Настройка VPN-подключения между виртуальными сетями — портал Azure

В этой статье показано, как подключить виртуальные сети с помощью типа подключения "виртуальная сеть — виртуальная сеть" на портале Azure. При использовании портала для подключения виртуальных сетей через VNet-to-VNet, виртуальные сети могут находиться в разных регионах, но должны быть в одной подписке. Если виртуальные сети находятся в разных подписках, используйте вместо этого инструкции PowerShell . Эта статья не относится к пирингу виртуальной сети. Пиринг между виртуальными сетями см. в статье об пиринге виртуальной сети .

О подключениях "виртуальная сеть — виртуальная сеть"

Настройка соединения между виртуальными сетями — это простой способ соединить виртуальные сети. При подключении виртуальной сети к другой виртуальной сети с типом подключения VNet-to-VNet это аналогично созданию site-to-site IPsec подключения к локальному местоположению. Оба типа подключения используют VPN-шлюз для обеспечения безопасного туннеля с помощью IPsec/IKE и работают одинаково при взаимодействии. Однако они отличаются по способу настройки шлюза локальной сети.

• При создании подключения VNet к VNet адресное пространство шлюза локальной сети автоматически создается и заполняется. Однако шлюз локальной сети не отображается в этой конфигурации. Это означает, что вы не можете настроить его вручную.

• При обновлении адресного пространства для одной виртуальной сети другая виртуальная сеть автоматически направляется в обновленное адресное пространство.

• Обычно это быстрее и проще создавать подключение между виртуальными сетями, чем подключение типа "сеть — сеть".

• Если вы знаете, что хотите указать дополнительные адресные пространства для шлюза локальной сети, или планируете добавить дополнительные подключения позже и настроить шлюз локальной сети, создайте конфигурацию, например, с помощью шагов настройки подключения типа "сеть-сеть".

• Подключение VNet-to-VNet не включает адресное пространство пула клиентов точка-к-сети. Если вам нужна транзитивная маршрутизация для клиентов типа "точка — сеть", создайте подключение типа "сеть — сеть" между шлюзами виртуальной сети или используйте пиринг между виртуальными сетями.

Зачем создавать соединение между двумя виртуальными сетями?

Вы можете подключить виртуальные сети с помощью подключения VNet-к-VNet по следующим основаниям:

• Межрегиональная геоизбыточность и геоприсутствие

  • Вы можете настроить собственную георепликацию или синхронизацию с безопасным подключением без использования конечных точек, подключенных к Интернету.
  • С помощью диспетчера трафика Azure и Azure Load Balancer можно настроить высокодоступную рабочую нагрузку с геоизбыточной доступностью в нескольких регионах Azure. Например, можно настроить группы доступности SQL Server AlwaysOn в нескольких регионах Azure.

• Региональные многоуровневые приложения с изоляцией или административными границами

  В одном регионе можно настроить многоуровневые приложения с несколькими виртуальными сетями, подключенными вместе из-за изоляции или административных требований. Подключение типа "виртуальная сеть — виртуальная сеть" можно комбинировать с многосайтовыми конфигурациями. Эти конфигурации позволяют устанавливать сетевые топологии, которые объединяют межсайтовые подключения с подключением между виртуальными сетями, как показано на следующей схеме:

  

Создание и настройка VNet1

Если у вас уже есть виртуальная сеть, проверьте совместимость параметров со структурой VPN-шлюза. Обратите особое внимание на любые подсети, которые могут перекрываться с другими сетями. Подключение не будет работать должным образом, если у вас есть перекрывающиеся подсети.

В этом разделе создайте виртуальную сеть1 с помощью следующих значений. Если вы используете собственные значения, убедитесь, что адресные пространства не перекрываются с какими-либо виртуальными сетями, к которым требуется подключиться.

• Параметры виртуальной сети
  • Имя: VNet1
  • Адресное пространство: 10.1.0.0/16
  • Подписка. Выберите нужную подписку.
  • Группа ресурсов: TestRG1
  • Расположение: восточная часть США.
  • Подсеть
    • Имя: FrontEnd
    • Диапазон адресов: 10.1.0.0/24

1. Войдите на портал Azure.

2. В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .

3. На странице "Виртуальная сеть" выберите "Создать ", чтобы открыть страницу "Создать виртуальную сеть ".

4. На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке входных значений отображается зеленый флажок. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.

   

   • Подписка. Убедитесь, что указанная подписка является правильной. Вы можете изменить подписки с помощью раскрывающегося списка.
   • Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
   • Имя. Введите имя виртуальной сети.
   • Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут находиться ресурсы, развернутые в этой виртуальной сети.

5. Нажмите кнопку "Далее " или " Безопасность ", чтобы перейти на вкладку "Безопасность ". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.

6. Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.

   • Адресное пространство IPv4: по умолчанию адресное пространство создается автоматически. Вы можете выбрать диапазон адресов и настроить его в соответствии с вашими значениями. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.

   • + Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если вы измените адресное пространство, добавьте новую подсеть в пределах этого адресного пространства. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.

     • Имя подсети: можно использовать значение по умолчанию или указать имя. Пример: FrontEnd.
     • Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.

7. Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.

8. Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.

9. После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.

Создание подсети шлюза

Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Лучше всего указать /27 или больше (/26, /25 и т. д.) для подсети шлюза.

1. На странице виртуальной сети на левой панели выберите подсети, чтобы открыть страницу подсетей.
2. В верхней части страницы выберите +Подсеть , чтобы открыть панель "Добавить подсеть ".
3. Для назначения подсети выберите шлюз виртуальной сети в раскрывающемся списке.
4. Имя автоматически вводится как GatewaySubnet. При необходимости настройте начальный IP-адрес и размер. Например, 10.1.255.0/27.
5. Не настраивайте другие значения на странице. Нажмите кнопку "Добавить ", чтобы добавить подсеть.

Дополнительные сведения о добавлении подсети в виртуальную сеть см. в разделе "Добавление, изменение" или удаление подсети виртуальной сети. Инструкции по добавлению диапазона адресов в виртуальную сеть см. в разделе "Добавление или удаление диапазона адресов".

Создание VPN-шлюза VNet1

На этом шаге вы создадите шлюз виртуальной сети для виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Для получения информации о ценах на SKU шлюза, см. раздел Цены.

Создайте шлюз виртуальной сети (VPN-шлюз) с помощью следующих значений:

• Имя: VNet1GW
• Тип шлюза: VPN
• SKU: VpnGw2AZ
• Поколение. Поколение 2
• Виртуальная сеть: VNet1
• Диапазон адресов подсети шлюза: 10.1.255.0/27
• Общедоступный IP-адрес: создание нового
• Имя общедоступного IP-адреса: VNet1GWpip1
• SKU публичного IP-адреса: Стандарт
• Назначение: статическое
• Второй общедоступный IP-адрес: VNet1GWpip2
• Включение активно-активного режима: включено

1. В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".

2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

   

   • Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.

   • Группа ресурсов. Это значение автоматически заполняется при выборе виртуальной сети на этой странице.

   • Имя. Это имя создаваемого объекта шлюза. Это отличается от подсети шлюза, в которую будут развернуты ресурсы шлюза.

   • Регион: выберите регион, в котором нужно создать этот ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.

   • Тип шлюза: выберите VPN. VPN-шлюзы используют тип виртуального сетевого шлюза VPN.

   • Номер SKU. В раскрывающемся списке выберите номер SKU шлюза , поддерживающий функции, которые вы хотите использовать.

     • Рекомендуется выбрать номер SKU, который заканчивается в AZ, когда это возможно. SKU AZ поддерживают зоны доступности.
     • Базовый SKU недоступен на портале. Чтобы настроить шлюз SKU уровня "Базовый", необходимо использовать PowerShell или CLI.

   • Поколение: выберите поколение 2 из раскрывающегося списка.

   • Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, которую вы хотите использовать, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.

   • Диапазон адресов подсети шлюза или подсеть: Для создания VPN-шлюза необходима подсеть шлюза.

     В настоящее время это поле может отображать различные параметры в зависимости от адресного пространства виртуальной сети и того, создали ли вы уже подсеть с именем GatewaySubnet для виртуальной сети.

     Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, перейдите назад в свою виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.

3. Укажите значения общедоступного IP-адреса. Эти параметры указывают объекты общедоступного IP-адреса, которые будут связаны с VPN-шлюзом. Общедоступный IP-адрес назначается каждому объекту общедоступного IP-адреса при создании VPN-шлюза. Единственное время изменения назначенного общедоступного IP-адреса — при удалении и повторном создании шлюза. IP-адреса не изменяются при изменении размера, сбросе или других внутренних обновлениях VPN-шлюза.

   

   • Тип общедоступного IP-адреса: если этот параметр отображается, выберите "Стандартный".

   • Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.

   • Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.

   • SKU публичного IP-адреса: параметр автоматически устанавливается на SKU "Стандартный".

   • Назначение: назначение обычно выбирается автоматически и должно быть статическим.

   • Зона доступности. Этот параметр доступен для номеров SKU шлюза AZ в регионах, поддерживающих зоны доступности. Выберите с избыточностью по зонам, если только вы не хотите указать зону.

   • Включение активно-активного режима: Рекомендуем выбрать «Включено», чтобы воспользоваться преимуществами шлюза в режиме активно-активного. Если вы планируете использовать этот шлюз для подключения типа "сеть — сеть", примите во внимание следующее:

     • Убедитесь, что дизайн active-active, который вы собираетесь использовать. Подключения к локальному VPN-устройству необходимо настроить специально, чтобы воспользоваться преимуществами активно-активного режима.
     • Некоторые VPN-устройства не поддерживают режим "активный-активный". Если вы не уверены, обратитесь к поставщику VPN-устройств. Если вы используете VPN-устройство, которое не поддерживает активный режим, можно выбрать "Отключено " для этого параметра.

   • Второй общедоступный IP-адрес: Нажмите кнопку "Создать". Это доступно только в том случае, если для параметра «Включить активно-активный режим» выбрано значение Включено.

   • Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.

   • SKU публичного IP-адреса: параметр автоматически устанавливается на SKU "Стандартный".

   • Зона доступности: выберите зону с резервированием между зонами, если вы не уверены, что хотите указать конкретную зону.

   • Настройка BGP: выберите "Отключено", если ваша конфигурация не требует этого параметра. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.

   • Включение доступа к Key Vault: выберите "Отключено", если для настройки не требуется этот параметр.

4. Выберите Просмотр и создание, чтобы выполнить проверку.

5. После успешной проверки нажмите кнопку "Создать", чтобы развернуть шлюз VPN.

Полное создание и развертывание шлюза может занять 45 минут или более. Состояние развертывания можно просмотреть на странице обзора шлюза. После создания шлюза можно просмотреть IP-адрес, назначенный ему, просмотрев виртуальную сеть на портале. Шлюз отображается как подключенное устройство.

Создание и настройка виртуальной сети4

После настройки VNet1 создайте виртуальную сеть4 и шлюз VNet4, повторите предыдущие шаги и замените значения значениями VNet4. Вам не нужно ждать, пока шлюз виртуальной сети для VNet1 завершит создание, прежде чем настроить VNet4. Если вы используете собственные значения, убедитесь, что адресные пространства не перекрываются с какими-либо виртуальными сетями, к которым требуется подключиться.

Для настройки виртуальной сети 4 и шлюза VNet4 можно использовать следующие примеры значений.

• Параметры виртуальной сети
  • Имя: VNet4
  • Адресное пространство: 10.41.0.0/16
  • Подписка. Выберите нужную подписку.
  • Группа ресурсов: TestRG4
  • Расположение: Западная часть США 2
  • Подсеть
    • Имя: FrontEnd
    • Диапазон адресов: 10.41.0.0/24

Добавьте подсеть шлюза:

• Имя: GatewaySubnet
• Диапазон адресов подсети шлюза: 10.41.255.0/27

Настройка VPN-шлюза VNet4

Для настройки VPN-шлюза VNet4 можно использовать следующие примеры значений.

• Параметры шлюза виртуальной сети
  • Имя: VNet4GW
  • Группа ресурсов: западная часть США 2
  • Поколение. Поколение 2
  • Тип шлюза: выберите VPN.
  • Тип VPN: выберите маршрутизируемый.
  • SKU: VpnGw2AZ
  • Поколение: поколение2
  • Виртуальная сеть: VNet4
  • Имя общедоступного IP-адреса: VNet4GWpip1
  • SKU публичного IP-адреса: Стандарт
  • Назначение: статическое
  • Второе имя общедоступного IP-адреса: VNet4GWpip2
  • Включение активно-активного режима: включено

Настройка подключений

Когда настройка VPN-шлюзов для VNet1 и VNet4 завершена, можно создать подключения вашего виртуального сетевого шлюза.

Виртуальные сети в одной подписке можно подключить с помощью портала, даже если они находятся в разных группах ресурсов. Однако если виртуальные сети находятся в разных подписках, необходимо использовать PowerShell или CLI для подключения.

Можно создать двунаправленное или однонаправленное соединение. В этом упражнении мы укажем двунаправленное соединение. Параметр двунаправленного подключения создает два отдельных соединения, чтобы сетевой трафик передавался в обоих направлениях.

1. На портале перейдите к VNet1GW.

2. На странице шлюза виртуальной сети в левой области выберите "Подключения" , чтобы открыть страницу "Подключения". Затем нажмите кнопку +Добавить , чтобы открыть страницу "Создать подключение ".

3. На странице "Создание подключения" введите значения подключения.

   • Тип подключения: выберите VNet-подключение из выпадающего списка.
   • Установите двунаправленное подключение: выберите это значение, если вы хотите установить поток трафика в обоих направлениях. Если вы не выберете этот параметр, а затем хотите добавить подключение в противоположном направлении, необходимо создать новое подключение из другого шлюза виртуальной сети.
   • Имя первого подключения: VNet1-to-VNet4
   • Второе имя подключения: VNet4-to-VNet1
   • Регион: восточная часть США (регион для VNet1GW)

4. Нажмите Далее : Настройки > в нижней части страницы, чтобы перейти на страницу Настройки.

5. На странице "Параметры" укажите следующие значения:

   • Первый шлюз виртуальной сети: выберите VNet1GW из раскрывающегося списка.
   • Второй шлюз виртуальной сети: выберите VNet4GW из раскрывающегося списка.
   • Общий ключ (PSK): в этом поле введите общий ключ для подключения. Вы можете сгенерировать или создать этот ключ самостоятельно. В подключении типа "сеть — сеть" ключ, который вы используете, совпадает с локальным устройством и подключением шлюза виртуальной сети. Эта концепция аналогична, за исключением того, что вместо подключения к VPN-устройству вы подключаетесь к другому шлюзу виртуальной сети. Важно, чтобы при указании общего ключа он был точно таким же для обеих сторон подключения.
   • Протокол IKE: IKEv2

6. В этом упражнении можно оставить остальные параметры в качестве значений по умолчанию.

7. Выберите Просмотр и создание, затем Создать, чтобы проверить и создать подключения.

Проверка подключений

1. Найдите шлюз виртуальной сети на портале Azure. Например, VNet1GW.

2. На странице шлюза виртуальной сети выберите "Подключения" , чтобы просмотреть страницу "Подключения " для шлюза виртуальной сети. После установки подключения вы увидите, что значения состояния будут изменены на "Подключено".

3. В столбце Имя выберите одно из подключений, чтобы просмотреть дополнительные сведения. Когда начнется поток данных, вы увидите значения для входящих данных и исходящих данных.

Добавление дополнительных подключений

Вы можете создать дополнительное подключение между виртуальными сетями, или создать межсетевое подключение типа site-to-site IPsec к локальной площадке.

• Прежде чем создавать дополнительные подключения, убедитесь, что адресное пространство виртуальной сети не перекрывается ни с какими адресными пространствами, к которым вы хотите подключиться.

• При настройке нового подключения обязательно измените тип подключения в соответствии с типом создаваемого соединения. Если вы добавляете подключение типа "сеть — сеть", необходимо создать шлюз локальной сети перед созданием подключения.

• При настройке подключения, использующего общий ключ, убедитесь, что общий ключ совпадает с обеими сторонами подключения.

Чтобы создать дополнительные подключения, выполните следующие действия.

1. На портале Azure перейдите к VPN-шлюзу, из которого вы хотите создать подключение.
2. В левой области выберите "Подключения". Просмотр существующих подключений.
3. Создайте новое подключение.

Часто задаваемые вопросы о подключениях типа "виртуальная сеть — виртуальная сеть"

См. часто задаваемые вопросы о VPN-шлюзе для вопросов часто задаваемых о подключении «VNet-к-VNet».

Дальнейшие шаги

• Сведения о том, как ограничить сетевой трафик ресурсами в виртуальной сети, см. в разделе "Безопасность сети".

• Сведения о том, как Azure направляет трафик между локальными и интернет-ресурсами Azure, см. в статье "Маршрутизация трафика виртуальной сети".