adicionar ligações adicionais mais tarde e precisar de ajustar o gateway de rede local, deverá criar a configuração utilizando os passos Site-To-Site.
  • A ligação VNet-vNet não inclui o espaço de endereço do cliente ponto-a-local. Se necessitar de encaminhamento transitório para clientes ponto-a-local, em seguida, crie uma ligação Site-a-Site entre os gateways de rede virtuais ou use o observamento VNet.

Site a Site (IPsec)

Se estiver a trabalhar com uma configuração de rede complicada, poderá preferir ligar os seus VNets utilizando uma ligação Site-to-Site. Quando segue os passos IPsec site-to-site, cria e configura manualmente os gateways de rede locais. O gateway de rede local para cada VNet trata a outra VNet como um site local. Estes passos permitem especificar espaços de endereço adicionais para a porta de entrada da rede local para o tráfego de rotas. Se o espaço de endereço de um VNet mudar, deve atualizar manualmente o portal de rede local correspondente.

VNet peering

Também pode ligar os seus VNets utilizando o peering VNet.

Porquê criar uma ligação VNet a VNet?

Pode querer ligar redes virtuais utilizando uma ligação VNet-vNet pelas seguintes razões:

Geopresença e georredundância entre várias regiões

  • Pode configurar a sua própria geo-replicação ou sincronização com conectividade segura sem passar por pontos finais virados para a Internet.
  • Com Gestor de Tráfego do Azure e Balanceador de Carga do Azure, você pode configurar carga de trabalho altamente disponível com geo-redundância em várias regiões do Azure. Por exemplo, pode configurar SQL Server grupos de disponibilidade Always On em várias regiões do Azure.

Aplicações regionais multi-camadas com limites de isolamento ou administrativos

  • Dentro da mesma região, pode configurar aplicações multi-camadas com múltiplas redes virtuais que estão ligadas em conjunto devido a requisitos de isolamento ou administrativos.

A comunicação VNet a VNet pode ser combinada com configurações multilocal. Estas configurações permitem estabelecer topologias de rede que combinam conectividade entre premissas com conectividade de rede inter-virtual, como mostra o seguinte diagrama:

Diagrama de ligações VNet.

Este artigo mostra-lhe como ligar VNets utilizando o tipo de ligação VNet-vNet. Quando segue estes passos como exercício, pode utilizar os seguintes valores de definição de exemplo. No exemplo, as redes virtuais estão na mesma subscrição, mas em grupos de recursos diferentes. Se a suas VNets estiverem em diferentes subscrições, não pode criar a ligação no portal. Utilize o PowerShell ou o CLI. Para obter mais informações sobre as ligações VNet-to-VNet, consulte as FAQ VNet-to-VNet.

Definições de exemplo

Valores para VNet1:

  • Definições de rede virtuais

    • Nome: VNet1
    • Espaço de endereço : 10.1.0.0/16
    • Subscrição: selecione a subscrição que quer utilizar.
    • Grupo de recursos: TestRG1
    • Localização: Leste dos EUA
    • Sub-rede
      • Nome: FrontEnd
      • Intervalo de endereços: 10.1.0.0/24
  • Definições de gateway de rede virtual

    • Nome: VNet1GW
    • Grupo de recursos: Leste dos EUA
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo VPN: Selecione Route-based.
    • SKU: VpnGw2
    • Rede virtual: VNet1
    • Intervalo de endereço da sub-rede gateway: 10.1.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet1GWpip
  • Ligação

    • Nome: VNet1toVNet4
    • Chave partilhada: Pode criar a chave partilhada por si mesmo. Quando se cria a ligação entre as VNets, os valores devem coincidir. Para este exercício, use o abc123.

Valores para VNet4:

  • Definições de rede virtuais

    • Nome: VNet4
    • Espaço de endereço: 10.41.0.0/16
    • Subscrição: selecione a subscrição que quer utilizar.
    • Grupo de recursos: TestRG4
    • Localização: West US
    • Sub-rede
    • Nome: FrontEnd
    • Intervalo de endereços: 10.41.0.0/24
  • Definições de gateway de rede virtual

    • Nome: VNet4GW
    • Grupo de recursos: West US
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo VPN: Selecione Route-based.
    • SKU: VpnGw2
    • Rede virtual: VNet4
    • Intervalo de endereço da sub-rede gateway: 10.41.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet4GWpip
  • Ligação

    • Nome: VNet4toVNet1
    • Chave partilhada: Pode criar a chave partilhada por si mesmo. Quando se cria a ligação entre as VNets, os valores devem coincidir. Para este exercício, use o abc123.

Criar e configurar vNet1

Se já tiver uma VNet, certifique-se de que as definições são compatíveis com a conceção do seu gateway de VPN. Tenha em especial atenção as sub-redes que se possam sobrepor a outras redes. A sua ligação não funcionará corretamente se tiver sub-redes sobrepostas.

Para criar uma rede virtual

Nota

Ao utilizar uma rede virtual como parte de uma arquitetura de premissas cruzadas, certifique-se de coordenar com o seu administrador de rede no local para esculpir uma gama de endereços IP que pode usar especificamente para esta rede virtual. Se existir uma gama de endereços duplicada em ambos os lados da ligação VPN, o tráfego será desviado de forma inesperada. Além disso, se pretender ligar esta rede virtual a outra rede virtual, o espaço de endereço não pode sobrepor-se à outra rede virtual. Planeie a configuração da sua rede em conformidade.

  1. Inicie sessão no Portal do Azure.

  2. Nos recursos de pesquisa, serviço e docs (G+/), escreva rede virtual_. Selecione _ Rede virtual a partir dos resultados do Marketplace para abrir a página de rede Virtual.

    O Screenshot mostra os resultados da barra de pesquisa do portal Azure e a seleção da Rede Virtual do Marketplace.

  3. Na página de rede Virtual, clique em Criar. Isto abre a página de rede virtual Create.

  4. No separador Básicos, configufique as definições VNet para Project detalhes e detalhes de instância. Verá uma marca de verificação verde quando os valores introduzidos forem validados. Os valores apresentados no exemplo podem ser ajustados de acordo com as definições que necessita.

    A screenshot mostra o separador Básicos.

    • Subscrição: Verifique se a subscrição listada é a correta. Pode utilizar o menu pendente para mudar de subscrição.
    • Grupo de recursos: Selecione um grupo de recursos existente ou clique em Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da sua rede virtual.
    • Região: Selecione a localização para o seu VNet. A localização determina onde irão os recursos que implanta para este VNet.
  5. Clique em Endereços IP para avançar para o separador endereços IP. No separador endereços IP, configure as definições. Os valores apresentados no exemplo podem ser ajustados de acordo com as definições que necessita.

    A imagem mostra o separador endereços IP.

    • Espaço de endereço IPv4: Por predefinição, um espaço de endereço é automaticamente criado. Pode clicar no espaço do endereço para o ajustar para refletir os seus próprios valores. Também pode adicionar mais espaços de endereço.
    • Sub-rede: Se utilizar o espaço de endereço predefinido, uma sub-rede predefinida é criada automaticamente. Se alterar o espaço do endereço, tem de adicionar uma sub-rede. Selecione + Adicione a sub-rede para abrir a janela da sub-rede Add. Configure as seguintes definições e, em seguida, selecione Adicionar para adicionar os valores.
      • Nome da sub-rede: Neste exemplo, nomeamos a sub-rede "FrontEnd".
      • Intervalo de endereços da sub-rede: O intervalo de endereços para esta sub-rede.
  6. Clique em Segurança para avançar para o separador Segurança. Neste momento, deixe os valores predefinidos.

    • BastionHost: Desativar
    • Norma de proteção DDos: Desativar
    • Firewall: Desativar
  7. Selecione Review + criar para validar as definições de rede virtual.

  8. Depois de validadas as definições, clique em Criar para criar a rede virtual.

Criar o portal VNet1

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Se estiver a criar esta configuração como exercício, consulte as definições de Exemplo.

O gateway de rede virtual utiliza uma sub-rede específica denominada sub-rede do gateway. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que especificou quando configurar a rede virtual. Contém os endereços IP que utilizam os serviços e recursos de gateway de rede virtual.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. O número de endereços IP necessários depende da configuração do gateway VPN que pretende criar. Algumas configurações requerem mais endereços IP do que outras. Recomendamos que crie uma sub-rede de gateway que utilize /27 ou /28.

Se vir um erro que especifica que o espaço de endereços se sobrepõe a uma sub-rede ou se a sub-rede não se encontra dentro do espaço de endereços da rede virtual, verifique o intervalo de endereços da VNet. Não pode ter endereços IP suficientes disponíveis no intervalo de endereços que criou para a sua rede virtual. Por exemplo, se a sub-rede de predefinição abrange o intervalo de endereços completo, isso significa que não existem endereços IP restantes para criar sub-redes adicionais. Pode ajustar as sub-redes no espaço de endereço existente para libertar endereços IP ou especifique um intervalo de endereços adicionais e crie a sub-rede do gateway.

Para criar um gateway de rede virtual

  1. Em Recursos de pesquisa, serviços e docs (G+/) digitam porta de rede virtual. Localize o gateway de rede virtual nos resultados da pesquisa e selecione-o.

    Screenshot do campo de busca.

  2. Na página de gateways de rede Virtual, selecione + Criar. É aberta a página Criar gateway de rede virtual.

    Screenshot da página de gateways de rede virtual com Create em destaque.

  3. No separador Básicos, preencha os valores para Project detalhes e detalhes de instância.

    Screenshot dos campos de Instância.

    • Subscrição: Selecione a subscrição que pretende utilizar a partir do dropdown.
    • Grupo de Recursos: Esta definição é preenchida automaticamente quando seleciona a sua rede virtual nesta página.
    • Nome: dê um nome ao gateway. Nomear o seu portal não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que está a criar.
    • Região: Selecione a região em que pretende criar este recurso. A região para o portal deve ser a mesma que a rede virtual.
    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.
    • Tipo de VPN: selecione o tipo de VPN especificado para a sua configuração. A maioria das configurações requerem um tipo de VPN baseado em rotas.
    • SKU: Selecione o gateway SKU que pretende utilizar a partir do dropdown. Os SKUs listados na lista pendente dependem do tipo de VPN que selecionar. Certifique-se de selecionar um SKU que suporte as funcionalidades que pretende utilizar. Para obter mais informações sobre os SKUs de gateway, veja SKUs de Gateway.
    • Geração: Selecione a geração que pretende utilizar. Para obter mais informações, veja SKUs de gateway.
    • Rede virtual: A partir do dropdown, selecione a rede virtual à qual pretende adicionar este gateway.
    • Intervalo de endereços de sub-rede gateway: Este campo só aparece se o seu VNet não tiver uma sub-rede de gateway. É melhor especificar /27 ou maior (/26,/25 etc.). Isto permite endereços IP suficientes para futuras alterações, como a adição de um gateway ExpressRoute. Não recomendamos a criação de um intervalo inferior ao de /28. Se já tem uma sub-rede gateway, pode ver os detalhes do GatewaySubnet navegando para a sua rede virtual. Clique em Subnetas para ver o alcance. Se quiser alterar o alcance, pode eliminar e recriar o GatewaySubnet.
  1. Especificar nos valores do endereço IP público. Estas definições especificam o objeto de endereço IP público que fica associado ao gateway VPN. O endereço IP público é dinamicamente atribuído a este objeto quando o gateway de VPN é criado. O endereço IP Público só é alterado quando o gateway é eliminado e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Screenshot do campo de endereços IP público.

    • Endereço IP público: Deixe criar novos selecionados.
    • Nome do endereço IP público: Na caixa de texto, escreva um nome para a sua instância de endereço IP público.
    • Atribuição: Gateway VPN suporta apenas Dynamic.
    • Ativar o modo ativo: Selecione Apenas active-active mode se estiver a criar uma configuração de gateway ativa ativa. Caso contrário, deixe esta definição Desativada.
    • Deixe o Configure BGP como desativado, a menos que a sua configuração exija especificamente esta definição. Se precisar desta definição, o ASN predefinido é 65515, apesar de isto poder ser alterado.
  2. Selecione Review + criar para executar validação.

  3. Assim que a validação passar, selecione Criar para implementar o gateway VPN.

Pode ver o estado de implantação na página 'Vista Geral' para o seu gateway. Um gateway pode demorar 45 minutos ou mais para criar e implantar totalmente. Uma vez criado o gateway, pode visualizar o endereço IP que lhe foi atribuído vendo a rede virtual no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o seu gateway de rede virtual (gateways VPN e Rota Expresso) deixe de funcionar como esperado. Para obter mais informações sobre grupos de segurança de rede, veja o que é um grupo de segurança de rede?

Criar e configurar vNet4

Depois de configurar o VNet1, crie o VNet4 e o gateway VNet4 repetindo os passos anteriores e substituindo os valores por valores VNet4. Não é preciso esperar até que a porta de entrada de rede virtual para o VNet1 tenha terminado de criar antes de configurar o VNet4. Se estiver a utilizar os seus próprios valores, certifique-se de que os espaços de endereço não se sobrepõem a nenhum dos VNets aos quais pretende ligar.

Configure a ligação de gateway VNet1

Quando os gateways de rede virtuais para VNet1 e VNet4 estiverem concluídos, pode criar as suas ligações de gateway de rede virtual. Nesta secção, vai criar uma ligação da VNet1 à VNet4. Estes passos só funcionam em VNets na mesma subscrição. Se os seus VNets estiverem em subscrições diferentes, deve utilizar o PowerShell para escoar a ligação. No entanto, se os seus VNets estiverem em diferentes grupos de recursos na mesma subscrição, pode conectá-los utilizando o portal.

  1. No portal Azure, selecione Todos os recursos, introduza o gateway de rede virtual na caixa de pesquisa e, em seguida, navegue para o portal de rede virtual para o seu VNet. Por exemplo, VNet1GW. Selecione o portal para abrir a página de gateway de rede Virtual.

  2. Na página gateway, aceda a Definições ->Connections. Em seguida, selecione +Adicionar.

    Screenshot mostrando a página de ligações.

  3. A página de ligação Add abre.

    Screenshot mostrando a página de ligação Adicionar.

    Na página de ligação Adicionar, preencha os valores para a sua ligação:

    • Nome: Introduza um nome para a sua ligação. Por exemplo, VNet1toVNet4.

    • Tipo de ligação: Selecione VNet-para-VNet a partir do drop-down.

    • Primeiro gateway de rede virtual: Este valor de campo é preenchido automaticamente porque está a criar esta ligação a partir do gateway de rede virtual especificado.

    • Segundo gateway de rede virtual: Este campo é o portal de rede virtual do VNet ao qual pretende criar uma ligação. Selecione Escolha outra porta de rede virtual para abrir a página de gateway de rede virtual Escolha.

      Screenshot mostra Escolha uma página de gateway de rede virtual com outro gateway selecionado.

      • Veja os gateways de rede virtual que se encontram listados nesta página. Tenha em atenção que estão listados apenas os gateways da rede virtual na sua subscrição. Se pretender ligar-se a um gateway de rede virtual que não esteja na sua subscrição, utilize o PowerShell.

      • Selecione a porta de entrada de rede virtual à qual pretende ligar.

    • Tecla partilhada (PSK): Neste campo, introduza uma chave partilhada para a sua ligação. Pode gerar ou criar esta chave de forma independente. Numa ligação site-to-site, a chave que utiliza é a mesma para o seu dispositivo no local e a sua ligação virtual gateway de rede. O conceito é semelhante aqui, exceto que em vez de se ligar a um dispositivo VPN, você está conectando-se a outro portal de rede virtual.

  4. Selecione OK para guardar as alterações.

Configure a ligação de gateway VNet4

Em seguida, crie uma ligação de VNet4 a VNet1. No portal, localize o portal de rede virtual associado ao VNet4. Siga os passos da secção anterior, substituindo os valores para criar uma ligação de VNet4 a VNet1. Certifique-se de que utiliza a mesma chave partilhada.

Verifique as suas ligações

  1. Localize o portal de rede virtual no portal Azure.

  2. Na página de gateway de rede Virtual, selecione Connections para ver a página Connections para o gateway de rede virtual. Após a ligação ser estabelecida, verá os valores de Estado mudarem para Connected.

    Screenshot mostrando a página 'Ligações' para verificar as ligações.

  3. Sob a coluna Nome, selecione uma das ligações para visualizar mais informações. Quando os dados começarem a fluir, verá os valores dos Dados dentro e dos dados.

    Screenshot mostra um grupo de recursos com valores para Data in e Data out

Adicionar ligações adicionais

Se pretender adicionar ligações adicionais, navegue para o gateway de rede virtual a partir do qual pretende criar a ligação e, em seguida, selecione Connections. Pode criar outra ligação VNet a VNet ou criar uma ligação Site a Site IPsec para uma localização no local. Certifique-se de que ajusta o Tipo de ligação de modo a corresponder ao tipo de ligação que quer criar. Antes de criar ligações adicionais, verifique se o espaço de endereço da sua rede virtual não se sobrepõe a nenhum dos espaços de endereço a que pretende ligar. Para obter os passos para criar uma ligação Site a Site, consulte Criar uma ligação Site a Site.

FAQ da ligação VNet a VNet

Veja os detalhes das FAQ para obter informações adicionais sobre ligações VNet a VNet.

O VNet-to-VNet FAQ aplica-se às ligações de gateway VPN. Para obter informações sobre o espremiamento da VNet, consulte a rede virtual a espreitar.

O Azure cobra o tráfego entre VNets?

O tráfego VNet-vNet dentro da mesma região é gratuito para ambas as direções quando utiliza uma ligação de gateway VPN. O tráfego de saída da VNet-to-VNet é cobrado com as taxas de transferência de dados inter-VNet de saída com base nas regiões de origem. Para obter mais informações, consulte a página de preços da VPN Gateway. Se estiver a ligar os seus VNets utilizando o espremiamento VNet em vez de uma porta de entrada VPN, consulte os preços da rede virtual.

O tráfego VNet-to-VNet viaja pela internet?

N.º O tráfego VNet-to-VNet atravessa a espinha dorsal do Microsoft Azure, não a internet.

Posso estabelecer uma ligação VNet-para-VNet através dos inquilinos do Azure Ative Directory (AAD)?

Sim, as ligações VNet-to-VNet que utilizam gateways Azure VPN funcionam em inquilinos da AAD.

O tráfego VNet a VNet é seguro?

Sim, está protegido pela encriptação IPsec/IKE.

Preciso de um dispositivo VPN para ligar VNets?

N.º A ligação de várias redes virtuais do Azure em conjunto não precisa de um dispositivo VPN, a menos que precise de conectividade em vários locais.

As minhas VNets precisam de estar na mesma região?

N.º As redes virtuais podem estar nas mesmas regiões ou em regiões (localizações) diferentes do Azure.

Se os VNets não estiverem na mesma subscrição, as subscrições precisam de ser associadas ao mesmo inquilino ative directory?

N.º

Posso utilizar VNet a VNet para ligar redes virtuais em instâncias do Azure separadas?

N.º A VNet a VNet suporta a ligação de redes virtuais na mesma instância do Azure. Por exemplo, não é possível criar uma ligação entre os casos globais do Azure e do governo chinês/alemão/americano Azure. Considere utilizar uma ligação VPN site-to-site para estes cenários.

Pode utilizar a VNet a VNet juntamente com ligações de vários locais?

Sim. A conectividade de rede virtual pode ser utilizada em simultâneo com VPNs de vários locais.

A quantos sites no local e redes virtuais pode uma rede virtual ligar?

Consulte a tabela de requisitos gateway.

Posso utilizar a VNet a VNet para ligar VMs ou serviços cloud fora de uma VNet?

N.º A VNet a VNet suporta a ligação de redes virtuais. Não suporta a ligação de máquinas virtuais ou serviços em nuvem que não estejam numa rede virtual.

Um serviço de nuvem ou um ponto final de equilíbrio de carga VNets?

N.º Um serviço de nuvem ou um ponto final de equilíbrio de carga não pode abranger redes virtuais, mesmo que estejam ligados entre si.

Posso utilizar um tipo VPN baseado em políticas para ligações VNet-to-VNet ou multi-site?

N.º As ligações VNet-to-VNet e Multi-Site requerem gateways VPN Azure com tipos de VPN RouteBased (anteriormente chamados de encaminhamento dinâmico).

Posso ligar uma VNet com um Tipo de VPN RouteBased a outra VNet com um tipo de VPN PolicyBased?

Não, ambas as redes virtuais DEVEM utilizar VPNs baseados em rotas (anteriormente chamados de encaminhamento dinâmico).

Os túneis VPN partilham a largura de banda?

Sim. Todos os túneis VPN da rede virtual partilham a largura de banda disponível no gateway de VPN do Azure e o mesmo SLA do tempo de atividade do gateway de VPN no Azure.

Os túneis redundantes são suportados?

Os túneis redundantes entre um par de redes virtuais são suportados quando um gateway de rede virtual está configurado como ativo-ativo.

Pode ter espaços de endereços sobrepostos para configurações de VNet a VNet?

N.º Não pode ter intervalos de endereços IP sobrepostos.

Pode existir uma sobreposição de espaços de endereços entre as redes virtuais ligadas e os sites locais no local?

N.º Não pode ter intervalos de endereços IP sobrepostos.

Passos seguintes