配置 VNet 到 VNet 的 VPN 连接 - Azure 门户

本文介绍如何通过 Azure 门户使用 VNet 到 VNet 连接类型来连接虚拟网络。 使用门户使用 VNet 到 VNet 连接虚拟网络时,虚拟网络可以位于不同的区域中,但必须位于同一订阅中。 如果虚拟网络在不同的订阅中,请改用 PowerShell 说明。 本文不适用于虚拟网络对等互连。 有关虚拟网络对等互连,请参阅虚拟网络对等互连一文。

VNet 到 VNet 连接示意图。

关于 VNet 到 VNet 的连接

配置 VNet 到 VNet 连接是连接虚拟网络的简单方式。 使用 VNet 到 VNet 连接类型将一个虚拟网络连接到另一个虚拟网络类似于与本地位置建立站点到站点 IPsec 连接。 这两种连接类型都使用 VPN 网关来提供使用 IPsec/IKE 的安全隧道,两者在通信时的运行方式相同。 但是,两者在本地网络网关的配置方式上有差别。

  • 创建 VNet 到 VNet 连接时,不会自动创建和填充本地网络网关地址空间。 但是,本地网络网关在此配置中不可见。 这意味着无法手动配置它。

  • 如果更新一个 VNet 的地址空间,另一个 VNet 会自动路由到更新的地址空间。

  • 与创建站点到站点连接相比,创建 VNet 到 VNet 连接通常速度更快且更容易。

  • 如果你知道要为本地网络网关指定更多地址空间,或计划稍后添加更多连接,并且需要调整本地网络网关,则请改用站点到站点连接步骤创建配置。

  • VNet 到 VNet 连接不包括点到站点客户端池地址空间。 如果需要对点到站点客户端的传递路由,则在虚拟网络网关之间创建站点到站点连接,或使用虚拟网络对等互连。

为何创建 VNet 到 VNet 连接?

你可能会出于以下原因而使用 VNet 到 VNet 连接来连接虚拟网络:

  • 跨区域地域冗余和地域存在

    • 可以使用安全连接设置自己的异地复制或同步,而无需借助于面向 Internet 的终结点。
    • 使用 Azure 流量管理器和 Azure 负载均衡器,可以设置支持跨多个 Azure 区域实现异地冗余的高可用性工作负荷。 例如,可跨多个 Azure 区域中设置 SQL Always On 可用性组。
  • 具有隔离或管理边界的区域多层应用程序

    在同一区域中,由于存在隔离或管理要求,可以设置多个虚拟网络连接在一起的多层应用程序。 可以将 VNet 到 VNet 通信与多站点配置组合使用。 使用这些配置可以建立将跨界连接与虚拟网络间连接相结合的网络拓扑,如下图所示:

    显示多个订阅的 VNet 到 VNet 连接的示意图。

创建并配置 VNet1

如果已有一个 VNet,请验证这些设置是否与 VPN 网关设计兼容。 请特别注意任何可能与其他网络重叠的子网。 如果有重叠的子网,将无法正常连接。

在本部分中,使用以下值创建 VNet1。 如果你使用自己的值,请确保地址空间不与任何你想要连接的虚拟网络重叠。

  • 虚拟网络设置
    • 名称:VNet1
    • 地址空间:10.1.0.0/16
    • 订阅:选择要使用的订阅。
    • 资源组:TestRG1
    • 位置:中国东部
    • 子网
      • 名称:FrontEnd
      • 地址范围:10.1.0.0/24
  1. 登录到 Azure 门户。

  2. 在门户页顶部的“搜索资源、服务和文档(G+/)”中,输入“虚拟网络”。 从“市场”搜索结果中选择“虚拟网络”以打开“虚拟网络”页面

  3. 在“虚拟网络”页面上,选择“创建”以打开“创建虚拟网络”页面

  4. 在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置虚拟网络设置。 验证输入的值时,将看到一个绿色对勾。 你可以根据自己需要的设置调整示例中显示的值。

    该屏幕截图显示了“基本信息”选项卡。

    • 订阅:确认列出的订阅是正确的。 你可以使用下拉框来更改订阅。
    • 资源组:选择一个现有资源组,或选择“新建”以创建一个新资源组。 有关资源组的详细信息,请参阅 Azure 资源管理器概述
    • 名称:输入虚拟网络的名称。
    • 区域:选择你的虚拟网络的位置。 该位置决定了部署到此虚拟网络的资源将位于哪里。
  5. 选择“下一步”或“安全性”,转到“安全性”选项卡。对于此练习,请保留此页上所有服务的默认值。

  6. 选择“IP 地址”以转到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置

    • IPv4 地址空间:默认情况下,系统会自动创建一个地址空间。 可以选择该地址空间,将其调整为反映你自己的值。 还可以添加其他地址空间并移除自动创建的默认值。 例如,可以将起始地址指定为“10.1.0.0”,将地址空间大小指定为“/16”。 然后选择“添加”以添加该地址空间

    • + 添加子网:如果你使用默认地址空间,则系统会自动创建一个默认子网。 如果更改地址空间,请在该地址空间中添加一个新子网。 选择“+添加子网”,打开“添加子网”窗口 。 配置以下设置,然后选择页面底部的“添加”以添加这些值

      • 子网名称:可使用默认名称,也可指定名称。 示例:FrontEnd
      • 子网地址范围:此子网的地址范围。 示例为“10.1.0.0”和“/24”
  7. 查看“IP 地址”页并移除不需要的任何地址空间或子网。

  8. 选择“审阅 + 创建”,验证虚拟网络设置。

  9. 验证设置后,选择“创建”以创建虚拟网络

创建网关子网

虚拟网络网关需要一个名为“GatewaySubnet”的特定子网。 网关子网是虚拟网络的 IP 地址范围的一部分,包含虚拟网络网关资源和服务使用的 IP 地址。

创建网关子网时,需指定子网包含的 IP 地址数。 所需的 IP 地址数目取决于要创建的 VPN 网关配置。 有些配置需要具有比其他配置更多的 IP 地址。 最好为网关子网指定 /27 或更大的值(/26、/25 等)。

  1. 在虚拟网络页面的左侧窗格中,选择“子网”以打开“子网”页面
  2. 在页面顶部,选择“+ 网关子网”以打开“添加子网”窗格
  3. 名称将自动输入为“GatewaySubnet”。 根据需要调整 IP 地址范围值。 例如“10.1.255.0/27”
  4. 不要调整该页面上的其他值。 选择页面底部的“保存”以保存子网

重要

不支持网关子网上的网络安全组 (NSG)。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

创建 VNet1 VPN 网关

在此步骤中,你将为虚拟网络创建虚拟网络网关。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。 有关网关 SKU 定价,请参阅定价

使用以下值创建虚拟网络网关(VPN 网关):

  • 名称:VNet1GW
  • 网关类型: VPN
  • SKU:VpnGw2
  • 代系:第 2 代
  • 虚拟网络: VNet1
  • 网关子网地址范围:10.1.255.0/27
  • 公共 IP 地址:新建
  • 公共 IP 地址名称:VNet1GWpip1
  • 公共 IP 地址 SKU:标准
  • 分配:静态
  • 第二个公共 IP 地址名称:VNet1GWpip2
  • 启用主动-主动模式:已启用
  1. 在“搜索资源、服务和文档(G+/)”中,输入“虚拟网络网关”。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页面

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    显示“实例”字段的屏幕截图。

    • 订阅:从下拉列表中选择要使用的订阅

    • 资源组:在此页上选择虚拟网络时,会自动填充此值

    • 名称:要创建的网关对象的名称。 这不同于将部署网关资源的网关子网。

    • 区域:选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。

    • 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。

    • SKU:从下拉列表中选择支持你想要使用的功能的网关 SKU

      • 建议选择尽可能以 AZ 结尾的 SKU。 AZ SKU 支持可用性区域
      • 基本 SKU 在门户中不可用。 必须使用 PowerShell 或 CLI 配置基本 SKU 网关。
    • 代系:从下拉列表中选择“第 2 代”。

    • 虚拟网络:从下拉列表中选择要将此网关添加到的虚拟网络。 如果看不到要使用的虚拟网络,请确保在以前的设置中选择了正确的订阅和区域。

    • “网关子网地址范围”或“子网”:创建 VPN 网关时需要网关子网

      目前,此字段可能显示不同的设置选项,具体取决于虚拟网络地址空间,以及是否已为虚拟网络创建名为 GatewaySubnet 的子网

      如果你没有网关子网,并且此页面上也未显示用于创建网关子网的选项,请返回到你的虚拟网络并创建网关子网。 然后,返回到此页面并配置 VPN 网关。

  1. 指定“公共 IP 地址”的值。 这些设置指定将与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址分配给每个公共 IP 地址对象。 仅当删除并重新创建网关时,分配的公共 IP 地址才会发生更改。 IP 地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

    显示“公共 IP 地址”字段的屏幕截图。

    • 公共 IP 地址类型:如果显示了此选项,请选择“标准”

    • 公共 IP 地址:让“新建” 保持选中状态。

    • 公共 IP 地址名称:在文本框中,输入公共 IP 地址实例的名称

    • 公共 IP 地址 SKU:自动为设置选择“标准 SKU”

    • 分配:分配通常是自动选择的,并且应为“静态”。

    • 可用性区域:此设置适用于支持可用性区域区域中的 AZ 网关 SKU。 选择区域冗余,除非你知道要指定区域。

    • 启用主动-主动模式:建议选择“启用”,以利用主动-主动模式网关的优势。 如果计划将此网关用于站点到站点连接,请考虑以下事项:

      • 验证要使用的主动-主动设计。 必须专门配置与本地 VPN 设备的连接,以利用主动-主动模式。
      • 某些 VPN 设备不支持主动-主动模式。 如果不确定,请咨询 VPN 设备供应商。 如果使用的是不支持主动-主动模式的 VPN 设备,则可以为此设置选择“禁用”
    • 第二个公共 IP 地址:选择“新建”。 仅当为“启用主动-主动模式”设置选择了“启用”时,此选项才可用

    • 公共 IP 地址名称:在文本框中,输入公共 IP 地址实例的名称

    • 公共 IP 地址 SKU:自动为设置选择“标准 SKU”

    • 可用性区域:选择区域冗余,除非你知道要指定区域

    • 配置 BGP:除非你的配置专门需要此设置,否则请选择“已禁用”。 如果确实需要此设置,则默认 ASN 为 65515,但可以更改此值。

    • 启用 Key Vault 访问权限:除非你的配置专门需要此设置,否则请选择“禁用”

  2. 选择“查看 + 创建” ,运行验证。

  3. 验证通过后,选择“创建”以部署 VPN 网关

网关可能需要 45 分钟或更长时间才能完全创建和部署。 可以在网关的“概述”页上查看部署状态。 创建网关后,可以通过在门户中查看虚拟网络,来查看已分配给网关的 IP 地址。 网关显示为连接的设备。

重要

不支持网关子网上的网络安全组 (NSG)。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

创建并配置 VNet4

配置 VNet1 后,请创建 VNet4 和 VNet4 网关,方法是:重复上述步骤并将值替换为 VNet4 值。 无需等到 VNet1 的虚拟网关创建完成即可配置 VNet4。 如果你使用自己的值,请确保地址空间不与任何你想要连接的虚拟网络重叠。

可以使用以下示例值来配置 VNet4 和 VNet4 网关。

  • 虚拟网络设置
    • 名称:VNet4
    • 地址空间:10.41.0.0/16
    • 订阅:选择要使用的订阅。
    • 资源组:TestRG4
    • 位置:中国北部
    • 子网
      • 名称:FrontEnd
      • 地址范围:10.41.0.0/24

添加网关子网:

  • 名称:GatewaySubnet
  • 网关子网地址范围:10.41.255.0/27

配置 VNet4 VPN 网关

可以使用以下示例值来配置 VNet4 VPN 网关。

  • 虚拟网络网关设置
    • 名称:VNet4GW
    • 资源组:中国北部
    • 代系:第 2 代
    • 网关类型:选择“VPN”。
    • VPN 类型:选择“基于路由”
    • SKU:VpnGw2
    • 代系:第 2 代
    • 虚拟网络:VNet4
    • 公共 IP 地址名称:VNet4GWpip1
    • 公共 IP 地址 SKU:标准
    • 分配:静态
    • 第二个公共 IP 地址名称:VNet4GWpip2
    • 启用主动-主动模式:已启用

配置连接

VNet1 和 VNet4 的 VPN 网关都已完成后,就可创建虚拟网关连接了。

可以使用门户连接同一订阅中的虚拟网络,即使它们位于不同的资源组中。 但是,如果虚拟网络位于不同的订阅中,则你必须使用 PowerShell 创建连接。

可创建双向或单向连接。 在本练习中,我们将指定双向连接。 双向连接值会创建两个单独的连接,使流量可双向流动。

  1. 在门户中,转到“VNet1GW”。

  2. 在虚拟网络网关页上的左窗格中,选择“连接”以打开“连接”页。 然后选择“+ 添加”,以打开“创建连接”页面

  3. 在“创建连接”页上,填写连接值。

    显示“创建连接”页的屏幕截图。

    • 连接类型:从下拉列表选择“VNet 到 VNet”。
    • 建立双向连接:如果要在两个方向建立流量流,请选择此值。 如果未选择此设置,并且以后想要以相反的方向添加连接,则需要创建源自其他虚拟网络网关的新连接。
    • 第一个连接名称:VNet1-to-VNet4
    • 第二个连接名称:VNet4-to-VNet1
    • 区域:中国北部(VNet1GW 区域)
  4. 单击页面底部的“下一步: 设置 >”,转到“设置”页。

  5. 在“设置”页上,指定以下值:

    • 第一个虚拟网络网关:从下拉列表中选择“VNet1GW”。
    • 第二个虚拟网络网关:从下拉列表中选择“VNet4GW”。
    • 共享密钥(PSK) :在此字段中,输入连接的共享密钥。 可以自己生成或创建此密钥。 在站点到站点连接中,使用的密钥与本地设备和虚拟网络网关连接的密钥相同。 此处的概念大致相同,不过,此时不是连接到 VPN 设备,而是连接到另一个虚拟网络网关。 指定共享密钥时,重要的是连接双方的密钥完全相同。
    • IKE 协议:IKEv2
  6. 在本练习中,可以将其余设置保留为其默认值。

  7. 选择“查看 + 创建”,然后选择“创建”来验证并创建连接。

验证连接

  1. 在 Azure 门户中找到虚拟网络网关。 例如,VNet1GW

  2. 在“虚拟网络网关”页上选择“连接”,查看虚拟网络网关的“连接”页。 建立连接后,会看到“状态”值更改为“已连接”。

  3. 在“名称”列下选择一个连接,查看其详细信息。 数据开始流动后,会看到“输入数据”和“输出数据”的值。

添加更多连接

可以创建另一个 VNet 到 VNet 连接,也可以创建一个 IPsec 站点到站点连接,以便连接到本地位置。

  • 在创建更多连接之前,请验证虚拟网络的地址空间是否不与要连接到的地址空间重叠。

  • 配置新连接时,请务必调节“连接类型”,使之与要创建的连接类型匹配。 如果要添加站点到站点连接,则必须创建本地网络网关,然后才能创建连接。

  • 配置使用共享密钥的连接时,请确保连接双方的共享密钥完全相同。

若要创建更多连接,请执行以下步骤:

  1. 在 Azure 门户中,转到要从中创建连接的 VPN 网关。
  2. 在左窗格中,选择“连接”。 查看现有连接。
  3. 创建新连接。

VNet 到 VNet 常见问题

有关 VNet 到 VNet 的常见问题,请参阅 VPN 网关常见问题解答

后续步骤

  • 有关如何限制发往虚拟网络中资源的网络流量的信息,请参阅网络安全性

  • 有关 Azure 如何在 Azure 资源、本地资源和 Internet 资源之间路由流量的信息,请参阅虚拟网络流量路由