Подключение локальной сети к виртуальной сети Microsoft AzureConnect an on-premises network to a Microsoft Azure virtual network

Сводка. Узнайте, как настроить распределенную виртуальную сеть Azure для рабочих нагрузок Office Server.Summary: Learn how to configure a cross-premises Azure virtual network for Office server workloads.

Виртуальная сеть Azure подключается к вашей локальной сети, расширяя ее за счет подсетей и виртуальных машин, размещенных в службах инфраструктуры Azure. Это подключение обеспечивает компьютерам локальной сети прямой доступ к виртуальным машинам Azure, и наоборот.A cross-premises Azure virtual network is connected to your on-premises network, extending your network to include subnets and virtual machines hosted in Azure infrastructure services. This connection allows computers on your on-premises network to directly access virtual machines in Azure and vice versa.

Например, серверу синхронизации каталогов, запущенному на виртуальной машине Azure, необходимо запросить у локальных контроллеров домена информацию об изменениях учетных записей и синхронизировать эти изменения с вашей подпиской на Office 365. В этой статье описано, как настроить распределенную виртуальную сеть Azure, использующую VPN-подключение типа "сеть-сеть" и готовую к размещению виртуальных машин Azure.For example, a directory synchronization server running on an Azure virtual machine needs to query your on-premises domain controllers for changes to accounts and synchronize those changes with your Office 365 subscription. This article shows you how to set up a cross-premises Azure virtual network using a site-to-site virtual private network (VPN) connection that is ready to host Azure virtual machines.

ОбзорOverview

Виртуальные машины в Azure не должны быть изолированы от локальной среды. Чтобы подключить виртуальные машины Azure к локальным сетевым ресурсам, необходимо настроить виртуальную сеть Azure. На схеме ниже показаны компоненты, необходимые для развертывания виртуальной сети Azure с виртуальной машиной в Azure.Your virtual machines in Azure don't have to be isolated from your on-premises environment. To connect Azure virtual machines to your on-premises network resources, you must configure a cross-premises Azure virtual network. The following diagram shows the required components to deploy a cross-premises Azure virtual network with a virtual machine in Azure.

Локальная сеть, подключенная к Microsoft Azure с помощью VPN-подключения типа "сеть-сеть"

На схеме показано VPN-подключение типа "сеть-сеть", установленное между локальной сетью и виртуальной сетью Azure. VPN-подключение типа "сеть-сеть":In the diagram, there are two networks connected by a site-to-site VPN connection: the on-premises network and the Azure virtual network. The site-to-site VPN connection is:

  • установлено между двумя конечными точками, имеющими адрес в общедоступной сети Интернет.Between two endpoints that are addressable and located on the public Internet.
  • Прерывается VPN-устройством в локальной сети и VPN-шлюзом в виртуальной сети Azure.Terminated by a VPN device on the on-premises network and an Azure VPN gateway on the Azure virtual network.

Виртуальная сеть Azure используется для размещения виртуальных машин. Исходящий сетевой трафик виртуальных машин сперва направляется в VPN-шлюз, который затем перенаправляет сетевой трафик через VPN-подключение типа "сеть-сеть" на VPN-устройство в локальной сети. Затем инфраструктура маршрутизации локальной сети перенаправляет трафик по назначению.The Azure virtual network hosts virtual machines. Network traffic originating from virtual machines on the Azure virtual network gets forwarded to the VPN gateway, which then forwards the traffic across the site-to-site VPN connection to the VPN device on the on-premises network. The routing infrastructure of the on-premises network then forwards the traffic to its destination.

Примечание

Вы также можете использовать ExpressRoute (прямое подключение между вашей организацией и сетью Майкрософт). Данные, передаваемые через ExpressRoute, не попадают в Интернет. В этой статье нет инструкций по использованию ExpressRoute.You can also use ExpressRoute, which is a direct connection between your organization and Microsoft's network. Traffic over ExpressRoute does not travel over the public Internet. This article does not describe the use of ExpressRoute.

Чтобы настроить VPN-подключение между виртуальной сетью Azure и локальной сетью, выполните следующие действия:To set up the VPN connection between your Azure virtual network and your on-premises network, do the following steps:

  1. Локальная сеть. Определите и создайте локальный сетевой маршрут для адресного пространства виртуальной сети Azure, который указывает на локальное VPN-устройство.On-premises: Define and create an on-premises network route for the address space of the Azure virtual network that points to your on-premises VPN device.

  2. Microsoft Azure. Создайте виртуальную сеть Azure с VPN-подключением типа "сеть-сеть".Microsoft Azure: Create an Azure virtual network with a site-to-site VPN connection.

  3. Локальная сеть. Настройте аппаратное или программное локальное VPN-устройство для прерывания VPN-подключения, которое использует IPsec.On premises: Configure your on-premises hardware or software VPN device to terminate the VPN connection, which uses Internet Protocol security (IPsec).

После установки VPN-подключения типа "сеть-сеть" добавьте виртуальные машины Azure в подсети виртуальной сети.After you establish the site-to-site VPN connection, you add Azure virtual machines to the subnets of the virtual network.

Планирование виртуальной сети AzurePlan your Azure virtual network

Необходимые компонентыPrerequisites

  • Подписка на Azure. Сведения о подписках на Azure см. на странице Как приобрести Azure.An Azure subscription. For information about Azure subscriptions, go to the How To Buy Azure page.

  • Доступное частное пространство IPv4-адресов, которое необходимо назначить виртуальной сети и ее подсетям, с достаточным количеством адресов с учетом возможного расширения.An available private IPv4 address space to assign to the virtual network and its subnets, with sufficient room for growth to accommodate the number of virtual machines needed now and in the future.

  • Доступное VPN-устройство в локальной сети для прерывания VPN-подключения типа "сеть-сеть", которое поддерживает требования для IPsec. Дополнительные сведения см. в статье О VPN-устройствах для подключений VPN-шлюзов типа "сеть-сеть".An available VPN device in your on-premises network to terminate the site-to-site VPN connection that supports the requirements for IPsec. For more information, see About VPN devices for site-to-site virtual network connections.

  • Изменение инфраструктуры маршрутизации для перенаправления трафика, поступающего в адресное пространство виртуальной сети Azure, на VPN-устройство, которое принимает VPN-подключение типа "сеть-сеть".Changes to your routing infrastructure so that traffic routed to the address space of the Azure virtual network gets forwarded to the VPN device that hosts the site-to-site VPN connection.

  • Веб-прокси, который предоставляет доступ в Интернет компьютерам, подключенным к локальной сети и виртуальной сети Azure.A web proxy that gives computers that are connected to the on-premises network and the Azure virtual network access to the Internet.

Допущения по архитектуре решенияSolution architecture design assumptions

Ниже перечислены проектные решения для этой архитектуры.The following list represents the design choices that have been made for this solution architecture.

  • Это решение использует одну виртуальную сеть Azure с VPN-подключением типа "сеть-сеть". В виртуальной сети Azure размещается одна подсеть, которая может содержать несколько виртуальных машин.This solution uses a single Azure virtual network with a site-to-site VPN connection. The Azure virtual network hosts a single subnet that can contain multiple virtual machines.

  • Вы можете использовать службу RRAS в Windows Server 2016 или Windows Server 2012, чтобы установить VPN-подключение типа "сеть-сеть" с защитой IPsec между локальной сетью и виртуальной сетью Azure. Вы также можете использовать другие VPN-устройства, например Cisco или Juniper Networks.You can use the Routing and Remote Access Service (RRAS) in Windows Server 2016 or Windows Server 2012 to establish an IPsec site-to-site VPN connection between the on-premises network and the Azure virtual network. You can also use other options, such as Cisco or Juniper Networks VPN devices.

  • В локальной сети по-прежнему могут размещаться сетевые службы, такие как Windows Server Active Directory (AD), служба доменных имен (DNS), и прокси-серверы. В зависимости от ваших требований, некоторые из этих сетевых ресурсов может быть удобнее разместить в виртуальной сети Azure.The on-premises network might still have network services like Windows Server Active Directory (AD), Domain Name System (DNS), and proxy servers. Depending on your requirements, it might be beneficial to place some of these network resources in the Azure virtual network.

Для существующей виртуальной сети Azure с одной или несколькими подсетями определите, осталось ли адресное пространство для дополнительной подсети и размещения необходимых виртуальных машин, учитывая ваши требования. Если адресного пространства для дополнительной подсети не осталось, создайте дополнительную виртуальную сеть с собственным VPN-подключением типа "сеть-сеть".For an existing Azure virtual network with one or more subnets, determine whether there is remaining address space for an additional subnet to host your needed virtual machines, based on your requirements. If you don't have remaining address space for an additional subnet, create an additional virtual network that has its own site-to-site VPN connection.

Планирование изменения инфраструктуры маршрутизации для виртуальной сети AzurePlan the routing infrastructure changes for the Azure virtual network

Локальную инфраструктуру маршрутизации необходимо настроить так, чтобы трафик, поступающий в пространство адресов виртуальной сети Azure, направлялся в локальное VPN-устройство с VPN-подключением типа "сеть-сеть".You must configure your on-premises routing infrastructure to forward traffic destined for the address space of the Azure virtual network to the on-premises VPN device that is hosting the site-to-site VPN connection.

Конкретный метод обновления инфраструктуры маршрутизации зависит от того, как выполняется управление сведениями о маршрутизации, например:The exact method of updating your routing infrastructure depends on how you manage routing information, which can be:

  • таблица маршрутизации обновляется в соответствии с ручной настройкой;Routing table updates based on manual configuration.

  • таблица маршрутизации обновляется в соответствии с протоколами маршрутизации, например RIP или OSPF.Routing table updates based on routing protocols, such as Routing Information Protocol (RIP) or Open Shortest Path First (OSPF).

Проконсультируйтесь со своим специалистом по маршрутизации, чтобы убедиться, что трафик, предназначенный для виртуальной сети Azure, перенаправляется на локальное VPN-устройство.Consult with your routing specialist to make sure that traffic destined for the Azure virtual network is forwarded to the on-premises VPN device.

Планирование правил брандмауэра для входящего и исходящего трафика на локальном VPN-устройствеPlan for firewall rules for traffic to and from the on-premises VPN device

Если VPN-устройство размещается в сети периметра, которая соединяется с Интернетом через брандмауэр, рекомендуем настроить на брандмауэре перечисленные ниже правила, чтобы сделать возможным VPN-подключение типа "сеть-сеть".If your VPN device is on a perimeter network that has a firewall between the perimeter network and the Internet, you might have to configure the firewall for the following rules to allow the site-to-site VPN connection.

  • Трафик к VPN-устройству (входящий):Traffic to the VPN device (incoming from the Internet):

    • Конечный IP-адрес VPN-устройства и протокол IP 50Destination IP address of the VPN device and IP protocol 50

    • Конечный IP-адрес VPN-устройства и конечный порт UDP 500Destination IP address of the VPN device and UDP destination port 500

    • Конечный IP-адрес VPN-устройства и конечный порт UDP 4500Destination IP address of the VPN device and UDP destination port 4500

  • Трафик с VPN-устройства (исходящий):Traffic from the VPN device (outgoing to the Internet):

    • Исходный IP-адрес VPN-устройства и протокол IP 50Source IP address of the VPN device and IP protocol 50

    • Исходный IP-адрес VPN-устройства и исходный порт UDP 500Source IP address of the VPN device and UDP source port 500

    • Исходный IP-адрес VPN-устройства и исходный порт UDP 4500Source IP address of the VPN device and UDP source port 4500

Планирование пространства частных IP-адресов виртуальной сети AzurePlan for the private IP address space of the Azure virtual network

Пространство частных IP-адресов виртуальной сети Azure должно иметь достаточный размер для адресов, используемых платформой Azure для размещения виртуальной сети как минимум с одной подсетью, в которой достаточно адресов для размещения виртуальных машин Azure.The private IP address space of the Azure virtual network must be able to accommodate addresses used by Azure to host the virtual network and with at least one subnet that has enough addresses for your Azure virtual machines.

Чтобы определить необходимое количество адресов для подсети, посчитайте количество виртуальных машин, необходимых на данный момент, оцените потенциал роста и определите размер подсети, пользуясь следующей таблицей.To determine the number of addresses needed for the subnet, count the number of virtual machines that you need now, estimate for future growth, and then use the following table to determine the size of the subnet.

Необходимое количество виртуальных машинNumber of virtual machines needed Необходимое количество бит узлаNumber of host bits needed Размер подсетиSize of the subnet
1–31-3
33
/29/29
4–114-11
44
/28/28
12–2712-27
55
/27/27
28–5928-59
66
/26/26
60–12360-123
77
/25/25

Таблица планирования настройки виртуальной сети AzurePlanning worksheet for configuring your Azure virtual network

Прежде чем создавать виртуальную сеть Azure для размещения виртуальных машин, необходимо определить нужные параметры в следующих таблицах.Before you create an Azure virtual network to host virtual machines, you must determine the settings needed in the following tables.

Чтобы задать параметры виртуальной сети, заполните таблицу V.For the settings of the virtual network, fill in Table V.

Таблица V. Настройка распределенной виртуальной сетиTable V: Cross-premises virtual network configuration

ЭлементItem Элемент ConfigurationConfiguration element ОписаниеDescription ЗначениеValue
1.1.
Имя виртуальной сетиVirtual network name
Имя, назначаемое виртуальной сети Azure (например, DirSyncNet).A name to assign to the Azure virtual network (example DirSyncNet).
2.2.
Расположение виртуальной сетиVirtual network location
Центр обработки данных Azure, в котором будет расположена виртуальная сеть (например, Запад США).The Azure datacenter that will contain the virtual network (such as West US).

3.3.
IP-адрес VPN-устройстваVPN device IP address
Общедоступный IPv4-адрес интерфейса VPN-устройства в Интернете. Попросите ИТ-отдел определить этот адрес.The public IPv4 address of your VPN device's interface on the Internet. Work with your IT department to determine this address.

4.4.
Адресное пространство виртуальной сетиVirtual network address space
Адресное пространство (определенное в одном префиксе личного адреса) для виртуальной сети. Определите это адресное пространство при поддержке ИТ-отдела. Оно должно быть представлено в формате CIDR, также известном как формат префикса сети. Пример: 10.24.64.0/20.The address space (defined in a single private address prefix) for the virtual network. Work with your IT department to determine this address space. The address space should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.

5.5.
Общий ключ IPsecIPsec shared key
32-значный случайный буквенно-цифровой ключ, который будет использоваться для проверки подлинности обеих сторон VPN-подключения. Определите значение этого ключа при поддержке ИТ-отдела, а затем сохраните его в надежном месте. Вы также можете ознакомиться со статьей Создание случайной строки для предварительного ключа IPsec.A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Work with your IT or security department to determine this key value and then store it in a secure location. Alternately, see Create a random string for an IPsec preshared key.

Укажите подсети этого решения в таблице S.Fill in Table S for the subnets of this solution.

  • Для первой подсети определите 28-битовое адресное пространство (с длиной префикса /28) подсети шлюза Azure. Сведения о том, как определить это адресное пространство, см. в статье Расчет адресного пространства подсетей шлюза для виртуальных сетей Azure.For the first subnet, determine a 28-bit address space (with a /28 prefix length) for the Azure gateway subnet. See Calculating the gateway subnet address space for Azure virtual networks for information about how to determine this address space.

  • Для второй подсети укажите понятное имя, одно пространство IP-адресов на основе адресного пространства виртуальной сети.For the second subnet, specify a friendly name, a single IP address space based on the virtual network address space, and a descriptive purpose.

Определите эти адресные пространства из адресного пространства виртуальной сети при поддержке ИТ-отдела. Оба адресных пространства должны быть представлены в формате CIDR.Work with your IT department to determine these address spaces from the virtual network address space. Both address spaces should be in CIDR format.

Таблица S. Подсети виртуальной сетиTable S: Subnets in the virtual network

ЭлементItem Имя подсетиSubnet name Адресное пространство подсетиSubnet address space НазначениеPurpose
1.1.
GatewaySubnetGatewaySubnet

Подсеть, используемая шлюзом Azure.The subnet used by the Azure gateway.
2.2.



Для локальных DNS-серверов, используемых виртуальными машинами в виртуальной сети, заполните таблицу D. Присвойте каждому DNS-серверу понятное имя и один IP-адрес. Это понятное имя необязательно должно совпадать с именем узла или именем компьютера на DNS-сервере. Обратите внимание, что представлено два пустых поля, но вы можете добавить еще. Определите этот список при поддержке ИТ-отдела.For the on-premises DNS servers that you want the virtual machines in the virtual network to use, fill in Table D. Give each DNS server a friendly name and a single IP address. This friendly name does not need to match the host name or computer name of the DNS server. Note that two blank entries are listed, but you can add more. Work with your IT department to determine this list.

Таблица D. Локальные DNS-сервераTable D: On-premises DNS servers

ЭлементItem Понятное имя DNS-сервераDNS server friendly name IP-адрес DNS-сервераDNS server IP address
1.1.


2.2.


Чтобы отправлять пакеты из виртуальной сети Azure в сеть организации с помощью VPN-подключения типа "сеть-сеть", необходимо настроить виртуальную сеть с локальной сетью. Эта локальная сеть содержит список адресных пространств (в формате CIDR) для всех расположений в локальной сети организации, которые должны быть доступны виртуальным машинам в виртуальной сети. Это могут быть все расположения в локальной сети или подсети. Список адресных пространств, которые определяют локальную сеть, должен быть уникален и не должен пересекаться с адресными пространствами, используемыми для этой или других виртуальных сетей.To route packets from the Azure virtual network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network. This local network contains a list of the address spaces (in CIDR format) for all of the locations on your organization's on-premises network that the virtual machines in the virtual network must reach. This can be all of the locations on the on-premises network or a subset. The list of address spaces that define your local network must be unique and must not overlap with the address spaces used for this virtual network or your other cross-premises virtual networks.

Укажите список адресных пространств локальной сети в таблице L. Обратите внимание, что представлено три пустых поля, но обычно требуется больше. Определите этот список при поддержке ИТ-отдела.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list.

Таблица L. Префиксы адресов для локальной сетиTable L: Address prefixes for the local network

ЭлементItem Адресное пространство локальной сетиLocal network address space
1.1.

2.2.

3.3.

План развертыванияDeployment roadmap

Создание виртуальной сети и добавление виртуальных машин в Azure состоит из трех этапов:Creating the cross-premises virtual network and adding virtual machines in Azure consists of three phases:

  • Этап 1. Подготовка локальной сети.Phase 1: Prepare your on-premises network.

  • Этап 2. Создание виртуальной сети в Azure.Phase 2: Create the cross-premises virtual network in Azure.

  • Этап 3 (необязательный). Добавление виртуальных машин.Phase 3 (Optional): Add virtual machines.

Этап 1. Подготовка локальной сетиPhase 1: Prepare your on-premises network

В локальной сети необходимо настроить маршрут, который указывает на маршрутизатор на границе локальной сети и направляет на него трафик, предназначенный для адресного пространства виртуальной сети. Обратитесь к администратору сети, чтобы определить, как добавить маршрут в инфраструктуру локальной сети.You must configure your on-premises network with a route that points to and ultimately delivers traffic destined for the address space of the virtual network to the router on the edge of the on-premises network. Consult with your network administrator to determine how to add the route to the routing infrastructure of your on-premises network.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Локальная сеть должна иметь маршрут для адресного пространства виртуальной сети, указывающий на VPN-устройство.

Этап 2. Создание распределенной виртуальной сети в AzurePhase 2: Create the cross-premises virtual network in Azure

Сначала откройте командную строку Azure PowerShell. Если вы еще не установили Azure PowerShell, просмотрите статью Начало работы с командлетами Azure PowerShell.First, open an Azure PowerShell prompt. If you have not installed Azure PowerShell, see Get started with Azure PowerShell cmdlets.

Примечание

Эти команды предназначены для Azure PowerShell 1.0 и более поздних версий. Скачать текстовый файл, который содержит все команды PowerShell, указанные в этой статье, можно здесь.These commands are for Azure PowerShell 1.0 and above. For a text file that contains all the PowerShell commands in this article, click here.

Затем войдите в свою учетную запись Azure с помощью следующей команды.Next, login to your Azure account with this command.

Login-AzureRMAccount

Получите имя подписки с помощью следующей команды.Get your subscription name using the following command.

Get-AzureRMSubscription | Sort SubscriptionName | Select SubscriptionName

Задайте свою подписку Azure с помощью этих команд. Замените весь текст в кавычках, в том числе символы "<" и ">", правильными именами подписок.Set your Azure subscription with these commands. Replace everything within the quotes, including the < and > characters, with the correct subscription name.

$subscrName="<subscription name>"
Select-AzureRMSubscription -SubscriptionName $subscrName -Current

Затем создайте группу ресурсов для виртуальной сети. Чтобы определить уникальное имя группы ресурсов, используйте следующую команду для вывода списка имеющихся групп ресурсов.Next, create a new resource group for your virtual network. To determine a unique resource group name, use this command to list your existing resource groups.

Get-AzureRMResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Создайте группу ресурсов с помощью следующих команд.Create your new resource group with these commands.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName

Виртуальным машинам на основе диспетчера ресурсов требуется соответствующая учетная запись хранения. Для учетной записи хранения необходимо выбрать глобально уникальное имя, которое содержит только буквы нижнего регистра и цифры. Чтобы вывести на экран список имеющихся учетных записей хранения, можно использовать следующую команду.Resource Manager-based virtual machines require a Resource Manager-based storage account. You must pick a globally unique name for your storage account that contains only lowercase letters and numbers. You can use this command to list the existing storage accounts.

Get-AzureRMStorageAccount | Sort Name | Select Name

Чтобы проверить, уникально ли предложенное имя учетной записи хранения, воспользуйтесь приведенной ниже командой.Use this command to test whether a proposed storage account name is unique.

Get-AzureRmStorageAccountNameAvailability "<proposed name>"

Чтобы создать учетную запись хранения, выполните следующие команды.To create a new storage account, run these commands.

$rgName="<your new resource group name>"
$locName="<the location of your new resource group>"
$saName="<unique storage account name>"
New-AzureRMStorageAccount -Name $saName -ResourceGroupName $rgName -Type Standard_LRS -Location $locName

Затем необходимо создать виртуальную сеть Azure.Next, you create the Azure virtual network.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzureRmResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzureRmVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzureRMVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzureRMNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzureRMNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzureRMVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Виртуальная сеть пока не подключена к локальной.

Затем используйте следующие команды, чтобы создать шлюзы для VPN-подключения типа "сеть-сеть".Next, use these commands to create the gateways for the site-to-site VPN connection.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzureRMVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzureRMVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzureRMLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzureRMVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Для виртуальной сети теперь настроен шлюз.

Затем настройте локальное VPN-устройство для подключения к VPN-шлюзу Azure. Дополнительные сведения см. в статье О VPN-устройствах для подключений VPN-шлюзов типа "сеть-сеть".Next, configure your on-premises VPN device to connect to the Azure VPN gateway. For more information, see About VPN Devices for site-to-site Azure Virtual Network connections.

Чтобы настроить VPN-устройство, вам потребуется следующее:To configure your VPN device, you will need the following:

  • Общедоступный IPv4-адрес VPN-шлюза Azure для виртуальной сети. Чтобы вывести этот адрес на экран, используйте команду Get-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName.The public IPv4 address of the Azure VPN gateway for your virtual network. Use the Get-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName command to display this address.

  • Общий ключ IPsec для VPN-подключения типа "сеть-сеть" (таблица V, элемент 5, столбец "Значение").The IPsec pre-shared key for the site-to-site VPN connection (Table V- Item 5 - Value column).

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Теперь виртуальная сеть подключена к локальной.

Этап 3 (необязательный). Добавление виртуальных машинPhase 3 (Optional): Add virtual machines

Создайте необходимые виртуальные машины в Azure. Дополнительные сведения см. в статье Создание виртуальной машины Windows с помощью портала Azure.Create the virtual machines you need in Azure. For more information, see Create a Windows virtual machine with the Azure portal.

Используйте следующие параметры:Use the following settings:

  • В области Основные выберите ту же подписку и группу ресурсов, что и в виртуальной сети. Запишите имя пользователя и пароль в надежном месте. Они потребуются позже для входа на виртуальной машине.On the Basics pane, select the same subscription and resource group as your virtual network. Record the user name and password in a secure location. You will need these later to sign in to the virtual machine.

  • В области Размер выберите подходящий размер.On the Size pane, choose the appropriate size.

  • В области Параметры в разделе Хранилище выберите тип хранилища Стандартный и учетную запись хранения, настроенную для вашей виртуальной сети. В разделе Сеть выберите имя виртуальной сети и подсеть для размещения виртуальных машин (не GatewaySubnet). Для всех остальных параметров оставьте значения по умолчанию.On the Settings pane, in the Storage section, select the Standard storage type and the storage account set up with your virtual network. In the Network section, select the name of your virtual network and the subnet for hosting virtual machines (not the GatewaySubnet). Leave all other settings at their default values.

Проверьте внутренний DNS, чтобы убедиться, что виртуальная машина правильно использует DNS и для виртуальной машины добавлены адресные записи (A). Чтобы предоставить виртуальным машинам Azure доступ к Интернету, их необходимо настроить на использование прокси-сервера локальной сети. Обратитесь к администратору сети за дополнительными инструкциями по настройке сервера.Verify that your virtual machine is using DNS correctly by checking your internal DNS to ensure that Address (A) records were added for you new virtual machine. To access the Internet, your Azure virtual machines must be configured to use your on-premises network's proxy server. Contact your network administrator for additional configuration steps to perform on the server.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

В виртуальной сети теперь размещены виртуальные машины, доступные из локальной сети.

Следующий шагNext step

Развертывание синхронизации каталогов Office 365 в Microsoft AzureDeploy Office 365 Directory Synchronization in Microsoft Azure