PowerShell kullanarak ExpressRoute ve siteden siteye birlikte var olan bağlantıları yapılandırma

  • Makale

Bu makale, bir arada var olan ExpressRoute ve siteden siteye VPN bağlantılarını yapılandırmanıza yardımcı olur. Siteden siteye VPN ve ExpressRoute'u yapılandırma özelliğinin çeşitli avantajları vardır. Siteden siteye VPN'yi ExpressRoute için güvenli bir yük devretme yolu olarak yapılandırabilir veya ExpressRoute aracılığıyla bağlı olmayan sitelere bağlanmak için siteden siteye VPN'leri kullanabilirsiniz. Bu makalede iki senaryo için de yapılandırma adımları verilmektedir. Bu tablo Resource Manager dağıtım modelleri için geçerlidir.

Siteden siteye VPN ve ExpressRoute'un birlikte var olan bağlantılarını yapılandırmanın çeşitli avantajları vardır:

  • Bir siteden siteye VPN'i ExpressRoute için güvenli bir yük devretme yolu olarak yapılandırabilirsiniz.
  • Alternatif olarak, ExpressRoute aracılığıyla bağlı olmayan sitelere bağlanmak için siteden siteye VPN'leri kullanabilirsiniz.

İki senaryo için de yapılandırma adımları bu makalede verilmektedir. Bu makale Resource Manager dağıtım modelleri için geçerlidir ve PowerShell kullanır. Bu senaryoları Azure portalını kullanarak da yapılandırabilirsiniz ancak belgeler henüz sağlanmamıştır. Önce ağ geçidini yapılandırabilirsiniz. Genellikle yeni bir ağ geçidi veya ağ geçidi bağlantısı eklerken kapalı kalma süresiyle karşılaşmazsınız.

Dekont

ExpressRoute bağlantı hattı üzerinden siteden siteye VPN oluşturmak istiyorsanız bkz . Microsoft eşlemesi üzerinden siteden siteye VPN.

Sınırlar ve sınırlamalar

  • Yalnızca rota tabanlı VPN ağ geçidi desteklenir. Rota tabanlı vpn ağ geçidi kullanmanız gerekir. Ayrıca, birden çok ilke tabanlı VPN cihazına Bağlan açıklandığı gibi 'ilke tabanlı trafik seçicileri' için yapılandırılmış bir VPN bağlantısına sahip rota tabanlı VPN ağ geçidi de kullanabilirsiniz.
  • ExpressRoute-VPN Gateway birlikte bulunan yapılandırmaları Temel SKU'da desteklenmez.
  • ExpressRoute ile VPN arasında geçiş yönlendirmesi kullanmak istiyorsanız Azure VPN Gateway ASN'sinin 65515 olarak ayarlanması ve Azure Route Server'ın kullanılması gerekir. Azure VPN Gateway BGP yönlendirme protokollerini destekler. ExpressRoute ve Azure VPN'nin birlikte çalışması için Azure VPN ağ geçidinizin Otonom Sistem Numarası değerini varsayılan değeri olan 65515 olarak tutmanız gerekir. Daha önce 65515 dışında bir ASN seçtiyseniz ve ayarı 65515 olarak değiştirirseniz, ayarın etkili olması için VPN ağ geçidini sıfırlamanız gerekir.
  • Ağ geçidi alt ağı /27 veya /26, /25 gibi daha kısa bir ön ek olmalıdır veya ExpressRoute sanal ağ geçidini eklediğinizde bir hata iletisi alırsınız.
  • Çift yığınlı bir sanal ağda birlikte bulunma desteklenmez. ExpressRoute IPv6 desteği ve çift yığınlı ExpressRoute ağ geçidi kullanıyorsanız VPN Gateway ile birlikte bulunmanız mümkün değildir.

Yapılandırma tasarımları

ExpressRoute için bir siteden siteye VPN'i yük devretme yolu olarak yapılandırma

Siteden siteye VPN bağlantısını ExpressRoute bağlantınız için yedek olarak yapılandırabilirsiniz. Bu bağlantı yalnızca Azure özel eşleme yoluna bağlı sanal ağlar için geçerlidir. Azure Microsoft eşlemesi aracılığıyla erişilebilen hizmetler için VPN tabanlı yük devretme çözümü yoktur. ExpressRoute bağlantı hattı her zaman birincil bağlantıdır. Veriler yalnızca ExpressRoute bağlantı hattı başarısız olursa siteden siteye VPN yolundan akar. Asimetrik yönlendirmeyi önlemek için yerel ağ yapılandırmanız, siteden siteye VPN üzerinden ExpressRoute bağlantı hattını da tercih etmelidir. ExpressRoute’u alan yönlendirmeler için daha yüksek yerel tercihleri ayarlayarak ExpressRoute yolunu tercih edebilirsiniz.

Dekont

  • ExpressRoute Microsoft eşlemesini etkinleştirdiyseniz, ExpressRoute bağlantısında Azure VPN ağ geçidinizin genel IP adresini alabilirsiniz. Siteden siteye VPN bağlantınızı yedekleme olarak ayarlamak için, vpn bağlantısının İnternet'e yönlendirilmiş olması için şirket içi ağınızı yapılandırmanız gerekir.

  • Her iki yol da aynı olduğunda ExpressRoute bağlantı hattı yolu siteden siteye VPN üzerinden tercih edilirken Azure, paketin hedefine doğru yolu seçmek için en uzun ön ek eşleşmesini kullanır.

Diagram that shows a site-to-site VPN connection as a backup for ExpressRoute.

ExpressRoute aracılığıyla bağlı olmayan sitelere bağlanmak için siteden siteye VPN yapılandırma

Ağınızı, bazı sitelerin siteden siteye VPN üzerinden doğrudan Azure'a bağlandığı ve bazı sitelerin ExpressRoute üzerinden bağlandığı yapılandırabilirsiniz.

Coexist

Kullanılacak adımları seçme

Aralarından seçim yapabileceğiniz iki farklı yordam kümesi vardır. Seçtiğiniz yapılandırma yordamı, bağlanmak istediğiniz mevcut bir sanal ağ olup olmadığına veya yeni bir sanal ağ oluşturmak isteyip istememenize bağlıdır.

  • Bir VNet’im yok ve bir tane oluşturmam gerekiyor.

    Henüz bir sanal ağınız yoksa, bu yordam Resource Manager dağıtım modelini kullanarak yeni bir sanal ağ oluşturma ve yeni ExpressRoute ile siteler arası VPN bağlantıları oluşturma konusunda size yol gösterir.

  • Zaten bir Resource Manager dağıtım modeli VNet’im var.

    Siteden siteye VPN bağlantısı veya ExpressRoute bağlantısı olan bir sanal ağınız zaten var olabilir. Bu senaryoda ağ geçidi alt ağ ön eki /28 veya daha uzunsa (/29, /30 vb.), mevcut ağ geçidini silmeniz gerekir. Zaten var olan bir sanal ağ bölümü için birlikte var olan bağlantıları yapılandırma adımları, ağ geçidini silme ve ardından yeni ExpressRoute ve siteden siteye VPN bağlantıları oluşturma adımlarında size yol gösterir.

    Ağ geçidinizi siler ve yeniden oluşturursanız, şirket içi bağlantılarınız için kapalı kalma süresi yaşarsınız. Ancak vm'leriniz ve hizmetleriniz, ağ geçidinizi yapılandırırken, bunu yapacak şekilde yapılandırılmışsa İnternet üzerinden bağlanabilir.

Başlamadan önce

Bu makaledeki adımlar ve örnekler Azure PowerShell Az modüllerini kullanır. Az modüllerini bilgisayarınıza yerel olarak yüklemek için bkz . Azure PowerShell'i yükleme. Yeni Az modülü hakkında daha fazla bilgi edinmek için bkz . Yeni Azure PowerShell Az modülüne giriş. PowerShell cmdlet'leri sık sık güncelleştirilir. En son sürümü çalıştırmıyorsanız, yönergelerde belirtilen değerler başarısız olabilir. Sisteminizde Yüklü PowerShell sürümlerini bulmak için cmdlet'ini Get-Module -ListAvailable Az kullanın.

Azure Cloud Shell'i kullanarak Azure PowerShell veya CLI'yı yerel olarak yüklemek yerine çoğu PowerShell cmdlet'ini ve CLI komutunu çalıştırabilirsiniz. Azure Cloud Shell, yaygın Azure araçlarının önceden yüklenmiş olduğu ve hesabınızla birlikte kullanılacak şekilde yapılandırılmış ücretsiz bir etkileşimli kabukdur. Bu makalede yer alan tüm kodları Azure Cloud Shell'de çalıştırmak için bir Cloud Shell oturumu açın, kodu kopyalamak için kod bloğundaki Kopyala düğmesini kullanın ve Windows ve Linux'ta Ctrl+Shift+V veya macOS üzerinde Cmd+Shift+V ile Cloud Shell oturumuna yapıştırın. Yapıştırılan metin otomatik olarak yürütülmedi, kodu çalıştırmak için Enter tuşuna basın.

Cloud Shell’i başlatmanın birkaç yolu vardır:

Seçenek Bağlantı
Kod bloğunun sağ üst köşesindeki Deneyin’e tıklayın. Cloud Shell in this article
Cloud Shell’i tarayıcınızda açın. https://shell.azure.com/powershell
Azure portalının sağ üst kısmındaki menüde yer alan Cloud Shell düğmesine tıklayın. Cloud Shell in the portal

Bu yordam, bir arada var olan bir sanal ağ ve siteden siteye ve ExpressRoute bağlantıları oluşturma işleminde size yol gösterir. Bu yapılandırma için kullanacağınız cmdlet'ler tanıdıklarınızdan biraz farklı olabilir. Bu yönergelerde belirtilen cmdlet'leri kullandığınızdan emin olun.

  1. Oturum açın ve aboneliğinizi seçin.

    Azure Cloud Shell kullanıyorsanız , 'Deneyin' seçeneğine tıkladıktan sonra Azure hesabınızda otomatik olarak oturum açarsınız. Yerel olarak oturum açmak için PowerShell konsolunuzu yükseltilmiş ayrıcalıklarla açın ve bağlanmak için cmdlet'ini çalıştırın.

    Connect-AzAccount

    Birden fazla aboneliğiniz varsa Azure aboneliklerinizin listesini alın.

    Get-AzSubscription

    Kullanmak istediğiniz aboneliği belirtin.

    Select-AzSubscription -SubscriptionName "Name of subscription"

  2. Değişkenleri tanımlayın ve kaynak grubu oluşturun.

    $location = "Central US"
$resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
$VNetASN = 65515

  3. dahil olmak üzere GatewaySubnetbir sanal ağ oluşturun. Sanal ağ oluşturma hakkında daha fazla bilgi için bkz. Sanal ağ oluşturma. Alt ağ oluşturma hakkında daha fazla bilgi için bkz. Alt ağ oluşturma

    Önemli

    GatewaySubnet bir /27 veya /26 veya /25 gibi daha kısa bir ön ek olmalıdır.

    Yeni bir sanal ağ oluşturun.

    $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"

    App ve GatewaySubnet adlı iki alt ağ ekleyin.

    Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"

    Sanal ağ yapılandırmasını kaydedin.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet

  4. Ardından siteden siteye VPN ağ geçidinizi oluşturun. VPN ağ geçidi yapılandırması hakkında daha fazla bilgi için bkz . Siteden siteye bağlantıyla sanal ağ yapılandırma. GatewaySku yalnızca VpnGw1, VpnGw2, VpnGw3, Standard ve HighPerformance VPN ağ geçitlerinde desteklenir. ExpressRoute-VPN Gateway birlikte bulunan yapılandırmaları Temel SKU'da desteklenmez. VpnType değeri RouteBased olmalıdır.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    Azure VPN ağ geçidi BGP yönlendirme protokollerini destekler. Aşağıdaki komutta bayrağını ekleyerek -Asn sanal ağ için ASN (AS Numarası) belirtebilirsiniz. Parametrenin belirtilmemesi Asn , varsayılan olarak AS numarasının 65515 olduğunu belirtir.

    $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"

    Dekont

    Birlikte bulunan ağ geçitleri için 65515 varsayılan ASN'sini kullanmanız gerekir. Daha fazla bilgi için bkz . sınırlar ve sınırlamalar.

    ve $azureVpn.BgpSettings.Asnkomutunu çalıştırarak $azureVpn.BgpSettings.BgpPeeringAddress AZURE'ın VPN ağ geçidi için kullandığı BGP eşleme IP'sini ve AS numarasını bulabilirsiniz. Daha fazla bilgi için bkz. Azure VPN ağ geçidi için BGP’yi yapılandırma.

  5. Bir yerel site VPN ağ geçidi varlığı oluşturun. Bu komut, şirket içi VPN ağ geçidinizi yapılandırmaz. Azure VPN ağ geçidinin bağlanabilmesi için ortak IP ve şirket içi adres alanı gibi yerel ağ geçidi ayarlarını paylaşmanıza olanak tanır.

    Yerel VPN cihazınız yalnızca statik yönlendirmeyi destekliyorsa statik rotaları aşağıdaki şekilde yapılandırabilirsiniz:

    $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress *<Public IP>* -AddressPrefix $MyLocalNetworkAddress

    Yerel VPN cihazınız BGP'yi destekliyorsa ve dinamik yönlendirmeyi etkinleştirmek istiyorsanız BGP eşleme IP'sini ve yerel VPN cihazınızın AS numarasını bilmeniz gerekir.

    $localVPNPublicIP = "<Public IP>"
$localBGPPeeringIP = "<Private IP for the BGP session>"
$localBGPASN = "<ASN>"
$localAddressPrefix = $localBGPPeeringIP + "/32"
$localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN

  6. Yerel VPN cihazınızı yeni Azure VPN ağ geçidine bağlanmak için yapılandırın. VPN cihazını yapılandırma hakkında daha fazla bilgi için bkz. VPN Cihazı Yapılandırma.

  7. Azure'da siteden siteye VPN ağ geçidini yerel ağ geçidine bağlayın.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey <yourkey>

  8. Mevcut bir ExpressRoute bağlantı hattına bağlanıyorsanız, 8. ve 9. adımları atlayın ve 10. adıma geçin. ExpressRoute bağlantı hatlarını yapılandırın. ExpressRoute bağlantı hattını yapılandırma hakkında daha fazla bilgi için bkz. ExpressRoute bağlantı hattı oluşturma.

  9. ExpressRoute bağlantı hattı üzerinde Azure özel eşlemeyi yapılandırın. ExpressRoute bağlantı hattı üzerinde Azure özel eşlemeyi yapılandırma hakkında daha fazla bilgi için bkz. eşlemeyi yapılandırma

  10. ExpressRoute ağ geçidi oluşturun. ExpressRoute ağ geçidi yapılandırması hakkında daha fazla bilgi için bkz. ExpressRoute ağ geçidi yapılandırması. GatewaySKU değeri Standard, HighPerformance veya UltraPerformance olmalıdır.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
$gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
$gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard

  11. ExpressRoute ağ geçidini ExpressRoute bağlantı hattına bağlayın. Bu adım tamamlandıktan sonra, ExpressRoute aracılığıyla şirket içi ağınız ve Azure arasında bağlantı kurulur. Bağlantı işlemi hakkında daha fazla bilgi için bkz.VNets’i ExpressRoute’a bağlama.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute

VPN ağ geçidine noktadan siteye yapılandırması eklemek için

Bir birlikte kullanım kurulumunda VPN ağ geçidinize noktadan siteye yapılandırma eklemek için bu adımları izleyebilirsiniz. VPN kök sertifikasını karşıya yüklemek için PowerShell'i bilgisayarınıza yerel olarak yüklemeniz veya Azure portalını kullanmanız gerekir.

  1. VPN İstemcisi adres havuzunu ekleyin.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"

  2. VPN ağ geçidiniz için VPN kök sertifikasını Azure'a yükleyin. Bu örnekte, kök sertifikanın aşağıdaki PowerShell cmdlet'lerinin çalıştığı ve PowerShell'i yerel olarak çalıştırdığınız yerel makinede depolandığını varsayıyoruz. Sertifikayı Azure portalını kullanarak da karşıya yükleyebilirsiniz.

    $p2sCertFullName = "RootErVpnCoexP2S.cer" 
$p2sCertMatchName = "RootErVpnCoexP2S" 
$p2sCertToUpload=get-childitem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
if ($p2sCertToUpload.count -eq 1){write-host "cert found"} else {write-host "cert not found" exit} 
$p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayname $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData

Noktadan Siteye VPN hakkında daha fazla bilgi içini bkz. Noktadan Siteye bağlantı yapılandırma.

ExpressRoute ile Azure VPN arasında geçiş yönlendirmesini etkinleştirmek için

ExpressRoute'a bağlı yerel ağlarınızdan biri ile siteden siteye VPN bağlantısına bağlı olan başka bir yerel ağınız arasında bağlantıyı etkinleştirmek istiyorsanız Azure Route Server'ı ayarlamanız gerekir.

Sonraki adımlar

ExpressRoute hakkında daha fazla bilgi için, bkz. ExpressRoute SSS.