在 Azure 门户中创建站点到站点连接

本文介绍如何使用 Azure 门户创建站点到站点 VPN 网关连接,以便从本地网络连接到 VNet。 本文中的步骤适用于 Resource Manager 部署模型。 也可使用不同的部署工具或部署模型创建此配置,方法是从以下列表中选择另一选项:

使用站点到站点 VPN 网关连接,通过 IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道将本地网络连接到 Azure 虚拟网络。 此类型的连接要求位于本地的 VPN 设备分配有一个面向外部的公共 IP 地址。 有关 VPN 网关的详细信息,请参阅关于 VPN 网关

站点到站点 VPN 网关跨界连接示意图

开始之前

在开始配置之前,请验证是否符合以下条件:

  • 确保有一台兼容的 VPN 设备和能够对其进行配置的人员。 有关兼容的 VPN 设备和设备配置的详细信息,请参阅关于 VPN 设备
  • 确认 VPN 设备有一个面向外部的公共 IPv4 地址。 此 IP 地址不得位于 NAT 之后。
  • 如果熟悉本地网络配置中的 IP 地址范围,则需咨询能够提供此类详细信息的人员。 创建此配置时,必须指定 IP 地址范围前缀,Azure 会将该前缀路由到本地位置。 本地网络的任何子网都不得与要连接到的虚拟网络子网重叠。

示例值

本文中的示例使用以下值。 可使用这些值创建测试环境,或参考这些值以更好地理解本文中的示例。

  • VNet 名称:TestVNet1
  • 地址空间:
    • 10.11.0.0/16
    • 10.12.0.0/16(可选,适用于本练习)
  • 子网:
    • FrontEnd:10.11.0.0/24
    • BackEnd:10.12.0.0/24(可选,适用于本练习)
  • GatewaySubnet:10.11.255.0/27
  • 资源组: TestRG1
  • 位置: 中国东部
  • DNS 服务器:可选。 DNS 服务器的 IP 地址。
  • 虚拟网关名称:VNet1GW
  • 公共 IP: VNet1GWIP
  • VPN 类型: 基于路由
  • 连接类型:站点到站点 (IPsec)
  • 网关类型: VPN
  • 本地网络网关名称: Site2
  • 连接名称: VNet1toSite2

1.创建虚拟网络

若要使用 Azure 门户在 Resource Manager 部署模型中创建 VNet,请执行以下步骤。 这些屏幕截图作为示例提供。 请务必替换为你自己的值。 有关使用虚拟网络的详细信息,请参阅 虚拟网络概述

  1. 从浏览器导航到 Azure 门户 并使用 Azure 帐户登录。
  2. 单击“新建” 。 在“搜索应用商店”字段中,键入“虚拟网络”。 从返回的列表中找到“虚拟网络”,单击打开“虚拟网络”边栏选项卡。
  3. 从靠近“虚拟网络”边栏选项卡底部的“选择部署模型”列表中,选择“Resource Manager”,然后单击“创建”。
  4. 在“创建虚拟网络” 边栏选项卡上,配置 VNet 设置。 填写字段时,如果在字段中输入的字符有效,红色感叹号标记会变成绿色对钩标记。
  5. “创建虚拟网络”边栏选项卡看起来与以下示例类似。 可能会有自动填充的值。 如果出现这种情况,将值替换为自己的值。

    创建虚拟网络边栏选项卡

  6. 名称:输入虚拟网络的名称。
  7. 地址空间:输入地址空间。 如果有多个要添加的地址空间,请添加第一个地址空间。 可在创建 VNet 后再添加其他地址空间。 请确保指定的地址空间与本地位置的地址空间不重叠。
  8. 子网名称:添加子网名称和子网地址范围。 可在创建 VNet 后再添加其他子网。
  9. 订阅:确认列出的订阅是正确的。 可以使用下拉列表更改订阅。
  10. 资源组:选择现有的资源组,或键入新资源组的名称以创建新的资源组。 如果要创建新组,请根据计划的配置值来命名资源组。 有关资源组的详细信息,请访问 Azure Resource Manager 概述
  11. 位置:选择 VNet 的位置。 该位置确定要部署到此 VNet 的资源所在的位置。
  12. 如果希望能够在仪表板上轻松查找 VNet,请选择“固定到仪表板”,然后单击“创建”。
  13. 单击“创建”后,将看到仪表板上的磁贴反映了 VNet 的进度。 创建 VNet 时,该磁贴会更改。

2.指定 DNS 服务器

创建站点到站点连接不需要 DNS。 但是,如果希望对部署到虚拟网络的资源进行名称解析,则应指定 DNS 服务器。 可以通过此设置指定 DNS 服务器,以便将其用于此虚拟网络的名称解析。 此设置不创建 DNS 服务器。 有关名称解析的详细信息,请参阅 VM 和角色实例的名称解析

  1. 在虚拟网络的“设置”页上,导航到“DNS 服务器”并单击以打开 “DNS 服务器”边栏选项卡。
  2. 在“DNS 服务器”页中的“DNS 服务器”下,选择“自定义”。
  3. 在“添加 DNS 服务器”框中的“DNS 服务器”字段中,输入要用于名称解析的 DNS 服务器的 IP 地址。 完成添加 DNS 服务器后,单击边栏选项卡顶部的“保存”以保存配置。

    自定义 DNS

3.创建网关子网

虚拟网络网关使用名为“GatewaySubnet”的特定子网。 网关子网包含 VPN 网关服务使用的 IP 地址。 创建网关子网时,必须将其命名为“GatewaySubnet”。 将子网命名为“GatewaySubnet”可让 Azure 了解创建网关服务的位置。 如果将子网命名为其他名称,则 VPN 网关配置将会失败。

GatewaySubnet 中的 IP 地址将分配到网关服务。 创建 GatewaySubnet 时,请指定子网包含的 IP 地址数。 指定的 GatewaySubnet 的大小取决于要创建的 VPN 网关配置。 尽管创建的 GatewaySubnet 最小可为 /29,但建议选择 /27 或 /28,创建包含更多地址的更大子网。 使用更大的网关子网可以有足够的 IP 地址来应对未来可能会有的配置。

  1. 在门户中,导航到要为其创建虚拟网关的虚拟网络。
  2. 在 VNet 页的“设置”部分中单击“子网”,展开“子网”页。
  3. 在“子网”页中,单击顶部的“+网关子网”打开“添加子网”页。

    添加网关子网

  4. 子网的“名称”自动填充为值“GatewaySubnet”。 Azure 需要 GatewaySubnet 值才能识别作为网关子网的子网。 调整自动填充的地址范围值,使其匹配配置要求。

    添加网关子网

  5. 若要创建子网,请单击页底部的“确定”。

4.创建 VPN 网关

  1. 在门户页左侧单击 +,然后在搜索框中键入“虚拟网关”。 在“结果”中找到并单击“虚拟网关”。 在“虚拟网关”边栏选项卡底部,单击“创建”。 这会打开“创建虚拟网络网关”边栏选项卡。
  2. 在“创建虚拟网络网关”边栏选项卡中,填写虚拟网络网关的值。

    “创建虚拟网关”边栏选项卡字段

  3. 名称:为网关命名。 这与为网关子网命名不同。 它是要创建的网关对象的名称。
  4. 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN”。
  5. VPN 类型:选择为配置指定的 VPN 类型。 大多数配置要求基于路由的 VPN 类型。
  6. SKU:从下拉列表中选择网关 SKU。 下拉列表中列出的 SKU 取决于选择的 VPN 类型。
  7. 位置:可能需要滚动才能看到“位置”。 调整“位置” 字段,使其指向虚拟网络所在的位置。 如果该位置未指向虚拟网络所在的区域,该虚拟网络将不会显示在下一步的“选择虚拟网络”下拉列表中。
  8. 虚拟网络:选择要将此网关添加到其中的虚拟网络。 单击“虚拟网络”打开“选择虚拟网络”边栏选项卡。 选择 VNet。 如果看不到 VNet,请确保“位置”字段指向虚拟网络所在的区域。
  9. 创建公共 IP 地址:此边栏选项卡会创建一个公共 IP 地址对象,以便向其动态分配公共 IP 地址。 单击“公共 IP 地址”打开“选择公共 IP 地址”边栏选项卡。 单击“+新建”打开“创建公共 IP 地址”边栏选项卡。 输入公共 IP 地址的名称。 单击“确定”保存对此边栏选项卡所做的更改。 创建 VPN 网关时,IP 地址是动态分配的。 VPN 网关当前仅支持动态公共 IP 地址分配。 但这并不意味着 IP 地址在分配到 VPN 网关后会更改。 公共 IP 地址只在删除或重新创建网关时更改。 该地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

    创建公共 IP

  10. 订阅:确保选择正确的订阅。
  11. 资源组:此设置取决于选择的虚拟网络。
  12. 指定上述设置后请不要调整“位置” 。
  13. 验证设置。 如果希望网关显示在仪表板上,可以在边栏选项卡底部选择“固定到仪表板” 。
  14. 单击“创建” 开始创建网关。 将会验证这些设置,并会在仪表板上看到“正在部署虚拟网络网关”磁贴。 创建网关最多可能需要 45 分钟。 你可能需要刷新门户页才能看到完成状态。

    创建网关

  15. 创建网关后,即可在门户中查看虚拟网络,从而查看分配给网关的 IP 地址。 网关将显示为连接的设备。 可以单击连接的设备(虚拟网络网关),查看详细信息。

5.创建本地网关

本地网络网关通常是指本地位置。 可以为站点提供一个名称供 Azure 引用,并指定本地 VPN 设备的 IP 地址,以便创建一个连接来连接到该设备。 此外还可指定 IP 地址前缀,以便通过 VPN 网关将其路由到 VPN 设备。 指定的地址前缀是位于本地网络的前缀。 如果之后本地网络发生了更改,或需要更改 VPN 设备的公共 IP 地址,可轻松更新这些值。

  1. 在门户中,从“所有资源”单击“+添加”。 在“所有内容”边栏选项卡搜索框中键入“本地网络网关”,然后单击进行搜索。 这会返回一个列表。 单击“本地网络网关”打开边栏选项卡,然后单击“创建”打开“创建本地网络网关”边栏选项卡。

    创建局域网网关

  2. 在“创建本地网络网关”边栏选项卡中,指定本地网络网关对象的“名称”。
  3. 为要连接的 VPN 设备或虚拟网络网关指定一个有效的公共 IP 地址
    这是要连接的 VPN 设备的公共 IP 地址。 它不能位于 NAT 后面,并且必须可让 Azure 访问。 请使用你自己的值,而不是屏幕截图中显示的值。
  4. 指的是此本地网络所代表的网络的地址范围。 可以添加多个地址空间范围。 请确保此处所指定的范围没有与要连接到的其他网络的范围相重叠。 Azure 会将指定的地址范围路由到本地 VPN 设备 IP 地址。 请在此处使用你自己的值,而不是屏幕截图中显示的值。
  5. 对于“订阅” ,请确保显示的是正确的订阅。
  6. 对于“资源组”,请选择要使用的资源组。 你可以创建新的资源组或选择已创建的资源组。
  7. 对于“位置” ,请选择将在其中创建此对象的位置。 可选择您的 VNet 所在的位置,但这不是必须的。
  8. 单击“创建” 以创建本地网关。

6.配置 VPN 设备

通过站点到站点连接连接到本地网络需要 VPN 设备。 在此步骤中,请配置 VPN 设备。 配置 VPN 设备时,需要以下项:

  • 共享密钥。 此共享密钥就是在创建站点到站点 VPN 连接时指定的共享密钥。 在示例中,我们使用基本的共享密钥。 建议生成更复杂的可用密钥。
  • 虚拟网关的“公共 IP 地址”。 可以通过 Azure 门户、PowerShell 或 CLI 查看公共 IP 地址。 若要使用 Azure 门户查找 VPN 网关的公共 IP 地址,请导航到“虚拟网关”,然后单击网关的名称。

请参阅以下链接,了解配置信息:

7.创建 VPN 连接

在虚拟网关和本地 VPN 设备之间创建站点到站点 VPN 连接。

  1. 定位虚拟网关。
  2. 单击“连接”。 在“连接”边栏选项卡顶部,单击“+添加”打开“添加连接”边栏选项卡。

    创建站点到站点连接

  3. 在“添加连接”边栏选项卡中,输入连接的“名称”。
  4. 对于“连接类型”,请选择“站点到站点(IPSec)”。
  5. 对于“虚拟网络网关”,由于你要从此网关连接,因此该值是固定的。
  6. 对于“本地网络网关”,请单击“选择本地网络网关”并选择要使用的本地网络网关。
  7. 对于“共享密钥”,此处的值必须与用于本地 VPN 设备的值匹配。 在示例中,我们使用的是“abc123”,但你可以(而且应该)使用更复杂的。 重要的是,此处指定的值必须与配置 VPN 设备时指定的值相同。
  8. 剩下的“订阅”、“资源组”和“位置”值是固定的。
  9. 单击“确定”以创建连接。 你将看到屏幕上闪烁“正在创建连接”。
  10. 连接完成后,将会显示在虚拟网关的“连接”边栏选项卡中。

    创建站点到站点连接

8.验证 VPN 连接

在 Azure 门户中,可通过导航到连接来查看 Resource Manager VPN 网关的连接状态。 以下步骤演示导航到连接并进行验证的一种方法。

  1. Azure 门户中,单击“所有资源”,然后导航到虚拟网关。
  2. 在“虚拟网络网关”边栏选项卡中,单击“连接” 。 可查看每个连接的状态。
  3. 单击想要验证的连接的名称,打开“概要” 。 在“概要”中,可以查看有关连接的详细信息。 成功连接后,“状态” 为“已成功”和“已连接”。

    使用 Azure 门户验证 VPN 网关连接

连接到虚拟机

可以连接到已部署到 VNet 的 VM,方法是创建到 VM 的远程桌面连接。 若要通过初始验证来确认能否连接到 VM,最好的方式是使用其专用 IP 地址而不是计算机名称进行连接。 这种方式是测试能否进行连接,而不是测试名称解析是否已正确配置。

  1. 定位专用 IP 地址。 查找 VM 的专用 IP 地址时,可以通过 Azure 门户或 PowerShell 查看 VM 的属性。

    • Azure 门户 - 在 Azure 门户中定位虚拟机。 查看 VM 的属性。 专用 IP 地址已列出。

    • PowerShell - 通过此示例查看资源组中的 VM 和专用 IP 地址的列表。 在使用此示例之前不需对其进行修改。

      $vms = get-azurermvm
      $nics = get-azurermnetworkinterface | where VirtualMachine -NE $null
      
      foreach($nic in $nics)
      {
        $vm = $vms | where-object -Property Id -EQ $nic.VirtualMachine.id
        $prv = $nic.IpConfigurations | select-object -ExpandProperty PrivateIpAddress
        $alloc = $nic.IpConfigurations | select-object -ExpandProperty PrivateIpAllocationMethod
        Write-Output "$($vm.Name): $prv,$alloc"
      }
      
  2. 验证是否已使用 VPN 连接连接到 VNet。

  3. 打开远程桌面连接,方法是:在任务栏的搜索框中键入“RDP”或“远程桌面连接”,然后选择“远程桌面连接”。 也可在 PowerShell 中使用“mstsc”命令打开远程桌面连接。
  4. 在远程桌面连接中,输入 VM 的专用 IP 地址。 可以通过单击“显示选项”来调整其他设置,然后进行连接。

排查到 VM 的 RDP 连接的问题

如果无法通过 VPN 连接连接到虚拟机,请查看以下项目:

  • 验证 VPN 连接是否成功。
  • 验证是否已连接到 VM 的专用 IP 地址。
  • 如果可以使用专用 IP 地址连接到 VM,但不能使用计算机名称进行连接,则请验证是否已正确配置 DNS。 若要详细了解如何对 VM 进行名称解析,请参阅针对 VM 的名称解析
  • 若要详细了解 RDP 连接,请参阅排查到 VM 的远程桌面连接问题

如何重置 VPN 网关

如果丢失一个或多个站点到站点隧道上的跨界 VPN 连接,重置 Azure VPN 网关可有效解决该情况。 在此情况下,本地 VPN 设备都在正常工作,但却无法与 Azure VPN 网关建立 IPsec 隧道。 有关步骤,请参阅重置 VPN 网关

如何更改网关 SKU(重设网关大小)

有关更改网关 SKU 的步骤,请参阅网关 SKU

后续步骤