Birlikte bulunan ExpressRoute bağlantıları ile Siteden Siteye bağlantıları yapılandırma (klasik)
Bu makale, bir arada var olan ExpressRoute ve Siteden Siteye VPN bağlantılarını yapılandırmanıza yardımcı olur. Siteden Siteye VPN ve ExpressRoute yapılandırma yeteneğine sahip olmanın çeşitli avantajları vardır. Siteden Siteye VPN'i ExpressRoute için güvenli bir yük devretme yolu olarak yapılandırabilir veya ExpressRoute üzerinden bağlanmamış sitelere bağlanmak için Siteden Siteye VPN'leri kullanabilirsiniz. Bu makalede iki senaryo için de yapılandırma adımları verilmektedir. Bu makale klasik dağıtım modeli için geçerlidir. Bu yapılandırma portalda kullanılamaz.
Önemli
1 Mart 2017’den itibaren klasik dağıtım modelinde ExpressRoute işlem hatları oluşturulamayacaktır.
- Herhangi bir bağlantı kesilme süresi yaşamadan, mevcut bir ExpressRoute devresini klasik dağıtım modelinden Resource Manager dağıtım modeline taşıyabilirsiniz. Daha fazla bilgi için bkz. Mevcut bir devreyi taşıma.
- allowClassicOperations seçeneğini TRUE olarak ayarlayarak klasik dağıtım modelinde sanal ağlara bağlanabilirsiniz.
Resource Manager dağıtım modelinde ExpressRoute işlem hatları oluşturup yönetmek için aşağıdaki bağlantıları kullanın:
Azure dağıtım modelleri hakkında
Azure şu anda iki dağıtım modeliyle çalışır: Resource Manager ve klasik. İki model birbiriyle tam olarak uyumlu değildir. Başlamadan önce hangi modelle çalışmak istediğinizi bilmeniz gerekir. Dağıtım modelleri hakkında bilgi için bkz. Dağıtım modellerini anlama. Azure'da yeniyseniz, Resource Manager dağıtım modeli kullanmanız önerilir.
Önemli
Bu makaledeki yönergeleri izlemeden önce ExpressRoute bağlantı hattının önceden yapılandırılması gerekir. Devam etmeden önce bir ExpressRoute bağlantı hattı oluşturmak ve yönlendirmeyi yapılandırmak için kılavuzları izlediğinize emin olun.
Sınırlar ve sınırlamalar
- Geçiş yönlendirmesi desteklenmez. Siteden Siteye VPN aracılığıyla bağlanan yerel ağınız ile ExpressRoute aracılığıyla bağlanan yerel ağınız arasında (Azure aracılığıyla) yönlendirme yapamazsınız.
- Noktadan siteye desteklenmez. ExpressRoute’e bağlı aynı VNet için noktadan siteye VPN bağlantılarını etkinleştiremezsiniz. Noktadan siteye VPN ve ExpressRoute aynı sanal ağ için birlikte var olamaz.
- Zorlamalı tünel, Siteden Siteye VPN ağ geçidinde etkinleştirilemez. ExpressRoute aracılığıyla İnternet’e bağlı tüm trafiği yalnızca şirket içi ağınıza geri “zorlayabilirsiniz”.
- Temel SKU ağ geçidi desteklenmez. Hem ExpressRoute ağ geçidi hem de VPN ağ geçidi için Temel SKU olmayan bir ağ geçidi kullanmanız gerekir.
- Yalnızca rota tabanlı VPN ağ geçidi desteklenir. Rota tabanlı VPN Gateway kullanmanız gerekir.
- VPN ağ geçidiniz için statik rota yapılandırılmalıdır. Yerel ağınız hem ExpressRoute hem de Siteden Siteye VPN’e bağlıysa Siteden Siteye VPN bağlantısını genel İnternet’e yönlendirebilmeniz için yerel ağınızda statik bir rotanın yapılandırılmış olması gerekir.
Yapılandırma tasarımları
Siteden siteye VPN’i ExpressRoute için bir yük devretme yolu olarak yapılandırma
Siteden siteye bir VPN bağlantısını ExpressRoute için yedek olarak yapılandırabilirsiniz. Bu kurulum yalnızca Azure özel eşleme yoluna bağlı sanal ağlar için geçerlidir. Azure genel ve Microsoft eşlemeleri aracılığıyla erişilebilen hizmetler için VPN tabanlı yük devretme çözümü yoktur. ExpressRoute bağlantı hattı her zaman birincil bağlantıdır. Yalnızca ExpressRoute bağlantı hattı başarısız olduğunda Siteden Siteye VPN yolundan veri akışı.
Not
Her iki yol da aynı olduğunda ExpressRoute bağlantı hattı Siteden Siteye VPN’ye tercih edilse de Azure paketin hedefine yönelik yolu seçmek için en uzun ön ek eşleşmesini kullanır.
ExpressRoute aracılığıyla bağlanılmayan sitelere bağlanmak için Siteden Siteye VPN yapılandırma
Ağınızı bazı sitelerin Azure’a Siteden Siteye VPN üzerinden doğrudan ve bazı sitelerin ExpressRoute üzerinden bağlanması için yapılandırabilirsiniz.
Not
Bir sanal ağı geçiş yönlendiricisi olarak yapılandıramazsınız.
Kullanılacak adımları seçme
Bir arada var olabilen bağlantılar yapılandırmak için seçebileceğiniz iki farklı yordam kümesi vardır. Seçtiğiniz yapılandırma yordamı, bağlanmak istediğiniz mevcut bir sanal ağ olup olmadığına veya yeni bir sanal ağ oluşturmak isteyip istememenize bağlıdır.
Bir VNet’im yok ve bir tane oluşturmam gerekiyor.
Henüz bir sanal ağınız yoksa, bu yordam klasik dağıtım modelini kullanarak yeni bir sanal ağ oluşturma ve yeni ExpressRoute ve Siteden Siteye VPN bağlantıları oluşturma konusunda size yol gösterir. Yapılandırmak için, makalenin Yeni bir sanal ağ ve bir arada var olabilen bağlantılar oluşturmak için bölümündeki adımları izleyin.
Zaten bir klasik dağıtım modeli VNet’im var.
Mevcut bir Siteden Siteye VPN bağlantısı veya ExpressRoute bağlantısına sahip bir sanal ağınız zaten olabilir. Zaten var olan bir sanal ağ için birlikte var olan bağlantıları yapılandırmak için makale bölümü, ağ geçidini silme ve ardından yeni ExpressRoute ve Siteden Siteye VPN bağlantıları oluşturma adımlarını gösterir. Yeni bağlantılar oluşturduğunuzda, adımların belirli bir sırada tamamlanması gerekir. Ağ geçitleriniz ve bağlantılarınızı oluşturmak için diğer makalelerdeki yönergeleri kullanmayın.
Bu yordamda, bir arada var olabilen bağlantılar oluşturmak, ağ geçidinizi silmenizi ve ardından yeni ağ geçitlerini yapılandırmanızı gerektirir. Ağ geçidinizi ve bağlantılarınızı silip yeniden oluştururken şirket içi bağlantılar için kapalı kalma süresi yaşarsınız, ancak VM'lerinizi veya hizmetlerinizi yeni bir sanal ağa geçirmeniz gerekmez. Vm'leriniz ve hizmetleriniz yük dengeleyici üzerinden iletişim kurarken ağ geçidinizi yapılandırırken ağ geçidiniz bu şekilde yapılandırılmışsa da iletişim kurabilir.
PowerShell cmdlet'lerini yükleme
Azure Hizmet Yönetimi (SM) PowerShell modüllerinin ve ExpressRoute modülünün en son sürümlerini yükleyin. SM modüllerini çalıştırmak için Azure CloudShell ortamını kullanamazsınız.
Azure Hizmet Yönetimi Modülünü yüklemek için Hizmet Yönetimi modülünü yükleme makalesindeki yönergeleri kullanın. Az veya RM modülü zaten yüklüyse ,'-AllowClobber' kullandığınızdan emin olun.
Yüklü modülleri içeri aktarın. Aşağıdaki örneği kullanırken, yolu yüklü PowerShell modüllerinizin konumunu ve sürümünü yansıtacak şekilde ayarlayın.
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1' Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'Azure hesabınızda oturum açmak için PowerShell konsolunuzu yükseltilmiş haklarla açın ve hesabınıza bağlanın. Hizmet Yönetimi modülünü kullanarak bağlanmanıza yardımcı olması için aşağıdaki örneği kullanın:
Add-AzureAccount
Yeni bir sanal ağ ve bir arada var olabilen bağlantılar oluşturmak için
Bu yordam bir sanal ağ oluşturma işleminde size yol gösterir ve birlikte var olan Siteden Siteye ve ExpressRoute bağlantıları oluşturur.
Azure PowerShell cmdlet'lerinin en son sürümünü yüklemeniz gerekir. Bu yapılandırma için kullanacağınız cmdlet'ler tanıdıklarınızdan biraz farklı olabilir. Bu yönergelerde belirtilen cmdlet'leri kullandığınızdan emin olun.
Sanal ağınız için bir şema oluşturun. Yapılandırma şeması hakkında daha fazla bilgi için bkz. Azure Virtual Network yapılandırma şeması.
Şemanızı oluşturduğunuzda, aşağıdaki değerleri kullandığınızdan emin olun:
- Sanal ağın ağ geçidi alt ağı /27 veya daha kısa bir önek (örneğin /26 veya /25) olmalıdır.
- Ağ geçidi bağlantı türü Ayrılmış'tır.
<VirtualNetworkSite name="MyAzureVNET" Location="Central US"> <AddressSpace> <AddressPrefix>10.17.159.192/26</AddressPrefix> </AddressSpace> <Subnets> <Subnet name="Subnet-1"> <AddressPrefix>10.17.159.192/27</AddressPrefix> </Subnet> <Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> /Subnet> </Subnets> <Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway> </VirtualNetworkSite>Xml şema dosyanızı oluşturup yapılandırdıktan sonra, sanal ağınızı oluşturmak için dosyayı karşıya yükleyin.
Dosyanızı karşıya yüklemek için aşağıdaki cmdlet'i değeri kendi değerinizle değiştirerek kullanın.
Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'Bir ExpressRoute ağ geçidi oluşturun. GatewaySKU’yu Standard, HighPerformance veya UltraPerformance, GatewayType’ı ise DynamicRouting olarak belirttiğinizden emin olun.
Aşağıdaki örneği değerleri kendi değerlerinizle değiştirerek kullanın.
New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformanceExpressRoute ağ geçidini ExpressRoute bağlantı hattına bağlayın. Bu adım tamamlandıktan sonra, ExpressRoute aracılığıyla şirket içi ağınız ve Azure arasında bağlantı kurulur.
New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNETArdından, Siteden Siteye VPN ağ geçidinizi oluşturun. GatewaySKU Standard, HighPerformance veya UltraPerformance, GatewayType ise DynamicRouting olmalıdır.
New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU HighPerformanceAğ geçidi kimliği ve ortak IP dahil sanal ağ ağ geçidi ayarlarını almak için
Get-AzureVirtualNetworkGatewaycmdlet'ini kullanın.Get-AzureVirtualNetworkGateway GatewayId : 348ae011-ffa9-4add-b530-7cb30010565e GatewayName : S2SVPN LastEventData : GatewayType : DynamicRouting LastEventTimeStamp : 5/29/2015 4:41:41 PM LastEventMessage : Successfully created a gateway for the following virtual network: GNSDesMoines LastEventID : 23002 State : Provisioned VIPAddress : 104.43.x.y DefaultSite : GatewaySKU : HighPerformance Location : VnetId : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5 SubnetId : EnableBgp : False OperationDescription : Get-AzureVirtualNetworkGateway OperationId : 42773656-85e1-a6b6-8705-35473f1e6f6a OperationStatus : SucceededBir yerel site VPN ağ geçidi varlığı oluşturun. Bu komut, şirket içi VPN ağ geçidinizi yapılandırmaz. Azure VPN ağ geçidinin bağlanabilmesi için ortak IP ve şirket içi adres alanı gibi yerel ağ geçidi ayarlarını paylaşmanıza olanak tanır.
Önemli
Siteden Siteye VPN için yerel site netcfg içinde tanımlı değildir. Bunun yerine, yerel site parametrelerini belirtmek için bu cmdlet'i kullanmanız gerekir. Bunları portalı veya netcfg dosyasını kullanarak tanımlayamazsınız.
Aşağıdaki örneği değerleri kendi değerlerinizle değiştirerek kullanın.
New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>Not
Yerel ağınızda birden çok yol varsa, hepsini bir dizi olarak geçirebilirsiniz. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")
Ağ geçidi kimliği ve ortak IP dahil sanal ağ ağ geçidi ayarlarını almak için
Get-AzureVirtualNetworkGatewaycmdlet'ini kullanın. Aşağıdaki örneğe bakın.Get-AzureLocalNetworkGateway GatewayId : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b GatewayName : MyLocalNetwork IpAddress : 23.39.x.y AddressSpace : {10.1.2.0/24} OperationDescription : Get-AzureLocalNetworkGateway OperationId : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5 OperationStatus : SucceededYerel VPN cihazınızı yeni ağ geçidine bağlanmak için yapılandırın. VPN cihazınızı yapılandırırken 6. adımda alınan bilgileri kullanın. VPN cihazını yapılandırma hakkında daha fazla bilgi için bkz. VPN Cihazı Yapılandırma.
Azure’da Siteden Siteye ağ geçidini yerel ağ geçidine bağlayın.
Bu örnekte,
Get-AzureLocalNetworkGatewayçalıştırarak bulabileceğiniz connectedEntityId yerel ağ geçididir. virtualNetworkGatewayId’yiGet-AzureVirtualNetworkGatewaycmdlet’ini çalıştırarak bulabilirsiniz. Bu adımdan sonra, Siteden Siteye VPN bağlantısı aracılığıyla yerel ağınız ve Azure arasında bağlantı kurulur.New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
Zaten mevcut bir VNet için bir arada var olabilen bağlantılar yapılandırma
Zaten bir sanal ağınız varsa, ağ geçidi alt ağ boyutunu kontrol edin. Ağ geçidi alt ağı /28 veya /29 ise, önce sanal ağ geçidi silmeniz ve ağ geçidi alt ağı boyutunu artırmanız gerekir. Bu bölümdeki adımlar bunu nasıl yapacağınızı gösterir.
Ağ geçidi alt ağı /27 veya daha büyükse ve sanal ağ ExpressRoute aracılığıyla bağlıysa, bu adımları atlayabilir ve önceki bölümde "6. Adım - Siteden Siteye VPN ağ geçidi oluşturma" bölümüne geçebilirsiniz.
Not
Mevcut ağ geçidini sildiğinizde, bu yapılandırma üzerinde çalışırken, yerel şirket sanal ağ bağlantısını kaybeder.
Azure Resource Manager PowerShell cmdlet'lerinin en son sürümünü yüklemeniz gerekir. Bu yapılandırma için kullanacağınız cmdlet'ler tanıdıklarınızdan biraz farklı olabilir. Bu yönergelerde belirtilen cmdlet'leri kullandığınızdan emin olun.
Mevcut ExpressRoute veya Siteden Siteye VPN ağ geçidini silin. Aşağıdaki cmdlet’i değerleri kendi değerlerinizle değiştirerek kullanın.
Remove-AzureVNetGateway –VnetName MyAzureVNETSanal ağ şemasını dışarı aktarın. Aşağıdaki PowerShell cmdlet’ini değerleri kendi değerlerinizle değiştirerek kullanın.
Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"Ağ yapılandırma dosyası şemasını ağ geçidi alt ağı /27 veya daha kısa bir önek (örneğin /26 veya /25) olacak şekilde düzenleyin. Aşağıdaki örneğe bakın.
Not
Sanal ağınızda ağ geçidi alt ağı boyutunu artırmak için yeterli IP adresi kalmadıysa, daha fazla IP adresi alanı eklemeniz gerekir. Yapılandırma şeması hakkında daha fazla bilgi için bkz. Azure Virtual Network yapılandırma şeması.
<Subnet name="GatewaySubnet"> <AddressPrefix>10.17.159.224/27</AddressPrefix> </Subnet>Önceki ağ geçidiniz Siteden Siteye VPN ise, ayrıca bağlantı türünü Ayrılmış olarak değiştirmeniz gerekir.
<Gateway> <ConnectionsToLocalNetwork> <LocalNetworkSiteRef name="MyLocalNetwork"> <Connection type="Dedicated" /> </LocalNetworkSiteRef> </ConnectionsToLocalNetwork> </Gateway>Bu noktada, hiçbir ağ geçidi olmayan bir VNet’e sahip olursunuz. Yeni ağ geçitleri oluşturmak ve bağlantılarınızı tamamlamak için, önceki adım kümesinde bulabileceğiniz 4. Adım - Bir ExpressRoute ağ geçidi oluşturma bölümüyle devam edebilirsiniz.
Sonraki adımlar
ExpressRoute hakkında daha fazla bilgi için bkz. ExpressRoute SSS