Conectar o Azure Stack Hub ao Azure usando VPN

  • Artigo

Este artigo descreve como criar uma VPN site a site para conectar uma rede virtual no Azure Stack Hub a uma rede virtual no Azure.

Antes de começar

Para concluir a configuração de conexão, verifique se você tem os seguintes itens antes de começar:

  • Uma implantação de sistemas integrados (vários nós) do Azure Stack Hub que está diretamente conectada à Internet. Seu intervalo de endereços IP públicos externos deve estar diretamente acessível da Internet pública.
  • Uma assinatura válida do Azure. Se você não tiver uma assinatura do Azure, poderá criar uma conta gratuita do Azure aqui.

Diagrama de conexão VPN

A figura a seguir mostra a aparência da configuração de conexão quando você terminar:

Configuração de conexão VPN site a site

Valores de exemplo de configuração de rede

A tabela de exemplos de configuração de rede mostra os valores usados para exemplos neste artigo. Você pode usar esses valores ou pode consultá-los para entender melhor os exemplos neste artigo:

Valor Azure Stack Hub Azure
Nome da rede virtual Azs-VNet AzureVNet
Espaço de endereço da rede virtual 10.1.0.0/16 10.100.0.0/16
Nome da sub-rede FrontEnd FrontEnd
Intervalo de endereços da sub-rede 10.1.0.0/24 10.100.0.0/24
Sub-rede do gateway 10.1.1.0/24 10.100.1.0/24

Criar os recursos de rede no Azure

Primeiro, crie os recursos de rede para o Azure. As instruções a seguir mostram como criar os recursos usando o portal do Azure.

Criar a rede virtual e a sub-rede da VM (máquina virtual)

  1. Entre no portal do Azure usando a conta do Azure.
  2. No portal do usuário, selecione + Criar um recurso.
  3. Acesse o Marketplace e selecione Rede.
  4. Selecione Rede virtual.
  5. Use as informações da tabela de configuração de rede para identificar os valores de Nome do Azure, Espaço de endereço, Nome da sub-rede e intervalo de endereços de sub-rede.
  6. Para Grupo de Recursos, crie um novo grupo de recursos ou, se você já tiver um, selecione Usar existente.
  7. Selecione o Local da sua VNet. Se você estiver usando os valores de exemplo, selecione Leste dos EUA ou use outro local.
  8. Selecione Fixar no painel.
  9. Selecione Criar.

Criar a sub-rede de gateway

  1. Abra o recurso de rede virtual que você criou (AzureVNet) no dashboard.

  2. Na seção Configurações , selecione Sub-redes.

  3. Selecione Sub-rede de gateway para adicionar uma sub-rede de gateway à rede virtual.

  4. O nome da sub-rede é definido como Sub-rede de Gateway por padrão.

    Importante

    Sub-redes de gateway são especiais e devem ter esse nome específico para funcionar corretamente.

  5. No campo Intervalo de endereços , verifique se o endereço é 10.100.1.0/24.

  6. Selecione OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

  1. No portal do Azure, selecione + Criar um recurso.
  2. Acesse o Marketplace e selecione Rede.
  3. Na lista de recursos de rede, selecione Gateway de rede virtual.
  4. No campo Nome , digite Azure-GW.
  5. Para escolher uma rede virtual, selecione Rede virtual. Em seguida, selecione AzureVnet na lista.
  6. Selecione Endereço IP público. Quando a seção Escolher endereço IP público for aberta, selecione Criar novo.
  7. No campo Nome , digite Azure-GW-PiP e selecione OK.
  8. Verifique se Assinatura e Local estão corretos. Você pode fixar o recurso no dashboard. Selecione Criar.

Criar o recurso de gateway de rede local

  1. No portal do Azure, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Rede.

  3. Na lista de recursos, selecione Gateway de rede local.

  4. No campo Nome , digite Azs-GW.

  5. No campo Endereço IP, digite o endereço IP público do gateway de Rede Virtual do Azure Stack Hub listado anteriormente na tabela de configuração de rede.

  6. No campo Espaço de Endereço , no Azure Stack Hub, digite o espaço de endereço 10.1.0.0/24 e 10.1.1.0/24 para AzureVNet.

  7. Verifique se a Assinatura, o Grupo de Recursos e o Local estão corretos e selecione Criar.

Criar a conexão

  1. No portal do usuário, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Rede.

  3. Na lista de recursos, selecione Conexão.

  4. Na seção Configurações básicas , para o Tipo de conexão, escolha Site a site (IPSec).

  5. Selecione a Assinatura, o Grupo de Recursos e a Localização e, em seguida, selecione OK.

  6. Na seção Configurações , selecione Gateway de rede virtual e, em seguida, selecione Azure-GW.

  7. Selecione Gateway de rede local e, em seguida, selecione Azs-GW.

  8. Em Nome da conexão, digite Azure-Azs.

  9. Em Chave compartilhada (PSK), digite 12345 e selecione OK.

    Observação

    Se você usar um valor diferente para a chave compartilhada, lembre-se de que ela deve corresponder ao valor da chave compartilhada que você cria na outra extremidade da conexão.

  10. Examine a seção Resumo e selecione OK.

Criar uma política IPSec personalizada

Uma política IPSec personalizada é necessária para que o Azure corresponda ao Azure Stack Hub.

  1. Criar uma política personalizada:

    $IPSecPolicy = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup ECP384  `
-IpsecEncryption GCMAES256 -IpsecIntegrity GCMAES256 -PfsGroup ECP384 -SALifeTimeSeconds 27000 `
-SADataSizeKilobytes 102400000

  2. Aplique a política à conexão:

    $Connection = Get-AzVirtualNetworkGatewayConnection -Name myTunnel -ResourceGroupName myRG
Set-AzVirtualNetworkGatewayConnection -IpsecPolicies $IPSecPolicy -VirtualNetworkGatewayConnection $Connection

Criar uma VM

Agora, crie uma VM no Azure e coloque-a na sub-rede da VM em sua rede virtual.

  1. No portal do Azure, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Computação.

  3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

  4. Na seção Noções básicas , para Nome, digite AzureVM.

  5. Digite um nome de usuário e uma senha válidos. Use essa conta para entrar na VM depois que ela for criada.

  6. Forneça uma Assinatura, um Grupo de Recursos e uma Localização e selecione OK.

  7. Na seção Tamanho , selecione um tamanho de VM para essa instância e selecione Selecionar.

  8. Na seção Configurações , você pode usar as configurações padrão. Antes de selecionar OK, confirme se:

    • A rede virtual AzureVnet está selecionada.
    • A sub-rede é definida como 10.100.0.0/24.

    Selecione OK.

  9. Examine as configurações na seção Resumo e selecione OK.

Criar os recursos de rede no Azure Stack Hub

Em seguida, crie os recursos de rede no Azure Stack Hub.

Entrar como um usuário

Um administrador de serviços pode entrar como um usuário para testar os planos, as ofertas e as assinaturas que seus usuários podem usar. Se você ainda não tiver uma, crie uma conta de usuário antes de entrar.

Criar a rede virtual e uma sub-rede de VM

  1. Use uma conta de usuário para entrar no portal do usuário.

  2. No portal do usuário, selecione + Criar um recurso.

    Criar nova rede virtual

  3. Acesse o Marketplace e selecione Rede.

  4. Selecione Rede virtual.

  5. Para Nome, Espaço de endereço, Nome da sub-rede e Intervalo de endereços de sub-rede, use os valores da tabela de configuração de rede.

  6. Em Assinatura, a assinatura que você criou anteriormente é exibida.

  7. Para Grupo de Recursos, você pode criar um grupo de recursos ou, se já tiver um, selecione Usar existente.

  8. Verifique o local padrão.

  9. Selecione Fixar no painel.

  10. Selecione Criar.

Criar a sub-rede de gateway

  1. Na dashboard, abra o Azs-VNet recurso de rede virtual que você criou.

  2. Na seção Configurações , selecione Sub-redes.

  3. Para adicionar uma sub-rede de gateway à rede virtual, selecione Sub-rede de Gateway.

    Adicionar sub-rede de gateway

  4. Por padrão, o nome da sub-rede é definido como GatewaySubnet. Para que as sub-redes de gateway funcionem corretamente, elas devem usar o nome GatewaySubnet .

  5. Em Intervalo de endereços, verifique se o endereço é 10.1.1.0/24.

  6. Selecione OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

  1. No portal do Azure Stack Hub, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Rede.

  3. Na lista de recursos de rede, selecione Gateway de rede virtual.

  4. Em Nome, digite Azs-GW.

  5. Selecione o item Rede virtual para escolher uma rede virtual. Selecione Azs-VNet na lista.

  6. Selecione o item de menu Endereço IP público . Quando a seção Escolher endereço IP público for aberta, selecione Criar novo.

  7. Em Nome, digite Azs-GW-PiP e selecione OK.

  8. Por padrão, a opção Baseada em rota é selecionada para o tipo VPN. Mantenha o tipo de VPN baseado em rota .

  9. Verifique se Assinatura e Local estão corretos. Você pode fixar o recurso no dashboard. Selecione Criar.

Criar o gateway de rede local

O conceito de um gateway de rede local no Azure Stack Hub é diferente de em uma implantação do Azure.

Em uma implantação do Azure, um gateway de rede local representa um dispositivo físico local (no local do usuário) que você conecta a um gateway de rede virtual no Azure. No entanto, no Azure Stack Hub, ambas as extremidades da conexão são gateways de rede virtual.

Uma descrição mais genérica é que o recurso de gateway de rede local sempre indica o gateway remoto na outra extremidade da conexão.

Criar o recurso de gateway de rede local

  1. Entre no portal do Azure Stack Hub.

  2. No portal do usuário, selecione + Criar um recurso.

  3. Acesse o Marketplace e selecione Rede.

  4. Na lista de recursos, selecione gateway de rede local.

  5. No campo Nome , digite Azure-GW.

  6. No campo Endereço IP , digite o endereço IP público do gateway de rede virtual no Azure Azure-GW-PiP. Esse endereço aparece anteriormente na tabela de configuração de rede.

  7. No campo Espaço de Endereço , para o espaço de endereço da VNET do Azure que você criou, digite 10.100.0.0/24 e 10.100.1.0/24.

  8. Verifique se os valores de Assinatura, Grupo de Recursos e Local estão corretos e selecione Criar.

Criar a conexão

  1. No portal do usuário, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Rede.

  3. Na lista de recursos, selecione Conexão.

  4. Na seção Configurações básicas , para o Tipo de conexão, selecione SITE a site (IPSec).

  5. Selecione a Assinatura, o Grupo de Recursos e a Localização e, em seguida, selecione OK.

  6. Na seção Configurações , selecione Gateway de rede virtual e, em seguida, selecione Azs-GW.

  7. Selecione Gateway de rede local e, em seguida, selecione Azure-GW.

  8. Em Nome da Conexão, digite Azs-Azure.

  9. Em Chave compartilhada (PSK), digite 12345 e selecione OK.

  10. Na seção Resumo , selecione OK.

Criar uma VM

Para marcar a conexão VPN, crie duas VMs: uma no Azure e outra no Azure Stack Hub. Depois de criar essas VMs, você pode usá-las para enviar e receber dados por meio do túnel VPN.

  1. No portal do Azure, selecione + Criar um recurso.

  2. Acesse o Marketplace e selecione Computação.

  3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

  4. Na seção Noções básicas , em Nome, digite Azs-VM.

  5. Digite um nome de usuário e uma senha válidos. Use essa conta para entrar na VM depois que ela for criada.

  6. Forneça uma Assinatura, um Grupo de Recursos e uma Localização e selecione OK.

  7. Na seção Tamanho , para essa instância, selecione um tamanho de VM e selecione Selecionar.

  8. Na seção Configurações , aceite os padrões. Verifique se a rede virtual Azs-VNet está selecionada. Verifique se a sub-rede está definida como 10.1.0.0/24. Depois, selecione OK.

  9. Na seção Resumo , examine as configurações e selecione OK.

Testar a conexão

Depois que a conexão site a site for estabelecida, você deverá verificar se pode obter dados fluindo em ambas as direções. A maneira mais fácil de testar a conexão é fazendo um teste de ping:

  • Entre na VM que você criou no Azure Stack Hub e execute ping na VM no Azure.
  • Entre na VM que você criou no Azure e execute ping na VM no Azure Stack Hub.

Observação

Para garantir que você esteja enviando tráfego por meio da conexão site a site, execute ping no endereço IP direto (DIP) da VM na sub-rede remota, não no VIP.

Entrar na VM do usuário no Azure Stack Hub

  1. Entre no portal do Azure Stack Hub.

  2. Na barra de navegação à esquerda, selecione Máquinas Virtuais.

  3. Na lista de VMs, localize Azs-VM que você criou anteriormente e selecione-a.

  4. Na seção da VM, selecione Conectar e abra o arquivo Azs-VM.rdp.

    Botão Conectar

  5. Entre com a conta que você configurou quando criou a VM.

  6. Abra um prompt elevado do Windows PowerShell.

  7. Digite ipconfig/all.

  8. Na saída, localize o Endereço IPv4 e salve o endereço para uso posterior. Esse é o endereço que você executa ping do Azure. No ambiente de exemplo, o endereço é 10.1.0.4, mas em seu ambiente pode ser diferente. Ele deve estar dentro da sub-rede 10.1.0.0/24 que você criou anteriormente.

  9. Para criar uma regra de firewall que permita que a VM responda a pings, execute o seguinte comando do PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

Entrar na VM do locatário no Azure

  1. Entre no portal do Azure.

  2. Na barra de navegação à esquerda, selecione Máquinas Virtuais.

  3. Na lista de VMs, localize Azure-VM que você criou anteriormente e selecione-a.

  4. Na seção da VM, selecione Conectar.

  5. Entre com a conta que você configurou quando criou a VM.

  6. Abra uma janela de Windows PowerShell com privilégios elevados.

  7. Digite ipconfig/all.

  8. Você deve ver um endereço IPv4 que está dentro de 10.100.0.0/24. No ambiente de exemplo, o endereço é 10.100.0.4, mas seu endereço pode ser diferente.

  9. Para criar uma regra de firewall que permita que a VM responda a pings, execute o seguinte comando do PowerShell:

    New-NetFirewallRule `
 -DisplayName "Allow ICMPv4-In" `
 -Protocol ICMPv4

  10. Na VM no Azure, execute ping na VM no Azure Stack Hub por meio do túnel. Para fazer isso, execute ping no DIP que você registrou do Azs-VM. No ambiente de exemplo, isso é 10.1.0.4, mas certifique-se de executar ping no endereço que você anotou em seu laboratório. Você deverá ver um resultado semelhante à captura de tela a seguir:

    Ping bem-sucedido

  11. Uma resposta da VM remota indica um teste bem-sucedido. Você pode fechar a janela da VM.

Você também deve fazer testes de transferência de dados mais rigorosos (por exemplo, copiar arquivos de tamanho diferente em ambas as direções).

Exibindo estatísticas de transferência de dados com a conexão de gateway

Se você quiser saber quantos dados passam pela conexão site a site, essas informações estão disponíveis na seção Conexão . Esse teste também é outra maneira de verificar se o ping que você acabou de enviar realmente passou pela conexão VPN.

  1. Enquanto estiver conectado à VM do usuário no Azure Stack Hub, use sua conta de usuário para entrar no portal do usuário.

  2. Acesse Todos os recursos e selecione a conexão Azs-Azure . As conexões são exibidas .

  3. Na seção Conexão , as estatísticas de Entrada e Saída de dados são exibidas. Na captura de tela a seguir, os números grandes são atribuídos à transferência de arquivo adicional. Você deve ver alguns valores diferentes de zero lá.

    Entrada e saída de dados

Próximas etapas