Ansluta Azure Stack Hub till Azure via VPN

  • Artikel
  • 10 minuter för att läsa

Den här artikeln beskriver hur du skapar ett plats-till-plats-VPN för att ansluta ett virtuellt nätverk i Azure Stack Hub till ett virtuellt nätverk i Azure.

Innan du börjar

Kontrollera att du har följande innan du börjar för att slutföra anslutningskonfigurationen:

  • En Azure Stack Hub systemdistribution (flera noder) som är direkt ansluten till Internet. Ditt externa offentliga IP-adressintervall måste kunna nås direkt från det offentliga Internet.
  • En giltig Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt Azure-konto här.

Diagram över VPN-anslutning

Följande bild visar hur anslutningskonfigurationen ska se ut när du är klar:

Konfiguration av plats-till-plats-VPN-anslutning

Exempelvärden för nätverkskonfiguration

Tabellen med exempel på nätverkskonfiguration visar de värden som används för exempel i den här artikeln. Du kan använda dessa värden eller referera till dem för att bättre förstå exemplen i den här artikeln:

Värde Azure Stack Hub Azure
Virtuellt nätverksnamn Azs-VNet AzureVNet
Det virtuella nätverkets adressutrymme 10.1.0.0/16 10.100.0.0/16
Namn på undernät FrontEnd FrontEnd
Adressintervall för undernätet 10.1.0.0/24 10.100.0.0/24
Gatewayundernät 10.1.1.0/24 10.100.1.0/24

Skapa nätverksresurserna i Azure

Skapa först nätverksresurserna för Azure. Följande anvisningar visar hur du skapar resurserna med hjälp av Azure Portal.

Skapa det virtuella nätverket och det virtuella datorundernätet

  1. Logga in på Azure Portal med ditt Azure-konto.
  2. I användarportalen väljer du + Skapa en resurs.
  3. Gå till Marketplaceoch välj sedan Nätverk.
  4. Välj Virtuellt nätverk.
  5. Använd informationen från nätverkskonfigurationstabellen för att identifiera värdena för Azure Name, Address space, Subnet nameoch Subnet address range.
  6. För Resursgruppskapar du en ny resursgrupp eller, om du redan har en, väljer du Använd befintlig.
  7. Välj plats för ditt VNet. Om du använder exempelvärdena väljer du USA, östra eller använder en annan plats.
  8. Välj fäst till instrumentpanelen.
  9. Välj Skapa.

Skapa gateway-undernätet

  1. Öppna den virtuella nätverksresurs som du skapade (AzureVNet) från instrumentpanelen.

  2. I Inställningar väljer du Undernät.

  3. Välj Gateway-undernät för att lägga till ett gateway-undernät i det virtuella nätverket.

  4. Namnet på undernätet ställs in på GatewaySubnet som standard.

    Viktigt

    Gatewayundernät är speciella och måste ha det här specifika namnet för att fungera ordentligt.

  5. I fältet Adressintervall kontrollerar du att adressen är 10.100.1.0/24.

  6. Välj OK för att skapa gateway-undernätet.

Skapa den virtuella nätverksgatewayen

  1. I Azure-portalen väljer du + Skapa en resurs.
  2. Gå till Marketplaceoch välj sedan Nätverk.
  3. I listan över nätverksresurser väljer du Virtuell nätverksgateway.
  4. I fältet Namn skriver du Azure-GW.
  5. Välj Virtuellt nätverk om du vill välja ett virtuellt nätverk. Välj sedan AzureVnet i listan.
  6. Välj Offentlig IP-adress. När avsnittet Välj offentlig IP-adress öppnas väljer du Skapa ny.
  7. I fältet Namn skriver du Azure-GW-PiPoch väljer sedan OK.
  8. Verifiera att Prenumeration och Plats stämmer. Du kan fästa resursen på instrumentpanelen. Välj Skapa.

Skapa resursen för den lokala nätverksgatewayen

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Nätverk.

  3. I listan över resurser väljer du Lokal nätverksgateway.

  4. I fältet Namn skriver du Azs-GW.

  5. I fältet IP-adress anger du den offentliga IP-adressen för din Azure Stack Hub Virtual Network Gateway som visas tidigare i nätverkskonfigurationstabellen.

  6. I fältet Adressutrymme från Azure Stack Hub skriver du adressutrymmet 10.1.0.0/24 och 10.1.1.0/24 för AzureVNet.

  7. Kontrollera att din prenumeration,resursgruppoch plats är korrekta och välj sedan Skapa.

Skapa anslutningen

  1. I användarportalen väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Nätverk.

  3. I listan över resurser väljer du Anslutning.

  4. I avsnittet Grundläggande inställningar för Anslutningstyp väljer duPlats-till-plats (IPSec).

  5. Välj Prenumeration,Resursgruppoch Platsoch välj sedan OK.

  6. I avsnittet Inställningar väljer du Virtuell nätverksgatewayoch sedan Azure-GW.

  7. Välj Lokal nätverksgatewayoch sedan Azs-GW.

  8. I Anslutningsnamnskriver du Azure-Azs.

  9. I Delad nyckel (PSK)skriver du 12345och väljer sedan OK.

    Anteckning

    Om du använder ett annat värde för den delade nyckeln måste du komma ihåg att det måste matcha värdet för den delade nyckeln som du skapar i den andra änden av anslutningen.

  10. Granska avsnittet Sammanfattning och välj sedan OK.

Skapa en anpassad IPSec-princip

En anpassad IPSec-princip krävs för att Azure ska matcha Azure Stack Hub.

  1. Skapa en anpassad princip:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Tillämpa principen på anslutningen:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Skapa en virtuell dator

Skapa nu en virtuell dator i Azure och placera den i undernätet för den virtuella datorn i ditt virtuella nätverk.

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Beräkna.

  3. I listan över VM-avbildningar väljer du Windows Server 2016 Datacenter Eval- avbildning.

  4. I avsnittet Grundläggande skriver du AzureVMför Namn.

  5. Ange ett giltigt användarnamn och lösenord. Du använder det här kontot för att logga in på den virtuella datorn när den har skapats.

  6. Ange prenumeration,resursgruppoch platsoch välj sedan OK.

  7. I avsnittet Storlek väljer du en VM-storlek för den här instansen och väljer sedan Välj.

  8. I Inställningar kan du använda standardinställningarna. Innan du väljer OKbekräftar du att:

    • Det virtuella AzureVnet-nätverket har valts.
    • Undernätet är inställt på 10.100.0.0/24.

    Välj OK.

  9. Granska inställningarna i avsnittet Sammanfattning och välj sedan OK.

Skapa nätverksresurserna i Azure Stack Hub

Skapa sedan nätverksresurserna i Azure Stack Hub.

Logga in som användare

En tjänstadministratör kan logga in som användare för att testa planer, erbjudanden och prenumerationer som användarna kan använda. Om du inte redan har ett konto kan du skapa ett innan du loggar in.

Skapa det virtuella nätverket och ett VM-undernät

  1. Använd ett användarkonto för att logga in på användarportalen.

  2. I användarportalen väljer du + Skapa en resurs.

    Skapa ett nytt virtuellt nätverk

  3. Gå till Marketplaceoch välj sedan Nätverk.

  4. Välj Virtuellt nätverk.

  5. För Namn,Adressutrymme,Undernätsnamnoch Adressintervall förundernät använder du värdena från nätverkskonfigurationstabellen.

  6. I Prenumerationvisas den prenumeration som du skapade tidigare.

  7. För Resursgruppkan du antingen skapa en resursgrupp eller välja Använd befintlig om du redan har en.

  8. Verifiera den förvalda platsen.

  9. Välj fäst till instrumentpanelen.

  10. Välj Skapa.

Skapa gateway-undernätet

  1. Öppna den virtuella nätverksresursen Azs-VNet som du skapade på instrumentpanelen.

  2. I Inställningar väljer du Undernät.

  3. Om du vill lägga till ett gateway-undernät i det virtuella nätverket väljer du Gateway-undernät.

    Lägga till gateway-undernät

  4. Undernätsnamnet är som standard inställt på GatewaySubnet. För att gateway-undernät ska fungera korrekt måste de använda GatewaySubnet-namnet.

  5. I Adressintervallkontrollerar du att adressen är 10.1.1.0/24.

  6. Välj OK för att skapa gateway-undernätet.

Skapa den virtuella nätverksgatewayen

  1. I Azure Stack Hub väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Nätverk.

  3. I listan över nätverksresurser väljer du Virtuell nätverksgateway.

  4. I Namnskriver du Azs-GW.

  5. Välj det virtuella nätverksobjektet för att välja ett virtuellt nätverk. Välj Azs-VNet i listan.

  6. Välj menyalternativet Offentlig IP-adress. När avsnittet Välj offentlig IP-adress öppnas väljer du Skapa ny.

  7. I Namnskriver du Azs-GW-PiPoch väljer sedan OK.

  8. Som standard är Ruttbaserad valt för VPN-typen. Behåll den ruttbaserade VPN-typen.

  9. Verifiera att Prenumeration och Plats stämmer. Du kan fästa resursen på instrumentpanelen. Välj Skapa.

Skapa den lokala nätverksgatewayen

Konceptet med en lokal nätverksgateway i Azure Stack Hub skiljer sig från i en Azure-distribution.

I en Azure-distribution representerar en lokal nätverksgateway en lokal (på användarens plats) fysiska enhet som du ansluter till en virtuell nätverksgateway i Azure. I båda Azure Stack Hub är dock virtuella nätverksgatewayer.

En mer allmän beskrivning är att resursen för den lokala nätverksgatewayen alltid anger fjärrgatewayen i den andra änden av anslutningen.

Skapa resursen för den lokala nätverksgatewayen

  1. Logga in på Azure Stack Hub portalen.

  2. I användarportalen väljer du + Skapa en resurs.

  3. Gå till Marketplaceoch välj sedan Nätverk.

  4. I listan över resurser väljer du lokal nätverksgateway.

  5. I fältet Namn skriver du Azure-GW.

  6. I fältet IP-adress anger du den offentliga IP-adressen för den virtuella nätverksgatewayen i Azure Azure-GW-PiP. Den här adressen visas tidigare i nätverkskonfigurationstabellen.

  7. I fältet Adressutrymme skriver du 10.100.0.0/24 och 10.100.0.0/24 och 10.100.1.0/24för adressutrymmet för det virtuella Azure-nätverk som du skapade.

  8. Kontrollera att värdena förPrenumeration, Resursgruppoch Plats är korrekta och välj sedan Skapa.

Skapa anslutningen

  1. I användarportalen väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Nätverk.

  3. I listan över resurser väljer du Anslutning.

  4. I avsnittet Grundläggande inställningar går du till Anslutningstyp ochväljer Plats-till-plats (IPSec).

  5. Välj Prenumeration,Resursgruppoch Platsoch välj sedan OK.

  6. I avsnittet Inställningar väljer du Virtuell nätverksgatewayoch sedan Azs-GW.

  7. Välj Lokal nätverksgatewayoch välj sedan Azure-GW.

  8. I Anslutningsnamnskriver du Azs-Azure.

  9. I Delad nyckel (PSK)skriver du 12345och väljer sedan OK.

  10. I avsnittet Sammanfattning väljer du OK.

Skapa en virtuell dator

Om du vill kontrollera VPN-anslutningen skapar du två virtuella datorer: en i Azure och en i Azure Stack Hub. När du har skapat de här virtuella datorerna kan du använda dem för att skicka och ta emot data via VPN-tunneln.

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplaceoch välj sedan Beräkna.

  3. I listan över VM-avbildningar väljer du Windows Server 2016 Datacenter Eval- avbildning.

  4. I avsnittet Grundläggande skriver du Azs-VM i Namn.

  5. Ange ett giltigt användarnamn och lösenord. Du använder det här kontot för att logga in på den virtuella datorn när den har skapats.

  6. Ange prenumeration,resursgruppoch platsoch välj sedan OK.

  7. I avsnittet Storlek för den här instansen väljer du en VM-storlek och sedan Välj.

  8. I Inställningar godkänner du standardinställningarna. Kontrollera att det virtuella nätverket Azs-VNet är markerat. Kontrollera att undernätet är inställt på 10.1.0.0/24. Välj sedan OK.

  9. Granska inställningarna i avsnittet Sammanfattning och välj sedan OK.

Testa anslutningen

När plats-till-plats-anslutningen har upprättats bör du kontrollera att du kan få data att flöda i båda riktningarna. Det enklaste sättet att testa anslutningen är genom att göra ett pingtest:

  • Logga in på den virtuella dator som du skapade Azure Stack Hub och pinga den virtuella datorn i Azure.
  • Logga in på den virtuella dator som du skapade i Azure och pinga den virtuella datorn i Azure Stack Hub.

Anteckning

För att se till att du skickar trafik via plats-till-plats-anslutningen pingar du DIP-adressen (Direct IP) för den virtuella datorn i det fjärranslutna undernätet, inte VIP.

Logga in på den virtuella användardatorn i Azure Stack Hub

  1. Logga in på Azure Stack Hub portalen.

  2. I det vänstra navigeringsfältet väljer du Virtual Machines.

  3. I listan över virtuella datorer letar du reda på Azs-VM som du skapade tidigare och väljer den sedan.

  4. I avsnittet för den virtuella datorn väljer Anslutoch öppnar sedan filen Azs-VM.rdp.

    Knappen Anslut

  5. Logga in med det konto som du konfigurerade när du skapade den virtuella datorn.

  6. Öppna en upphöjd Windows PowerShell fråga.

  7. Skriv ipconfig /all.

  8. Leta reda på IPv4-adressen iutdata och spara sedan adressen för senare användning. Det här är den adress som du pingar från Azure. I exempelmiljön är adressen 10.1.0.4, men i din miljö kan den vara annorlunda. Det bör vara inom undernätet 10.1.0.0/24 som du skapade tidigare.

  9. Om du vill skapa en brandväggsregel som tillåter att den virtuella datorn svarar på pingar kör du följande PowerShell-kommando:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Logga in på den virtuella klientdatorn i Azure

  1. Logga in på Azure-portalen.

  2. I det vänstra navigeringsfältet väljer du Virtual Machines.

  3. I listan över virtuella datorer letar du upp Azure-VM som du skapade tidigare och väljer den sedan.

  4. I avsnittet för den virtuella datorn väljer du Anslut.

  5. Logga in med det konto som du konfigurerade när du skapade den virtuella datorn.

  6. Öppna ett upphöjt Windows PowerShell fönster.

  7. Skriv ipconfig /all.

  8. Du bör se en IPv4-adress som ligger inom 10.100.0.0/24. I exempelmiljön är adressen 10.100.0.4,men din adress kan vara annorlunda.

  9. Om du vill skapa en brandväggsregel som tillåter att den virtuella datorn svarar på pingar kör du följande PowerShell-kommando:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Från den virtuella datorn i Azure pingar du den virtuella Azure Stack Hub genom tunneln. Det gör du genom att pinga DIP som du registrerade från Azs-VM. I exempelmiljön är detta 10.1.0.4,men se till att pinga adressen som du antecknade i labbet. Du bör se ett resultat som ser ut som följande skärmdump:

    Lyckad ping

  11. Ett svar från den virtuella fjärrdatorn indikerar ett lyckat test. Du kan stänga fönstret för den virtuella datorn.

Du bör också göra mer rigorösa dataöverföringstester (till exempel kopiera filer med olika storlek i båda riktningarna).

Visa statistik via gatewayanslutningen för dataöverföring

Om du vill veta hur mycket data som passerar genom plats-till-plats-anslutningen finns den här informationen i avsnittet Anslutning. Det här testet är också ett annat sätt att kontrollera att pinget som du precis skickade faktiskt har gått igenom VPN-anslutningen.

  1. När du är inloggad på den virtuella Azure Stack Hub använder du ditt användarkonto för att logga in på användarportalen.

  2. Gå till Alla resurseroch välj sedan Azs-Azure-anslutningen. Anslutningar visas.

  3. I avsnittet Anslutning visas statistiken för Data in och Data ut. I följande skärmbild tillskrivs de stora talen ytterligare filöverföring. Du bör se vissa värden som inte är noll där.

    Data in och ut

Nästa steg