Ansluta Azure Stack Hub till Azure via VPN

Den här artikeln beskriver hur du skapar en plats-till-plats-VPN för att ansluta ett virtuellt nätverk i Azure Stack Hub till ett virtuellt nätverk i Azure.

Innan du börjar

Kontrollera att du har följande objekt innan du börjar för att slutföra anslutningskonfigurationen:

  • En Azure Stack Hub-distribution av integrerade system (flera noder) som är direkt ansluten till Internet. Det externa offentliga IP-adressintervallet måste vara direkt åtkomligt från det offentliga Internet.
  • En giltig Azure-prenumeration. Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt Azure-konto här.

VPN-anslutningsdiagram

Följande bild visar hur anslutningskonfigurationen ska se ut när du är klar:

Site-to-site VPN connection configuration

Exempelvärden för nätverkskonfiguration

Tabellen exempel på nätverkskonfiguration visar de värden som används för exempel i den här artikeln. Du kan använda dessa värden, eller så kan du referera till dem för att bättre förstå exemplen i den här artikeln:

Värde Azure Stack Hub Azure
Virtuellt nätverksnamn Azs-VNet AzureVNet
Det virtuella nätverkets adressutrymme 10.1.0.0/16 10.100.0.0/16
Namn på undernät FrontEnd FrontEnd
Adressintervall för undernätet 10.1.0.0/24 10.100.0.0/24
Gatewayundernät 10.1.1.0/24 10.100.1.0/24

Skapa nätverksresurserna i Azure

Skapa först nätverksresurserna för Azure. Följande instruktioner visar hur du skapar resurserna med hjälp av Azure Portal.

Skapa det virtuella nätverket och det virtuella datorundernätet (VM)

  1. Logga in på Azure Portal med ditt Azure-konto.
  2. I användarportalen väljer du + Skapa en resurs.
  3. Gå till Marketplace och välj sedan Nätverk.
  4. Välj Virtuellt nätverk.
  5. Använd informationen från nätverkskonfigurationstabellen för att identifiera värdena för Azure-namn, adressutrymme, undernätsnamn och undernätsadressintervall.
  6. För Resursgrupp skapar du en ny resursgrupp eller väljer Använd befintlig om du redan har en.
  7. Välj platsen för ditt virtuella nätverk. Om du använder exempelvärdena väljer du USA, östra eller använder en annan plats.
  8. Välj fäst till instrumentpanelen.
  9. Välj Skapa.

Skapa gateway-undernätet

  1. Öppna den virtuella nätverksresurs som du skapade (AzureVNet) från instrumentpanelen.

  2. I avsnittet Inställningar väljer du Undernät.

  3. Välj Gateway-undernät för att lägga till ett gatewayundernät i det virtuella nätverket.

  4. Namnet på undernätet ställs in på GatewaySubnet som standard.

    Viktigt

    Gatewayundernät är speciella och måste ha det här specifika namnet för att fungera ordentligt.

  5. Kontrollera att adressen är 10.100.1.0/24 i fältet Adressintervall.

  6. Välj OK för att skapa gatewayundernätet.

Skapa den virtuella nätverksgatewayen

  1. I Azure-portalen väljer du + Skapa en resurs.
  2. Gå till Marketplace och välj sedan Nätverk.
  3. I listan över nätverksresurser väljer du Virtuell nätverksgateway.
  4. I fältet Namn skriver du Azure-GW.
  5. Välj Virtuellt nätverk om du vill välja ett virtuellt nätverk. Välj sedan AzureVnet i listan.
  6. Välj Offentlig IP-adress. När avsnittet Välj offentlig IP-adress öppnas väljer du Skapa ny.
  7. I fältet Namn skriver du Azure-GW-PiP och väljer sedan OK.
  8. Verifiera att Prenumeration och Plats stämmer. Du kan fästa resursen på instrumentpanelen. Välj Skapa.

Skapa den lokala nätverksgatewayresursen

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Nätverk.

  3. I listan över resurser väljer du Lokal nätverksgateway.

  4. I fältet Namn skriver du Azs-GW.

  5. I fältet IP-adress anger du den offentliga IP-adressen för din Azure Stack Hub-Virtual Network Gateway som visas tidigare i nätverkskonfigurationstabellen.

  6. I fältet Adressutrymme från Azure Stack Hub skriver du adressutrymmet 10.1.0.0/24 och 10.1.1.0/24 för AzureVNet.

  7. Kontrollera att din prenumeration, resursgrupp och plats är korrekta och välj sedan Skapa.

Skapa anslutningen

  1. I användarportalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Nätverk.

  3. I listan över resurser väljer du Anslutning.

  4. I avsnittet Grundläggande inställningar väljer du Plats-till-plats (IPSec) för Anslutningstyp.

  5. Välj Prenumeration, Resursgrupp och Plats och välj sedan OK.

  6. I avsnittet Inställningar väljer du Virtuell nätverksgateway och sedan Azure-GW.

  7. Välj Lokal nätverksgateway och sedan Azs-GW.

  8. I Anslutningsnamn skriver du Azure-Azs.

  9. I Delad nyckel (PSK) skriver du 12345 och väljer sedan OK.

    Anteckning

    Om du använder ett annat värde för den delade nyckeln ska du komma ihåg att det måste matcha värdet för den delade nyckeln som du skapar i andra änden av anslutningen.

  10. Granska avsnittet Sammanfattning och välj sedan OK.

Skapa en anpassad IPSec-princip

En anpassad IPSec-princip krävs för att Azure ska matcha Azure Stack Hub.

  1. Skapa en anpassad princip:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
    -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
    -SADataSizeKilobytes 102400000
    
  2. Tillämpa principen på anslutningen:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
    Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
    

Skapa en virtuell dator

Skapa nu en virtuell dator i Azure och placera den i undernätet för den virtuella datorn i ditt virtuella nätverk.

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Beräkning.

  3. I listan över VM-avbildningar väljer du avbildningen Windows Server 2016 Datacenter Eval.

  4. I avsnittet Grundläggande skriver du AzureVM för Namn.

  5. Ange ett giltigt användarnamn och lösenord. Du använder det här kontot för att logga in på den virtuella datorn när den har skapats.

  6. Ange en prenumeration, resursgrupp och plats och välj sedan OK.

  7. I avsnittet Storlek väljer du en VM-storlek för den här instansen och väljer sedan Välj.

  8. I avsnittet Inställningar kan du använda standardinställningarna. Innan du väljer OK bekräftar du att:

    • Det virtuella AzureVnet-nätverket har valts.
    • Undernätet är inställt på 10.100.0.0/24.

    Välj OK.

  9. Granska inställningarna i avsnittet Sammanfattning och välj sedan OK.

Skapa nätverksresurserna i Azure Stack Hub

Skapa sedan nätverksresurserna i Azure Stack Hub.

Logga in som användare

En tjänstadministratör kan logga in som användare för att testa de planer, erbjudanden och prenumerationer som användarna kan använda. Om du inte redan har ett skapar du ett användarkonto innan du loggar in.

Skapa det virtuella nätverket och ett undernät för virtuella datorer

  1. Använd ett användarkonto för att logga in på användarportalen.

  2. I användarportalen väljer du + Skapa en resurs.

    Create new virtual network

  3. Gå till Marketplace och välj sedan Nätverk.

  4. Välj Virtuellt nätverk.

  5. För Namn, Adressutrymme, Undernätsnamn och Undernäts adressintervall använder du värdena från nätverkskonfigurationstabellen.

  6. I Prenumeration visas den prenumeration som du skapade tidigare.

  7. För Resursgrupp kan du antingen skapa en resursgrupp eller välja Använd befintlig om du redan har en.

  8. Verifiera den förvalda platsen.

  9. Välj fäst till instrumentpanelen.

  10. Välj Skapa.

Skapa gateway-undernätet

  1. Öppna den Azs-VNet virtuella nätverksresursen som du skapade på instrumentpanelen.

  2. I avsnittet Inställningar väljer du Undernät.

  3. Om du vill lägga till ett gatewayundernät i det virtuella nätverket väljer du Gateway-undernät.

    Add gateway subnet

  4. Som standard är undernätets namn inställt på GatewaySubnet. För att gatewayundernät ska fungera korrekt måste de använda GatewaySubnet-namnet .

  5. I Adressintervall kontrollerar du att adressen är 10.1.1.0/24.

  6. Välj OK för att skapa gatewayundernätet.

Skapa den virtuella nätverksgatewayen

  1. I Azure Stack Hub-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Nätverk.

  3. I listan över nätverksresurser väljer du Virtuell nätverksgateway.

  4. I Namn skriver du Azs-GW.

  5. Välj objektet Virtuellt nätverk för att välja ett virtuellt nätverk. Välj Azs-VNet i listan.

  6. Välj menyalternativet Offentlig IP-adress . När avsnittet Välj offentlig IP-adress öppnas väljer du Skapa ny.

  7. I Namn skriver du Azs-GW-PiP och väljer sedan OK.

  8. Som standard väljs Routningsbaserad som VPN-typ. Behåll den routningsbaserade VPN-typen .

  9. Verifiera att Prenumeration och Plats stämmer. Du kan fästa resursen på instrumentpanelen. Välj Skapa.

Skapa den lokala nätverksgatewayen

Begreppet lokal nätverksgateway i Azure Stack Hub skiljer sig från i en Azure-distribution.

I en Azure-distribution representerar en lokal nätverksgateway en lokal fysisk enhet (på användarplatsen) som du ansluter till en virtuell nätverksgateway i Azure. I Azure Stack Hub är dock båda ändarna av anslutningen virtuella nätverksgatewayer.

En mer allmän beskrivning är att den lokala nätverksgatewayresursen alltid anger fjärrgatewayen i andra änden av anslutningen.

Skapa den lokala nätverksgatewayresursen

  1. Logga in på Azure Stack Hub-portalen.

  2. I användarportalen väljer du + Skapa en resurs.

  3. Gå till Marketplace och välj sedan Nätverk.

  4. I listan över resurser väljer du lokal nätverksgateway.

  5. I fältet Namn skriver du Azure-GW.

  6. I fältet IP-adress anger du den offentliga IP-adressen för den virtuella nätverksgatewayen i Azure Azure-GW-PiP. Den här adressen visas tidigare i nätverkskonfigurationstabellen.

  7. Ange 10.100.0.0/24 och 10.100.0.0/24 och 10.100.1.0/24 i fältet Adressutrymme.

  8. Kontrollera att värdena för prenumeration, resursgrupp och plats är korrekta och välj sedan Skapa.

Skapa anslutningen

  1. I användarportalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Nätverk.

  3. I listan över resurser väljer du Anslutning.

  4. I avsnittet Grundläggande inställningar väljer du Plats-till-plats (IPSec) för Anslutningstyp.

  5. Välj Prenumeration, Resursgrupp och Plats och välj sedan OK.

  6. I avsnittet Inställningar väljer du Virtuell nätverksgateway och sedan Azs-GW.

  7. Välj Lokal nätverksgateway och sedan Azure-GW.

  8. I Anslutningsnamn skriver du Azs-Azure.

  9. I Delad nyckel (PSK) skriver du 12345 och väljer sedan OK.

  10. I avsnittet Sammanfattning väljer du OK.

Skapa en virtuell dator

Om du vill kontrollera VPN-anslutningen skapar du två virtuella datorer: en i Azure och en i Azure Stack Hub. När du har skapat dessa virtuella datorer kan du använda dem för att skicka och ta emot data via VPN-tunneln.

  1. I Azure-portalen väljer du + Skapa en resurs.

  2. Gå till Marketplace och välj sedan Beräkning.

  3. I listan över VM-avbildningar väljer du avbildningen Windows Server 2016 Datacenter Eval.

  4. I avsnittet Grundläggande skriver du Azs-VM i Namn.

  5. Ange ett giltigt användarnamn och lösenord. Du använder det här kontot för att logga in på den virtuella datorn när den har skapats.

  6. Ange en prenumeration, resursgrupp och plats och välj sedan OK.

  7. I avsnittet Storlek för den här instansen väljer du en VM-storlek och väljer sedan Välj.

  8. Acceptera standardvärdena i avsnittet Inställningar. Kontrollera att det virtuella nätverket Azs-VNet har valts. Kontrollera att undernätet är inställt på 10.1.0.0/24. Välj sedan OK.

  9. I avsnittet Sammanfattning granskar du inställningarna och väljer sedan OK.

Testa anslutningen

När plats-till-plats-anslutningen har upprättats bör du kontrollera att du kan få data att flöda i båda riktningarna. Det enklaste sättet att testa anslutningen är genom att göra ett pingtest:

  • Logga in på den virtuella dator som du skapade i Azure Stack Hub och pinga den virtuella datorn i Azure.
  • Logga in på den virtuella dator som du skapade i Azure och pinga den virtuella datorn i Azure Stack Hub.

Anteckning

Kontrollera att du skickar trafik via plats-till-plats-anslutningen genom att pinga den virtuella datorns DIP-adress (Direct IP) på fjärrundernätet, inte VIP.

Logga in på den virtuella användardatorn i Azure Stack Hub

  1. Logga in på Azure Stack Hub-portalen.

  2. I det vänstra navigeringsfältet väljer du Virtual Machines.

  3. Leta reda på Azs-VM som du skapade tidigare i listan över virtuella datorer och välj den sedan.

  4. I avsnittet för den virtuella datorn väljer du Anslut och öppnar sedan filen Azs-VM.rdp.

    Connect button

  5. Logga in med det konto som du konfigurerade när du skapade den virtuella datorn.

  6. Öppna en upphöjd Windows PowerShell prompt.

  7. Skriv ipconfig /all.

  8. Leta reda på IPv4-adressen i utdata och spara sedan adressen för senare användning. Det här är adressen som du pingar från Azure. I exempelmiljön är adressen 10.1.0.4, men i din miljö kan den vara annorlunda. Det bör ligga inom undernätet 10.1.0.0/24 som du skapade tidigare.

  9. Om du vill skapa en brandväggsregel som gör att den virtuella datorn kan svara på pingar kör du följande PowerShell-kommando:

    New-NetFirewallRule `
     -DisplayName "Allow ICMPv4-In" `
     -Protocol ICMPv4
    

Logga in på den virtuella klientdatorn i Azure

  1. Logga in på Azure-portalen.

  2. I det vänstra navigeringsfältet väljer du Virtual Machines.

  3. Leta reda på Azure-VM som du skapade tidigare i listan över virtuella datorer och välj den sedan.

  4. I avsnittet för den virtuella datorn väljer du Anslut.

  5. Logga in med det konto som du konfigurerade när du skapade den virtuella datorn.

  6. Öppna ett upphöjt Windows PowerShell fönster.

  7. Skriv ipconfig /all.

  8. Du bör se en IPv4-adress som ligger inom 10.100.0.0/24. I exempelmiljön är adressen 10.100.0.4, men din adress kan vara annorlunda.

  9. Om du vill skapa en brandväggsregel som gör att den virtuella datorn kan svara på pingar kör du följande PowerShell-kommando:

    New-NetFirewallRule `
     -DisplayName "Allow ICMPv4-In" `
     -Protocol ICMPv4
    
  10. Från den virtuella datorn i Azure pingar du den virtuella datorn i Azure Stack Hub genom tunneln. För att göra detta pingar du dip som du har registrerat från Azs-VM. I exempelmiljön är detta 10.1.0.4, men se till att pinga adressen som du antecknade i labbet. Du bör se ett resultat som ser ut som följande skärmdump:

    Successful ping

  11. Ett svar från den virtuella fjärrdatorn indikerar ett lyckat test. Du kan stänga fönstret för den virtuella datorn.

Du bör också utföra mer rigorösa dataöverföringstester (till exempel kopiera filer med olika storlek i båda riktningarna).

Visa statistik via gatewayanslutningen för dataöverföring

Om du vill veta hur mycket data som passerar genom din plats-till-plats-anslutning är den här informationen tillgänglig i avsnittet Anslutning . Det här testet är också ett annat sätt att verifiera att pingen du just skickade faktiskt gick igenom VPN-anslutningen.

  1. När du är inloggad på den virtuella användardatorn i Azure Stack Hub använder du ditt användarkonto för att logga in på användarportalen.

  2. Gå till Alla resurser och välj sedan Azs-Azure-anslutningen . Anslutningar visas.

  3. I avsnittet Anslutning visas statistiken för Data in och Data ut . I följande skärmdump tillskrivs de stora talen ytterligare filöverföring. Du bör se några icke-nollvärden där.

    Data in and out

Nästa steg