Ansluta ett lokalt nätverk till ett virtuellt Microsoft Azure-nätverk
Ett virtuellt Azure-nätverk mellan platser är anslutet till ditt lokala nätverk, vilket utökar nätverket till att omfatta undernät och virtuella datorer som finns i Azures infrastrukturtjänster. Med den här anslutningen kan datorer i ditt lokala nätverk komma åt virtuella datorer direkt i Azure och vice versa.
En katalogsynkroniseringsserver som körs på en virtuell Azure-dator måste till exempel fråga dina lokala domänkontrollanter om ändringar i konton och synkronisera ändringarna med din Microsoft 365-prenumeration. Den här artikeln visar hur du konfigurerar ett virtuellt Azure-nätverk mellan platser med hjälp av en vpn-anslutning (site-to-site virtual private network) som är redo att vara värd för virtuella Azure-datorer.
Konfigurera ett virtuellt Azure-nätverk mellan platser
Dina virtuella datorer i Azure behöver inte isoleras från din lokala miljö. Om du vill ansluta virtuella Azure-datorer till dina lokala nätverksresurser måste du konfigurera ett virtuellt Azure-nätverk mellan platser. Följande diagram visar de komponenter som krävs för att distribuera ett virtuellt Azure-nätverk mellan platser med en virtuell dator i Azure.
I diagrammet finns det två nätverk som är anslutna via en VPN-anslutning från plats till plats: det lokala nätverket och det virtuella Azure-nätverket. VPN-anslutningen för plats-till-plats är:
- Mellan två slutpunkter som kan adresseras och finns på det offentliga Internet.
- Avslutas av en VPN-enhet i det lokala nätverket och en Azure VPN-gateway i det virtuella Azure-nätverket.
Det virtuella Azure-nätverket är värd för virtuella datorer. Nätverkstrafik från virtuella datorer i det virtuella Azure-nätverket vidarebefordras till VPN-gatewayen, som sedan vidarebefordrar trafiken över vpn-anslutningen från plats till plats till vpn-enheten i det lokala nätverket. Routningsinfrastrukturen för det lokala nätverket vidarebefordrar sedan trafiken till målet.
Obs!
Du kan också använda ExpressRoute, som är en direktanslutning mellan din organisation och Microsofts nätverk. Trafik via ExpressRoute färdas inte via det offentliga Internet. Den här artikeln beskriver inte användningen av ExpressRoute.
Så här konfigurerar du VPN-anslutningen mellan ditt virtuella Azure-nätverk och ditt lokala nätverk:
- Lokalt: Definiera och skapa en lokal nätverksväg för adressutrymmet för det virtuella Azure-nätverket som pekar på din lokala VPN-enhet.
- Microsoft Azure: Skapa ett virtuellt Azure-nätverk med en VPN-anslutning från plats till plats.
- Lokalt: Konfigurera din lokala maskinvaru- eller programvaru-VPN-enhet för att avsluta VPN-anslutningen, som använder IPsec (Internet Protocol Security).
När du har upprättat VPN-anslutningen för plats-till-plats lägger du till virtuella Azure-datorer i undernäten i det virtuella nätverket.
Planera ditt virtuella Azure-nätverk
Förutsättningar
- En Azure-prenumeration. Information om Azure-prenumerationer finns på sidan Så här köper du Azure.
- Ett tillgängligt privat IPv4-adressutrymme som ska tilldelas till det virtuella nätverket och dess undernät, med tillräckligt med utrymme för tillväxt för att hantera det antal virtuella datorer som behövs nu och i framtiden.
- En tillgänglig VPN-enhet i ditt lokala nätverk för att avsluta vpn-anslutningen från plats till plats som stöder kraven för IPsec. Mer information finns i Om VPN-enheter för plats-till-plats-anslutningar för virtuella nätverk.
- Ändringar i routningsinfrastrukturen så att trafik som dirigeras till adressutrymmet för det virtuella Azure-nätverket vidarebefordras till DEN VPN-enhet som är värd för VPN-anslutningen från plats till plats.
- En webbproxy som ger datorer som är anslutna till det lokala nätverket och det virtuella Azure-nätverket åtkomst till Internet.
Designantaganden för lösningsarkitektur
Följande lista representerar de designval som har gjorts för den här lösningsarkitekturen.
- Den här lösningen använder ett enda virtuellt Azure-nätverk med en VPN-anslutning från plats till plats. Det virtuella Azure-nätverket är värd för ett enda undernät som kan innehålla flera virtuella datorer.
- Du kan använda routnings- och fjärråtkomsttjänsten (RRAS) i Windows Server 2016 eller Windows Server 2012 för att upprätta en VPN-anslutning för plats-till-plats för IPsec mellan det lokala nätverket och det virtuella Azure-nätverket. Du kan också använda andra alternativ, till exempel Cisco- eller Juniper Networks VPN-enheter.
- Det lokala nätverket kan fortfarande ha nätverkstjänster som Active Directory Domain Services (AD DS), DNS (Domain Name System) och proxyservrar. Beroende på dina krav kan det vara bra att placera några av dessa nätverksresurser i det virtuella Azure-nätverket.
För ett befintligt virtuellt Azure-nätverk med ett eller flera undernät avgör du om det finns återstående adressutrymme för ytterligare ett undernät som ska vara värd för de virtuella datorer som behövs, baserat på dina krav. Om du inte har återstående adressutrymme för ytterligare ett undernät skapar du ytterligare ett virtuellt nätverk som har en egen VPN-anslutning från plats till plats.
Planera ändringar i routningsinfrastrukturen för det virtuella Azure-nätverket
Du måste konfigurera din lokala routningsinfrastruktur för att vidarebefordra trafik till adressutrymmet för det virtuella Azure-nätverket till den lokala VPN-enhet som är värd för VPN-anslutningen från plats till plats.
Den exakta metoden för att uppdatera routningsinfrastrukturen beror på hur du hanterar routningsinformation, vilket kan vara:
- Routningstabelluppdateringar baserat på manuell konfiguration.
- Routningstabelluppdateringar baserat på routningsprotokoll, till exempel Routing Information Protocol (RIP) eller Open Shortest Path First (OSPF).
Kontakta routningsspecialisten för att se till att trafik som är avsedd för det virtuella Azure-nätverket vidarebefordras till den lokala VPN-enheten.
Planera för brandväggsregler för trafik till och från den lokala VPN-enheten
Om VPN-enheten finns i ett perimeternätverk som har en brandvägg mellan perimeternätverket och Internet kan du behöva konfigurera brandväggen för följande regler för att tillåta VPN-anslutningen från plats till plats.
Trafik till VPN-enheten (inkommande från Internet):
- Mål-IP-adressen för VPN-enheten och IP-protokoll 50
- Mål-IP-adressen för VPN-enheten och UDP-målporten 500
- Mål-IP-adressen för VPN-enheten och UDP-målporten 4500
Trafik från VPN-enheten (utgående till Internet):
- KÄLLANS IP-adress för VPN-enheten och IP-protokoll 50
- Källans IP-adress för VPN-enheten och UDP-källporten 500
- Källans IP-adress för VPN-enheten och UDP-källporten 4500
Planera för det privata IP-adressutrymmet för det virtuella Azure-nätverket
Det privata IP-adressutrymmet för det virtuella Azure-nätverket måste kunna hantera adresser som används av Azure som värd för det virtuella nätverket och med minst ett undernät som har tillräckligt med adresser för dina virtuella Azure-datorer.
För att fastställa antalet adresser som behövs för undernätet räknar du antalet virtuella datorer som du behöver nu, beräknar för framtida tillväxt och använder sedan följande tabell för att fastställa undernätets storlek.
Antal virtuella datorer som behövs | Antal värdbitar som behövs | Undernätets storlek |
---|---|---|
1-3 |
3 |
/29 |
4-11 |
4 |
/28 |
12-27 |
5 |
/27 |
28-59 |
6 |
/26 |
60-123 |
7 |
/25 |
Planera kalkylblad för att konfigurera ditt virtuella Azure-nätverk
Innan du skapar ett virtuellt Azure-nätverk som värd för virtuella datorer måste du bestämma vilka inställningar som behövs i följande tabeller.
Fyll i Tabell V för inställningarna för det virtuella nätverket.
Tabell V: Konfiguration av virtuella nätverk mellan platser
Objekt | Konfigurationselement | Beskrivning | Värde |
---|---|---|---|
1. |
Namn på virtuellt nätverk |
Ett namn som ska tilldelas till det virtuella Azure-nätverket (till exempel DirSyncNet). |
|
2. |
Plats för virtuellt nätverk |
Det Azure-datacenter som ska innehålla det virtuella nätverket (till exempel USA, västra). |
|
3. |
IP-adress för VPN-enhet |
Den offentliga IPv4-adressen för VPN-enhetens gränssnitt på Internet. Kontakta IT-avdelningen för att fastställa den här adressen. |
|
4. |
Adressutrymme för virtuellt nätverk |
Adressutrymmet (definierat i ett enda privat adressprefix) för det virtuella nätverket. Arbeta med IT-avdelningen för att fastställa det här adressutrymmet. Adressutrymmet ska vara i CIDR-format (Classless Interdomain Routing), även kallat nätverksprefixformat. Ett exempel är 10.24.64.0/20. |
|
5. |
Delad IPsec-nyckel |
En slumpmässig, alfanumerisk sträng på 32 tecken som ska användas för att autentisera båda sidor av VPN-anslutningen från plats till plats. Arbeta med IT- eller säkerhetsavdelningen för att fastställa nyckelvärdet och lagra det på en säker plats. Du kan också läsa Skapa en slumpmässig sträng för en IPsec-i förväg delad nyckel. |
|
Fyll i Tabell S för undernäten i den här lösningen.
För det första undernätet fastställer du ett 28-bitars adressutrymme (med prefixlängden /28) för Azure Gateway-undernätet. Se Beräkna adressutrymmet för gatewayundernätet för virtuella Azure-nätverk för information om hur du fastställer det här adressutrymmet.
För det andra undernätet anger du ett eget namn, ett enda IP-adressutrymme baserat på det virtuella nätverkets adressutrymme och ett beskrivande syfte.
Arbeta med IT-avdelningen för att fastställa dessa adressutrymmen från det virtuella nätverkets adressutrymme. Båda adressutrymmena ska vara i CIDR-format.
Tabell S: Undernät i det virtuella nätverket
Objekt | Undernätsnamn | Adressutrymme för undernätet | Syfte |
---|---|---|---|
1. |
GatewaySubnet |
|
Det undernät som används av Azure-gatewayen. |
2. |
|
|
|
För de lokala DNS-servrar som du vill att de virtuella datorerna i det virtuella nätverket ska använda fyller du i Tabell D. Ge varje DNS-server ett eget namn och en enda IP-adress. Det här egna namnet behöver inte matcha dns-serverns värdnamn eller datornamn. Observera att två tomma poster visas, men du kan lägga till fler. Arbeta med IT-avdelningen för att fastställa den här listan.
Tabell D: Lokala DNS-servrar
Objekt | Eget namn på DNS-server | IP-adress för DNS-server |
---|---|---|
1. |
|
|
2. |
|
|
Om du vill dirigera paket från det virtuella Azure-nätverket till organisationens nätverk via VPN-anslutningen från plats till plats måste du konfigurera det virtuella nätverket med ett lokalt nätverk. Det här lokala nätverket har en lista över adressutrymmen (i CIDR-format) för alla platser i organisationens lokala nätverk som de virtuella datorerna i det virtuella nätverket måste nå. Detta kan vara alla platser i det lokala nätverket eller en delmängd. Listan över adressutrymmen som definierar ditt lokala nätverk måste vara unik och får inte överlappa de adressutrymmen som används för det här virtuella nätverket eller dina andra virtuella nätverk mellan platser.
För uppsättningen med lokala nätverksadressutrymmen fyller du i Tabell L. Observera att tre tomma poster visas men att du vanligtvis behöver fler. Arbeta med IT-avdelningen för att fastställa den här listan.
Tabell L: Adressprefix för det lokala nätverket
Objekt | Adressutrymme för lokalt nätverk |
---|---|
1. |
|
2. |
|
3. |
|
Distributionsöversikt
Att skapa det virtuella nätverket mellan platser och lägga till virtuella datorer i Azure består av tre faser:
- Fas 1: Förbered ditt lokala nätverk.
- Fas 2: Skapa det virtuella nätverket mellan platser i Azure.
- Fas 3 (valfritt): Lägg till virtuella datorer.
Fas 1: Förbereda ditt lokala nätverk
Du måste konfigurera ditt lokala nätverk med en väg som pekar på och slutligen levererar trafik som är avsedd för adressutrymmet för det virtuella nätverket till routern i utkanten av det lokala nätverket. Kontakta nätverksadministratören för att ta reda på hur du lägger till vägen till routningsinfrastrukturen i ditt lokala nätverk.
Här är konfigurationsresultatet.
Fas 2: Skapa det virtuella nätverket mellan platser i Azure
Öppna först en Azure PowerShell prompt. Om du inte har installerat Azure PowerShell läser du Kom igång med Azure PowerShell.
Logga sedan in på ditt Azure-konto med det här kommandot.
Connect-AzAccount
Hämta ditt prenumerationsnamn med följande kommando.
Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName
Ange azure-prenumerationen med de här kommandona. Ersätt allt inom citattecknen, inklusive < tecknen och > med rätt prenumerationsnamn.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Skapa sedan en ny resursgrupp för ditt virtuella nätverk. Använd det här kommandot för att lista dina befintliga resursgrupper när du ska fastställa ett unikt resursgruppnamn.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Skapa den nya resursgruppen med dessa kommandon.
$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName
Sedan skapar du det virtuella Azure-nätverket.
# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Här är konfigurationsresultatet.
Använd sedan dessa kommandon för att skapa gatewayerna för VPN-anslutningen för plats-till-plats.
# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Här är konfigurationsresultatet.
Konfigurera sedan din lokala VPN-enhet för att ansluta till Azure VPN-gatewayen. Mer information finns i Om VPN-enheter för Azure Virtual Network anslutningar från plats till plats.
För att konfigurera VPN-enheten behöver du följande:
- Den offentliga IPv4-adressen för Azure VPN-gatewayen för ditt virtuella nätverk. Använd kommandot Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName för att visa den här adressen.
- IPsec-i förväg delad nyckel för VPN-anslutningen för plats-till-plats (tabell V- objekt 5 – värdekolumn).
Här är konfigurationsresultatet.
Fas 3 (valfritt): Lägg till virtuella datorer
Skapa de virtuella datorer som du behöver i Azure. Mer information finns i Skapa en virtuell Windows-dator med Azure Portal.
Använd följande inställningar:
- På fliken Grundläggande väljer du samma prenumeration och resursgrupp som ditt virtuella nätverk. Du behöver dessa senare för att logga in på den virtuella datorn. I avsnittet Instansinformation väljer du lämplig storlek för virtuella datorer. Registrera användarnamnet och lösenordet för administratörskontot på en säker plats.
- På fliken Nätverk väljer du namnet på ditt virtuella nätverk och undernätet för att vara värd för virtuella datorer (inte GatewaySubnet). Lämna standardvärdena för alla andra inställningar.
Kontrollera att den virtuella datorn använder DNS korrekt genom att kontrollera din interna DNS för att se till att adressposter (A) har lagts till för den nya virtuella datorn. För att få åtkomst till Internet måste dina virtuella Azure-datorer konfigureras för att använda det lokala nätverkets proxyserver. Kontakta nätverksadministratören för ytterligare konfigurationssteg som ska utföras på servern.
Här är konfigurationsresultatet.
Nästa steg
Distribuera Microsoft 365-katalogsynkronisering i Microsoft Azure