VPN-átjáró létrehozása a PowerShell használatával

Ez a cikk segítséget nyújt egy Azure VPN-átjáró PowerShell-lel való létrehozásához. A vpn-átjárót a helyszíni hálózathoz való VPN-kapcsolat létrehozásakor használják. A virtuális hálózatok összekapcsolásához VPN-átjárót is használhat. A jelen cikk néhány beállításával kapcsolatos átfogóbb információkért lásd : VPN-átjáró létrehozása – portál.

• A diagram bal oldalán látható a jelen cikkben ismertetett lépésekkel létrehozott virtuális hálózat és VPN-átjáró.
• Később a diagram jobb oldalán látható módon különböző típusú kapcsolatokat adhat hozzá. Létrehozhat például helyek közötti és pont–hely kapcsolatokat. A különböző buildelhető tervezési architektúrák megtekintéséhez tekintse meg a VPN Gateway tervezését.

A cikk lépései virtuális hálózatot, alhálózatot, átjáróalhálózatot és útvonalalapú, zónaredundáns aktív-aktív módú VPN-átjárót (virtuális hálózati átjárót) hoznak létre a 2. generációs VpnGw2AZ termékváltozat használatával. Az átjáró létrehozása után konfigurálhatja a kapcsolatokat.

• Ha ehelyett egy VPN-átjárót szeretne létrehozni az alapszintű termékváltozat használatával, olvassa el az Alapszintű termékváltozatú VPN-átjáró létrehozása című témakört.
• Javasoljuk, hogy lehetőség szerint hozzon létre egy aktív-aktív módú VPN-átjárót. Az aktív-aktív módú VPN-átjárók jobb rendelkezésre állást és teljesítményt biztosítanak, mint a hagyományos módú VPN-átjárók. Az aktív-aktív átjárókkal kapcsolatos további információkért lásd: Az aktív-aktív módú átjárók ismertetése.
• További információ a rendelkezésre állási zónákról és a zónaredundáns átjárókról: Mik azok a rendelkezésre állási zónák?

Mielőtt elkezdené

Ezekhez a lépésekhez Azure-előfizetés szükséges. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Ez a cikk PowerShell-parancsmagokat használ. A parancsmagok futtatásához használhatja az Azure Cloud Shellt. A Cloud Shell egy ingyenes interaktív rendszerhéj, amellyel a cikkben ismertetett lépéseket futtathatja. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

A Cloud Shell megnyitásához válassza a Kódblokk jobb felső sarkában található Open CloudShell lehetőséget. A Cloud Shellt egy külön böngészőlapon is megnyithatja.https://shell.azure.com/powershell A Másolás gombra kattintva másolja a kódblokkokat, illessze be őket a Cloud Shellbe, majd az Enter billentyűt választva futtassa őket.

Az Azure PowerShell-parancsmagokat helyileg is telepítheti és futtathatja a számítógépen. A PowerShell-parancsmagok gyakran frissülnek. Ha még nem telepítette a legújabb verziót, az utasításokban megadott értékek meghiúsulhatnak. A számítógépre telepített Azure PowerShell-verziók megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot. A telepítésről vagy frissítésről az Azure PowerShell-modul telepítése című témakörben olvashat.

Erőforráscsoport létrehozása

Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup paranccsal. Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Ha helyileg futtatja a PowerShellt, nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal, és csatlakozzon az Azure-hoz a Connect-AzAccount parancs használatával.

New-AzResourceGroup -Name TestRG1 -Location EastUS

Virtuális hálózat létrehozása

Ha még nem rendelkezik virtuális hálózattal, hozzon létre egyet a New-AzVirtualNetwork szolgáltatással. Virtuális hálózat létrehozásakor győződjön meg arról, hogy a megadott címterek nem fedik át a helyszíni hálózaton található címtereket. Ha a VPN-kapcsolat mindkét oldalán létezik ismétlődő címtartomány, a forgalom nem a várt módon halad. Ha ezt a virtuális hálózatot egy másik virtuális hálózathoz szeretné csatlakoztatni, a címtér nem fedheti át a többi virtuális hálózatot. Ügyeljen arra, hogy a hálózati konfigurációt ennek megfelelően tervezze meg.

Az alábbi példa egy VNet1 nevű virtuális hálózatot hoz létre az EastUS-helyen:

$virtualnetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Alhálózat-konfiguráció létrehozása a New-AzVirtualNetworkSubnetConfig parancsmaggal. A FrontEnd alhálózat ebben a gyakorlatban nem használatos. Helyettesítheti saját alhálózatnevét.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name FrontEnd `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualnetwork

Állítsa be a virtuális hálózat alhálózati konfigurációját a Set-AzVirtualNetwork parancsmaggal.

$virtualnetwork | Set-AzVirtualNetwork

Átjáróalhálózat hozzáadása

A virtuális hálózati átjáró erőforrásai egy GatewaySubnet nevű alhálózaton vannak üzembe helyezve. Az átjáró alhálózata a virtuális hálózat konfigurálásakor megadott IP-címtartomány része.

Ha nem rendelkezik GatewaySubnet nevű alhálózattal, a VPN-átjáró létrehozásakor az sikertelen lesz. Javasoljuk, hogy hozzon létre egy /27 -et (vagy nagyobbat) használó átjáróalhálózatot. Például /27 vagy /26. További információkért lásd a VPN Gateway beállításai – Átjáró alhálózata című témakört.

Állítson be egy változót a virtuális hálózathoz.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Hozza létre az átjáró alhálózatát az Add-AzVirtualNetworkSubnetConfig parancsmaggal.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Állítsa be a virtuális hálózat alhálózati konfigurációját a Set-AzVirtualNetwork parancsmaggal.

$vnet | Set-AzVirtualNetwork

Nyilvános IP-címek kérése

A VPN-átjárónak nyilvános IP-címmel kell rendelkeznie. Ha VPN-átjáróval hoz létre kapcsolatot, ez a megadott IP-cím. Az aktív-aktív módú átjárók esetében minden átjárópéldánynak saját nyilvános IP-címerőforrása van. Először az IP-cím típusú erőforrást kell kérnie, majd hivatkoznia kell arra, amikor létrehozza a virtuális hálózati átjárót. Ezenkívül az AZ végződésű átjáró-termékváltozatok esetében meg kell adnia a zónabeállítást is. Ez a példa zónaredundáns konfigurációt ad meg, mivel mindhárom regionális zónát meghatározza.

A VPN-átjáró létrehozásakor az IP-cím hozzá lesz rendelve az erőforráshoz. A nyilvános IP-cím csak akkor változik, ha az átjárót törlik és újra létrehozták. Nem módosul átméretezés, alaphelyzetbe állítás, illetve a VPN Gateway belső karbantartása/frissítése során.

Az alábbi példák segítségével statikus nyilvános IP-címet kérhet az egyes átjárópéldányokhoz.

$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Aktív-aktív átjáró létrehozásához (ajánlott) kérjen egy második nyilvános IP-címet:

$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Az átjáró IP-címkonfigurációjának létrehozása

Az átjáró konfigurációja meghatározza az alhálózatot és a használandó nyilvános IP-címet. Az átjárókonfiguráció létrehozásához használja az alábbi példát.

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id

A VPN-átjáró létrehozása

Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően. Az átjáró létrehozása után kapcsolatot hozhat létre a virtuális hálózat és a helyszíni hely között. Vagy hozzon létre egy kapcsolatot a virtuális hálózat és egy másik virtuális hálózat között.

Hozzon létre egy VPN-átjárót a New-AzVirtualNetworkGateway parancsmaggal. Figyelje meg a példákban, hogy a rendszer mindkét nyilvános IP-címre hivatkozik, és az átjáró aktív-aktívként van konfigurálva a EnableActiveActiveFeature kapcsolóval. A példában hozzáadjuk az opcionális -Debug kapcsolót. Ha egy másik termékváltozat használatával szeretne átjárót létrehozni, tekintse meg az Átjáró termékváltozatairól szóló cikket a konfigurációs követelményeknek leginkább megfelelő termékváltozat meghatározásához.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug

A VPN-átjáró megtekintése

A VPN-átjárót a Get-AzVirtualNetworkGateway parancsmaggal tekintheti meg.

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Átjáró IP-címeinek megtekintése

Minden VPN-átjárópéldányhoz nyilvános IP-címerőforrás tartozik. Az erőforráshoz társított IP-cím megtekintéséhez használja a Get-AzPublicIpAddress parancsmagot. Ismételje meg az egyes átjárópéldányok esetében. Az aktív-aktív átjárókhoz más nyilvános IP-cím van hozzárendelve az egyes példányokhoz.

Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

Az erőforrások eltávolítása

Ha már nincs szüksége a létrehozott erőforrásokra, a Remove-AzResourceGroup paranccsal törölje az erőforráscsoportot. Ez törli az erőforráscsoportot és az összes benne lévő erőforrást.

Remove-AzResourceGroup -Name TestRG1

Következő lépések

Az átjáró létrehozása után konfigurálhatja a kapcsolatokat.

• Helyek közötti kapcsolat létrehozása
• Pont–hely kapcsolat létrehozása
• Kapcsolat létrehozása egy másik virtuális hálózathoz