Configurar uma conexão entre redes virtuais (clássico)
Este artigo ajuda a criar uma conexão de gateway de VPN entre redes virtuais. As redes virtuais podem estar na mesma região ou em regiões diferentes, e com a mesma assinatura ou em assinaturas diferentes.
As etapas deste artigo se aplicam ao modelo de implantação clássico (herdado) e não se aplicam ao modelo de implantação atual, o Resource Manager. Você não pode mais criar um gateway usando o modelo de implantação clássico. Em vez disso, confira a Versão do Resource Manager deste artigo.
Importante
Você não pode mais criar novos gateways de rede virtual para redes virtuais de modelo de implantação clássico (gerenciamento de serviço). Novos gateways de rede virtual só podem ser criados para redes virtuais do Resource Manager.
Observação
Este artigo foi escrito para o modelo de implantação clássico (herdado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado dos seus recursos.
Se você quiser usar uma versão diferente deste artigo, use o sumário no painel esquerdo.
Sobre conexões de rede virtual a rede virtual
Conectar uma rede virtual a outra rede virtual (VNet a VNet) no modelo de implantação clássico usando um gateway de VPN é semelhante a conectar uma rede virtual a um site local. Os dois tipos de conectividade usam um gateway de VPN para fornecer um túnel seguro usando IPsec/IKE.
As VNets que você conecta podem estar em regiões e assinaturas diferentes. Você pode combinar a comunicação de VNet a VNet usando configurações multissite. Isso permite estabelecer topologias de rede que combinam conectividade entre instalações a conectividade de rede intervirtual.
Por que conectar redes virtuais?
É aconselhável conectar redes virtuais pelos seguintes motivos:
Redundância geográfica entre regiões e presença geográfica
- Você pode configurar sua própria sincronização ou replicação geográfica com conectividade segura sem passar por pontos de extremidade voltados para a Internet.
- Com o Azure Load Balancer e a tecnologia de clustering da Microsoft ou de terceiros, você pode configurar uma carga de trabalho altamente disponível com redundância geográfica entre várias regiões do Azure. Um exemplo importante é configurar o Always On do SQL com Grupos de Disponibilidade espalhados por várias regiões do Azure.
Aplicativos multicamadas regionais com limite de isolamento forte
- Na mesma região, você pode configurar aplicativos multicamadas com várias VNets conectadas com isolamento forte e comunicação entre camadas segura.
Comunicação entre organizações e assinaturas no Azure
- Se você tem várias assinaturas do Azure, agora é possível se conectar a cargas de trabalho de assinaturas diferentes com segurança entre redes virtuais.
- Para empresas ou provedores de serviço, é possível habilitar a comunicação entre organizações usando a tecnologia VPN segura no Azure.
Para saber mais sobre conexões de Rede Virtual a Rede Virtual, confira as Considerações sobre Rede Virtual para Rede Virtual no final deste artigo.
Pré-requisitos
Podemos usar o portal para a maioria das etapas, mas você deve usar o PowerShell para criar conexões entre as redes virtuais. Não é possível criar as conexões usando o portal do Azure porque não há como especificar a chave compartilhada no portal. Ao trabalhar com o modelo de implantação clássico, você não pode usar o Azure Cloud Shell. Em vez disso, você deve instalar a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM) localmente em seu computador. Esses cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte Instalar cmdlets de gerenciamento de serviços. Para obter mais informações sobre o Azure PowerShell em geral, consulte a Documentação do Azure PowerShell.
Planejamento
É importante decidir os intervalos que você usará para configurar as redes virtuais. Para esta configuração, você deve garantir que nenhum dos intervalos de VNet se sobreponham entre si ou aos das redes locais às quais se conectam.
VNets
Para este exercício, usamos os seguintes valores de exemplo:
Valores para TestVNet1
Nome: TestVNet1
Espaço de endereço: 10.11.0.0/16, 10.12.0.0/16 (opcional)
Nome da sub-rede: padrão
Intervalo de endereços da sub-rede: 10.11.0.0/24
Grupo de recursos: ClassicRG
Local: Leste dos EUA
GatewaySubnet: 10.11.1.0/27
Valores para TestVNet4
Nome: TestVNet4
Espaço de endereço: 10.41.0.0/16, 10.42.0.0/16 (opcional)
Nome da sub-rede: padrão
Intervalo de endereços da sub-rede: 10.41.0.0/24
Grupo de recursos: ClassicRG
Local: Oeste dos EUA
GatewaySubnet: 10.41.1.0/27
conexões
A tabela a seguir mostra um exemplo de como conectar as VNets. Use os intervalos apenas como uma diretriz. Anote os intervalos para suas redes virtuais. Você precisa dessas informações para etapas posteriores.
Neste exemplo, TestVNet1 conecta-se a um site de rede local que você criou chamado “VNet4Local”. As configurações de VNet4Local contêm os prefixos de endereço para TestVNet4. O site local para cada VNet é a outra VNet. Os seguintes valores de exemplo são usados para nossa configuração:
Exemplo
Rede Virtual | Espaço de endereço | Local | Conecta ao site de rede local |
---|---|---|---|
TestVNet1 | TestVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Leste dos EUA | SiteVNet4 (10.41.0.0/16) (10.42.0.0/16) |
TestVNet4 | TestVNet4 (10.41.0.0/16) (10.42.0.0/16) |
Oeste dos EUA | SiteVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Criar redes virtuais
Nesta etapa, você cria duas redes virtuais clássicas, TestVNet1 e TestVNet4. Se você estiver usando este artigo como um exercício, use os valores de exemplo.
Ao criar suas redes virtuais, lembre-se das seguintes configurações:
Espaços de Endereço de Rede Virtual – na página Espaços de Endereço de Rede Virtual, especifique o intervalo de endereços que você deseja usar para sua rede virtual. Esses são os endereços IP dinâmicos que serão atribuídos às VMs e a outras instâncias de função que você implantar nessa rede virtual.
Os espaços de endereço selecionados não podem se sobrepor aos espaços de endereço de qualquer outra VNet ou aos locais em que essa VNet se conectará.Local – Quando você cria uma rede virtual, associa-a a um local do Azure (região). Por exemplo, se você desejar que as VMs implantadas em sua rede virtual estejam localizadas fisicamente no oeste dos EUA, selecione esse local. Você não pode alterar o local associado à sua rede virtual depois de criá-la.
Depois de criar suas VNets, você poderá adicionar as seguintes configurações:
Espaço de endereço – espaço de endereço adicional não é necessário para essa configuração, mas você pode incluir espaço de endereço adicional após a criação da VNet.
Sub-redes – sub-redes adicionais não são necessárias para essa configuração, mas pode ser conveniente ter suas VMs em uma sub-rede separada das outras instâncias de função.
Servidores DNS – insira o nome do servidor DNS e o endereço IP. Essa configuração não cria um servidor DNS. Ela permite que você especifique os servidores DNS que deseja usar para a resolução de nomes dessa rede virtual.
Para criar uma rede virtual clássica
- Em um navegador, navegue até o portal do Azure e, se necessário, entre com sua conta do Azure.
- Selecione +Criar um Recurso. No campo Pesquisar no Marketplace, digite "Rede Virtual". Localize Rede Virtual na lista retornada e selecione nela para abrir a página Rede Virtual.
- Na página Rede Virtual, no botão Criar, você verá "Implantar com o Gerenciador de recursos (alterar para clássico)". O Gerenciador de Recursos é o padrão para a criação de uma VNet. Você não deseja criar uma VNet do Resource Manager. Selecione (alterar para clássico) para criar uma VNet clássica. Em seguida, selecione a guia Visão geral e selecione Criar.
- Na página Criar rede virtual (clássica) , na guia Noções básicas, defina as configurações de VNet com os valores de exemplo.
- Selecione Examinar + criar para validar suas VNet.
- A validação é executada. Depois que a VNet for validada, selecione Criar.
As configurações de DNS não são uma parte obrigatória desta configuração, mas o DNS é necessário se você quiser resolução de nomes entre suas VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS especificado deve ser um servidor DNS que pode resolver os nomes dos recursos aos quais você está se conectando.
Depois de criar a rede virtual, você pode adicionar o endereço IP de um servidor DNS para lidar com a resolução de nomes. Abra as configurações de sua rede virtual, selecione em servidores DNS e adicione o endereço IP do servidor DNS que você deseja usar para resolução de nome.
- Localize a rede virtual no portal.
- Na página de sua rede virtual, na seção Configurações, selecione Servidores DNS.
- Adicionar um servidor DNS.
- Para salvar suas configurações, selecione Salvar na parte superior da página.
Configurar sites e gateways
O Azure usa as configurações especificadas em cada site de rede local para determinar como rotear o tráfego entre as VNets. Cada VNet deve apontar para a respectiva rede local à qual você deseja rotear o tráfego. Você determina o nome que deseja usar para se referir a cada site de rede local. É melhor usar algo descritivo.
Por exemplo, a TestVNet1 conecta-se a um site de rede local que você criou chamado "VNet4Local". As configurações de VNet4Local contêm os prefixos de endereço para TestVNet4.
Tenha em mente que o site local de cada VNet é a outra VNet.
Rede Virtual | Espaço de endereço | Local | Conecta ao site de rede local |
---|---|---|---|
TestVNet1 | TestVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Leste dos EUA | SiteVNet4 (10.41.0.0/16) (10.42.0.0/16) |
TestVNet4 | TestVNet4 (10.41.0.0/16) (10.42.0.0/16) |
Oeste dos EUA | SiteVNet1 (10.11.0.0/16) (10.12.0.0/16) |
Para configurar um site
O site local normalmente se refere ao seu site local. Contém o endereço IP do dispositivo VPN no qual você criará uma conexão e os intervalos de endereços IP que serão roteados através do gateway de VPN para o dispositivo VPN.
Na página de VNet, em Configurações, selecione Conexões site a site.
Na página Conexões site a site, selecione + Adicionar.
Na página Configurar uma conexão VPN e um gateway, para Tipo de conexão, deixe a opção Site a site selecionada.
Endereço IP do gateway de VPN: esse é o endereço IP público do dispositivo VPN de sua rede local. Para este exercício, é possível inserir um endereço fictício, pois você ainda não tem o endereço IP para o gateway de VPN do outro site. Por exemplo, 5.4.3.2. Posteriormente, depois de configurar o gateway para a outra rede virtual, você poderá ajustar esse valor.
Espaço de endereço do cliente: liste os intervalos de endereços IP que você deseja rotear para a outra VNet por meio deste gateway. Você pode adicionar vários intervalos de espaço de endereço. Certifique-se de que os intervalos especificados aqui não se sobreponham aos intervalos de outras redes as quais sua rede virtual se conecta, ou com os intervalos de endereços da própria rede virtual.
Na parte inferior da página, NÃO selecione Examinar + criar. Em vez disso, selecione Avançar: Gateway>.
Para configurar um gateway de rede virtual
Na página Gateway, selecione os seguintes valores:
Tamanho: esse é o gateway SKU que você usa para criar o gateway de rede virtual. Gateways VPN clássicos usam SKUs de gateway antigos (herdados). Para saber mais sobre os SKUs de gateway antigos, confira Trabalhar com SKUs de gateway de rede virtual (SKUs antigos). É possível selecionar Standard para este exercício.
Sub-rede de gateway: o tamanho da sub-rede de gateway que você especifica depende da configuração do gateway de VPN que deseja criar. Embora seja possível criar uma sub-rede do gateway tão pequena quanto /29, recomendamos que você use /27 ou /28. Isso cria uma sub-rede maior que inclui mais endereços. Usar uma sub-rede de gateway maior permite endereços IP suficientes para acomodar as possíveis configurações futuras.
Selecione Examinar + criar na parte inferior da página para validar as configurações. Selecione Criar para implantar. Dependendo do SKU selecionado, a criação de um gateway de rede virtual pode levar até 45 minutos.
Você pode prosseguir para a próxima etapa enquanto esse gateway está sendo criado.
Definir as configurações da TestVNet4
Repita as etapas para Criar um site e um gateway a fim de configurar a TestVNet4, substituindo os valores quando necessário. Se você estiver fazendo isso como um exercício, use os valores de exemplo.
Atualizar os sites locais
Depois de você criar os gateways de rede virtual para ambas as VNets, você deverá ajustar as propriedades do Endereço IP do gateway de VPN dos sites locais.
Nome da VNet | Site conectado | Endereço IP do gateway |
---|---|---|
TestVNet1 | VNet4Local | Endereço IP do gateway de VPN para TestVNet4 |
TestVNet4 | VNet1Local | Endereço IP do gateway de VPN para TestVNet1 |
Parte 1 – Obter o endereço IP público do gateway de rede virtual
- Navegue até a VNet acessando o Grupo de recursos e selecionando a rede virtual.
- Na página da rede virtual, no painel Essentials à direita, localize o Endereço IP do gateway e copie para a área de transferência.
Parte 2 – Modificar as propriedades dos sites locais
- Em Conexões site a site, selecione a conexão. Por exemplo, SiteVNet4.
- Na página Propriedades da Conexão site a site, selecione Editar site local.
- No campo Endereço IP do gateway de VPN, cole o endereço IP do gateway de VPN que você copiou na seção anterior.
- Selecione OK.
- O campo é atualizado no sistema. Também é possível usar esse método para adicionar um endereço IP adicional que você deseja rotear para esse site.
Parte 3 – Repita as etapas para a outra VNet
Repita as etapas para a TestVNet4.
Restaurar os valores de configuração
Quando você cria VNets clássicas no portal do Azure, o nome que você vê não é o nome completo usado para o PowerShell. Por exemplo, uma VNet que parece ter o nome TestVNet1 no portal, pode ter um nome muito mais longo no arquivo de configuração de rede. Para uma VNet no grupo de recursos, o nome "ClassicRG" pode ser semelhante a: Group ClassicRG TestVNet1. Ao criar suas conexões, é importante usar os valores que você vê no arquivo de configuração de rede.
Nas etapas a seguir, você vai se conectar à sua conta do Azure, bem como baixar e exibir o arquivo de configuração de rede para obter os valores que são necessários para as conexões.
Baixe e instale a versão mais recente dos cmdlets do PowerShell do SM (Gerenciamento de Serviços) do Azure. A maioria das pessoas tem os módulos do Resource Manager instalados localmente, mas não têm módulos de gerenciamento de serviços. Os módulos de gerenciamento de serviços são herdados e devem ser instalados separadamente. Para obter mais informações, consulte Instalar cmdlets de Gerenciamento de Serviços.
Abra o console do PowerShell com direitos elevados e conecte-se à sua conta. Use o exemplo a seguir para ajudar a conectar. Você deve executar esses comandos localmente usando o módulo de gerenciamento de serviços do PowerShell. Conecte-se à sua conta. Use o exemplo a seguir para ajudar a se conectar:
Add-AzureAccount
Verificar as assinaturas da conta.
Get-AzureSubscription
Se você tiver mais de uma assinatura, selecione a assinatura que deseja usar.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Criar um diretório no seu computador. Por exemplo, C:\AzureVNet
Exporte o arquivo de configuração de rede para o diretório. Neste exemplo, o arquivo de configuração de rede é exportado para C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Abra o arquivo com um editor de texto e exiba os nomes dos sites e VNets. Esses nomes serão os nomes usados na criação de suas conexões.
Os nomes de VNet são listados como VirtualNetworkSite name =
Os nomes de Sitesão listados como LocalNetworkSiteRef name =
Criar conexões
Quando todas as etapas anteriores tiverem sido concluídas, você poderá definir as chaves pré-compartilhadas IPsec/IKE e criar a conexão. Esse conjunto de etapas usa o PowerShell. Não é possível configurar as conexões VNet a VNet do modelo de implantação clássico no portal do Azure porque a chave compartilhada não pode ser especificada no portal.
Nos exemplos, observe que a chave compartilhada é exatamente a mesma. A chave compartilhada sempre deve corresponder. Certifique-se de substituir os valores nesses exemplos pelos nomes exatos de seus Sites de Rede Local e VNets.
Crie a conexão de TestVNet1 a TestVNet4. Lembre-se de alterar os valores.
Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet1' ` -LocalNetworkSiteName 'value for _VNet4Local' -SharedKey A1b2C3D4
Crie a conexão de TestVNet4 a TestVNet1.
Set-AzureVNetGatewayKey -VNetName 'Group ClassicRG TestVNet4' ` -LocalNetworkSiteName 'value for _VNet1Local' -SharedKey A1b2C3D4
Aguarde até que as conexões sejam inicializadas. Depois que o gateway tiver sido inicializado, o Status será 'Êxito'.
Error : HttpStatusCode : OK Id : Status : Successful RequestId : StatusCode : OK
Perguntas frequentes e considerações
Estas considerações se aplicam às redes virtuais clássicas e aos gateways de rede virtual clássicos.
- As redes virtuais podem estar na mesma assinatura ou em assinaturas diferentes.
- As redes virtuais podem estar na mesma região ou em regiões diferentes do Azure (locais).
- Um serviço de nuvem ou um ponto de extremidade de balanceamento de carga não pode abranger redes virtuais, mesmo que elas estejam conectadas entre si.
- A conexão de várias redes virtuais entre si não exige nenhum dispositivo VPN.
- O recurso VNet a VNet dá suporte à conexão de Redes Virtuais do Azure. Ele não dá suporte à conexão de máquinas virtuais ou serviços de nuvem que não estão em uma rede virtual.
- VNet a VNet requer gateways de roteamento dinâmico. Não há suporte para gateways de roteamento estático do Azure.
- A conectividade de rede virtual pode ser usada simultaneamente com VPNs de multissite. Há um máximo 10 túneis de VPN para um gateway de VPN de rede virtual conectado a outras redes virtuais ou a sites locais.
- Os espaços de endereço das redes virtuais e os sites de redes locais não devem se sobrepor. A sobreposição de espaços de endereço causará a falha da criação de redes virtuais ou do carregamento de arquivos de configuração netcfg.
- Não há suporte a túneis redundantes entre um par de redes virtuais.
- Todos os túneis de VPN para VNet, incluindo VPNs P2S, compartilham a largura de banda disponível no gateway de VPN e o mesmo SLA de tempo de ativação de gateway de VPN no Azure.
- O tráfego da rede virtual com rede virtual viaja pelo backbone do Azure.
Próximas etapas
Verifique as conexões. Confira Verificar uma conexão de Gateway de VPN.