Руководство. Создание VPN-шлюза и управление ими с помощью портал Azure

  • Статья

В этом руководстве показано, как создать шлюз виртуальной сети (VPN-шлюз) и управлять ими с помощью портал Azure. VPN-шлюз — это лишь одна часть архитектуры подключения, помогая безопасно обращаться к ресурсам в виртуальной сети.

Схема с виртуальной сетью и VPN-шлюзом.

  • В левой части схемы показана виртуальная сеть и VPN-шлюз, создаваемый с помощью действий, описанных в этой статье.
  • Позже можно добавить различные типы подключений, как показано в правой части схемы. Например, можно создавать подключения типа "сеть — сеть" и "точка — сеть". Чтобы просмотреть различные архитектуры проектирования, которые можно создать, см . проект VPN-шлюза.

Дополнительные сведения о параметрах конфигурации, используемых в этом руководстве, см. в разделе Сведения о параметрах конфигурации VPN-шлюза. Дополнительные сведения о VPN-шлюз Azure см. в статье "Что такое Azure VPN-шлюз?".

В этом руководстве описано следующее:

  • Создайте виртуальную сеть.
  • Создайте VPN-шлюз.
  • Просмотр общедоступного IP-адреса шлюза.
  • Изменение размера VPN-шлюза (изменение размера SKU).
  • Сброс VPN-шлюза.

Необходимые компоненты

Вам потребуется учетная запись Azure с активной подпиской. Если у вас ее нет, создайте подписку бесплатно.

Создание виртуальной сети

Создайте виртуальную сеть с помощью следующих значений:

  • Группа ресурсов: TestRG1
  • Имя: VNet1
  • Регион: (США) Восточная часть США
  • Диапазон IPv4-адресов: 10.1.0.0/16.
  • Имя подсети: FrontEnd.
  • Диапазон адресов подсети: 10.1.0.0/24

  1. Войдите на портал Azure.

  2. В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .

  3. На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".

  4. На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке значений, которые вы вводите, отображается зеленая проверка. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.

    Снимок экрана с вкладкой

    • Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
    • Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
    • Имя. Введите имя виртуальной сети.
    • Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развернутые в этой виртуальной сети.

  5. Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.

  6. Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.

    • Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.

    • + Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.

      • Имя подсети: пример — FrontEnd.
      • Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.

  7. Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.

  8. Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.

  9. После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.

После создания виртуальной сети можно при необходимости настроить защиту от атак DDoS Azure. Защита проста в использовании для любой новой или имеющейся виртуальной сети и не требует изменений приложений или ресурсов. Дополнительные сведения о защите от атак DDoS Azure см. в статье "Что такое защита от атак DDoS Azure?".

Создание подсети шлюза

Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети. Укажите подсеть шлюза, которая имеет значение /27 или больше.

  1. На странице виртуальной сети на левой панели выберите подсети, чтобы открыть страницу подсетей.
  2. В верхней части страницы выберите +Подсеть шлюза, чтобы открыть панель "Добавить подсеть".
  3. Имя автоматически вводится как GatewaySubnet. При необходимости настройте значение диапазона IP-адресов. Пример : 10.1.255.0/27.
  4. Не настраивайте другие значения на странице. Нажмите кнопку "Сохранить " в нижней части страницы, чтобы сохранить подсеть.

Создание VPN-шлюза

На этом шаге вы создадите шлюз виртуальной сети (VPN-шлюз) для виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.

Создайте шлюз виртуальной сети с помощью следующих значений:

  • Имя: Vnet1GW
  • Регион: восточная часть США.
  • Тип шлюза: VPN
  • SKU: VpnGw2
  • Поколение. Поколение 2
  • Виртуальная сеть: VNet1
  • Диапазон адресов подсети шлюза: 10.1.255.0/27
  • Общедоступный IP-адрес: выберите вариант "Создать новый"
  • Имя общедоступного IP-адреса: VNet1GWpip.

В этом упражнении вы не выберете номер SKU, избыточный между зонами. Если вы хотите узнать об избыточном между зонами номераХ SKU, см. сведения о шлюзах виртуальной сети, избыточных между зонами. Кроме того, эти действия не предназначены для настройки активного шлюза. Дополнительные сведения см. в разделе "Настройка шлюзов active-active".

  1. В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".

  2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

    Снимок экрана: поля экземпляра.

    • Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.

    • Группа ресурсов. Этот параметр автоматически заполняется при выборе виртуальной сети на этой странице.

    • Имя. Назовите свой шлюз. Именование шлюза не совпадает с именованием подсети шлюза. Это имя объекта шлюза, который вы создаете.

    • Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.

    • Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.

    • Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать. См . номера SKU шлюза. На портале номера SKU, доступные в раскрывающемся списке, зависят от выбранного VPN type . Базовый номер SKU можно настроить только с помощью Azure CLI или PowerShell. Вы не можете настроить номер SKU "Базовый" в портал Azure.

    • Поколение. Выберите поколение, которое необходимо использовать. Рекомендуется использовать номер SKU поколения 2. Дополнительные сведения см. в разделе о номерах SKU шлюзов.

    • Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, для которой вы хотите создать шлюз, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.

    • Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.

      В настоящее время это поле может отображать различные параметры в зависимости от адресного пространства виртуальной сети и того, создали ли вы подсеть с именем GatewaySubnet для виртуальной сети.

      Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.

  1. Укажите значения общедоступного IP-адреса. Эти параметры задают объект общедоступного IP-адреса, который связывается с VPN-шлюзом. Общедоступный IP-адрес назначается этому объекту при создании VPN-шлюза. Единственное время изменения основного общедоступного IP-адреса — при удалении и повторном создании шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

    Снимок экрана: поле

    • Тип общедоступного IP-адреса: если вы видите этот параметр, выберите "Стандартный". Номер SKU общедоступного IP-адреса уровня "Базовый" поддерживается только для VPN-шлюзов SKU уровня "Базовый".
    • Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
    • Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
    • Номер SKU общедоступного IP-адреса: параметр выбирается автоматически.
    • Назначение: назначение обычно выбирается автоматически. Для номера SKU уровня "Стандартный" назначение всегда является статическим.
    • Включение активно-активного режима: выберите "Отключено". Включите этот параметр только в том случае, если вы создаете конфигурацию шлюза active-active.
    • Настройка BGP: выберите "Отключено", если для настройки не требуется этот параметр. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.

  2. Выберите Просмотр и создание, чтобы выполнить проверку.

  3. После прохождения проверки нажмите кнопку "Создать ", чтобы развернуть VPN-шлюз.

Полное создание и развертывание шлюза может занять 45 минут или более. Состояние развертывания можно просмотреть на странице обзора шлюза. После создания шлюза можно просмотреть IP-адрес, назначенный ему, просмотрев виртуальную сеть на портале. Шлюз будет отображаться как подключенное устройство.

Внимание

При работе с подсетями шлюза избегайте связывания группы безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

Просмотр общедоступного IP-адреса

Общедоступный IP-адрес шлюза можно просмотреть на странице Обзор для шлюза. Общедоступный IP-адрес используется при настройке подключения типа "сеть — сеть" к VPN-шлюзу.

Снимок экрана: страница обзора, используемая для просмотра поля общедоступного IP-адреса.

Чтобы просмотреть дополнительные сведения об объекте общедоступного IP-адреса, выберите ссылку "Имя/IP-адрес" рядом с общедоступным IP-адресом.

Изменение размера SKU шлюза

Существуют определенные правила изменения размера и изменения номера SKU шлюза. В этом разделе описано изменение размера номера SKU. Дополнительные сведения см. в разделе "Изменение размера" или изменение номеров SKU шлюза.

  1. Откройте страницу Конфигурация для шлюза виртуальной сети.

  2. В правой части страницы щелкните стрелку раскрывающегося списка, чтобы отобразить список доступных номеров SKU.

    Обратите внимание, что список заполняет только номера SKU, которые можно использовать для изменения размера текущего номера SKU. Если вы не видите номер SKU, который вы хотите использовать, вместо изменения размера, необходимо изменить его на новый номер SKU.

    Снимок экрана: изменение размера шлюза.

  3. Выберите номер SKU из раскрывающегося списка.

Сброс параметров шлюза

  1. На портале перейдите к шлюзу виртуальной сети, который нужно сбросить.
  2. На странице шлюза виртуальной сети в левой области прокрутите вниз до сброса.
  3. На странице сброса выберите элемент Сброс. После выдачи команды текущий активный экземпляр Azure VPN-шлюз немедленно перезагружается. Сброс шлюза приводит к разрыву VPN-подключения и может ограничить будущий анализ первопричин проблемы.

Очистка ресурсов

Если вы не собираетесь продолжать использовать это приложение или перейти к следующему руководству, удалите эти ресурсы.

  1. Введите имя группы ресурсов в поле Поиск в верхней части портала и выберите ее в результатах поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В поле TYPE THE RESOURCE GROUP NAME (ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ) введите имя и выберите Удалить.

Следующие шаги

После создания VPN-шлюза можно настроить дополнительные параметры и подключения шлюза. В следующих статьях показано, как создать несколько наиболее распространенных конфигураций:

VPN-подключения типа "сеть — сеть"

VPN-подключения типа "точка — сеть"