VPN kullanarak Azure Stack Hub ile Azure arasında bağlantı kurma

  • Makale

Bu makalede, Azure Stack Hub'daki bir sanal ağı Azure'daki bir sanal ağa bağlamak için siteden siteye VPN'in nasıl oluşturulacağı açıklanır.

Başlamadan önce

Bağlantı yapılandırmasını tamamlamak için başlamadan önce aşağıdaki öğelere sahip olduğunuzdan emin olun:

  • Doğrudan İnternet'e bağlı bir Azure Stack Hub tümleşik sistemleri (çok düğümlü) dağıtımı. Dış genel IP adresi aralığınız genel İnternet'ten doğrudan erişilebilir olmalıdır.
  • Geçerli bir Azure aboneliği. Azure aboneliğiniz yoksa burada ücretsiz bir Azure hesabı oluşturabilirsiniz.

VPN bağlantısı diyagramı

Aşağıdaki şekilde, işiniz bittiğinde bağlantı yapılandırmasının nasıl görünmesi gerektiği gösterilmektedir:

Siteden siteye VPN bağlantısı yapılandırması

Ağ yapılandırması örnek değerleri

Ağ yapılandırma örnekleri tablosu, bu makaledeki örnekler için kullanılan değerleri gösterir. Bu değerleri kullanabilir veya bu makaledeki örnekleri daha iyi anlamak için bunlara başvurabilirsiniz:

Değer Azure Stack Hub Azure
Sanal ağın adı Azs-VNet AzureVNet
Sanal ağ adres alanı 10.1.0.0/16 10.100.0.0/16
Alt ağ adı FrontEnd FrontEnd
Alt ağ adres aralığı 10.1.0.0/24 10.100.0.0/24
Ağ geçidi alt ağı 10.1.1.0/24 10.100.1.0/24

Azure'da ağ kaynaklarını oluşturun

İlk olarak Azure için ağ kaynaklarını oluşturun. Aşağıdaki yönergelerde, Azure portal kullanarak kaynakların nasıl oluşturulacağı gösterilir.

Sanal ağ ve sanal makine (VM) alt ağını oluşturma

  1. Azure hesabınızı kullanarak Azure portal oturum açın.
  2. Kullanıcı portalında + Kaynak oluştur'u seçin.
  3. Market'e gidin ve Ağ'ı seçin.
  4. Sanal ağ'ı seçin.
  5. Azure Adı, Adres alanı, Alt ağ adı ve Altadres aralığı değerlerini belirlemek için ağ yapılandırma tablosundaki bilgileri kullanın.
  6. Kaynak Grubu için yeni bir kaynak grubu oluşturun veya zaten bir kaynak grubunuz varsa Var olanı kullan'ı seçin.
  7. Sanal ağınızın Konumunu seçin. Örnek değerleri kullanıyorsanız Doğu ABD'yi seçin veya başka bir konum kullanın.
  8. Panoya sabitle’yi seçin.
  9. Oluştur’u seçin.

Ağ geçidi alt ağını oluşturma

  1. Oluşturduğunuz sanal ağ kaynağını (AzureVNet) panodan açın.

  2. Ayarlar bölümünde Alt ağlar'ı seçin.

  3. Sanal ağa bir ağ geçidi alt ağı eklemek için Ağ geçidi alt ağı'nı seçin.

  4. Alt ağın adı varsayılan olarak GatewaySubnet şeklinde ayarlanır.

    Önemli

    Ağ geçidi alt ağları özeldir ve düzgün şekilde çalışabilmesi için bu ada sahip olmalıdır.

  5. Adres aralığı alanında adresin 10.100.1.0/24 olduğunu doğrulayın.

  6. Ağ geçidi alt ağı oluşturmak için Tamam'ı seçin.

Sanal ağ geçidini oluşturma

  1. Azure portalında + Kaynak oluştur’u seçin.
  2. Market'e gidin ve Ağ'ı seçin.
  3. Ağ kaynakları listesinden Sanal ağ geçidi'ni seçin.
  4. Ad alanına Azure-GW yazın.
  5. Sanal ağ seçmek için Sanal ağ'ı seçin. Ardından listeden AzureVnet'i seçin.
  6. Genel IP adresi'ni seçin. Genel IP adresi seçin bölümü açıldığında Yeni oluştur'u seçin.
  7. Ad alanına Azure-GW-PiP yazın ve Tamam'ı seçin.
  8. Abonelik ve Konum seçeneklerinin doğruluğunu onaylayın. Kaynağı panoya sabitleyebilirsiniz. Oluştur’u seçin.

Yerel ağ geçidi kaynağını oluşturma

  1. Azure portalında + Kaynak oluştur’u seçin.

  2. Market'e gidin ve Ağ'ı seçin.

  3. Kaynak listesinden Yerel ağ geçidi'ni seçin.

  4. Ad alanına Azs-GW yazın.

  5. IP adresi alanına Azure Stack Hub Sanal Ağ Ağ Geçidiniz için daha önce ağ yapılandırma tablosunda listelenen genel IP adresini yazın.

  6. Adres Alanı alanına Azure Stack Hub'dan AzureVNet için 10.1.0.0/24 ve 10.1.1.0/24 adres alanını yazın.

  7. Aboneliğinizin, Kaynak Grubunuzun ve Konumunuzun doğru olduğunu doğrulayın ve Oluştur'u seçin.

Bağlantı oluşturma

  1. Kullanıcı portalında + Kaynak oluştur'u seçin.

  2. Market'e gidin ve Ağ'ı seçin.

  3. Kaynak listesinden Bağlantı'yı seçin.

  4. Temel ayarlar bölümünde, Bağlantı türü için Siteden siteye (IPSec) öğesini seçin.

  5. Abonelik, Kaynak Grubu ve Konum'u ve ardından Tamam'ı seçin.

  6. Ayarlar bölümünde Sanal ağ geçidi'ni ve ardından Azure-GW'yi seçin.

  7. Yerel ağ geçidi'ni ve ardından Azs-GW'yi seçin.

  8. Bağlantı adı alanına Azure-Azs yazın.

  9. Paylaşılan anahtar (PSK) bölümüne 12345 yazıp Tamam'ı seçin.

    Not

    Paylaşılan anahtar için farklı bir değer kullanıyorsanız, bağlantının diğer ucunda oluşturduğunuz paylaşılan anahtarın değeriyle eşleşmesi gerektiğini unutmayın.

  10. Özet bölümünü gözden geçirin ve Tamam'ı seçin.

Özel IPSec ilkesi oluşturma

Azure'ın Azure Stack Hub ile eşleşmesi için özel bir IPSec ilkesi gerekir.

  1. Özel ilke oluşturma:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. İlkeyi bağlantıya uygulayın:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

VM oluşturma

Şimdi Azure'da bir VM oluşturun ve sanal ağınızdaki VM alt ağına yerleştirin.

  1. Azure portalında + Kaynak oluştur’u seçin.

  2. Market'e gidin ve İşlem'i seçin.

  3. VM görüntüleri listesinde Datacenter Eval görüntüsünü Windows Server 2016 seçin.

  4. Temel Bilgiler bölümünde Ad alanına AzureVM yazın.

  5. Geçerli bir kullanıcı adı ve parola yazın. Oluşturulduktan sonra VM'de oturum açmak için bu hesabı kullanırsınız.

  6. Bir Abonelik, Kaynak Grubu ve Konum sağlayın ve ardından Tamam'ı seçin.

  7. Boyut bölümünde bu örnek için bir VM boyutu seçin ve ardından Seç'i seçin.

  8. Ayarlar bölümünde varsayılan ayarları kullanabilirsiniz. Tamam'ı seçmeden önce şunları onaylayın:

    • AzureVnet sanal ağı seçilidir.
    • Alt ağ 10.100.0.0/24 olarak ayarlanır.

    Tamam’ı seçin.

  9. Özet bölümündeki ayarları gözden geçirin ve tamam'ı seçin.

Azure Stack Hub'da ağ kaynaklarını oluşturma

Ardından Azure Stack Hub'da ağ kaynaklarını oluşturun.

Kullanıcı olarak oturum açma

Hizmet yöneticisi, kullanıcılarının kullanabileceği planları, teklifleri ve abonelikleri test etmek için kullanıcı olarak oturum açabilir. Henüz bir hesabınız yoksa, oturum açmadan önce bir kullanıcı hesabı oluşturun .

Sanal ağı ve vm alt ağını oluşturma

  1. Kullanıcı portalında oturum açmak için bir kullanıcı hesabı kullanın.

  2. Kullanıcı portalında + Kaynak oluştur'u seçin.

    Yeni sanal ağ oluştur

  3. Market'e gidin ve Ağ'ı seçin.

  4. Sanal ağ'ı seçin.

  5. Ad, Adres alanı, Alt ağ adı ve Alt ağ adres aralığı için ağ yapılandırma tablosundaki değerleri kullanın.

  6. Abonelik bölümünde, daha önce oluşturduğunuz abonelik görüntülenir.

  7. Kaynak Grubu için bir kaynak grubu oluşturabilir veya zaten bir kaynak grubunuz varsa Var olanı kullan'ı seçin.

  8. Varsayılan konumu doğrulayın.

  9. Panoya sabitle’yi seçin.

  10. Oluştur’u seçin.

Ağ geçidi alt ağını oluşturma

  1. Panoda, oluşturduğunuz Azs-VNet sanal ağ kaynağını açın.

  2. Ayarlar bölümünde Alt ağlar'ı seçin.

  3. Sanal ağa bir ağ geçidi alt ağı eklemek için Ağ Geçidi Alt Ağı'nı seçin.

    Ağ geçidi alt ağı ekleme

  4. Varsayılan olarak, alt ağ adı GatewaySubnet olarak ayarlanır. Ağ geçidi alt ağlarının düzgün çalışması için GatewaySubnet adını kullanmaları gerekir.

  5. Adres aralığı'nda adresin 10.1.1.0/24 olduğunu doğrulayın.

  6. Ağ geçidi alt akını oluşturmak için Tamam'ı seçin.

Sanal ağ geçidini oluşturma

  1. Azure Stack Hub portalında + Kaynak oluştur'u seçin.

  2. Market'e gidin ve Ağ'ı seçin.

  3. Ağ kaynakları listesinden Sanal ağ geçidi'ni seçin.

  4. Ad alanına Azs-GW yazın.

  5. Sanal ağ seçmek için Sanal ağ öğesini seçin. Listeden Azs-VNet'i seçin.

  6. Genel IP adresi menü öğesini seçin. Genel IP adresi seçin bölümü açıldığında Yeni oluştur'u seçin.

  7. Ad alanına Azs-GW-PiP yazıp Tamam'ı seçin.

  8. Varsayılan olarak, VPN türü için Rota tabanlı seçilidir. Rota tabanlı VPN türünü koruyun.

  9. Abonelik ve Konum seçeneklerinin doğruluğunu onaylayın. Kaynağı panoya sabitleyebilirsiniz. Oluştur’u seçin.

Yerel ağ geçidini oluşturma

Azure Stack Hub'da yerel ağ geçidi kavramı, Azure dağıtımından farklıdır.

Bir Azure dağıtımında yerel ağ geçidi, Azure'da bir sanal ağ geçidine bağladığınız şirket içi (kullanıcı konumunda) bir fiziksel cihazı temsil eder. Ancak Azure Stack Hub'da bağlantının her iki ucu da sanal ağ geçitleridir.

Daha genel bir açıklama, yerel ağ geçidi kaynağının her zaman bağlantının diğer ucundaki uzak ağ geçidini gösterdiğidir.

Yerel ağ geçidi kaynağını oluşturma

  1. Azure Stack Hub portalında oturum açın.

  2. Kullanıcı portalında + Kaynak oluştur'u seçin.

  3. Market'e gidin ve Ağ'ı seçin.

  4. Kaynak listesinden yerel ağ geçidi'ni seçin.

  5. Ad alanına Azure-GW yazın.

  6. IP adresi alanına Azure-GW-PiP sanal ağ geçidi için genel IP adresini yazın. Bu adres daha önce ağ yapılandırma tablosunda görünür.

  7. Adres Alanı alanında, oluşturduğunuz Azure VNET'in adres alanı için 10.100.0.0/24 ve 10.100.1.0/24 yazın.

  8. Abonelik, Kaynak Grubu ve konum değerlerinizin doğru olduğunu doğrulayın ve Oluştur'u seçin.

Bağlantı oluşturma

  1. Kullanıcı portalında + Kaynak oluştur'u seçin.

  2. Market'e gidin ve Ağ'ı seçin.

  3. Kaynak listesinden Bağlantı'yı seçin.

  4. Temel ayarlar bölümünde, Bağlantı türü için Siteden siteye (IPSec) öğesini seçin.

  5. Abonelik, Kaynak Grubu ve Konum'a tıklayın ve ardından Tamam'a tıklayın.

  6. Ayarlar bölümünde Sanal ağ geçidi'ni ve ardından Azs-GW'yi seçin.

  7. Yerel ağ geçidi'ni ve ardından Azure-GW'yi seçin.

  8. Bağlantı Adı alanına Azs-Azure yazın.

  9. Paylaşılan anahtar (PSK) bölümüne 12345 yazıp Tamam'ı seçin.

  10. Özet bölümünde Tamam'ı seçin.

VM oluşturma

VPN bağlantısını denetlemek için biri Azure'da, diğeri de Azure Stack Hub'da olmak üzere iki VM oluşturun. Bu VM'leri oluşturduktan sonra VPN tüneli üzerinden veri göndermek ve almak için kullanabilirsiniz.

  1. Azure portalında + Kaynak oluştur’u seçin.

  2. Market'e gidin ve İşlem'i seçin.

  3. VM görüntüleri listesinde Datacenter Eval görüntüsünü Windows Server 2016 seçin.

  4. Temel Bilgiler bölümündeki Ad alanına Azs-VM yazın.

  5. Geçerli bir kullanıcı adı ve parola yazın. Oluşturulduktan sonra VM'de oturum açmak için bu hesabı kullanırsınız.

  6. Bir Abonelik, Kaynak Grubu ve Konum sağlayın ve ardından Tamam'ı seçin.

  7. Boyut bölümünde, bu örnek için bir VM boyutu seçin ve ardından Seç'i seçin.

  8. Ayarlar bölümünde varsayılan değerleri kabul edin. Azs-VNet sanal ağının seçili olduğundan emin olun. Alt ağın 10.1.0.0/24 olarak ayarlandığını doğrulayın. Ardından Tamam’ı seçin.

  9. Özet bölümünde ayarları gözden geçirin ve tamam'ı seçin.

Bağlantıyı test etme

Siteden siteye bağlantı kurulduktan sonra her iki yönde de veri akışı alabildiğinizi doğrulamanız gerekir. Bağlantıyı test etmenin en kolay yolu ping testi yapmaktır:

  • Azure Stack Hub'da oluşturduğunuz VM'de oturum açın ve Azure'da VM'ye ping gönderin.
  • Azure'da oluşturduğunuz VM'de oturum açın ve Azure Stack Hub'da VM'ye ping gönderin.

Not

Siteden siteye bağlantı üzerinden trafik gönderdiğinizden emin olmak için VIP'ye değil uzak alt ağdaki SANAL makinenin Doğrudan IP (DIP) adresine ping yapın.

Azure Stack Hub'da kullanıcı VM'sinde oturum açma

  1. Azure Stack Hub portalında oturum açın.

  2. Sol gezinti çubuğunda Sanal Makineler'ı seçin.

  3. VM listesinde, daha önce oluşturduğunuz Azs-VM'yi bulun ve seçin.

  4. VM bölümünde Bağlan'ı seçin ve ardından Azs-VM.rdp dosyasını açın.

    Bağlan düğmesi

  5. VM'yi oluştururken yapılandırdığınız hesapla oturum açın.

  6. Yükseltilmiş bir Windows PowerShell istemi açın.

  7. ipconfig /all yazın.

  8. Çıktıda IPv4 Adresi'ni bulun ve daha sonra kullanmak üzere adresi kaydedin. Bu, Azure'dan ping yaptığınız adrestir. Örnek ortamda adres 10.1.0.4'dür, ancak ortamınızda farklı olabilir. Daha önce oluşturduğunuz 10.1.0.0/24 alt ağı içinde olmalıdır.

  9. VM'nin ping'lere yanıt vermesini sağlayan bir güvenlik duvarı kuralı oluşturmak için aşağıdaki PowerShell komutunu çalıştırın:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Azure'da kiracı VM'sinde oturum açma

  1. Azure portalında oturum açın.

  2. Sol gezinti çubuğunda Sanal Makineler'ı seçin.

  3. VM listesinden, daha önce oluşturduğunuz Azure-VM'yi bulun ve seçin.

  4. VM bölümünde Bağlan'ı seçin.

  5. VM'yi oluştururken yapılandırdığınız hesapla oturum açın.

  6. Yükseltilmiş bir Windows PowerShell penceresi açın.

  7. ipconfig /all yazın.

  8. 10.100.0.0/24'e denk gelen bir IPv4 adresi görmeniz gerekir. Örnek ortamda adres 10.100.0.4'dür, ancak adresiniz farklı olabilir.

  9. VM'nin ping'lere yanıt vermesini sağlayan bir güvenlik duvarı kuralı oluşturmak için aşağıdaki PowerShell komutunu çalıştırın:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Azure'daki VM'den, tünel aracılığıyla Azure Stack Hub'daki VM'ye ping gönderin. Bunu yapmak için Azs-VM'den kaydettiğiniz DIP'ye ping yaparsınız. Örnek ortamda bu 10.1.0.4'dür, ancak laboratuvarınızda not ettiğiniz adrese ping yaptığınızdan emin olun. Aşağıdaki ekran görüntüsüne benzer bir sonuç görmeniz gerekir:

    Başarılı ping

  11. Uzak VM'den gelen bir yanıt, başarılı bir test olduğunu gösterir. VM penceresini kapatabilirsiniz.

Ayrıca daha sıkı veri aktarımı testi de yapmalısınız (örneğin, her iki yönde farklı boyutlu dosyaları kopyalama).

Ağ geçidi bağlantısı üzerinden veri aktarımı istatistiklerini görüntüleme

Siteden siteye bağlantınızdan ne kadar veri geçtiğini öğrenmek istiyorsanız, bu bilgilere Bağlantı bölümünden ulaşabilirsiniz. Bu test ayrıca az önce gönderdiğiniz ping'in VPN bağlantısından geçtiğini doğrulamanın başka bir yoludur.

  1. Azure Stack Hub'da kullanıcı VM'sinde oturum açtığınızda, kullanıcı portalında oturum açmak için kullanıcı hesabınızı kullanın.

  2. Tüm kaynaklar'a gidin ve Azs-Azure bağlantısını seçin. Bağlantılar görüntülenir.

  3. Bağlantı bölümünde, veri ve veri çıkışı istatistikleri görüntülenir. Aşağıdaki ekran görüntüsünde, büyük sayılar ek dosya aktarımına atfedilir. Burada sıfır olmayan bazı değerler görmeniz gerekir.

    Veriler içeri ve dışarı

Sonraki adımlar