VNet till VNet-anslutning med RRASVNet to VNet connectivity with RRAS

Du kan ansluta två Azure Stack Hub-virtuella nätverk till varandra inom samma Azure Stack Hub-miljö.You can connect two Azure Stack Hub VNets to one another within the same Azure Stack Hub environment. För närvarande går det inte att ansluta Azure Stack Hub-virtuella nätverk med hjälp av den inbyggda Virtual Network gatewayen.It is not currently possible to connect Azure Stack Hub VNets using the built-in Virtual Network Gateway. Du måste använda NVA-enheter för att skapa en VPN-tunnel mellan två Azure Stack hubb virtuella nätverk.You must use NVA appliances to create a VPN tunnel between two Azure Stack Hub VNets. I mal len referenser i den här artikeln distribueras två virtuella Windows Server 2016-datorer med RRAS installerat.In the template references in this article, two Windows Server 2016 VMs are deployed with RRAS installed. De två RRAS-servrarna är konfigurerade för att implementera en S2SVPN IKEv2-tunnel mellan två virtuella nätverk.The two RRAS servers are configured to implement a S2SVPN IKEv2 tunnel between two VNETs. Lämpliga regler för NSG och UDR skapas för att tillåta routning mellan undernät i varje VNET som angetts som internt.The appropriate NSG and UDR rules are created to allow routing between the subnets on each VNET designated as internal.

Det här distributions mönstret är grunden som tillåter att VPN-tunnlar inte bara skapas i en Azure Stack Hub-instans utan även mellan Azure Stack Hubbs instanser och till andra resurser som lokala nätverk med användning av Windows RRAS S2S VPN-tunnlar.This deployment pattern is the foundation that will allow VPN Tunnels to be created not only within an Azure Stack Hub instance but also between Azure Stack Hub Instances and to other resources such as on-premises networks with the use of the Windows RRAS S2S VPN Tunnels.

Du hittar mallarna i Azures smarta kant mönster GitHub -lagringsplatsen.You can find the templates in the Azure Intelligent Edge Patterns GitHub repository. Mallen finns i mappen S2SVPNTunnelThe template is in the S2SVPNTunnel folder.

Diagrammet visar en implementering som tillhandahåller en VPN-tunnel mellan två virtuella nätverk.

KravRequirements

  • En distribution med de senaste uppdateringarna som tillämpas.A deployment with latest updates applied.
  • Nödvändiga Azure Stack Hub Marketplace-objekt:Required Azure Stack Hub Marketplace items:
    • Windows Server 2016 Data Center (senaste build rekommenderas)Windows Server 2016 Datacenter (latest build recommended)
    • Anpassat skripttilläggCustom Script Extension

Saker att tänka påThings to consider

  • En nätverks säkerhets grupp tillämpas på mallens tunnel under nät.A Network Security Group is applied to the template Tunnel Subnet. Vi rekommenderar att du skyddar det interna under nätet i varje VNet med ytterligare en NSG.It is recommended to secure the internal subnet in each VNet with an additional NSG.
  • En RDP Deny-regel tillämpas på tunnel-NSG och måste ställas in så att den tillåter åtkomst till de virtuella datorerna via den offentliga IP-adressenAn RDP Deny rule is applied to the Tunnel NSG and will need to be set to allow if you intend to access the VMs via the Public IP address
  • Den här lösningen tar inte hänsyn till DNS-matchningThis solution does not take into account DNS resolution
  • Kombinationen av VNet-namn och vmName måste vara kortare än 15 teckenThe combination of VNet name and vmName must be fewer than 15 characters
  • Den här mallen är utformad för att ha de VNet-namn som är anpassade för VNet1 och VNet2This template is designed to have the VNet names customized for VNet1 and VNet2
  • Den här mallen använder BYOL WindowsThis template is using BYOL windows
  • När du tar bort resurs gruppen för närvarande på (1907) måste du manuellt koppla från NSG: er från tunnel under nätet för att se till att borttagnings resurs gruppen slutförsWhen deleting the resource group, currently on (1907) you have to manually detach the NSGs from the tunnel subnet to ensure the delete resource group completes
  • Den här mallen använder en virtuell DS3v2-dator.This template is using a DS3v2 vm. RRAS-tjänsten installerar och kör interna Windows-SQL Server.The RRAS service installs and run Windows internal SQL Server. Detta kan orsaka minnes problem om den virtuella dator storleken är för liten.This can cause memory issues if your VM size is too small. Verifiera prestanda innan du minskar storleken på den virtuella datorn.Validate performance before reducing the VM size.
  • Detta är inte en lösning med hög tillgänglighet.This is not a highly available solution. Om du behöver en mer HA-format lösning kan du lägga till en andra virtuell dator, du måste manuellt ändra vägen i routningstabellen till den interna IP-adressen för det sekundära gränssnittet.If you require a more HA style solution you can add a second VM, you would have to manually Change the route in the route table to the internal IP of the secondary interface. Du måste också konfigurera flera tunnlar för över koppling.You would also need to configure the multiple Tunnels to cross connect.

AlternativOptions

  • Du kan använda ditt eget Blob Storage-konto och SAS-token med hjälp av parametrarna _artifactsLocation och _artifactsLocationSasTokenYou can use your own Blob storage account and SAS token using the _artifactsLocation and _artifactsLocationSasToken parameters
  • Det finns två utdata i den här mallen INTERNALSUBNETREFVNET1 och INTERNALSUBNETREFVNET2, som är resurs-ID: n för de interna under näten, om du vill använda detta i ett distributions mönster för pipeline-format.There are two outputs on this template INTERNALSUBNETREFVNET1 and INTERNALSUBNETREFVNET2, which is the Resource IDs for the internal subnets, if you want to use this in a pipeline style deployment pattern.

Mallen innehåller standardvärden för namngivning av virtuella nätverk och IP-adresser.The template provides default values for VNet naming and IP addressing. Det krävs ett lösen ord för administratören (rrasadmin) och ger även möjlighet att använda din egen lagrings-BLOB med SAS-token.It requires a password for the administrator (rrasadmin) and also offers the ability to use your own storage blob with SAS token. Var noga med att behålla de här värdena inom juridiska intervall eftersom distributionen kan Miss lyckas.Be careful to keep these values within legal ranges as deployment may fail. PowerShell DSC-paketet körs på varje virtuell RRAS-dator och installerar Routning och alla nödvändiga beroende tjänster och funktioner.The PowerShell DSC package is executed on each RRAS VM and installing routing and all required dependent services and features. Denna DSC kan anpassas ytterligare om det behövs.This DSC can be customized further if needed. Det anpassade skript tillägget kör följande skript och Add-Site2Site.ps1 konfigurerar VPNS2S-tunneln mellan de två RRAS-servrarna med en delad nyckel.The custom script extension run the following script and Add-Site2Site.ps1 configures the VPNS2S tunnel between the two RRAS servers with a shared key. Du kan visa detaljerade utdata från det anpassade skript tillägget för att se resultatet av konfigurationen av VPN-tunnelnYou can view the detailed output from the custom script extension to see the results of the VPN tunnel configuration

Diagrammet, som kallas S2SVPNTunnel, visar två virtuella nätverk som är kopplade till en plats-till-plats-VPN-tunnel.

Nästa stegNext steps

Skillnader och överväganden för Azure Stack hubb nätverkDifferences and considerations for Azure Stack Hub networking