Sítě VPN (Virtual Private Network) jsou jednou ze současných metod bezpečného a spolehlivého procházení, protože připojení VPN nám dává možnost vytvořit místní síť bez fyzického připojení uživatelů, a toho je dosaženo prostřednictvím internetu. Můžeme využít připojení k síti VPN typu site-to-site za účelem připojení místní sítě k virtuální síti Azure pomocí tunelu IPsec / IKE VPN (IKEv1 nebo IKEv2). K dosažení tohoto typu připojení vyžaduje místní zařízení VPN, které má přiřazenou veřejnou IP adresu.
Když mluvíme o VPN v Azure, odkazujeme na bránu virtuální sítě, která se používá k odesílání šifrovaného provozu mezi virtuální sítí Azure a místním umístěním využívajícím veřejnou internetovou síť. Můžeme také použít VPN v Azure k odesílání šifrovaného provozu mezi virtuálními sítěmi Azure prostřednictvím sítě Microsoft, což nám poskytuje část zabezpečení a rychlosti.
Solvetic vysvětlí, jak můžeme prakticky vytvářet a konfigurovat síť VPN v Azure.
Předchozí požadavkyK provedení tohoto procesu bude nutné mít následující:
- Mít kompatibilní zařízení VPN.
- Zkontrolujte, zda máme pro zařízení VPN externí veřejnou adresu IPv4. Tato IP adresa nesmí být za NAT.
- Definujte rozsah IP adres, které chcete použít …
Předchozí dataPro tento tutoriál použije Solvetic následující data:
- Název virtuální sítě: Solvetic
- Adresní prostor: 10.1.0.0/24
- Předplatné: Zdarma
- Skupina prostředků: Solvetic
- Místo: východní USA
- Podsíť: front-end: 10.1.0.0/24, back-end: 10.1.1.0/24
- Název podsítě brány: GatewaySubnet
- Rozsah adres podsítě brány: 10.1.255.0/27
- Server DNS: 8.8.8.8
- Název brány virtuální sítě: VNet1GW
- Veřejná IP adresa: VNet1GWIP
- Typ VPN: na základě trasy
- Typ připojení: site-to-site (IPsec)
- Typ brány: VPN
- Název brány místní sítě: Site1
- Název připojení: VNet1toSite1
- Sdílený klíč: abc123
1. Vytvořte virtuální síť v Azure
Krok 1
Pro tento proces použijeme model nasazení Resource Manageru přes Azure Portal, a proto musíme přejít na následující odkaz:
Krok 2
Tam se musíme přihlásit pomocí našeho registrovaného účtu a v levém bočním panelu kliknout na možnost „Vytvořit zdroj“ a do pole „Hledat na tržišti“ zadáme virtuální síť a zobrazí se dostupné možnosti:
Krok 3
Vybereme „Virtuální síť“ a zobrazí se následující:
ZVĚTŠIT
Krok 3
Tam vyhledáme pole „Vyberte implementační modul“ umístěné ve spodní části a klikneme na rozbalovací pole, tam vybereme možnost „Správce zdrojů“, klikneme na tlačítko „Vytvořit“ a následující okno s názvem „Vytvořit virtuální síť“ se zobrazí „Kde budeme zadávat hodnoty definované pro virtuální síť:
ZVĚTŠIT
Krok 4
Když vyplníme pole, červený vykřičník se změní na zelené zaškrtnutí, pokud jsou znaky zadané do pole platné. V této první sekci konfigurujeme:
názevZde určíme název virtuální sítě.
Adresní prostorZadáme adresní prostor, v případě přidání několika adresních prostorů musíme přidat první adresní prostor a poté bude možné přidat další adresní prostory, jakmile bude virtuální síť vytvořena.
PředplatnéV rozevíracím seznamu musíme vybrat předplatné, ve kterém používáme.
Skupina prostředkůMůžeme vybrat existující skupinu prostředků, nebo vytvořit novou a přiřadit jí název.
UmístěníUdáváme umístění virtuální sítě, toto umístění určuje, kde budou umístěny prostředky, které mají být použity v této virtuální síti.
PodsíťTam potřebujeme přidat název první podsítě a rozsah adres podsítě, v případě potřeby po vytvoření virtuální sítě bude možné přidat další podsítě a podsíť brány.
Krok 5
Alternativně můžeme pro zvýšení výkonu virtuální sítě povolit hodnoty Firewall a Body připojení služby. Když je to definováno, kliknutím na „Vytvořit“ spustíte proces implementace virtuální sítě v Azure:
Krok 6
Jakmile je proces dokončen, uvidíme následující:
ZVĚTŠIT
Krok 7
Tam můžeme kliknutím na název prostředku přistoupit k obecné konfiguraci vytvořené virtuální sítě:
ZVĚTŠIT
2. Přiřaďte servery DNS virtuální sítě v Azure
Server DNS není vyžadován pro připojení typu site-to-site, ale může být implementován, aby měl způsob překladu názvů pro prostředky, které mají být nasazeny ve virtuální síti. K tomu je užitečné zadat server DNS. Tímto způsobem bude možné určit server DNS, který chceme použít pro překlad názvů virtuální sítě. Pokud to chceme udělat, klikněte na řádek „Servery DNS“, aktivujte pole „Vlastní“ a zadejte IP adresu serveru DNS. Můžeme používat veřejné DNS jako Google (8.8.8.8 a 8.8.4.4):
3. Vytvořte podsíť brány ve virtuální síti v Azure
Brána virtuální sítě využívá podsíť nazývanou podsíť brány. Tato podsíť integruje rozsah IP adres virtuální sítě, které jsou uvedeny během procesu konfigurace virtuální sítě. IP adresy používané prostředky a službami brány virtuální sítě jsou integrovány do této podsítě. Aby mohla Azure implementovat prostředky brány, musí mít tato podsíť název „GatewaySubnet“. A nelze zadat žádnou další podsíť, v případě, že v době vytváření brány VPN nebude mít podsíť s názvem „GatewaySubnet“, bude vygenerována chyba.
V procesu vytváření podsítě brány musíme určit počet IP adres, které tato podsíť bude obsahovat, tento počet IP adres závisí na konfiguraci brány VPN, která má být vytvořena.
Krok 1
K vytvoření této podsítě vybereme řádek „Podsítě“ a uvidíme následující:
Krok 2
Tam klikneme na možnost „Gateway Subnet“ a automaticky se vytvoří název podsítě. Zadáme rozsah adres a kliknutím na OK použijeme změny.
ZVĚTŠIT
4. Vytvořte bránu VPN v Azure
Krok 1
V tomto procesu klikneme na možnost „Vytvořit zdroj“ a do pole Marketplace zadáme bránu a vybereme možnost „Brána virtuální sítě“:
Krok 2
Uvidíme následující:
ZVĚTŠIT
Krok 3
Tam klikneme na tlačítko „Vytvořit“ a v novém okně podle potřeby zadáme hodnoty:
ZVĚTŠIT
Krok 4
Zde jsou použity tyto hodnoty:
názevOznačujeme název brány, toto je název objektu brány, který se má vytvořit.
Typ brányVybereme možnost VPN. Brány VPN používají typ brány virtuální sítě VPN.
Typ VPNVybíráme typ VPN, který použijeme pro konfiguraci, v tomto případě na základě tras.
SKUZ rozevíracího seznamu vybereme SKU brány. SKU dostupné v rozevíracím seznamu závisí na zvoleném typu VPN.
UmístěníToto umístění bude v cestě, kde se nachází virtuální síť, v případě, že umístění neukazuje na oblast, ve které se virtuální síť nachází, při výběru virtuální sítě se v procesu v rozevíracím seznamu neobjeví.
Virtuální síťVybereme virtuální síť, do které musí být tato brána přidána, kliknutím na Virtuální síť otevřete stránku „Vybrat virtuální síť“ a tam vybereme virtuální síť.
ZVĚTŠIT
Rozsah adres podsítě brányTato možnost bude k dispozici, pokud pro virtuální síť nebyla dříve vytvořena podsíť brány.
Konfigurace IPPomocí možnosti „Vybrat veřejnou IP adresu“ můžete vytvořit objekt veřejné IP adresy, který je přidružen k bráně VPN. Veřejná adresa IP je tomuto objektu dynamicky přiřazena při vytváření brány VPN. Za tímto účelem klikneme na „Vytvořit konfiguraci IP brány“ a tam zadáme hodnotu tohoto kurzu, která je VNet1GWIP.
ZVĚTŠIT
Krok 5
Klikněte na „Vytvořit“ a začne proces implementace brány virtuální sítě:
5. Vytvořte bránu místní sítě v Azure
Tato lokální síťová brána je lokálním umístěním, proto musíte webu přiřadit název, na který se může odkazovat Microsoft Azure, a poté zadat IP adresu místního zařízení VPN, se kterým bude vytvořeno připojení, a také Bude možné zadat předpony IP adres, které budou směrovány přes bránu VPN do zařízení VPN.
Krok 1
Abychom toho dosáhli, musíme kliknout na možnost „Vytvořit zdroj“ a do pole Marketplace zadat bránu místní sítě, aby se zobrazily související výsledky:
Krok 2
Tam klikneme na Local Network Gateway a zobrazí se následující okno:
ZVĚTŠIT
Krok 3
Klikneme na tlačítko „Vytvořit“ a tam musíme zadat následující:
názevPřiřadíme název objektu brány místní sítě.
IP adresaJe to veřejná IP adresa zařízení VPN, ke kterému se tam má Azure připojit, musíme uvést platnou veřejnou IP adresu.
Adresní prostorVztahuje se na rozsahy adres sítě, které tato místní síť představuje, a bude možné přidat více rozsahů adresních prostorů.
Konfigurujte BGPtato možnost se používá pouze při konfiguraci BGP.
PředplatnéUdáváme aktuální předplatné.
Skupina prostředkůTam vybereme skupinu prostředků, kterou použijeme, je možné vytvořit novou skupinu prostředků nebo vybrat již vytvořenou.
UmístěníVybereme umístění, ve kterém bude tento objekt vytvořen.
ZVĚTŠIT
Krok 4
Implementaci spustíte kliknutím na „Vytvořit“:
6. Nakonfigurujte zařízení místní sítě VPN v Azure
Připojení typu site-to-site k místní síti vyžaduje zařízení VPN. Abychom správně nakonfigurovali zařízení VPN, musíme vzít v úvahu:
- Sdílený klíč, který je stejným sdíleným klíčem, který je určen při vytváření připojení VPN typu site-to-site.
- Veřejná adresa IP brány virtuální sítě, kterou lze zobrazit na webu Azure Portal, PowerShell nebo CLI. Chcete -li zjistit veřejnou IP adresu brány VPN prostřednictvím webu Azure Portal, přejděte na „Brány virtuálních sítí“ a klikněte na název brány.
6. Vytvořte připojení VPN v Azure
Tento proces umožňuje připojení VPN typu site-to-site mezi bránou virtuální sítě a místním zařízením VPN.
Krok 1
Nyní můžeme nakonfigurovat tyto parametry v systému, v tomto případě Windows 10, pro přístup k síti VPN:
ZVĚTŠIT
Krok 2
Kliknutím na Uložit použijete změny a nyní, když se pokusíme připojit, uvidíme, že je nutné zadat přihlašovací údaje:
Krok 3
Tím se spustí proces připojení k VPN:
Krok 4
Jedním bodem konfigurace v Azure jsou připojení VPN, za tímto účelem přistupujeme k virtuální síti a přejdeme do části „Připojení“, kde zadáme podrobnosti, jako například:
názevUmožňuje přiřadit připojení název.
Typ připojeníTam je vybrána možnost Site to Site (IPSec).
Brána virtuální sítěJe to pevná hodnota, protože se připojuje z této brány.
Brána místní sítěKlikneme na Vybrat bránu místní sítě a vybereme bránu místní sítě, kterou chceme použít.
Sdílený klíčtato hodnota by měla být stejná jako ta, kterou používáte pro místní zařízení VPN.
OstatníZbývající hodnoty předplatného, skupiny prostředků a umístění jsou ve výchozím nastavení.
ZVĚTŠIT
Krok 5
Změny použijete kliknutím na OK. Nyní se můžeme vrátit zpět do virtuální sítě a kliknutím na možnost „Připojení“ na Azure Portal ověříme, že proces připojení začíná. Po připojení budeme moci vidět stav používání VPN:
ZVĚTŠIT
Díky této metodě nám Azure umožňuje vytvořit připojení VPN a plně využívat všechny jeho alternativy konfigurace a zabezpečení.