Bagikan melalui

Membuat gateway VPN menggunakan PowerShell

  • Artikel

Artikel ini membantu Anda membuat gateway VPN Azure menggunakan PowerShell. VPN Gateway digunakan saat membuat koneksi VPN ke jaringan lokal Anda. Anda juga dapat menggunakan gateway VPN untuk menyambungkan jaringan virtual. Untuk informasi selengkapnya tentang beberapa pengaturan dalam artikel ini, lihat Membuat gateway VPN - portal.

Diagram yang memperlihatkan jaringan virtual dan gateway VPN.

  • Sisi kiri diagram memperlihatkan jaringan virtual dan gateway VPN yang Anda buat dengan menggunakan langkah-langkah dalam artikel ini.
  • Anda nantinya dapat menambahkan berbagai jenis koneksi, seperti yang ditunjukkan di sisi kanan diagram. Misalnya, Anda dapat membuat koneksi situs-ke-situs dan titik-ke-situs . Untuk melihat arsitektur desain berbeda yang dapat Anda buat, lihat Desain gateway VPN.

Langkah-langkah dalam artikel ini membuat jaringan virtual, subnet, subnet gateway, dan gateway VPN mode aktif zona-redundan berbasis rute (gateway jaringan virtual) menggunakan SKU VpnGw2AZ Generasi 2. Setelah gateway dibuat, Anda dapat mengonfigurasi koneksi.

  • Jika Anda ingin membuat gateway VPN menggunakan SKU Dasar , lihat Membuat gateway VPN SKU Dasar.
  • Kami menyarankan agar Anda membuat gateway VPN mode aktif-aktif jika memungkinkan. Gateway VPN mode aktif-aktif memberikan ketersediaan dan performa yang lebih baik daripada gateway VPN mode standar. Untuk informasi selengkapnya tentang gateway aktif-aktif, lihat Tentang gateway mode aktif-aktif.
  • Untuk informasi tentang zona ketersediaan dan gateway zona redundan, lihat Apa itu zona ketersediaan?

Catatan

Langkah-langkah dalam artikel ini menggunakan gateway SKU VpnGw2AZ, yang merupakan SKU yang mendukung zona ketersediaan Azure. Jika zona ketersediaan tidak didukung untuk wilayah Anda, gunakan SKU non-AZ sebagai gantinya. Untuk informasi selengkapnya tentang SKU, lihat Tentang SKU gateway.

Sebelum Anda mulai

Langkah-langkah ini memerlukan langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Artikel ini menggunakan cmdlet PowerShell. Untuk menjalankan cmdlet, Anda dapat menggunakan Azure Cloud Shell. Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Buka Cloudshell dari sudut kanan atas blok kode. Anda juga dapat membuka Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan kode ke Cloud Shell, dan pilih tombol Enter untuk menjalankannya.

Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet. Untuk menginstal atau memperbarui, lihat Menginstal modul Azure PowerShell.

Buat grup sumber daya

Buat grup sumber daya Azure menggunakan perintah New-AzResourceGroup . Grup sumber daya adalah kontainer logis yang disebarkan dan dikelola oleh sumber daya Azure. Jika Anda menjalankan PowerShell secara lokal, buka konsol PowerShell Anda dengan hak istimewa yang ditinggikan dan sambungkan ke Azure menggunakan perintah Connect-AzAccount.

New-AzResourceGroup -Name TestRG1 -Location EastUS

Membuat jaringan virtual

Jika Anda belum memiliki jaringan virtual, buat jaringan virtual dengan New-AzVirtualNetwork. Saat Anda membuat jaringan virtual, pastikan bahwa ruang alamat yang Anda tentukan tidak tumpang tindih dengan ruang alamat apa pun yang Anda miliki di jaringan lokal Anda. Jika rentang alamat duplikat ada di kedua sisi koneksi VPN, lalu lintas tidak merutekan seperti yang Anda harapkan. Selain itu, jika Anda ingin menyambungkan jaringan virtual ini ke jaringan virtual lain, ruang alamat tidak dapat tumpang tindih dengan jaringan virtual lainnya. Oleh karena itu, berhati-hatilah ketika merencanakan konfigurasi jaringan Anda.

Contoh berikut membuat jaringan virtual bernama VNet1 di lokasi EastUS:

$virtualnetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Buat konfigurasi subnet menggunakan cmdlet New-AzVirtualNetworkSubnetConfig. Subnet FrontEnd tidak digunakan dalam latihan ini. Anda dapat mengganti nama subnet Anda sendiri.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name FrontEnd `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualnetwork

Atur konfigurasi subnet untuk jaringan virtual menggunakan cmdlet Set-AzVirtualNetwork.

$virtualnetwork | Set-AzVirtualNetwork

Menambahkan subnet gateway

Sumber daya gateway jaringan virtual disebarkan ke subnet tertentu bernama GatewaySubnet. Subnet gateway adalah bagian dari rentang alamat IP jaringan virtual yang Anda tentukan saat mengonfigurasi jaringan virtual Anda.

Jika Anda tidak memiliki subnet bernama GatewaySubnet, saat Anda membuat gateway VPN, subnet tersebut gagal. Kami menyarankan agar Anda membuat subnet gateway yang menggunakan /27 (atau lebih besar). Misalnya, /27 atau /26. Untuk informasi selengkapnya, lihat Pengaturan VPN Gateway - Gateway Subnet.

Penting

NSG pada subnet gateway tidak didukung. Mengaitkan grup keamanan jaringan ke subnet ini dapat menyebabkan gateway jaringan virtual Anda (gateway VPN dan ExpressRoute) berhenti berfungsi seperti yang diharapkan. Untuk informasi selengkapnya tentang grup keamanan jaringan, lihat Apa itu grup keamanan jaringan?.

Atur variabel untuk jaringan virtual Anda.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Buat subnet gateway menggunakan cmdlet Add-AzVirtualNetworkSubnetConfig.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Atur konfigurasi subnet untuk jaringan virtual menggunakan cmdlet Set-AzVirtualNetwork.

$vnet | Set-AzVirtualNetwork

Meminta alamat IP publik

Gateway VPN harus memiliki alamat IP publik. Saat Anda membuat koneksi ke gateway VPN, ini menjadi alamat IP yang Anda tentukan. Untuk gateway mode aktif-aktif, setiap instans gateway memiliki sumber daya alamat IP publiknya sendiri. Pertama-tama, minta sumber daya alamat IP, lalu merujuknya saat membuat gateway jaringan virtual Anda. Selain itu, untuk SKU gateway apa pun yang berakhiran AZ, Anda juga harus menentukan pengaturan Zona. Contoh ini menentukan konfigurasi zona-redundan karena menentukan ketiga zona regional.

Alamat IP ditetapkan ke sumber daya saat gateway VPN dibuat. Satu-satunya waktu perubahan alamat IP publik adalah ketika gateway dihapus dan dibuat ulang. Ini tidak berubah di seluruh pengubahan ukuran, pengaturan ulang, atau pemeliharaan/peningkatan internal lainnya dari gateway VPN Anda.

Gunakan contoh berikut untuk meminta alamat IP publik statis untuk setiap instans gateway.

$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Untuk membuat gateway aktif-aktif (disarankan), minta alamat IP publik kedua:

$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Membuat konfigurasi alamat IP gateway

Konfigurasi gateway menentukan subnet dan alamat IP publik yang akan digunakan. Gunakan contoh berikut untuk membuat konfigurasi gateway Anda.

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id

Buat gateway VPN

Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Setelah gateway dibuat, Anda dapat membuat koneksi antara jaringan virtual dan lokasi lokal Anda. Atau, buat koneksi antara jaringan virtual Anda dan jaringan virtual lainnya.

Buat gateway VPN menggunakan cmdlet New-AzVirtualNetworkGateway. Perhatikan dalam contoh bahwa kedua alamat IP publik dirujuk dan gateway dikonfigurasi sebagai aktif-aktif menggunakan sakelar EnableActiveActiveFeature . Dalam contoh, kami menambahkan sakelar opsional -Debug . Jika Anda ingin membuat gateway menggunakan SKU yang berbeda, lihat Tentang SKU Gateway untuk menentukan SKU yang paling sesuai dengan persyaratan konfigurasi Anda.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug

Lihat gateway VPN

Anda dapat melihat gateway VPN menggunakan cmdlet Get-AzVirtualNetworkGateway.

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Menampilkan alamat IP gateway

Setiap instans gateway VPN diberi sumber daya alamat IP publik. Untuk melihat alamat IP yang terkait dengan sumber daya, gunakan cmdlet Get-AzPublicIpAddress . Ulangi untuk setiap instans gateway. Gateway aktif-aktif memiliki alamat IP publik berbeda yang ditetapkan untuk setiap instans.

Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

Membersihkan sumber daya

Ketika Anda tidak lagi memerlukan sumber daya yang dibuat, gunakan perintah Hapus-GrupSumberDayaAz untuk menghapus grup sumber daya tersebut. Ini menghapus grup sumber daya dan semua sumber daya yang dikandungnya.

Remove-AzResourceGroup -Name TestRG1

Langkah berikutnya

Setelah gateway dibuat, Anda dapat mengonfigurasi koneksi.