Tutorial: Erstellen und Verwalten eines VPN-Gateways über das Azure-Portal

Dieses Tutorial unterstützt Sie dabei, mithilfe des Azure-Portals ein VPN-Gateway (virtuelles privates Netzwerk) zu erstellen und zu verwalten. Das VPN-Gateway ist nur ein Teil der Verbindungsarchitektur, mit dem Sie über ein VPN-Gateway sicher auf Ressourcen in einem virtuellen Netzwerk zugreifen können.

Diagramm eines virtuellen Netzwerks und eines VPN-Gateways.

  • Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
  • Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.

Wenn Sie mehr über die in diesem Tutorial verwendeten Konfigurationseinstellungen erfahren möchten, lesen Sie den Abschnitt Informationen zu VPN Gateway-Einstellungen. Weitere Informationen zu Azure VPN Gateway finden Sie unter Was ist Azure VPN Gateway?. Diese Schritte erstellen ein zonenredundantes Gateway im Aktiv/Aktiv-Modus. Wenn Sie stattdessen ein Basic SKU-Gateway erstellen möchten, lesen Sie Erstellen eines Basic SKU-VPN-Gateways.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie ein virtuelles Netzwerk.
  • Erstellen eines Aktiv/Aktiv-VPN-Gateways
  • Zeigen Sie die öffentlichen IP-Adresse des Gateways an.
  • Ändern Sie die Größe eines VPN-Gateways (ändern der Größe der SKU).
  • Setzen Sie ein VPN-Gateway zurück.

Die Schritte in diesem Artikel nutzen die Gateway-SKU VpnGw2AZ, eine SKU, die Azure-Verfügbarkeitszonen unterstützt. Einige Regionen unterstützen keine Verfügbarkeitszonen. Wenn Sie eine Bereitstellung in einer Region ausführen möchten, die sich von den Beispielwerten in diesem Artikel unterscheidet, stellen Sie sicher, dass Verfügbarkeitszonen für diese Region unterstützt werden. Wenn Verfügbarkeitszonen nicht unterstützt werden, verwenden Sie stattdessen eine Nicht-AZ-SKU. Weitere Informationen finden Sie unter Dienst- und Regionsunterstützung für Verfügbarkeitszonen. Weitere Informationen zu SKUs finden Sie unter Informationen zu Gateway-SKUs.

Voraussetzungen

Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Sollten Sie über keine Organisation verfügen, können Sie kostenlos eine erstellen.

Erstellen eines virtuellen Netzwerks

Verwenden Sie die folgenden Beispielwerte, um ein virtuelles Netzwerk zu erstellen:

  • Ressourcengruppe: TestRG1
  • Name: VNet1
  • Region: (USA) USA, Osten (oder die Region Ihrer Wahl)
  • IPv4-Adressraum: 10.1.0.0/16
  • Subnetzname: Den Standardnamen verwenden oder einen Namen angeben. Beispiel: FrontEnd
  • Subnetzadressraum: 10.1.0.0/24
  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie oben auf der Portalseite unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerk ein. Wählen Sie aus den Marketplace-Suchergebnissen den Eintrag Virtuelles Netzwerk aus, um die Seite Virtuelles Netzwerk zu öffnen.

  3. Wählen Sie auf der Seite Virtuelles Netzwerk die Option Erstellen aus, um die Seite Virtuelles Netzwerk erstellen zu öffnen.

  4. Konfigurieren Sie auf der Registerkarte Grundlagen die Einstellungen für das virtuelle Netzwerk für die Projektdetails und die Instanzdetails. Wenn die von Ihnen angegebenen Werte validiert sind, sehen Sie ein grünes Häkchen. Sie können die im Beispiel gezeigten Werte gemäß den von Ihnen benötigten Einstellungen anpassen.

    Screenshot der Registerkarte „Grundlagen“

    • Abonnement: Vergewissern Sie sich, dass das richtige Abonnement angegeben ist. Sie können Abonnements mithilfe des Dropdownfeldes ändern.
    • Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, um eine neue zu erstellen. Weitere Informationen zu Ressourcengruppen finden Sie unter Azure Resource Manager – Übersicht.
    • Name: Geben Sie den Namen für Ihr virtuelles Netzwerk ein.
    • Region: Wählen Sie den Speicherort für Ihr virtuelles Netzwerk aus. Der Speicherort gibt an, wo sich die in diesem virtuellen Netzwerk bereitgestellten Ressourcen befinden sollen.
  5. Wählen Sie Weiter oder Sicherheit aus, um zur Registerkarte Sicherheit zu wechseln. Behalten Sie für diese Übung die Standardwerte für alle Dienste auf dieser Seite bei.

  6. Wählen Sie IP-Adressen aus, um zur Registerkarte IP-Adressen zu wechseln. Konfigurieren Sie auf der Registerkarte IP-Adressen die Einstellungen.

    • IPv4-Adressraum: Standardmäßig wird automatisch ein Adressraum erstellt. Sie können den Adressraum auswählen und ihn an Ihre eigenen Werte anpassen. Sie können auch einen anderen Adressraum hinzufügen und den automatisch erstellten Standardwert entfernen. Beispielsweise können Sie die Startadresse als 10.1.0.0 und die Adressraumgröße als /16 angeben. Wählen Sie dann Hinzufügen aus, um diesen Adressraum hinzuzufügen.

    • + Subnetz hinzufügen: Wenn Sie den Standardadressraum verwenden, wird automatisch ein Standardsubnetz erstellt. Wenn Sie den Adressraum ändern, fügen Sie innerhalb dieses Adressraums ein neues Subnetz hinzu. Wählen Sie + Subnetz hinzufügen aus, um das Fenster Subnetz hinzufügen zu öffnen. Konfigurieren Sie die folgenden Einstellungen, und wählen Sie dann unten auf der Seite Hinzufügen aus, um die Werte hinzuzufügen.

      • Subnetzname: Sie können den Standardnamen verwenden oder den Namen angeben. Beispiel: FrontEnd
      • Subnetzadressbereich: Der Adressbereich für dieses Subnetz. Beispiele sind 10.1.0.0 und /24.
  7. Überprüfen Sie die Seite IP-Adressen, und entfernen Sie alle Adressräume oder Subnetze, die Sie nicht benötigen.

  8. Wählen Sie Bewerten + erstellen aus, um die Einstellungen für das virtuelle Netzwerk zu überprüfen.

  9. Wählen Sie nach der Überprüfung der Einstellungen Erstellen aus, um das virtuelle Netzwerk zu erstellen.

Nachdem Sie Ihr virtuelles Netzwerk erstellt haben, können Sie optional Azure DDoS Protection konfigurieren. Der Schutz kann einfach in jedem neuen oder vorhandenen virtuellen Netzwerk aktiviert werden und erfordert keine Änderung von Anwendung oder Ressource. Weitere Informationen zu Azure DDoS Protection finden Sie unter Was ist Azure DDoS Protection?.

Erstellen eines Gatewaysubnetzes

Für das virtuelle Netzwerkgateway ist ein bestimmtes Subnetz mit dem Namen GatewaySubnet erforderlich. Das Gatewaysubnetz ist Teil des IP-Adressbereichs für Ihr virtuelles Netzwerk und enthält die IP-Adressen, die von den Ressourcen und Diensten des virtuellen Netzwerkgateways verwendet werden. Geben Sie ein Gatewaysubnetz an, das /27 oder größer ist.

  1. Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Subnetze aus, um die Seite Subnetze zu öffnen.
  2. Wählen Sie oben auf der Seite + Gatewaysubnetz aus, um den Bereich Subnetz hinzufügen zu öffnen.
  3. Der Name wird automatisch als GatewaySubnet eingegeben. Passen Sie bei Bedarf den Wert des IP-Adressbereichs an. Ein Beispiel ist 10.1.255.0/27.
  4. Passen Sie die anderen Werte auf der Seite nicht an. Wählen Sie unten auf der Seite Speichern aus, um das Subnetz zu speichern.

Wichtig

Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.

Erstellen eines VPN-Gateways

In diesem Abschnitt erstellen Sie das virtuelle Netzwerkgateway (VPN-Gateway) für Ihr virtuelles Netzwerk. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern.

Erstellen Sie ein Gateway mit den folgenden Werten:

  • Name: VNet1GW
  • Gatewaytyp: VPN
  • SKU: VpnGw2AZ
  • Generation: Generation 2
  • Virtuelles Netzwerk: VNet1
  • Adressbereich für Gatewaysubnetz: 10.1.255.0/27
  • Öffentliche IP-Adresse: Neu erstellen
  • Öffentliche IP-Adresse: VNet1GWpip1
  • SKU der öffentlichen IP-Adresse: Standard
  • Zuordnung: Statisch
  • Name der zweiten öffentlichen IP-Adresse: VNet1GWpip2
  1. Geben Sie unter Nach Ressourcen, Diensten und Dokumenten suchen (G+/) den Begriff virtuelles Netzwerkgateway ein. Suchen Sie in den Marketplace-Suchergebnissen nach Virtuelles Netzwerkgateway, und wählen Sie dies aus, um die Seite Virtuelles Netzwerkgateway erstellen zu öffnen.

  2. Geben Sie auf der Registerkarte Grundlagen die Werte für Projektdetails und Details zur Instanz ein.

    Screenshot der Instanzenfelder.

    • Abonnement: Wählen Sie in der Dropdownliste das Abonnement aus, das Sie verwenden wollen.

    • Ressourcengruppe: Dieser Wert wird automatisch ausgefüllt, wenn Sie auf dieser Seite Ihr virtuelles Netzwerk auswählen.

    • Name: Hierbei handelt es sich um den Namen des Gatewayobjekts, das Sie erstellen. Es unterscheidet sich von dem Gatewaysubnetz, in dem Gatewayressourcen bereitgestellt werden.

    • Region: Wählen Sie die Region aus, in der Sie diese Ressource erstellen möchten. Die Region für das Gateway muss der des virtuellen Netzwerks entsprechen.

    • Gatewaytyp: Wählen Sie VPN aus. Bei VPN-Gateways wird ein virtuelles Netzwerkgateway vom Typ VPN verwendet.

    • SKU: Wählen Sie in der Dropdownliste eine Gateway-SKU aus, die die Features unterstützt, die Sie verwenden möchten.

      • Wir empfehlen wenn möglich eine SKU auszuwählen, die auf AZ endet. AZ-SKUs unterstützen Verfügbarkeitszonen.
      • Die Basic-SKU ist im Portal nicht verfügbar. Um ein einfaches SKU-Gateway zu konfigurieren, müssen Sie PowerShell oder CLI verwenden.
    • Generation: Wählen Sie Generation2 aus der Dropdownliste aus.

    • Virtuelles Netzwerk: Wählen Sie in der Dropdownliste das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen wollen. Wenn das virtuelle Netzwerk, das Sie ein Gateway verwenden möchten, nicht angezeigt wird, vergewissern Sie sich, dass Sie in den vorherigen Einstellungen das richtige Abonnement und die richtige Region ausgewählt haben.

    • Gateway-Subnetzadressbereich oder Subnetz: Das Gatewaysubnetz ist erforderlich, um ein VPN-Gateway zu erstellen.

      Derzeit kann dieses Feld verschiedene Einstellungsoptionen aufweisen, je nach Adressraum des virtuellen Netzwerks und ob Sie bereits ein Subnetz mit dem Namen GatewaySubnet für Ihr virtuelles Netzwerk erstellt haben.

      Wenn Sie nicht über ein Gatewaysubnetz verfügen und die Option zum Erstellen eines Gateways auf dieser Seite nicht angezeigt wird, wechseln Sie zu Ihrem virtuellen Netzwerk zurück und erstellen das Gatewaysubnetz. Kehren Sie dann zu dieser Seite zurück, und konfigurieren Sie das VPN-Gateway.

  1. Geben Sie die Werte für Öffentliche IP-Adresse an. Mit diesen Einstellungen werden die öffentlichen IP-Adressobjekte angegeben, die dem VPN-Gateway zugeordnet werden. Bei der Erstellung des VPN-Gateways wird jedem öffentlichen IP-Adressobjekt eine öffentliche IP-Adresse zugewiesen. Die zugewiesene öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird. IP-Adressen ändern sich nicht, wenn die Größe des VPN-Gateways geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.

    Screenshot des Felds für die öffentliche IP-Adresse.

    • Typ der öffentlichen IP-Adresse: Wenn diese Option angezeigt wird, wählen Sie Standard aus.

    • Öffentliche IP-Adresse: Lassen Sie Neu erstellen aktiviert.

    • Name der öffentlichen IP-Adresse: Geben Sie im Textfeld einen Namen für Ihre öffentliche IP-Adressinstanz ein.

    • SKU der öffentlichen IP-Adresse: Für diese Einstellung wird automatisch die Standard-SKU ausgewählt.

    • Zuweisung: Die Zuweisung wird in der Regel automatisch ausgewählt und sollte „Statisch“ lauten.

    • Verfügbarkeitszone: Diese Einstellung ist für AZ-Gateway-SKUs in den Regionen verfügbar, die Verfügbarkeitszonen unterstützen. Wählen Sie „Zonenredundant“ aus, es sei denn, Sie möchten eine bestimmte Zone angeben.

    • Aktiv/Aktiv-Modus aktivieren: Wir empfehlen, Aktiviert auszuwählen, um die Vorteile eines Gateways im Aktiv/Aktiv-Modus zu nutzen. Wenn Sie dieses Gateway für eine Site-to-Site-Verbindung verwenden möchten, berücksichtigen Sie Folgendes:

      • Überprüfen Sie den Aktiv/Aktiv-Entwurf, den Sie verwenden möchten. Die Verbindungen mit Ihrem lokalen VPN-Gerät müssen speziell konfiguriert werden, um den Aktiv/Aktiv-Modus nutzen zu können.
      • Manche VPN-Geräte unterstützen den Aktiv/Aktiv-Modus nicht. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren VPN-Geräteanbieter. Wenn Sie ein VPN-Gerät verwenden, das den Aktiv/Aktiv-Modus nicht unterstützt, können Sie Deaktiviert für diese Einstellung auswählen.
    • Zweite öffentliche IP-Adresse: Wählen Sie Neu erstellen aus. Diese ist nur verfügbar, wenn Sie Aktiviert für die Einstellung Aktiv/Aktiv-Modus aktivieren ausgewählt haben.

    • Name der öffentlichen IP-Adresse: Geben Sie im Textfeld einen Namen für Ihre öffentliche IP-Adressinstanz ein.

    • SKU der öffentlichen IP-Adresse: Für diese Einstellung wird automatisch die Standard-SKU ausgewählt.

    • Verfügbarkeitszone: Wählen Sie „Zonenredundant“ aus, es sei denn, Sie möchten eine bestimmte Zone angeben.

    • BGP konfigurieren: Wählen Sie „Deaktiviert“ aus, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich. Sollte diese Einstellung erforderlich sein, lautet die Standard-ASN 65515. (Dieser Wert kann jedoch geändert werden.)

    • Aktivieren des Zugriffs auf den Schlüsseltresor: Wählen Sie „Deaktiviert“ aus, es sei denn, Ihre Konfiguration erfordert diese Einstellung ausdrücklich.

  2. Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus.

  3. Wählen Sie nach erfolgreicher Validierung Erstellen aus, um das VPN-Gateway bereitzustellen.

Die gesamte Erstellung und Bereitstellung eines Gateways kann 45 Minuten oder länger dauern. Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt. Nachdem das Gateway erstellt wurde, können Sie die ihm zugewiesene IP-Adresse im virtuellen Netzwerk des Portals anzeigen. Das Gateway wird als verbundenes Gerät angezeigt.

Anzeigen einer öffentlichen IP-Adresse

Um öffentliche IP-Adressen anzuzeigen, die Ihrem virtuellen Netzwerkgateway zugeordnet sind, müssen Sie im Portal zum Gateway navigieren.

  1. Öffnen Sie auf der Portalseite für Ihr virtuelles Netzwerkgateway unter Einstellungen die Seite Eigenschaften.
  2. Wenn Sie weitere Informationen zum IP-Adressobjekt anzeigen möchten, klicken Sie auf den entsprechenden IP-Adresslink.

Ändern der Größe einer Gateway-SKU

Es gibt bestimmte Regeln für die Größenänderung gegenüber der Änderung einer Gateway-SKU. In diesem Abschnitt ändern Sie die Größe der SKU. Weitere Informationen finden Sie unter Größenänderung oder Änderung von Gateway-SKUs.

Die grundlegenden Schritte lauten wie folgt:

  1. Wechseln Sie zur Seite Konfiguration für Ihr virtuelles Netzwerkgateway.
  2. Wählen Sie rechts auf der Seite den Dropdownpfeil aus, um eine Liste der verfügbaren SKUs anzuzeigen. Beachten Sie, dass die Liste nur SKUs enthält, die Sie zur Größenänderung Ihrer aktuellen SKU verwenden können. Wenn die SKU, die Sie verwenden möchten, nicht angezeigt wird, müssen Sie auf eine neue SKU umstellen, anstatt ihre Größe zu ändern.
  3. Wählen Sie die SKU aus der Dropdownliste aus, und speichern Sie Ihre Änderungen.

Zurücksetzen eines Gateways

Gatewayzurücksetzungen verhalten sich je nach Gatewaykonfiguration anders. Weitere Informationen finden Sie unter Zurücksetzen eines VPN-Gateways oder einer Verbindung.

Die grundlegenden Schritte lauten wie folgt:

  1. Wechseln Sie im Portal zum virtuellen Netzwerkgateway, das Sie zurücksetzen möchten.
  2. Scrollen Sie auf der Seite VNET-Gateway links nach unten zu Hilfe -> Zurücksetzen.
  3. Wählen Sie auf der Seite Zurücksetzen die Option Zurücksetzen aus. Nach der Ausgabe des Befehls wird die aktuell aktive Instanz von Azure VPN Gateway sofort neu gestartet. Das Zurücksetzen des Gateways führt zu einer Lücke in der VPN-Konnektivität und kann die zukünftige Grundursachenanalyse des Problems einschränken.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht weiter verwenden oder zum nächsten Tutorial wechseln möchten, löschen Sie diese Ressourcen.

  1. Geben Sie oben im Portal den Namen Ihrer Ressourcengruppe im Suchfeld Suche ein, und wählen Sie ihn in den Suchergebnissen aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN Ihre Ressourcengruppe ein, und wählen Sie Löschen aus.

Nächste Schritte

Nachdem Sie ein VPN-Gateway erstellt haben, können Sie weitere Gatewayeinstellungen und -verbindungen konfigurieren. Die folgenden Artikel helfen Ihnen, einige der häufigsten Konfigurationen zu erstellen: