Configurar as conexões coexistentes do ExpressRoute e do Site a Site (clássico)

  • Artigo

Este artigo descreve como configurar as conexões VPN site a site e de ExpressRoute que coexistam. Poder configurar a VPN site a site e o ExpressRoute tem várias vantagens. É possível configurar uma VPN site a site como um caminho de failover seguro para o ExpressRoute ou usar VPNs site a site para se conectar a sites que não estão conectados por meio do ExpressRoute. Neste artigo, analisamos as etapas para configurar as duas situações. Este artigo se aplica ao modelo de implantação clássico. Essa configuração não está disponível no portal.

Importante

Desde 1º de março de 2017, não é possível criar novos circuitos do ExpressRoute no modelo de implantação clássico.

  • Você pode mover um circuito do ExpressRoute existente do modelo de implantação clássico para o modelo de implantação do Resource Manager sem experimentar qualquer tempo de inatividade na conectividade. Para saber mais, veja Mover um circuito existente.
  • Você pode se conectar às redes virtuais no modelo de implantação clássico definindo allowClassicOperations como TRUE.

Use os links a seguir para criar e gerenciar circuitos do ExpressRoute no modelo de implantação do Resource Manager.

Sobre modelos de implantação do Azure

O Azure funciona atualmente com dois modelos de implantação: o Gerenciador de recursos e o clássico. Os dois modelos não são totalmente compatíveis entre si. Antes de começar, você precisa saber em qual modelo deseja trabalhar. Para obter informações sobre os modelos de implantação, consulte Noções básicas sobre modelos de implantação. Se você for novo no Azure, recomendamos o uso do modelo de implantação do Gerenciador de Recursos.

Importante

Um circuito do ExpressRoute precisa ser pré-configurado antes de seguir as instruções deste artigo. Certifique-se de que você seguiu as orientações para criar um circuito do ExpressRoute e configure o roteamento antes de prosseguir.

Limites e limitações

  • Não há suporte para o roteamento do tráfego. Você não pode fazer (por meio do Azure) o roteamento entre sua rede local conectada por meio de uma VPN Site a Site e sua rede local conectada por meio do ExpressRoute.
  • Não há suporte para o Ponto a site. Não é possível habilitar conexões VPN de ponto a site para a mesma VNet conectada ao ExpressRoute. A VPN de ponto a site e o ExpressRoute não podem coexistir para a mesma Vnet.
  • Não é possível habilitar o túnel forçado no gateway de VPN de Site a Site. Você pode apenas "forçar" todo o tráfego direcionado à Internet em sua rede local por meio da ExpressRoute.
  • Não há suporte para o gateway SKU básico. Você deve usar um gateway SKU não Básico para o gateway de ExpressRoute e o gateway de VPN.
  • Há suporte para apenas um gateway de VPN baseado em rotas. Você deve usar uma rota baseada no Gateway de VPN.
  • O roteamento estático deve ser configurado para o gateway de VPN. Se sua rede local estiver conectada à VPN Site a Site e de ExpressRoute, será necessário ter uma rota estática configurada em sua rede local para rotear a conexão VPN Site a Site para a Internet pública.

Designs de configuração

Configurar uma VPN site a site como um caminho de failover para o ExpressRoute

Você pode configurar uma conexão VPN site a site como um backup para o ExpressRoute. Essa configuração se aplica somente às redes virtuais vinculadas ao caminho de emparelhamento privado do Azure. Não existe uma solução de failover baseada em VPN para serviços acessíveis por meio de emparelhamentos públicos do Azure e da Microsoft. O circuito do ExpressRoute sempre será o link principal. Os dados só irão fluir pelo caminho da VPN Site a Site se o circuito do ExpressRoute falhar.

Observação

Embora o circuito ExpressRoute seja preferencial em relação à VPN Site a Site quando ambas as rotas são as mesmas, o Azure usa a correspondência de prefixo mais longa para escolher a rota até o destino do pacote.

Diagrama que mostra uma conexão VPN site a site como um backup para o ExpressRoute.

Configurar uma VPN site a site para se conectar a sites não conectados por meio do ExpressRoute

Você pode configurar sua rede de modo que alguns sites se conectem diretamente ao Azure através da VPN site a site, e alguns sites se conectem por meio do ExpressRoute.

Coexistência

Observação

Não é possível configurar uma rede virtual como um roteador de trânsito.

Selecionando as etapas de uso

Há dois conjuntos de procedimentos diferentes para configurar as conexões de modo que elas coexistam. O procedimento de configuração selecionado varia conforme você já tenha uma rede virtual à qual deseja se conectar ou queira criar uma nova rede virtual.

  • Não tenho uma VNet e preciso criar uma.

    Se ainda não tiver uma rede virtual, esse procedimento irá orientar você ao longo da criação de uma nova rede virtual usando o modelo de implantação clássico e criando novas conexões do ExpressRoute e da VPN Site a Site. Para configurar, siga as etapas na seção do artigo Para criar uma nova rede virtual e conexões coexistentes.

  • Eu já tenho uma VNet do modelo de implantação clássico

    Talvez você já tenha uma rede virtual implementada com uma conexão de VPN Site a Site ou uma conexão de ExpressRoute existente. A seção do artigo Configurar conexões coexistentes para uma VNet já existente irá orientar você ao longo da exclusão do gateway e, a seguir, da criação de novas conexões do ExpressRoute e da VPN Site a Site. Quando você cria novas conexões, as etapas devem ser executadas em uma ordem específica. Não use as instruções de outros artigos para criar seus gateways e conexões.

    Neste procedimento, a criação de conexões que possam coexistir exigirá que você exclua seu gateway e então configure novos gateways. Haverá um tempo de inatividade nas suas conexões entre locais durante o processo de exclusão e recriação do seu gateway e das suas conexões, mas você não precisará migrar suas VMs ou seus serviços para uma nova rede virtual. Se estiverem configurados para fazê-lo, suas VMs e seus serviços continuarão podendo se comunicar por meio do balanceador de carga enquanto você configura o seu gateway.

Instalar cmdlets do PowerShell

Instale as versões mais recentes dos módulos PowerShell do SM (Gerenciamento de Serviços) do Azure e do módulo ExpressRoute. Você não pode usar o ambiente do Azure Cloud Shell para executar módulos SM.

  1. Use as instruções contidas no artigo Instalação do módulo de gerenciamento de serviços para instalar o Módulo de Gerenciamento de Serviços do Azure. Se você tiver o módulo AZ ou RM já instalado, não se esqueça de usar '-AllowClobber'.

  2. Importe os módulos instalados. Ao usar o exemplo a seguir, ajuste o caminho para refletir a localização e a versão dos módulos do PowerShell instalados.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'

  3. Para entrar na conta do Azure, abra o console do PowerShell com privilégios elevados e conecte-se à conta. Use o seguinte exemplo para obter ajuda ao se conectar usando o módulo de gerenciamento de serviços:

    Add-AzureAccount

Para criar uma nova rede virtual e conexões coexistentes

Esse procedimento irá orientar você ao longo da criação de uma VNet e criar conexões Site a Site e do ExpressRoute que coexistam.

  1. Você precisará instalar a versão mais recente dos cmdlets do Azure PowerShell. Os cmdlets que você usará para essa configuração podem ser ligeiramente diferentes daqueles com os quais você talvez esteja familiarizado. Certifique-se de usar os cmdlets especificados nestas instruções.

  2. Crie um esquema para a sua rede virtual. Para saber mais sobre o esquema de configuração, confira Esquema de configuração de Rede Virtual do Azure.

    Quando criar seu esquema, certifique-se de usar os seguintes valores:

    • A sub-rede de gateway para a rede virtual deve ser /27 ou um prefixo menor (como /26 ou /25).
    • O tipo de conexão do gateway deverá ser Dedicada.
    <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
  <AddressSpace>
    <AddressPrefix>10.17.159.192/26</AddressPrefix>
  </AddressSpace>
  <Subnets>
    <Subnet name="Subnet-1">
      <AddressPrefix>10.17.159.192/27</AddressPrefix>
    </Subnet>
    <Subnet name="GatewaySubnet">
      <AddressPrefix>10.17.159.224/27</AddressPrefix>
      /Subnet>
  </Subnets>
  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="MyLocalNetwork">
        <Connection type="Dedicated" />
      </LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>
</VirtualNetworkSite>

  3. Após criar e configurar seu arquivo de esquema xml, carregue o arquivo para criar sua rede virtual.

    Use o cmdlet a seguir para carregar seu arquivo, substituindo o valor existente pelo seu.

    Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'

  4. Crie um gateway de ExpressRoute. Especifique o Gateway SKU como Standard, HighPerformance ou UltraPerformance e o Tipo de Gateway como DynamicRouting.

    Use o exemplo a seguir, substituindo os valores existentes pelos seus.

    New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance

  5. Vincule o gateway de ExpressRoute ao circuito de ExpressRoute. Após essa etapa for concluída, a conexão entre sua rede local e o Azure, por meio de ExpressRoute, é estabelecida.

    New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET

  6. Em seguida, crie seu gateway de VPN Site a Site. O Gateway SKU deve ser Standard, HighPerformance ou UltraPerformance e o Tipo de Gateway deve ser DynamicRouting.

    New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance

    Para obter as configurações de gateway de rede virtual, incluindo a ID do gateway e o IP público, use o cmdlet Get-AzureVirtualNetworkGateway.

    Get-AzureVirtualNetworkGateway

GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
GatewayName          : S2SVPN
LastEventData        :
GatewayType          : DynamicRouting
LastEventTimeStamp   : 5/29/2015 4:41:41 PM
LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
LastEventID          : 23002
State                : Provisioned
VIPAddress           : 104.43.x.y
DefaultSite          :
GatewaySKU           : HighPerformance
Location             :
VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
SubnetId             :
EnableBgp            : False
OperationDescription : Get-AzureVirtualNetworkGateway
OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
OperationStatus      : Succeeded

  7. Crie uma entidade de gateway de VPN de site local. Esse comando não configura seu gateway de VPN local. Em vez disso, ele permite que você forneça as configurações de gateway local, como o IP público e o espaço para endereço local, para que o gateway de VPN do Azure possa se conectar a ele.

    Importante

    O site local para o VPN Site a site não está definido no netcfg. Em vez disso, você deve usar esse cmdlet para especificar os parâmetros do site local. Você não pode defini-lo usando o portal ou o arquivo netcfg.

    Use o exemplo a seguir, substituindo os valores existentes pelos seus.

    New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>

    Observação

    Se sua rede local tiver várias rotas, você poderá passá-las como uma matriz. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

    Para obter as configurações de gateway de rede virtual, incluindo a ID do gateway e o IP público, use o cmdlet Get-AzureVirtualNetworkGateway. Veja o exemplo a seguir.

    Get-AzureLocalNetworkGateway

GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
GatewayName          : MyLocalNetwork
IpAddress            : 23.39.x.y
AddressSpace         : {10.1.2.0/24}
OperationDescription : Get-AzureLocalNetworkGateway
OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
OperationStatus      : Succeeded

  8. Configure seu dispositivo VPN local para conectar-se ao novo gateway. Ao configurar seu dispositivo VPN, use as informações que você recuperou na etapa 6. Para obter mais informações sobre a configuração de dispositivo VPN, consulte Configuração do Dispositivo VPN.

  9. Vincule o gateway de VPN Site a Site no Azure ao gateway local.

    Neste exemplo, connectedEntityId é a ID de gateway local, que você pode encontrar executando Get-AzureLocalNetworkGateway. Você pode encontrar virtualNetworkGatewayId usando o cmdlet Get-AzureVirtualNetworkGateway . Após essa etapa, é estabelecida a conexão entre sua rede local e o Azure, por meio da conexão VPN Site a Site.

    New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>

Para configurar conexões coexistentes para uma VNet já existente

Se você tiver uma rede virtual existente, verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway é /28 ou /29, você deve primeiro excluir o gateway da rede virtual e aumentar o tamanho de sub-rede do gateway. As etapas nesta seção mostram como fazer isso.

Se a sub-rede do gateway for /27 ou maior e a rede virtual estiver conectada por meio do ExpressRoute, você pode ignorar as etapas abaixo e prosseguir para a "Etapa 6: Criar um gateway de VPN Site a Site" na seção anterior.

Observação

Quando você exclui o gateway existente, suas instalações locais perdem a conexão à sua rede virtual enquanto você está trabalhando nessa configuração.

  1. Você precisará instalar a versão mais recente dos cmdlets do PowerShell do Azure Resource Manager. Os cmdlets que você usará para essa configuração podem ser ligeiramente diferentes daqueles com os quais você talvez esteja familiarizado. Certifique-se de usar os cmdlets especificados nestas instruções.

  2. Exclua o gateway de ExpressRoute ou gateway de VPN Site a Site existente. Use o cmdlet a seguir, substituindo os valores existentes pelos seus.

    Remove-AzureVNetGateway –VnetName MyAzureVNET

  3. Exporte o esquema da rede virtual. Use o cmdlet do PowerShell a seguir, substituindo os valores existentes pelos seus.

    Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"

  4. Edite o esquema do arquivo de configuração de rede para que a sub-rede de gateway seja /27 ou um prefixo menor (como /26 ou /25). Veja o exemplo a seguir.

    Observação

    Se você não tiver endereços IP suficientes restantes em sua rede virtual para aumentar o tamanho da sub-rede do gateway, precisará adicionar mais espaço de endereço IP. Para saber mais sobre o esquema de configuração, confira Esquema de configuração de Rede Virtual do Azure.

    <Subnet name="GatewaySubnet">
  <AddressPrefix>10.17.159.224/27</AddressPrefix>
</Subnet>

  5. Se o seu gateway anterior era de VPN Site a Site, você também deve alterar o tipo de conexão para Dedicated.

    <Gateway>
  <ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="MyLocalNetwork">
      <Connection type="Dedicated" />
    </LocalNetworkSiteRef>
  </ConnectionsToLocalNetwork>
</Gateway>

  6. Neste ponto, você terá uma VNet sem nenhum gateway. Para criar novos gateways e concluir suas conexões, você pode prosseguir com a Etapa 4: criar um gateway de ExpressRoute, encontrada no conjunto de etapas anterior.

Próximas etapas

Para saber mais sobre o ExpressRoute, confira Perguntas frequentes sobre ExpressRoute