Как да създадете и конфигурирате VPN в Azure

VPN (виртуална частна мрежа) мрежи са един от съвременните методи за безопасно и надеждно сърфиране, тъй като VPN връзката ни дава възможност за създаване на локална мрежа, без потребителите да са физически свързани и това се постига чрез интернет. Можем да използваме VPN шлюз между сайтове, за да свържем локалната мрежа с виртуална мрежа на Azure, използвайки IPsec / IKE VPN тунел (IKEv1 или IKEv2). За да се постигне този тип връзка, е необходимо локално VPN устройство, на което е присвоен публичен IP адрес.

Когато говорим за VPN в Azure, имаме предвид виртуален мрежов шлюз, който се използва за изпращане на криптиран трафик между виртуална мрежа на Azure и локално местоположение, приемащо публичната интернет мрежа. Можем също да използваме VPN в Azure за изпращане на криптиран трафик между виртуални мрежи на Azure през мрежата на Microsoft, което ни дава част за сигурността и скоростта.

Solvetic ще обясни как можем да създадем и конфигурираме VPN мрежа в Azure по практически начин.

Предишни изискванияЗа да извършите този процес, ще е необходимо да имате следното:

• Имайте съвместимо VPN устройство.

• Проверете дали имаме външен публичен IPv4 адрес за VPN устройството. Този IP адрес не може да бъде зад NAT.

• Определете диапазона от IP адреси, които да използвате …

Предишни данниЗа този урок Solvetic ще използва следните данни:

• Име на виртуална мрежа: Solvetic

• Адресно пространство: 10.1.0.0/24

• Абонамент: Безплатен

• Ресурсна група: Solvetic

• Местоположение: Източна САЩ

• Подмрежа: front-end: 10.1.0.0/24, back-end: 10.1.1.0/24

• Име на подмрежа на шлюз: GatewaySubnet

• Обхват на адресите на подмрежата на шлюза: 10.1.255.0/27

• DNS сървър: 8.8.8.8

• Име на шлюз за виртуална мрежа: VNet1GW

• Публичен IP адрес: VNet1GWIP

• Тип VPN: базиран на маршрут

• Тип връзка: от сайт до сайт (IPsec)

• Тип шлюз: VPN

• Име на шлюза на локалната мрежа: Site1

• Име на връзката: VNet1toSite1

• Споделен ключ: abc123

1. Създайте виртуална мрежа в Azure

Етап 1
За този процес ще използваме модела за разполагане на Resource Manager чрез портала на Azure и за това трябва да отидем на следната връзка:

Стъпка 2
Там трябва да влезем с нашия регистриран акаунт и в левия страничен панел щракнете върху опцията „Създаване на ресурс“ и в полето „Търсене на пазара“ влизаме във виртуална мрежа и ще се покажат наличните опции:

Стъпка 3
Избираме „Виртуална мрежа“ и ще се покаже следното:

Увеличете

Стъпка 3
Там намираме полето „Избор на модул за внедряване“, разположено в долната част и кликваме върху падащото поле, там избираме опцията „Мениджър на ресурси“, кликваме върху бутона „Създаване“ и следния прозорец, наречен „Създаване на виртуална мрежа ще се покаже "Къде ще въведем стойностите, определени за виртуалната мрежа:

Увеличете

Стъпка 4
Там, когато попълваме полетата, червеният удивителен знак се превръща в зелен отметка, когато въведените в полето знаци са валидни. В този първи раздел ние конфигурираме:

ИмеТам посочваме името на виртуалната мрежа.

Адресно пространствоВлизаме в адресното пространство, в случай че имаме няколко адресни пространства за добавяне, трябва да добавим първото адресно пространство и след това ще бъде възможно да добавим още адресни пространства, след като виртуалната мрежа бъде създадена.

АбонаментТрябва да изберете абонамента, в който използваме падащия списък.

Ресурсна групаМожем да изберем съществуваща група ресурси или да създадем нова и да й присвоим име.

МестоположениеНие посочваме местоположението на виртуалната мрежа, това определя къде ще се намират ресурсите, които ще се използват в тази виртуална мрежа.

ПодмрежаТам трябва да добавим името на първата подмрежа и обхвата на адресите на подмрежата, ако е необходимо, след създаването на виртуалната мрежа ще бъде възможно да се добавят още подмрежи и подмрежата на шлюза.

Стъпка 5
Като алтернатива можем да активираме стойностите на защитната стена и точките за свързване на услуги, за да увеличим производителността на виртуалната мрежа. С това дефиниране, щракнете върху „Създаване“, за да стартирате процеса на внедряване на виртуална мрежа в Azure:

Стъпка 6
След като процесът приключи, ще видим следното:

Увеличете

Стъпка 7
Там можем да кликнете върху името на ресурса за достъп до общата конфигурация на създадената виртуална мрежа:

Увеличете

2. Присвояване на DNS сървъри на виртуална мрежа в Azure

DNS сървърът не е необходим за връзки между сайтове, но може да бъде реализиран, за да има метод за разрешаване на имена за ресурсите, които да бъдат разгърнати във виртуалната мрежа. За това е полезно да посочите DNS сървър. По този начин ще бъде възможно да се посочи DNS сървърът, който искаме да използваме за разделяне на имената на виртуалната мрежа. Ако искаме да направим това, щракнете върху реда „DNS сървъри“ и активирайте полето „Персонализиран“ и въведете IP адреса на DNS сървъра. Можем да използваме публичен DNS като този на Google (8.8.8.8 и 8.8.4.4):

3. Създайте подмрежа на шлюз във виртуална мрежа в Azure

Виртуалният мрежов шлюз използва подмрежа, наречена подмрежа шлюз, тази подмрежа интегрира диапазона от IP адреси на виртуална мрежа, които са посочени по време на процеса на конфигуриране на виртуалната мрежа. IP адресите, използвани от ресурсите и услугите на виртуалния мрежов шлюз, са интегрирани в тази подмрежа. Тази подмрежа трябва да бъде наречена "GatewaySubnet", за да може Azure да внедри ресурсите на шлюза. И не може да бъде посочена допълнителна подмрежа, в случай, че няма подмрежа, наречена "GatewaySubnet", по време на създаването на VPN шлюза ще бъде генерирана грешка.

В процеса на създаване на подмрежата на шлюза трябва да посочим броя на IP адресите, които тази подмрежа ще съдържа, този брой IP адреси зависи от конфигурацията на VPN шлюза, която ще бъде създадена.

Етап 1
За да създадем тази подмрежа, избираме реда "Подмрежи" и ще видим следното:

Стъпка 2
Там кликваме върху опцията „Gateway Subnet“ и името на подмрежата автоматично ще бъде създадено. Въвеждаме диапазона от адреси и натискаме OK, за да приложим промените.

Увеличете

4. Създайте VPN шлюз в Azure

Етап 1
За този процес кликваме върху опцията „Създаване на ресурс“ и в полето Marketplace влизаме в шлюз и избираме опцията „Виртуален мрежов шлюз“:

Стъпка 2
Ще видим следното:

Увеличете

Стъпка 3
Там кликваме върху бутона „Създаване“ и в новия прозорец ще въведем стойностите според нуждите:

Увеличете

Стъпка 4
Стойностите, които трябва да се използват, са:

ИмеНие посочваме име на шлюза, това е името на обекта на шлюза за създаване.

Тип шлюзИзбираме опцията VPN. VPN шлюзовете използват VPN шлюз за виртуална мрежа.

Тип VPNИзбираме типа VPN, който да използваме за конфигурацията, в този случай въз основа на маршрути.

SKUИзбираме SKU на шлюза от падащия списък. Наличните SKU в падащия списък зависят от избрания тип VPN.

МестоположениеТова местоположение ще бъде на пътя, където се намира виртуалната мрежа, в случай че местоположението не сочи към региона, в който се намира виртуалната мрежа, при избора на виртуална мрежа няма да се появи в падащия списък в процеса.

Виртуална мрежаИзбираме виртуалната мрежа, към която трябва да се добави този шлюз, трябва да кликнете върху Виртуална мрежа, за да отворите страницата „Изберете виртуална мрежа“ и там да изберете виртуалната мрежа.

Увеличете

Обхват на адресите на подмрежата на шлюзаТази опция ще бъде налична, ако подмрежа на шлюз не е създадена за виртуалната мрежа преди това.

IP конфигурацияС опцията „Избор на публичен IP адрес“ можете да създадете обект на публичен IP адрес, който е свързан с VPN шлюза. Публичният IP адрес се присвоява динамично на този обект при създаването на VPN шлюз. За целта кликваме върху „Създаване на IP конфигурация на шлюза“ и там въвеждаме стойността за този урок, която е VNet1GWIP.

Увеличете

Стъпка 5
Кликнете върху „Създаване“ и процесът на внедряване на шлюза за виртуална мрежа ще започне:

5. Създайте шлюз за локална мрежа в Azure

Този шлюз за локална мрежа е локалното местоположение, за това трябва да зададете на сайта име, на което Microsoft Azure може да се позовава, и след това да посочите IP адреса на локалното VPN устройство, с което ще бъде създадена връзка, а също така ще бъде възможно да се посочи префиксите на IP адреса, които ще бъдат насочени през VPN шлюза към VPN устройството.

Етап 1
За да постигнем това, трябва да кликнете върху опцията „Създаване на ресурс“ и в полето Marketplace да въведете шлюза на локалната мрежа, за да видите свързаните резултати:

Стъпка 2
Щракваме върху Local Network Gateway и ще се покаже следният прозорец:

Увеличете

Стъпка 3
Кликваме върху бутона „Създаване“ и там трябва да посочим следното:

ИмеПрисвояваме името на обекта на локалния мрежов шлюз.

IP адресТова е публичният IP адрес на VPN устройството, към което искате да се свърже Azure, трябва да посочим валиден публичен IP адрес.

Адресно пространствоТой се отнася до диапазоните на адреси на мрежата, които представлява тази локална мрежа и ще бъде възможно да се добавят множество диапазони от адресни пространства.

Конфигурирайте BGPтази опция се използва само при конфигуриране на BGP.

АбонаментПосочваме текущия абонамент.

Ресурсна групаТам избираме групата ресурси, която да използваме, възможно е да създадем нова група ресурси или да изберем вече създадена.

МестоположениеИзбираме местоположението, на което ще бъде създаден този обект.

Увеличете

Стъпка 4
Кликнете върху „Създаване“, за да започнете изпълнението:

6. Конфигурирайте локалното мрежово VPN устройство в Azure

Връзките от локална мрежа към сайт изискват VPN устройство. За да конфигурираме правилно VPN устройството, трябва да вземем предвид:

• Споделен ключ, който е същият споделен ключ, който е посочен при създаването на VPN връзка между сайтове.

• Публичният IP адрес на шлюза на виртуалната мрежа, който може да бъде видим от портала на Azure, PowerShell или CLI. За да намерите публичния IP адрес на VPN шлюза през портала на Azure, отидете на „Виртуални мрежови шлюзове“ и кликнете върху името на шлюза.

6. Създайте VPN връзка в Azure

Този процес дава възможност за VPN връзка от място на място между шлюза на виртуалната мрежа и локалното VPN устройство.

Етап 1
Сега можем да конфигурираме тези параметри в системата, в този случай Windows 10, за достъп до VPN мрежата:

Увеличете

Стъпка 2
Кликнете върху Запазване, за да приложите промените и сега, когато се опитаме да се свържем, ще видим, че е необходимо да въведете идентификационните данни:

Стъпка 3
Това ще започне процеса на свързване с VPN:

Стъпка 4
Една точка за конфигуриране в Azure са VPN връзките, за това имаме достъп до виртуалната мрежа и отиваме в секцията „Връзки“, където ще въведем подробности като:

ИмеПозволява ви да присвоите име на връзката.

Вид на връзкатаТам се избира опцията Site to Site (IPSec).

Виртуален мрежов шлюзТова е фиксирана стойност, тъй като се свързва от този шлюз.

Локален мрежов шлюзКликваме върху Избор на локален мрежов шлюз и избираме локалния мрежов шлюз, който да използваме.

Споделен ключтази стойност трябва да е същата като тази, която използвате за локалното VPN устройство.

ДругиОстаналите стойности за абонамент, група ресурси и местоположение са по подразбиране.

Увеличете

Стъпка 5
Щракнете върху OK, за да приложите промените. Сега можем да се върнем към виртуалната мрежа и като щракнем върху опцията „Връзки“ на портала на Azure, потвърждаваме, че процесът на свързване започва. След свързване ще можем да видим състоянието на използване на VPN:

Увеличете

С този метод Azure ни позволява да създадем VPN връзка и да се възползваме максимално от всяка от нейните алтернативи за конфигуриране и защита.