Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть — проверка подлинности Microsoft Entra

В этом руководстве показано, как с помощью Виртуальной глобальной сети подключиться к ресурсам в Azure. В этой статье описано, как создать VPN-подключение пользователя типа "точка — сеть" для Виртуальная глобальная сеть, использующего проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra доступна только для шлюзов, использующих протокол OpenVPN.

Вы узнаете, как выполнять следующие задачи:

• Создание виртуальной глобальной сети
• создание пользовательской конфигурации VPN;
• Загрузка профиля виртуального пользователя WAN VPN
• Создание виртуального концентратора
• Изменение концентратора для добавления шлюза P2S
• Подключение виртуальной сети к виртуальному концентратору
• скачивание и применение пользовательской конфигурации VPN-клиента.
• Просмотр виртуальной глобальной сети

Подготовка к работе

Перед началом настройки убедитесь, что удовлетворены следующие требования:

• У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в этой статье.

• В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Эта конфигурация требует, чтобы виртуальные сети были подключены к шлюзу концентратора Виртуальной глобальной сети.

• Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

• Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

   

   • Подписка. Выберите подписку, которую вы хотите использовать.
   • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
   • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
   • Имя. Введите имя своей виртуальной глобальной сети.
   • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

создание пользовательской конфигурации VPN;

Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.

1. Перейдите на страницу Виртуальная глобальная сеть -> Пользовательские конфигурации VPN и нажмите + Создать пользовательскую конфигурацию VPN.

   

2. На странице Основные сведения укажите параметры.

   

   • Имя конфигурации. Введите имя для пользовательской конфигурации VPN.
   • Тип туннеля. Выберите значение "OpenVPN" из раскрывающегося списка.

3. Щелкните идентификатор Microsoft Entra, чтобы открыть страницу.

   

   Переключите идентификатор Microsoft Entra на "Да" и укажите следующие значения на основе сведений о клиенте. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.

   • Метод проверки подлинности— выбор идентификатора Microsoft Entra.

   • Аудитория . Введите идентификатор приложения vpn-клиента Azure Enterprise Application, зарегистрированного в клиенте Microsoft Entra. Сведения о значениях см. в разделе: значения аудитории VPN-клиента Azure

   • Издатель - https://sts.windows.net/<your Directory ID>/

   • Клиент Microsoft Entra: TenantID для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .

     • Введите https://login.microsoftonline.com/<your Directory Tenant ID> для Azure Public AD
     • Введите https://login.microsoftonline.us/<your Directory Tenant ID> для AD Azure для государственных организаций
     • Введите https://login-us.microsoftonline.de/<your Directory Tenant ID> для AD Azure — Германия
     • Введите https://login.chinacloudapi.cn/<your Directory Tenant ID> для China 21Vianet AD

4. Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.

Создание пустого концентратора

В этом упражнении мы создадим пустой виртуальный концентратор на этом шаге и добавьте в этот концентратор шлюз P2S. Однако эти действия можно объединить и создать концентратор с параметрами шлюза P2S одновременно. Результат совпадает с тем же способом. После настройки параметров нажмите кнопку Просмотр и создание, чтобы проверить их, а затем нажмите Создать.

1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

   

3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

   • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
   • Имя: имя виртуального центра.
   • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
   • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
   • Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

Добавление шлюза P2S к концентратору

В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Этот шаг может занять до 30 минут для завершения обновления концентратором.

1. Перейдите на страницу Концентраторы в виртуальной глобальной сети.

2. Щелкните имя концентратора, который требуется изменить, чтобы открыть страницу для концентратора.

3. Нажмите кнопку "Изменить виртуальный концентратор " в верхней части страницы, чтобы открыть страницу "Изменить виртуальный концентратор ".

4. На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.

   

   • Единицы масштабирования шлюза: выберите единицы масштабирования шлюза. Единицы масштабирования представляют собой совокупную пропускную способность пользовательского шлюза VPN. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
   • Пользовательская конфигурация VPN: выберите конфигурацию, которую вы создали ранее.
   • Сопоставление пулов пользователей для адресов. Сведения об этом параметре см. в разделе "Настройка групп пользователей и пулов IP-адресов" для vpn-адресов пользователей P2S (предварительная версия).

5. После настройки параметров нажмите кнопку "Подтвердить ", чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.

Подключение виртуальной сети к концентратору

В этом разделе вы создаете соединение между виртуальным концентратором и виртуальной сетью.

1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

   

   • Имя подключения: задайте имя для своего подключения.
   • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
   • Подписка: проверьте подписку.
   • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
   • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
   • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
   • Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
   • Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
   • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
   • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
   • Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0. Эта функция находится в процессе развертывания. Если эта функция включена, откройте вариант поддержки

4. После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.

Скачивание пользовательского профиля VPN

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе "Скачать глобальные и центральные профили". Ниже описано, как скачать глобальный профиль уровня глобальной сети.

1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

2. В области слева выберите Пользовательские конфигурации VPN.

3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка клиентов VPN пользователя

На каждом подключаемом компьютере должен быть установлен клиент. Каждый клиент настраивается с помощью файлов профиля клиента VPN-пользователя, загруженных на предыдущих этапах. Используйте статью, относящуюся к операционной системе, к которой вы хотите подключиться.

Настройка VPN-клиентов для macOS (предварительная версия)

Инструкции для клиента macOS см. в разделе Настройка клиента VPN — macOS (предварительная версия).

Для настройки клиентов Windows VPN

1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

   • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
   • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

2. Установите клиент Azure на все компьютеры.

3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните ... -> ? Справка. В правой области отображается номер версии клиента.

Для импорта профиля клиента VPN (Windows)

1. На странице выберите Import (Импорт).

   

2. Перейдите к XML-файлу профиля и выберите его. Выбрав файл, выберите Open (Открыть).

   

3. Укажите имя профиля и выберите Save (Сохранить).

   

4. Выберите Connect (Подключиться), чтобы подключиться к VPN.

   

5. После подключения значок станет зеленым и выдаст Connected (Подключено).

   

Для удаления профиля клиента — Windows

1. Нажмите кнопку с многоточием (...) рядом с удаляемым профилем клиента. Затем щелкните Remove (Удалить).

   

2. Выберите Remove (Удалить), чтобы выполнить удаление.

   

Диагностика проблем с подключением — Windows

1. Для диагностики проблем с подключением можно использовать средство Diagnose (Диагностика). Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).

   

2. На странице Connection Properties (Свойства подключения) выберите Run Diagnosis (Выполнить диагностику).

   

3. Войдите с помощью своих учетных данных.

   

4. Просмотр результатов диагностики.

   

Просмотр виртуальной глобальной сети

1. Перейдите к виртуальной глобальной сети.
2. На странице Обзор каждая точка на карте представляет собой концентратор.
3. В разделе Концентраторы и подключения можно просмотреть сведения о состоянии концентратора, сайте, регионе, состоянии VPN-подключения, а также количестве принятых и переданных байтов.

Очистка ресурсов

Если созданные ресурсы вам больше не нужны, удалите их. Некоторые ресурсы Виртуальной глобальной сети необходимо удалять в определенном порядке с учетом зависимостей. Удаление может занять около 30 минут.

1. Откройте только что созданную виртуальную глобальную сеть.

2. Выберите виртуальный концентратор, связанный с виртуальной глобальной сетью, чтобы открыть страницу концентратора.

3. Удалите все субъекты шлюза в том порядке, который соответствует его типу. Этот процесс может занять до 30 минут.

   VPN:

   • Отключите VPN-сайты.
   • Удалите VPN-подключения.
   • Удалите VPN-шлюзы.

   ExpressRoute:

   • Удалите подключения ExpressRoute.
   • Удалите шлюзы ExpressRoute.

4. Повторите эти действия для всех концентраторов, связанных с виртуальной глобальной сетью.

5. Сами концентраторы вы можете удалить сразу или позже при удалении группы ресурсов.

6. На портале Azure перейдите к группе ресурсов.

7. Выберите команду Удалить группу ресурсов. Это действие удаляет все элементы в группе ресурсов, включая концентраторы и виртуальную глобальную сеть.

Следующие шаги

Часто задаваемые вопросы о Виртуальная глобальная сеть см. в Виртуальная глобальная сеть вопросы и ответы.