Настройка подключения VPN-шлюза между виртуальными сетями — портал Azure

Эта статья поможет установить подключение "виртуальная сеть — виртуальная сеть" между виртуальными сетями с использованием портала Azure. Виртуальные сети могут быть из разных подписок и в разных регионах. При подключении виртуальных сетей из разных подписок подписки не нужно связываться с тем же клиентом. Такая конфигурация создает подключение между двумя виртуальными сетевыми шлюзами. Эта статья не относится к пирингу между виртуальными сетями. Информацию о пиринге между виртуальными сетями Microsoft Azure см. в статье Пиринг между виртуальными сетями.

Эту конфигурацию можно создать с помощью различных инструментов в зависимости от модели развертывания виртуальной сети. Приведенные в этой статье инструкции относятся к модели развертывания с помощью Azure Resource Manager и порталу Azure. Чтобы перейти на другую модель развертывания или другой способ развертывания, воспользуйтесь раскрывающимся меню.

• Портал Azure
• PowerShell
• Azure CLI

Сведения о подключении виртуальных сетей

В следующих разделах описаны различные способы подключения виртуальных сетей.

Подключение типа "виртуальная сеть — виртуальная сеть"

Чтобы легко подключать виртуальные сети, рекомендуем настроить подключение "виртуальная сеть — виртуальная сеть". Когда вы подключаете виртуальную сеть к другой виртуальной сети с помощью подключения "виртуальная сеть — виртуальная сеть", это похоже на создание подключения IPsec "сеть —сеть" к локальному расположению. В обоих типах соединений применяется VPN-шлюз для создания защищенного туннеля, использующего IPsec/IKE. При обмене данными оба типа подключений работают одинаково. Тем не менее они отличаются способом настройки шлюза локальной сети.

При создании подключения "виртуальная сеть — виртуальная сеть" диапазон адресов для шлюза локальной сети автоматически создается и распространяется. Если вы обновите диапазон адресов для одной виртуальной сети, другая виртуальная сеть автоматически определит маршрут к обновленному диапазону адресов. Как правило, намного проще и быстрее создать подключение "виртуальная сеть — виртуальная сеть", чем подключение "сеть — сеть". Однако в этой конфигурации локальный сетевой шлюз не отображается.

• Если вы знаете, хотите указать дополнительные адресные пространства для шлюза локальной сети или запланировать добавление дополнительных подключений позже и настроить шлюз локальной сети, необходимо создать конфигурацию с помощью шагов "сеть — сеть".
• Подключение "виртуальная сеть — виртуальная сеть" не включает адресное пространство клиента "точка — сеть". Если вам нужна маршрутизация для клиентов "точка – сеть", создайте подключение "сеть – сеть" между виртуальными сетевыми шлюзами или воспользуйтесь пирингом между виртуальными сетями.

Подключение "сеть — сеть" (IPsec)

Если вы работаете с сложной конфигурацией сети, вы можете вместо этого подключить виртуальные сети с помощью подключения типа "сеть — сеть". Используя подключение "сеть — сеть" (IPsec), вы вручную создаете и настраиваете локальные сетевые шлюзы. Шлюз локальной сети для каждой виртуальной сети воспринимает другую виртуальную сеть как локальный сайт. Эти действия позволяют указать дополнительные адресные пространства для шлюза локальной сети для маршрутизации трафика. Если диапазон адресов для виртуальной сети изменится, вам потребуется вручную обновить соответствующий шлюз локальной сети.

Пиринговая связь между виртуальными сетями

Вы также можете подключить виртуальные сети с помощью пиринга виртуальной сети.

• При пиринге виртуальных сетей не используется VPN-шлюз и применяются другие ограничения.
• Цены на пиринг между виртуальными сетями рассчитываются не так, как цены на VPN-шлюз "виртуальная сеть — виртуальная сеть".
• Подробнее о пиринге между виртуальными сетями см. в статье Пиринг между виртуальными сетями Microsoft Azure.

Зачем создавать подключение "виртуальная сеть — виртуальная сеть"?

Вы можете подключить виртуальные сети с помощью подключения виртуальной сети к виртуальной сети по следующим причинам:

Межрегиональная географическая избыточность и географическое присутствие

• Вы можете настроить собственную георепликацию или синхронизацию с безопасной возможностью подключения без прохождения трафика через конечные точки с выходом в Интернет.
• С помощью Azure Load Balancer и диспетчера трафика Azure можно настроить высокодоступную рабочую нагрузку с геоизбыточностью в нескольких регионах Azure. Например, можно настроить группы доступности Always On SQL Server в нескольких регионах Azure.

Региональные многоуровневые приложения с изоляцией или административными границами

• В одном регионе можно настроить многоуровневые приложения с несколькими виртуальными сетями, которые связаны друг с другом из-за требований к изоляции или административных требований.

Подключение типа "виртуальная сеть — виртуальная сеть" можно комбинировать с многосайтовыми конфигурациями. Эти конфигурации позволяют устанавливать сетевые топологии, которые объединяют межсайтовые подключения с подключением между виртуальными сетями, как показано на следующей схеме:

В этой статье объясняется, как подключить виртуальные сети, используя тип соединения "виртуальная сеть — виртуальная сеть". При выполнении этих шагов в качестве упражнения можно использовать следующие примеры значений параметров. В нашем примере виртуальные сети находятся в одной подписке, но в разных группах ресурсов. Если виртуальные сети связаны с разными подписками, вам не удастся создать подключение на портале. Используйте PowerShell или интерфейс уровня вызова в качестве альтернативы. Дополнительные сведения о подключениях типа "виртуальная сеть — виртуальная сеть" см. в разделе Часто задаваемые вопросы о подключениях типа "виртуальная сеть — виртуальная сеть".

Примеры параметров

Значения для VNet1:

• Параметры виртуальной сети

  • Имя: VNet1
  • Диапазон адресов: 10.1.0.0/16
  • Подписка: выбор подписки, которая будет использоваться.
  • Группа ресурсов: TestRG1
  • Расположение: восточная часть США.
  • Подсеть
    • Имя: FrontEnd.
    • Диапазон адресов: 10.1.0.0/24

• Параметры шлюза виртуальной сети

  • Имя: Vnet1GW
  • Группа ресурсов: восточная часть США.
  • Поколение. Поколение 2
  • Тип шлюза. Выберите VPN.
  • Тип VPN. Выберите На основе маршрута.
  • SKU: VpnGw2
  • Поколение: Generation2
  • Виртуальная сеть: VNet1
  • Диапазон адресов подсети шлюза: 10.1.255.0/27
  • Общедоступный IP-адрес: выберите вариант "Создать новый"
  • Имя общедоступного IP-адреса: VNet1GWpip.
  • Включить режим "активный — активный": выключено
  • Настройка BGP: выключено

• Соединение

  • Имя: VNet1toVNet4.
  • Общий ключ. Вы можете создать его самостоятельно. При создании подключения между виртуальными сетями значения должны совпадать. Для этого примера введите abc123.

Значения для VNet4:

• Параметры виртуальной сети

  • Имя: VNet4.
  • Диапазон адресов: 10.41.0.0/16.
  • Подписка: выбор подписки, которая будет использоваться.
  • Группа ресурсов: TestRG4.
  • Расположение: западная часть США.
  • Подсеть
  • Имя: FrontEnd.
  • Диапазон адресов: 10.41.0.0/24.

• Параметры шлюза виртуальной сети

  • Имя: VNet4GW.
  • Группа ресурсов: западная часть США.
  • Поколение. Поколение 2
  • Тип шлюза. Выберите VPN.
  • Тип VPN. Выберите На основе маршрута.
  • SKU: VpnGw2
  • Поколение: Generation2
  • Виртуальная сеть: VNet4.
  • Диапазон адресов подсети шлюза: 10.41.255.0/27.
  • Общедоступный IP-адрес: выберите вариант "Создать новый"
  • Имя общедоступного IP-адреса: VNet4GWpip.
  • Включить режим "активный — активный": выключено
  • Настройка BGP: выключено

• Соединение

  • Имя: VNet4toVNet1.
  • Общий ключ. Вы можете создать его самостоятельно. При создании подключения между виртуальными сетями значения должны совпадать. Для этого примера введите abc123.

Создание и настройка VNet1

Если у вас уже есть виртуальная сеть, проверьте совместимость параметров со структурой VPN-шлюза. Обратите особое внимание на любые подсети, которые могут перекрываться с другими сетями. Подключение не будет работать правильно при наличии перекрытых подсетей.

Создание виртуальной сети

Примечание.

При использовании виртуальной сети в рамках кросс-локальной архитектуры обязательно обратитесь к локальному администратору сети, чтобы определить диапазон IP-адресов, который можно использовать специально для этой виртуальной сети. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик будет маршрутизироваться неправильно. Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не может перекрываться с другой виртуальной сетью. Спланируйте конфигурацию сети соответствующим образом.

1. Войдите на портал Azure.

2. В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .

3. На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".

4. На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке значений, которые вы вводите, отображается зеленая проверка. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.

   

   • Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
   • Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
   • Имя. Введите имя виртуальной сети.
   • Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут работать ресурсы, развернутые в этой виртуальной сети.

5. Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.

6. Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.

   • Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.

   • + Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.

     • Имя подсети: пример — FrontEnd.
     • Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.

7. Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.

8. Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.

9. После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.

Создание шлюза VNet1

На этом шаге вы создадите шлюз для своей виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Цены на номер SKU шлюза см. в разделе "Цены". Если вы создаете эту конфигурацию в качестве упражнения, можно использовать пример параметров.

Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Лучше всего указать /27 или больше (/26, /25 и т. д.) для подсети шлюза.

Если отображается сообщение об ошибке, указывающее, что адресное пространство перекрывается подсетью или что подсеть не содержится в адресном пространстве виртуальной сети, проверка диапазон адресов виртуальной сети. Возможно, у вас недостаточно IP-адресов, доступных в диапазоне адресов, созданном для виртуальной сети. Например, если подсеть по умолчанию охватывает весь диапазон адресов, для создания дополнительных подсетей нет IP-адресов. Вы можете настроить подсети в существующем адресном пространстве, чтобы освободить IP-адреса или указать другой диапазон адресов и создать там подсеть шлюза.

Создание шлюза виртуальной сети

1. В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".

   

2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

   

   • Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.

   • Группа ресурсов. Этот параметр автоматически заполняется при выборе виртуальной сети на этой странице.

   • Имя. Назовите свой шлюз. Именование шлюза не совпадает с именованием подсети шлюза. Это имя объекта шлюза, который вы создаете.

   • Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.

   • Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.

   • Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать. См . номера SKU шлюза. На портале номера SKU, доступные в раскрывающемся списке, зависят от выбранного VPN type . Базовый номер SKU можно настроить только с помощью Azure CLI или PowerShell. Вы не можете настроить номер SKU "Базовый" в портал Azure.

   • Поколение. Выберите поколение, которое необходимо использовать. Рекомендуется использовать номер SKU поколения 2. Дополнительные сведения см. в разделе о номерах SKU шлюзов.

   • Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, для которой вы хотите создать шлюз, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.

   • Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.

     В настоящее время это поле имеет несколько различных действий в зависимости от адресного пространства виртуальной сети и того, создали ли вы подсеть с именем GatewaySubnet для виртуальной сети.

     Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.

3. Укажите значения общедоступного IP-адреса. Эти параметры задают объект общедоступного IP-адреса, который связывается с VPN-шлюзом. Общедоступный IP-адрес назначается этому объекту при создании VPN-шлюза. Единственное время изменения основного общедоступного IP-адреса — при удалении и повторном создании шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

   

   • Тип общедоступного IP-адреса. Если у вас есть возможность выбрать тип адреса, выберите "Стандартный".
   • Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
   • Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
   • Номер SKU общедоступного IP-адреса: параметр выбирается автоматически.
   • Назначение: назначение обычно выбирается автоматически и может быть динамическим или статическим.
   • Включение активно-активного режима: выберите "Отключено". Включите этот параметр только в том случае, если вы создаете конфигурацию шлюза active-active.
   • Настройка BGP: выберите "Отключено", если для настройки не требуется этот параметр. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.

4. Выберите Просмотр и создание, чтобы выполнить проверку.

5. После прохождения проверки нажмите кнопку "Создать ", чтобы развернуть VPN-шлюз.

Состояние развертывания можно отслеживать на странице обзора шлюза. Полное создание и развертывание шлюза может занять 45 минут или более. После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале. Шлюз будет отображаться как подключенное устройство.

Важно!

При работе с подсетями шлюза избегайте связывания группы безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

Создание и настройка VNet4

Завершив создание VNet1, создайте VNet4 и шлюз VNet4. Для этого повторите все описанные действия с новыми значениями, предложенными для VNet4. Настройку VNet4 можно начинать до завершения создания шлюза виртуальной сети для VNet1. При использовании собственных значений убедитесь, что адресные пространства не перекрываются с другими виртуальными сетями, к которым нужно подключиться.

Настройка подключений

Когда VPN-шлюзы для виртуальной сети 1 и VNet4 завершены, можно создать подключения шлюза виртуальной сети.

Виртуальные сети в одной подписке можно подключить с помощью портала, даже если они находятся в разных группах ресурсов. Если виртуальные сети связаны с разными подписками, для подключения необходимо использовать PowerShell.

Можно создать двунаправленное или однонаправленное соединение. В этом упражнении мы укажем двунаправленное соединение. Значение двунаправленного подключения создает два отдельных соединения, чтобы трафик можно было передавать в обоих направлениях.

1. На портале перейдите к VNet1GW.

2. На странице "Шлюз виртуальной сети" щелкните Подключения. Щелкните +Добавить.

   

3. На странице "Создание подключения" введите значения подключения.

   

   • Тип подключения. Выберите значение Виртуальная сеть — виртуальная сеть из раскрывающегося списка.
   • Установка двунаправленного подключения: выберите это значение.
   • Имя первого подключения: VNet1-to-VNet4
   • Второе имя подключения: VNet4-to-VNet1
   • Регион: восточная часть США (регион для VNet1GW)

4. Нажмите кнопку Далее: Параметры > в нижней части страницы, чтобы перейти на страницу Параметры.

5. На странице Параметры укажите следующие значения:

   • Первый шлюз виртуальной сети: выберите VNet1GW из раскрывающегося списка.
   • Второй шлюз виртуальной сети: выберите VNet4GW из раскрывающегося списка.
   • Общий ключ (PSK). В этом поле введите общий ключ для подключения. Этот ключ можно сгенерировать или создать самостоятельно. В подключении типа "сеть — сеть" один и тот же ключ используется и для локального устройства, и для подключения шлюза виртуальной сети. То же самое и здесь, но вместо подключения к VPN-устройству выполняется подключение к другому шлюзу виртуальной сети.
   • Протокол IKE: IKEv2

6. В этом упражнении можно оставить остальные параметры в качестве значений по умолчанию.

7. Выберите "Просмотр и создание" и "Создать", чтобы проверить и создать подключения.

Проверка подключений

1. Найдите шлюз виртуальной сети на портале Azure. Например, VNet1GW

2. На странице шлюза виртуальной сети выберите Подключения, чтобы просмотреть страницу Подключения для шлюза виртуальной сети. Когда подключение будет установлено, значение параметра Состояние изменится на Подключено.

   

3. В столбце Имя выберите любое подключение, чтобы получить больше информации о нем. Когда начнется передача данных, появятся значения для параметров Входящие данные и Исходящие данные.

   

Добавление дополнительных подключений

Если вы хотите добавить дополнительные подключения, перейдите к шлюзу виртуальной сети, из которого требуется создать подключение, а затем выберите Подключение. Вы можете создать другое подключение "виртуальная сеть — виртуальная сеть" или подключение "сеть — сеть" (IPsec) к локальному расположению. Укажите тип подключения в соответствии с типом создаваемого подключения. Прежде чем создавать дополнительные подключения, убедитесь, что адресное пространство виртуальной сети не перекрывается ни с какими адресными пространствами, к которым вы хотите подключиться. Инструкции по созданию подключения "сеть — сеть" см. в статье Создание подключения типа "сеть — сеть" на портале Azure.

Часто задаваемые вопросы о подключениях типа "виртуальная сеть — виртуальная сеть"

Дополнительные сведения о подключение "виртуальная сеть — виртуальная сеть" см. в часто задаваемых вопросах о виртуальной сети.

Следующие шаги

• Сведения об ограничении сетевого трафика к ресурсам в виртуальной сети см. в статье Безопасность сети.

• Сведения о том, как Azure маршрутизирует трафик между средой Azure, локальной средой и интернет-ресурсами, см. в статье Маршрутизация трафика в виртуальной сети.