Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как создать VPN типа "сеть — сеть" для подключения виртуальной сети в Azure Stack Hub к виртуальной сети в Azure.
Перед тем как начать
Чтобы завершить настройку подключения, перед началом работы убедитесь, что у вас есть следующие элементы:
- Развертывание интегрированных систем Azure Stack Hub (с несколькими узлами), которое напрямую подключено к Интернету. Диапазон внешних общедоступных IP-адресов должен быть доступен напрямую из общедоступного Интернета.
- Действующая подписка Azure. Если у вас нет подписки Azure, вы можете создать бесплатную учетную запись Azure здесь.
Схема VPN-подключения
На следующем рисунке показано, как выглядит конфигурация подключения при завершении.
Примеры значений конфигурации сети
В таблице примеров конфигурации сети показаны значения, которые используются в этой статье. Эти значения можно использовать или ссылаться на них, чтобы лучше понять примеры, приведенные в этой статье:
| Ценность | Azure Stack Hub | Лазурный |
|---|---|---|
| Имя виртуальной сети | Azs-VNet | AzureVNet |
| Адресное пространство виртуальной сети | 10.1.0.0/16 | 10.100.0.0/16 |
| Имя подсети | FrontEnd | FrontEnd |
| Диапазон адресов подсети | 10.1.0.0/24 | 10.100.0.0/24 |
| Подсеть шлюза | 10.1.1.0/24 | 10.100.1.0/24 |
Создание сетевых ресурсов в Azure
Сначала создайте сетевые ресурсы для Azure. В следующих инструкциях показано, как создать ресурсы с помощью портала Azure.
Создание подсети виртуальной сети и виртуальной машины
- Войдите на портал Azure с помощью учетной записи Azure.
- На пользовательском портале нажмите кнопку +Создать ресурс.
- Перейдите в Marketplace и выберите "Сеть".
- Щелкните Виртуальная сеть.
- Используйте сведения из таблицы конфигурации сети, чтобы определить значения диапазона адресов Azure Name, Адресное пространство, имя подсети и диапазон адресов подсети.
- Для группы ресурсов создайте новую группу ресурсов или, если у вас уже есть, выберите "Использовать существующий".
- Выберите расположение виртуальной сети. Если вы используете примеры значений, выберите восточную часть США или используйте другое расположение.
- Выберите Закрепить на панели управления.
- Нажмите кнопку "Создать".
Создание подсети шлюза
Откройте созданный ресурс виртуальной сети (AzureVNet) на панели мониторинга.
В разделе "Параметры" выберите подсети.
Выберите подсеть шлюза , чтобы добавить подсеть шлюза в виртуальную сеть.
Подсети присвоено имя GatewaySubnet по умолчанию.
Это важно
Подсети шлюза являются специальными и должны иметь это конкретное имя для правильной работы.
В поле диапазона адресов убедитесь, что адрес равен 10.100.1.0/24.
Нажмите кнопку "ОК ", чтобы создать подсеть шлюза.
Создание шлюза виртуальной сети
- На портале Azure выберите +Создать ресурс.
- Перейдите в Marketplace и выберите "Сеть".
- В списке сетевых ресурсов выберите шлюз виртуальной сети.
- В поле "Имя" введите Azure-GW.
- Чтобы выбрать виртуальную сеть, выберите виртуальную сеть. Затем выберите AzureVnet из списка.
- Выберите Общедоступный IP-адрес. Когда откроется раздел "Выбор общедоступного IP-адреса", нажмите кнопку "Создать".
- В поле "Имя" введите Azure-GW-PiP и нажмите кнопку "ОК".
- Убедитесь, что для параметров Подписка и Расположение выбраны правильные значения. Вы можете закрепить ресурс на панели мониторинга. Нажмите кнопку "Создать".
Создание ресурса шлюза локальной сети
На портале Azure выберите +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
В списке ресурсов выберите шлюз локальной сети.
В поле "Имя" введите Azs-GW.
В поле IP-адреса введите общедоступный IP-адрес шлюза виртуальной сети Azure Stack Hub, который указан ранее в таблице конфигурации сети.
В поле адресного пространства в Azure Stack Hub введите адресное пространство 10.1.0.0/24 и 10.1.1.0/24 для AzureVNet.
Убедитесь, что ваша подписка, группа ресурсов и расположение верны, а затем нажмите кнопку "Создать".
Создание подключения
На пользовательском портале нажмите кнопку +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
В списке ресурсов выберите "Подключение".
В разделе "Основные параметры" для типа подключения выберите "Сеть — сеть" (IPSec).
Выберите подписку, группу ресурсов и расположение, а затем нажмите кнопку "ОК".
В разделе "Параметры" выберите шлюз виртуальной сети и выберите Azure-GW.
Выберите шлюз локальной сети и выберите Azs-GW.
В поле "Имя подключения" введите Azure-Azs.
В общей клавише (PSK) введите12345, а затем нажмите кнопку "ОК".
Замечание
Если вы используете другое значение для общего ключа, помните, что оно должно соответствовать значению общего ключа, создаваемого в другом конце соединения.
Просмотрите раздел "Сводка " и нажмите кнопку "ОК".
Создание настраиваемой политики IPSec
Настраиваемая политика IPSec необходима, чтобы Azure соответствовала Azure Stack Hub.
Создайте настраиваемую политику:
$IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384 ` -IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 ` -SADataSizeKilobytes 102400000Примените политику к подключению:
$Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection
Создание виртуальной машины
Теперь создайте виртуальную машину в Azure и поместите ее в подсеть виртуальной машины в виртуальную сеть.
На портале Azure выберите +Создать ресурс.
Перейдите в Marketplace и выберите "Вычисления".
В списке образов виртуальных машин выберите образ Windows Server 2016 Datacenter Eval.
В разделе "Основы " для имени введите AzureVM.
Введите допустимое имя пользователя и пароль. Эта учетная запись используется для входа в виртуальную машину после ее создания.
Укажите подписку, группу ресурсов и расположение, а затем нажмите кнопку "ОК".
В разделе "Размер" выберите размер виртуальной машины для этого экземпляра и нажмите кнопку "Выбрать".
В разделе "Параметры" можно использовать параметры по умолчанию. Перед нажатием кнопки "ОК" убедитесь, что:
- Выбрана виртуальная сеть AzureVnet .
- Подсеть имеет значение 10.100.0.0/24.
Нажмите ОК.
Просмотрите параметры раздела "Сводка " и нажмите кнопку "ОК".
Создание сетевых ресурсов в Azure Stack Hub
Затем создайте сетевые ресурсы в Azure Stack Hub.
Вход от имени пользователя
Администратор службы может войти в систему как пользователь, чтобы протестировать планы, предложения и подписки, которые могут использовать их пользователи. Если у вас еще нет учетной записи, создайте учетную запись пользователя перед входом .
Создание виртуальной сети и подсети виртуальной машины
Используйте учетную запись пользователя для входа на пользовательский портал.
На пользовательском портале нажмите кнопку +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
Щелкните Виртуальная сеть.
Для имени, адресного пространства, имени подсети и диапазона адресов подсети используйте значения из таблицы конфигурации сети.
В подписке появится созданная ранее подписка.
Для группы ресурсов можно создать группу ресурсов или, если у вас уже есть, выберите "Использовать существующую".
Проверьте расположение по умолчанию.
Выберите Закрепить на панели управления.
Нажмите кнопку "Создать".
Создание подсети шлюза
На панели мониторинга откройте созданный ресурс виртуальной сети Azs-VNet.
В разделе "Параметры" выберите подсети.
Чтобы добавить подсеть шлюза в виртуальную сеть, выберите подсеть шлюза.
По умолчанию имя подсети имеет значение GatewaySubnet. Для правильной работы подсетей шлюза они должны использовать имя GatewaySubnet .
В диапазоне адресов убедитесь, что адрес равен 10.1.1.0/24.
Нажмите кнопку "ОК ", чтобы создать подсеть шлюза.
Создание шлюза виртуальной сети
На портале Azure Stack Hub нажмите кнопку +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
В списке сетевых ресурсов выберите шлюз виртуальной сети.
В поле Name введите Azs-GW.
Выберите элемент виртуальной сети , чтобы выбрать виртуальную сеть. Выберите Azs-VNet из списка.
Выберите пункт меню "Общедоступный IP-адрес ". Когда откроется раздел "Выбор общедоступного IP-адреса", нажмите кнопку "Создать".
В поле "Имя" введите Azs-GW-PiP и нажмите кнопку "ОК".
По умолчанию для типа VPN выбирается на основе маршрутов. Сохраните тип VPN на основе маршрута .
Убедитесь, что для параметров Подписка и Расположение выбраны правильные значения. Вы можете закрепить ресурс на панели мониторинга. Нажмите кнопку "Создать".
Создание шлюза локальной сети
Концепция шлюза локальной сети в Azure Stack Hub отличается от концепции развертывания Azure.
В развертывании Azure шлюз локальной сети представляет локальное (в расположении пользователя) физическое устройство, которое вы подключаетесь к шлюзу виртуальной сети в Azure. Однако в Azure Stack Hub оба конца подключения являются шлюзами виртуальной сети.
Более универсальное описание заключается в том, что ресурс шлюза локальной сети всегда указывает удаленный шлюз в другом конце подключения.
Создание ресурса шлюза локальной сети
Войдите на портал Azure Stack Hub.
На пользовательском портале нажмите кнопку +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
В списке ресурсов выберите шлюз локальной сети.
В поле "Имя" введите Azure-GW.
В поле IP-адреса введите общедоступный IP-адрес для шлюза виртуальной сети в Azure-GW-PiP. Этот адрес отображается ранее в таблице конфигурации сети.
В поле адресного пространства для созданной виртуальной сети Azure введите 10.100.0.0/24 и 10.100.1.0/24.
Убедитесь, что значения подписки, группы ресурсов и расположения верны, а затем нажмите кнопку "Создать".
Создание подключения
На пользовательском портале нажмите кнопку +Создать ресурс.
Перейдите в Marketplace и выберите "Сеть".
В списке ресурсов выберите "Подключение".
В разделе "Основные параметры" для типа подключения выберите "Сеть — сеть" (IPSec).
Выберите подписку, группу ресурсов и расположение, а затем нажмите кнопку "ОК".
В разделе "Параметры" выберите шлюз виртуальной сети и выберите Azs-GW.
Выберите шлюз локальной сети и выберите Azure-GW.
В поле "Имя подключения" введите Azs-Azure.
В разделе "Общий ключ" (PSK) введите12345 и нажмите кнопку "ОК".
В разделе "Сводка " нажмите кнопку "ОК".
Создание виртуальной машины
Чтобы проверить VPN-подключение, создайте две виртуальные машины: одну в Azure и одну в Azure Stack Hub. После создания этих виртуальных машин их можно использовать для отправки и получения данных через VPN-туннель.
На портале Azure выберите +Создать ресурс.
Перейдите в Marketplace и выберите "Вычисления".
В списке образов виртуальных машин выберите образ Windows Server 2016 Datacenter Eval.
В разделе "Основные сведения" в поле "Имя" введите Azs-VM.
Введите допустимое имя пользователя и пароль. Эта учетная запись используется для входа в виртуальную машину после ее создания.
Укажите подписку, группу ресурсов и расположение, а затем нажмите кнопку "ОК".
В разделе "Размер" для этого экземпляра выберите размер виртуальной машины и нажмите кнопку "Выбрать".
В разделе "Параметры" примите значения по умолчанию. Убедитесь, что выбрана виртуальная сеть Azs-VNet . Убедитесь, что подсеть имеет значение 10.1.0.0/24. Затем нажмите кнопку "ОК".
В разделе "Сводка " просмотрите параметры и нажмите кнопку "ОК".
Проверка подключения
После установки подключения типа "сеть — сеть" необходимо убедиться, что вы можете получать поток данных в обоих направлениях. Самый простой способ проверить подключение — выполнить тест проверки связи:
- Войдите на виртуальную машину, созданную в Azure Stack Hub, и выполните связь с виртуальной машиной в Azure.
- Войдите на виртуальную машину, созданную в Azure, и ping виртуальную машину в Azure Stack Hub.
Замечание
Чтобы убедиться, что трафик отправляется через подключение типа "сеть — сеть", ping the Direct IP (DIP) адрес виртуальной машины в удаленной подсети, а не виртуальный IP-адрес.
Вход на виртуальную машину пользователя в Azure Stack Hub
Войдите на портал Azure Stack Hub.
На панели навигации слева выберите "Виртуальные машины".
В списке виртуальных машин найдите созданную ранее виртуальную машину Azs-VM и выберите ее.
В разделе виртуальной машины выберите "Подключиться", а затем откройте файл Azs-VM.rdp.
Войдите с помощью учетной записи, настроенной при создании виртуальной машины.
Откройте запрос Windows PowerShell с повышенными привилегиями.
Введите ipconfig /all.
В выходных данных найдите IPv4-адрес и сохраните адрес для последующего использования. Это адрес, который вы ping из Azure. В примере среды адрес равен 10.1.0.4, но в вашей среде может отличаться. Он должен находиться в созданной ранее подсети 10.1.0.0/24 .
Чтобы создать правило брандмауэра, позволяющее виртуальной машине реагировать на связь, выполните следующую команду PowerShell:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4
Вход на виртуальную машину клиента в Azure
Войдите на портал Azure.
На панели навигации слева выберите "Виртуальные машины".
В списке виртуальных машин найдите созданную ранее виртуальную машину Azure и выберите ее.
В разделе виртуальной машины нажмите кнопку "Подключить".
Войдите с помощью учетной записи, настроенной при создании виртуальной машины.
Откройте окно Windows PowerShell с повышенными привилегиями.
Введите ipconfig /all.
Вы увидите IPv4-адрес, который находится в пределах 10.100.0.0/24. В примере среды адрес равен 10.100.0.4, но ваш адрес может отличаться.
Чтобы создать правило брандмауэра, позволяющее виртуальной машине реагировать на связь, выполните следующую команду PowerShell:
New-NetFirewallRule ` -DisplayName "Allow ICMPv4-In" ` -Protocol ICMPv4Из виртуальной машины в Azure выполните связь с виртуальной машиной в Azure Stack Hub через туннель. Для этого вы ping the DIP, записанный из Azs-VM. В примере среды это 10.1.0.4, но не забудьте проверить связь с адресом, который вы указали в лаборатории. Вы увидите результат, который выглядит следующим образом:
Ответ удаленной виртуальной машины указывает на успешный тест. Окно виртуальной машины можно закрыть.
Кроме того, следует выполнять более строгое тестирование передачи данных (например, копирование файлов по-разному в обоих направлениях).
Просмотр статистики передачи данных через подключение шлюза
Если вы хотите узнать, сколько данных передается через подключение типа "сеть — сеть", эти сведения доступны в разделе "Подключение ". Этот тест также является другим способом проверки связи, который вы только что отправили через VPN-подключение.
При входе на виртуальную машину пользователя в Azure Stack Hub используйте учетную запись пользователя для входа на портал пользователя.
Перейдите к всем ресурсам и выберите подключение Azs-Azure . Отображаются подключения.
В разделе "Подключение" отображается статистика по данным ивыходу данных . В следующем снимке экрана большое число относится к дополнительной передаче файлов. Там должны отображаться некоторые ненулевое значение.
