Configurar uma conexão de gateway VPN VNet-to-VNet - Portal do Azure

  • Artigo

Este artigo ajuda você a conectar redes virtuais (VNets) usando o tipo de conexão VNet-to-VNet usando o portal do Azure. As redes virtuais podem estar em diferentes regiões e a partir de diferentes assinaturas. Quando você conecta redes virtuais de assinaturas diferentes, as assinaturas não precisam ser associadas ao mesmo locatário. Esse tipo de configuração cria uma conexão entre dois gateways de rede virtual. Este artigo não se aplica ao emparelhamento de VNet. Para emparelhamento de rede virtual, consulte o artigo Emparelhamento de rede virtual.

VNet to VNet diagram.

Você pode criar essa configuração usando várias ferramentas, dependendo do modelo de implantação da sua rede virtual. As etapas neste artigo se aplicam ao modelo de implantação do Azure Resource Manager e ao portal do Azure. Para alternar para um modelo de implantação ou artigo de método de implantação diferente, use a lista suspensa.

Sobre a ligação de VNets

As seções a seguir descrevem as diferentes maneiras de conectar redes virtuais.

VNet a VNet

Configurar uma conexão VNet-to-VNet é uma maneira simples de conectar VNets. Quando você conecta uma rede virtual a outra rede virtual com um tipo de conexão VNet-to-VNet (VNet2VNet), é semelhante à criação de uma conexão IPsec Site a Site para um local local. Ambos os tipos de conexão usam um gateway VPN para fornecer um túnel seguro com IPsec/IKE e funcionam da mesma maneira ao se comunicar. No entanto, eles diferem na maneira como o gateway de rede local é configurado.

Quando você cria uma conexão VNet-to-VNet, o espaço de endereço do gateway de rede local é criado e preenchido automaticamente. Se você atualizar o espaço de endereço para uma VNet, a outra VNet roteia automaticamente para o espaço de endereço atualizado. Normalmente, é mais rápido e fácil criar uma conexão VNet-to-VNet do que uma conexão Site-to-Site. No entanto, o gateway de rede local não é visível nessa configuração.

  • Se você souber que deseja especificar mais espaços de endereço para o gateway de rede local ou planeja adicionar mais conexões mais tarde e precisa ajustar o gateway de rede local, crie a configuração usando as etapas Site a Site.
  • A conexão VNet-to-VNet não inclui espaço de endereço do pool de clientes Ponto a Site. Se você precisar de roteamento transitivo para clientes Ponto a Site, crie uma conexão Site a Site entre os gateways de rede virtual ou use o emparelhamento VNet.

Site a Site (IPsec)

Se você estiver trabalhando com uma configuração de rede complicada, talvez prefira conectar suas redes virtuais usando uma conexão Site a Site. Ao seguir as etapas de IPsec Site a Site, você cria e configura os gateways de rede local manualmente. O gateway de rede local para cada VNet trata a outra VNet como um site local. Essas etapas permitem especificar mais espaços de endereço para o gateway de rede local rotear o tráfego. Se o espaço de endereço de uma rede virtual for alterado, você deverá atualizar manualmente o gateway de rede local correspondente.

VNet peering

Você também pode conectar suas redes virtuais usando o emparelhamento de redes virtuais.

Porquê criar uma ligação VNet a VNet?

Talvez você queira conectar redes virtuais usando uma conexão VNet-to-VNet pelos seguintes motivos:

Geopresença e georredundância entre várias regiões

  • Você pode configurar sua própria replicação geográfica ou sincronização com conectividade segura sem passar por pontos de extremidade voltados para a Internet.
  • Com o Azure Traffic Manager e o Azure Load Balancer, pode configurar uma carga de trabalho altamente disponível com redundância geográfica em várias regiões do Azure. Por exemplo, você pode configurar grupos de disponibilidade Always On do SQL Server em várias regiões do Azure.

Aplicativos regionais multicamadas com isolamento ou limites administrativos

  • Dentro da mesma região, você pode configurar aplicativos de várias camadas com várias redes virtuais conectadas devido a requisitos administrativos ou de isolamento.

A comunicação VNet a VNet pode ser combinada com configurações multilocal. Essas configurações permitem estabelecer topologias de rede que combinam conectividade entre locais com conectividade de rede intervirtual, conforme mostrado no diagrama a seguir:

VNet connections diagram.

Este artigo mostra como conectar redes virtuais usando o tipo de conexão VNet-to-VNet. Ao seguir estas etapas como um exercício, você pode usar os seguintes valores de configurações de exemplo. No exemplo, as redes virtuais estão na mesma subscrição, mas em grupos de recursos diferentes. Se a suas VNets estiverem em diferentes subscrições, não pode criar a ligação no portal. Em vez disso, use o PowerShell ou a CLI . Para obter mais informações sobre conexões VNet-to-VNet, consulte Perguntas frequentes sobre VNet-to-VNet.

Definições de exemplo

Valores para VNet1:

  • Configurações de rede virtual

    • Nome: VNet1
    • Espaço de endereço: 10.1.0.0/16
    • Subscrição: selecione a subscrição que pretende utilizar.
    • Grupo de recursos: TestRG1
    • Localização: E.U.A. Leste
    • Sub-rede
      • Designação: FrontEnd
      • Intervalo de endereços: 10.1.0.0/24

  • Configurações de gateway de rede virtual

    • Designação: VNet1GW
    • Grupo de recursos: Leste dos EUA
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo de VPN: Selecione Baseado em rota.
    • Referência: VpnGw2
    • Geração: Geração2
    • Rede virtual: VNet1
    • Intervalo de endereços de sub-rede do gateway: 10.1.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet1GWpip
    • Ativar modo ativo-ativo: Desativado
    • Configurar BGP: Desativado

  • Ligação

    • Designação: VNet1toVNet4
    • Chave compartilhada: você mesmo pode criar a chave compartilhada. Quando você cria a conexão entre as redes virtuais, os valores devem corresponder. Para este exercício, use abc123.

Valores para VNet4:

  • Configurações de rede virtual

    • Designação: VNet4
    • Espaço de endereço: 10.41.0.0/16
    • Subscrição: selecione a subscrição que pretende utilizar.
    • Grupo de recursos: TestRG4
    • Localização: West US
    • Sub-rede
    • Designação: FrontEnd
    • Intervalo de endereços: 10.41.0.0/24

  • Configurações de gateway de rede virtual

    • Designação: VNet4GW
    • Grupo de recursos: Oeste dos EUA
    • Geração: Geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo de VPN: Selecione Baseado em rota.
    • Referência: VpnGw2
    • Geração: Geração2
    • Rede virtual: VNet4
    • Intervalo de endereços de sub-rede do gateway: 10.41.255.0/27
    • Endereço IP público: Criar novo
    • Nome do endereço IP público: VNet4GWpip
    • Ativar modo ativo-ativo: Desativado
    • Configurar BGP: Desativado

  • Ligação

    • Designação: VNet4toVNet1
    • Chave compartilhada: você mesmo pode criar a chave compartilhada. Quando você cria a conexão entre as redes virtuais, os valores devem corresponder. Para este exercício, use abc123.

Criar e configurar VNet1

Se já tiver uma VNet, certifique-se de que as definições são compatíveis com a conceção do seu gateway de VPN. Preste especial atenção a quaisquer sub-redes que possam sobrepor-se a outras redes. Sua conexão não funcionará corretamente se você tiver sub-redes sobrepostas.

Para criar uma rede virtual

Nota

Ao usar uma rede virtual como parte de uma arquitetura entre locais, certifique-se de coordenar com o administrador de rede local para criar um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego será encaminhado de forma inesperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor à outra rede virtual. Planeje sua configuração de rede de acordo.

  1. Inicie sessão no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Screenshot that shows the Basics tab.

    • Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo . Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da rede virtual.
    • Região: Selecione o local para sua rede virtual. O local determina onde os recursos que você implanta nessa rede virtual irão viver.

  5. Selecione Avançar ou Segurança para ir para a guia Segurança. Para este exercício, deixe os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP para ir para a guia Endereços IP. Na guia Endereços IP, defina as configurações.

    • Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: Um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.

  7. Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.

  8. Selecione Rever + criar para validar as definições de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Criar o gateway VNet1

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Para obter os preços de SKU do gateway, consulte Preços. Se você estiver criando essa configuração como um exercício, consulte as Configurações de exemplo.

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. O número de endereços IP necessários depende da configuração do gateway VPN que pretende criar. Algumas configurações requerem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25, etc.) para sua sub-rede de gateway.

Se vir um erro que especifique que o espaço de endereço se sobrepõe a uma sub-rede ou que a sub-rede não está contida no espaço de endereço da sua rede virtual, verifique o intervalo de endereços da rede virtual. Poderá não ter endereços IP suficientes disponíveis no intervalo de endereços que criou para a sua rede virtual. Por exemplo, se a sua sub-rede padrão englobar todo o intervalo de endereços, não há endereços IP restantes para criar mais sub-redes. Você pode ajustar suas sub-redes dentro do espaço de endereço existente para liberar endereços IP ou especificar outro intervalo de endereços e criar a sub-rede do gateway lá.

Para criar um gateway de rede virtual

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

    Screenshot that shows the Search field.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Screenshot that shows the Instance fields.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.

    • Nome: dê um nome ao gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que você está criando.

    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.

    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.

    • SKU: Na lista suspensa, selecione o SKU de gateway que suporta os recursos que você deseja usar. Consulte SKUs de gateway. No portal, as SKUs disponíveis na lista suspensa dependem da VPN type sua seleção. A SKU Básica só pode ser configurada usando a CLI do Azure ou o PowerShell. Não é possível configurar a SKU Básica no portal do Azure.

    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.

    • Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual para a qual pretende criar um gateway, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.

    • Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.

      No momento, esse campo tem alguns comportamentos diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores para Endereço IP público. Essas configurações especificam o objeto de endereço IP público que fica associado ao gateway de VPN. O endereço IP público é atribuído a este objeto quando o gateway VPN é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Screenshot that shows the Public IP address field.

    • Tipo de endereço IP público: para este exercício, se você tiver a opção de escolher o tipo de endereço, selecione Padrão.
    • Endereço IP público: Deixe Criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: A atribuição é normalmente selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Ativar modo ativo-ativo: Selecione Desativado. Habilite essa configuração somente se estiver criando uma configuração de gateway ativo-ativo.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

  2. Selecione Rever + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o gateway de VPN.

Você pode ver o status da implantação na página Visão geral do seu gateway. Um gateway pode levar 45 minutos ou mais para ser totalmente criado e implantado. Uma vez criado o gateway, pode visualizar o endereço IP que lhe foi atribuído vendo a rede virtual no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um NSG (grupo de segurança de rede) à sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.

Criar e configurar a VNet4

Depois de configurar a VNet1, crie a VNet4 e o gateway VNet4 repetindo as etapas anteriores e substituindo os valores por valores VNet4. Você não precisa esperar até que o gateway de rede virtual para VNet1 tenha terminado de criar antes de configurar a VNet4. Se estiver a utilizar os seus próprios valores, certifique-se de que os espaços de endereço não se sobrepõem a nenhuma das redes virtuais às quais pretende ligar.

Configure suas conexões

Quando os gateways VPN para VNet1 e VNet4 estiverem concluídos, você poderá criar suas conexões de gateway de rede virtual.

As redes virtuais na mesma assinatura podem ser conectadas usando o portal, mesmo que estejam em grupos de recursos diferentes. No entanto, se suas redes virtuais estiverem em assinaturas diferentes, você deverá usar o PowerShell para fazer as conexões.

Você pode criar uma conexão bidirecional ou de direção única. Para este exercício, especificaremos uma conexão bidirecional. O valor de conexão bidirecional cria duas conexões separadas para que o tráfego possa fluir em ambas as direções.

  1. No portal, vá para VNet1GW.

  2. Na página gateway de rede virtual, vá para Conexões. Selecione +Adicionar.

    Screenshot showing the connections page.

  3. Na página Criar conexão, preencha os valores de conexão.

    Screenshot showing the Create Connection page.

    • Tipo de conexão: Selecione VNet-to-VNet na lista suspensa.
    • Estabelecer conectividade bidirecional: selecione este valor
    • Nome da primeira conexão: VNet1-to-VNet4
    • Segundo nome de conexão: VNet4-to-VNet1
    • Região: Leste dos EUA (a região para VNet1GW)

  4. Clique em Avançar : Configurações na parte inferior da página para avançar para a página Configurações>.

  5. Na página Configurações, especifique os seguintes valores:

    • Primeiro gateway de rede virtual: selecione VNet1GW na lista suspensa.
    • Segundo gateway de rede virtual: selecione VNet4GW na lista suspensa.
    • Chave partilhada (PSK): Neste campo, introduza uma chave partilhada para a sua ligação. Pode gerar ou criar esta chave de forma independente. Em uma conexão site a site, a chave usada é a mesma para o dispositivo local e a conexão do gateway de rede virtual. O conceito é semelhante aqui, exceto que, em vez de se conectar a um dispositivo VPN, você está se conectando a outro gateway de rede virtual.
    • Protocolo IKE: IKEv2

  6. Para este exercício, você pode deixar o restante das configurações como seus valores padrão.

  7. Selecione Rever + criar e, em seguida, Criar para validar e criar as suas ligações.

Verificar as suas ligações

  1. Localize o gateway de rede virtual no portal do Azure. Por exemplo, VNet1GW

  2. Na página Gateway de rede virtual, selecione Conexões para exibir a página Conexões do gateway de rede virtual. Depois que a conexão for estabelecida, você verá os valores de Status serem alterados para Conectado.

    Screenshot connection status.

  3. Na coluna Nome, selecione uma das conexões para exibir mais informações. Quando os dados começarem a fluir, você verá valores para Data in e Data out.

    Screenshot shows a resource group with values for Data in and Data out.

Adicionar mais conexões

Se quiser adicionar mais conexões, navegue até o gateway de rede virtual a partir do qual deseja criar a conexão e selecione Conexões. Pode criar outra ligação VNet a VNet ou criar uma ligação Site a Site IPsec para uma localização no local. Certifique-se de que ajusta o Tipo de ligação de modo a corresponder ao tipo de ligação que quer criar. Antes de criar mais conexões, verifique se o espaço de endereço da sua rede virtual não se sobrepõe a nenhum dos espaços de endereço aos quais você deseja se conectar. Para obter os passos para criar uma ligação Site a Site, consulte Criar uma ligação Site a Site.

FAQ da ligação VNet a VNet

Consulte as Perguntas frequentes sobre o Gateway de VPN para perguntas frequentes sobre VNet-to-VNet.

Próximos passos

  • Para obter informações sobre como limitar o tráfego de rede a recursos em uma rede virtual, consulte Segurança de rede.

  • Para obter informações sobre a forma como o Azure encaminha o tráfego entre os recursos do Azure, do local e da Internet veja Encaminhamento de tráfego da rede virtual.