vWAN'da Azure VMware Çözümü için siteden siteye VPN yapılandırma

  • Makale

Bu makalede, Microsoft Azure Sanal WAN hub'ında sonlandıran bir VPN (IPsec IKEv1 ve IKEv2) siteden siteye tünel oluşturmayı öğrenin. Hub Azure VMware Çözümü ExpressRoute ağ geçidini ve siteden siteye VPN ağ geçidini içerir. Bir şirket içi VPN cihazını Azure VMware Çözümü uç noktasına bağlar.

Diagram showing VPN site-to-site tunnel architecture.

Önkoşullar

Şirket içi VPN cihazında sonlandıran genel kullanıma yönelik bir IP adresiniz olmalıdır.

Azure Sanal WAN oluşturma

  1. Portalda, Kaynak ara çubuğuna arama kutusuna Sanal WAN yazın ve Enter tuşuna basın.

  2. Sonuçlardan Sanal WAN seçin. Sanal WAN sayfasında + Oluştur'u seçerek WAN Oluştur sayfasını açın.

  3. WAN Oluştur sayfasının Temel Bilgiler sekmesinde alanları doldurun. Örnek değerleri ortamınıza uygulanacak şekilde değiştirin.

    Screenshot shows the Create WAN pane with the Basics tab selected.

    • Abonelik: Kullanmak istediğiniz aboneliği seçin.
    • Kaynak grubu: Yeni oluşturun veya var olanı kullanın.
    • Kaynak grubu konumu: Açılan listeden bir kaynak konumu seçin. WAN genel bir kaynaktır ve belirli bir bölgede yaşamıyor. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
    • Ad: Sanal WAN'ınızı çağırmak istediğiniz Adı yazın.
    • Tür: Temel veya Standart. Standart'ı seçin. Temel'i seçerseniz, Temel sanal WAN'lerin yalnızca Temel hub'lar içerebileceğini anlayın. Temel hub'lar yalnızca siteden siteye bağlantılar için kullanılabilir.

  4. Alanları doldurmayı bitirdikten sonra, sayfanın en altında Gözden Geçir +Oluştur'u seçin.

  5. Doğrulama geçtikten sonra Sanal WAN'ı oluşturmak için Oluştur'a tıklayın.

Sanal hub oluşturma

Sanal hub, Azure Sanal WAN tarafından oluşturulan ve kullanılan bir sanal ağdır. Bir bölgedeki Sanal WAN ağınızın çekirdeğidir. Siteden siteye ve ExpressRoute için ağ geçitleri içerebilir.

İpucu

Ayrıca mevcut bir hub'da bir ağ geçidi oluşturabilirsiniz.

  1. Oluşturduğunuz sanal WAN'a gidin. Sanal WAN sayfası sol bölmesindeki Bağlan ivity altında Hubs'ı seçin.

  2. Hubs sayfasında +Yeni Hub'ı seçerek Sanal hub oluştur sayfasını açın.

    Screenshot shows the Create virtual hub pane with the Basics tab selected.

  3. Sanal hub oluştur sayfasında Temel Bilgiler sekmesinde aşağıdaki alanları doldurun:

    • Bölge: Sanal hub'ı dağıtmak istediğiniz bölgeyi seçin.
    • Ad: Sanal hub'ın bilinmesini istediğiniz ad.
    • Hub özel adres alanı: Hub'ın CIDR gösterimindeki adres aralığı. Hub oluşturmak için en düşük adres alanı /24'dür.
    • Sanal hub kapasitesi: Açılan listeden seçin. Daha fazla bilgi için bkz . Sanal hub ayarları.
    • Hub yönlendirme tercihi: Varsayılan olarak bırakın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihi.

VPN ağ geçidi oluşturma

  1. Siteden siteye sekmesini açmak için Sanal hub oluştur sayfasında Siteden siteye'ye tıklayın.

    Screenshot shows the Create virtual hub pane with Site to site selected.

  2. Siteden siteye sekmesinde aşağıdaki alanları doldurun:

    • Siteden siteye VPN oluşturmak için Evet'i seçin.

    • AS Numarası: AS Numarası alanı düzenlenemez.

    • Ağ geçidi ölçek birimleri: Açılan listeden Ağ geçidi ölçek birimleri değerini seçin. Ölçek birimi, siteleri bağlamak için sanal hub'da oluşturulan VPN ağ geçidinin toplam aktarım hızını seçmenize olanak tanır.

      1 ölçek birimi = 500 Mb/sn seçersensiniz, her biri en yüksek aktarım hızı 500 Mb/sn olan iki yedeklilik örneği oluşturulacağı anlamına gelir. Örneğin, her biri dalda 10 Mb/sn alan beş dalınız varsa, baş uçta 50 Mb/sn toplamanız gerekir. Azure VPN ağ geçidinin toplam kapasitesi planlaması, hub'a dal sayısını desteklemek için gereken kapasite değerlendirildikten sonra yapılmalıdır.

    • Yönlendirme tercihi: Azure yönlendirme tercihi, trafiğinizin Azure ile İnternet arasında nasıl yönlendirileceğini seçmenizi sağlar. Trafiği Microsoft ağı veya ISS ağı (genel İnternet) üzerinden yönlendirmeyi seçebilirsiniz. Bu seçenekler sırasıyla soğuk patates yönlendirme ve sıcak patates yönlendirme olarak da adlandırılır.

      Sanal WAN'deki genel IP adresi, seçilen yönlendirme seçeneğine bağlı olarak hizmet tarafından atanır. Microsoft ağı veya ISS aracılığıyla yönlendirme tercihi hakkında daha fazla bilgi için Yönlendirme tercihi makalesine bakın.

  3. Doğrulamak için Gözden Geçir + Oluştur'u seçin.

  4. Hub'ı ve ağ geçidini oluşturmak için Oluştur'u seçin. Bu işlem 30 dakika sürebilir. 30 dakika sonra Hubs sayfasında hub'ı görüntülemek için yenileyin. Kaynağa gitmek için Kaynağa git'i seçin.

Siteden siteye VPN oluşturma

  1. Azure portalında daha önce oluşturduğunuz sanal WAN'ı seçin.

  2. Sanal hub'a genel bakış bölümünde Bağlan ivity>VPN (Siteden siteye)Yeni VPN sitesi oluştur'u> seçin.

    Screenshot of the Overview page for the virtual hub, with VPN (site-to-site) and Create new VPN site selected.

  3. Temel Bilgiler sekmesinde gerekli alanları girin.

    Screenshot showing the Create VPN site page with the Basics tab open.

    • Bölge - Daha önce konum olarak adlandırılır. Bu site kaynağını oluşturmak istediğiniz konumdur.

    • Ad - Şirket içi sitenize başvurmak istediğiniz ad.

    • Cihaz satıcısı - VPN cihazı satıcısının adı, örneğin Citrix, Cisco veya Barracuda. Gelecekte daha fazla iyileştirme olanağı eklemek veya sorun gidermenize yardımcı olmak için Azure Ekibi'nin ortamınızı daha iyi anlamasına yardımcı olur.

    • Özel adres alanı - Şirket içi sitenizde bulunan CIDR IP adresi alanı. Bu adres alanını hedefleyen trafik yerel sitenize yönlendirilir. CIDR bloğu yalnızca bgp site için etkinleştirilmemişse gereklidir.

    Not

    Siteyi oluşturduktan sonra adres alanını düzenlerseniz (örneğin, ek bir adres alanı eklerseniz), bileşenler yeniden oluşturulurken geçerli yolların güncelleştirilmiş olması 8-10 dakika sürebilir.

  4. Daldaki fiziksel bağlantılar hakkında bilgi eklemek için Bağlantılar'ı seçin. Sanal WAN iş ortağı CPE cihazınız varsa, bu bilgilerin sistemlerinden ayarlanan dal bilgileri karşıya yükleme işleminin bir parçası olarak Azure ile değiş tokuş edip etmediğini görmek için onlarla birlikte denetleyin.

    Bağlantı ve sağlayıcı adlarının belirtilmesi, sonunda hub'ın bir parçası olarak oluşturulabilecek herhangi bir sayıda ağ geçidi arasında ayrım yapmanızı sağlar. BGP ve otonom sistem numarası (ASN) kuruluşunuzun içinde benzersiz olmalıdır. BGP, hem Azure VMware Çözümü hem de şirket içi sunucuların yollarını tünel boyunca tanıtmasını sağlar. Devre dışı bırakılırsa, tanıtılması gereken alt ağlar el ile korunmalıdır. Alt ağlar atlanırsa, HCX hizmet ağı oluşturamıyor.

    Önemli

    Varsayılan olarak Azure, GatewaySubnet ön ek aralığından Azure VPN ağ geçidinde Azure BGP IP adresi olarak otomatik olarak bir özel IP adresi atar. Şirket içi VPN cihazlarınız BGP IP olarak bir APIPA adresi (169.254.0.1 - 169.254.255.254) kullandığında özel Azure APIPA BGP adresi gereklidir. Azure VPN Gateway, karşılık gelen yerel ağ geçidi kaynağının (şirket içi ağ) BGP eş IP'si olarak bir APIPA adresine sahip olması durumunda özel APIPA adresini seçer. Yerel ağ geçidi normal bir IP adresi (APIPA değil) kullanıyorsa, Azure VPN Gateway Gateway GatewaySubnet aralığından özel IP adresine geri döner.

    Screenshot showing the Create VPN site page with the Links tab open.

  5. Gözden geçir ve oluştur’u seçin.

  6. İstediğiniz sanal hub'a gidin ve VPN sitenizi hub'a bağlamak için Hub ilişkilendirmesinin seçimini kaldırın.

    Screenshot shows Connect to this hub.

(İsteğe bağlı) İlke tabanlı VPN siteden siteye tüneller oluşturma

Önemli

Bu isteğe bağlı bir adımdır ve yalnızca ilke tabanlı VPN'ler için geçerlidir.

İlke tabanlı VPN kurulumları, merkez aralıkları dahil olmak üzere şirket içi ve Azure VMware Çözümü ağlarının belirtilmesi gerekir. Bu aralıklar, ilke tabanlı VPN tüneli şirket içi uç noktasının şifreleme etki alanını belirtir. Azure VMware Çözümü tarafı yalnızca ilke tabanlı trafik seçici göstergesinin etkinleştirilmesini gerektirir.

  1. Azure portalında Sanal WAN hub sitenize gidin ve Bağlan ivity altında VPN (Siteden siteye) öğesini seçin.

  2. Özel IPsec ilkesi ayarlamak istediğiniz VPN Sitesini seçin.

    Screenshot showing the existing VPN sites to set up customer IPsec policies.

  3. VPN sitenizin adını seçin, en sağdaki Diğer (...) öğesini seçin ve ardından VPN Bağlan ion düzenle'yi seçin.

    Screenshot showing the context menu for an existing VPN site.

    • İnternet Protokolü Güvenliği (IPSec), Özel'i seçin.

    • İlke tabanlı trafik seçiciyi kullanın, Etkinleştir'i seçin

    • IKE Aşama 1 ve IKE Aşama 2(ipsec) için ayrıntıları belirtin.

  4. IPsec ayarını varsayılan olarak özel olarak değiştirin ve IPsec ilkesini özelleştirin. Ardından Kaydet'i seçin.

    Screenshot showing the existing VPN sites.

    İlke tabanlı şifreleme etki alanının parçası olan trafik seçicileriniz veya alt ağlarınız şunlar olmalıdır:

    • Sanal WAN hub/24

    • Özel bulut Azure VMware Çözümü/22

    • Bağlan Azure sanal ağı (varsa)

VPN sitenizi hub'a Bağlan

  1. VPN sitenizin adını ve ardından VPN sitelerini Bağlan seçin.

  2. Önceden paylaşılan anahtar alanına, şirket içi uç nokta için önceden tanımlanmış olan anahtarı girin.

    İpucu

    Önceden tanımlanmış bir anahtarınız yoksa, bu alanı boş bırakabilirsiniz. Sizin için otomatik olarak bir anahtar oluşturulur.

    Screenshot that shows the Connected Sites pane for Virtual HUB ready for a Pre-shared key and associated settings.

  3. Hub'da bir güvenlik duvarı dağıtıyorsanız ve sonraki atlama buysa Varsayılan Yolu Yay seçeneğini Etkinleştir olarak ayarlayın.

    Etkinleştirildiğinde, Sanal WAN hub'ı yalnızca hub'da bir güvenlik duvarı dağıtırken varsayılan yolu zaten öğrendiyse veya başka bir bağlı site zorlamalı tüneli etkinleştirdiyse bir bağlantıya yayılır. Varsayılan yol Sanal WAN hub'ında kaynaklanmıyor.

  4. Bağlan'ı seçin. Birkaç dakika sonra, site bağlantı ve bağlantı durumunu gösterir.

    Screenshot that shows a site-to-site connection and connectivity status.

    Bağlan Ion Durumu: VPN sitesini Azure hub'ının VPN ağ geçidine bağlayan bağlantının Azure kaynağının durumu. Bu denetim düzlemi işlemi başarılı olduktan sonra Azure VPN ağ geçidi ve şirket içi VPN cihazı bağlantı kurar.

    Bağlan ivity Durumu: Azure'ın hub'daki VPN ağ geçidi ile VPN sitesi arasındaki gerçek bağlantı (veri yolu) durumu. Aşağıdaki durumlardan herhangi birini gösterebilir:

    • Bilinmiyor: Genellikle arka uç sistemlerinin başka bir duruma geçiş yapmak için çalışıp çalışmadiğini görürsünüz.
    • Bağlan: Azure VPN ağ geçidi gerçek şirket içi VPN sitesine ulaşmaya çalışıyor.
    • Bağlan: Azure VPN ağ geçidi ile şirket içi VPN sitesi arasında Bağlan üretkenlik oluşturuldu.
    • Bağlantısı kesildi: Genellikle herhangi bir nedenle (şirket içi veya Azure'da) bağlantının kesilmesi durumunda görülür

  5. VPN yapılandırma dosyasını indirin ve şirket içi uç noktasına uygulayın.

    1. VPN (Siteden siteye) sayfasında, üst kısımdaki VPN Config'i İndir'i seçin. Azure, 'microsoft-network-[location]' kaynak grubunda bir depolama hesabı oluşturur; burada konum WAN'ın konumudur. Yapılandırmayı VPN cihazlarınıza uyguladıktan sonra bu depolama hesabını silebilirsiniz.

    2. Oluşturulduktan sonra indirmek için bağlantıyı seçin.

    3. Yapılandırmayı şirket içi VPN cihazınıza uygulayın.

    Yapılandırma dosyası hakkında daha fazla bilgi için bkz . VPN cihazı yapılandırma dosyası hakkında.

  6. Sanal WAN hub'ında Azure VMware Çözümü ExpressRoute'a düzeltme eki uygulama.

    Önemli

    Platforma düzeltme eki uygulamadan önce özel bir bulut oluşturmanız gerekir.

    Önemli

    Ayrıca Sanal WAN Hub'ınızın bir parçası olarak yapılandırılmış bir ExpressRoute Ağ Geçidine sahip olmanız gerekir.

    1. Azure portalında Azure VMware Çözümü özel buluta gidin. Yönet> Bağlan ivity>ExpressRoute'u ve ardından + Yetkilendirme anahtarı iste'yi seçin.

      Screenshot shows how to request an ExpressRoute authorization key.

    2. Bunun için bir ad girin ve Oluştur'u seçin.

      Anahtarın oluşturulması yaklaşık 30 saniye sürebilir. Yeni anahtar oluşturulduktan sonra özel bulut için yetkilendirme anahtarları listesinde görünür.

      Screenshot shows the ExpressRoute Global Reach authorization key.

    3. Yetkilendirme anahtarını ve ExpressRoute Kimliğini kopyalayın. Eşlemeyi tamamlamak için onlara ihtiyacınız var. Yetkilendirme anahtarı bir süre sonra kaybolur, bu nedenle göründüğü anda kopyalayın.

  7. Azure VMware Çözümü ve VPN ağ geçidini Sanal WAN hub'ında birbirine bağlayın. Önceki adımdaki yetkilendirme anahtarını ve ExpressRoute Kimliğini (eş bağlantı hattı URI'si) kullanırsınız.

    1. ExpressRoute ağ geçidinizi ve ardından Yetkilendirme anahtarını kullan'ı seçin.

      Screenshot of the ExpressRoute page for the private cloud, with Redeem authorization key selected.

    2. Yetkilendirme anahtarını Yetkilendirme Anahtarı alanına yapıştırın.

    3. ExpressRoute Kimliğini Eş bağlantı hattı URI'si alanına yapıştırın.

    4. Bu ExpressRoute bağlantı hattını merkezle otomatik olarak ilişkilendir onay kutusunu seçin.

    5. Bağlantıyı oluşturmak için Ekle'yi seçin.

  8. NSX-T Veri Merkezi kesimi oluşturup ağda bir VM sağlayarak bağlantınızı test edin. Hem şirket içi hem de Azure VMware Çözümü uç noktalarına ping atabilirsiniz.

    Not

    ExpressRoute bağlantı hattınızın arkasındaki bir istemciden (örneğin, daha önce oluşturduğunuz sanal ağda bir VM) bağlantıyı test etmeden önce yaklaşık 5 dakika bekleyin.