Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda você a criar um gateway de VPN do Azure usando a CLI do Azure. Um gateway VPN é usado ao criar uma conexão VPN com sua rede local. Você também pode usar um gateway VPN para conectar redes virtuais. Para obter informações mais abrangentes sobre algumas das configurações neste artigo, consulte Criar um gateway VPN - portal.
- O lado esquerdo do diagrama mostra a rede virtual e o gateway VPN que você cria usando as etapas neste artigo.
- Mais tarde, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, pode criar conexões de site para site e de ponto para site. Para visualizar diferentes arquiteturas que pode criar, consulte Arquitetura de gateway VPN.
As etapas neste artigo criam uma rede virtual, uma sub-rede, uma sub-rede de gateway e um gateway VPN em modo ativo-ativo baseado em rota, com redundância de zona (gateway de rede virtual), usando o SKU VpnGw2AZ de Geração 2. As etapas neste artigo criam uma rede virtual, uma sub-rede, uma sub-rede de gateway e um gateway VPN em modo ativo-ativo baseado em rota, com redundância de zona (gateway de rede virtual), usando o SKU VpnGw2AZ de Geração 2. Depois que o gateway é criado, você pode configurar conexões.
- Se quiseres criar um gateway VPN usando a SKU Basic em vez disso, consulte Criar um gateway VPN com a SKU Basic.
- Recomendamos a criação de um gateway VPN em modo ativo-ativo sempre que possível. Os gateways VPN de modo ativo-ativo oferecem melhor disponibilidade e desempenho do que os gateways VPN de modo padrão. Para obter mais informações sobre gateways ativo-ativo, consulte Sobre gateways em modo ativo-ativo.
- Para obter informações sobre zonas de disponibilidade e gateways redundantes de zona, consulte O que são zonas de disponibilidade?
Nota
As etapas neste artigo usam o gateway SKU VpnGw2AZ, que é uma SKU que dá suporte a zonas de disponibilidade do Azure. A partir de maio de 2025, todas as regiões aceitarão um AZ SKU, independentemente de as zonas de disponibilidade serem suportadas nessa região. Para obter mais informações sobre as SKUs dos gateways, consulte Sobre as SKUs dos gateways.
Antes de começar
Estas etapas exigem uma assinatura do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para mais informações, veja Get started with Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
- Este artigo requer a versão 2.0.4 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
Criar um grupo de recursos
Crie um grupo de recursos usando o comando az group create . Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.
az group create --name TestRG1 --___location eastus
Criar uma rede virtual
Se ainda não tiver uma rede virtual, crie uma utilizando o comando az network vnet create. Ao criar uma rede virtual, certifique-se de que os espaços de endereço especificados não se sobreponham a nenhum dos espaços de endereço que você tem na rede local. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego não será encaminhado da maneira esperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor a outra rede virtual. Tenha o cuidado de planear a configuração da rede em conformidade.
O exemplo a seguir cria uma rede virtual chamada 'VNet1' e uma sub-rede, 'FrontEnd'. A sub-rede FrontEnd não é usada neste exercício. Você pode substituir seu próprio nome de sub-rede.
az network vnet create \
-n VNet1 \
-g TestRG1 \
-l eastus \
--address-prefix 10.1.0.0/16 \
--subnet-name FrontEnd \
--subnet-prefix 10.1.0.0/24
Adicionar uma sub-rede do gateway
Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que você especifica ao configurar sua rede virtual.
Se você não tiver uma sub-rede chamada GatewaySubnet, quando você criar seu gateway VPN, ele falhará. Recomendamos que você crie uma sub-rede de gateway que use um /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações sobre a sub-rede do gateway, consulte Configurações do gateway VPN - Sub-rede do gateway.
Importante
Não há suporte para NSGs na sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.
Use o exemplo a seguir para adicionar uma sub-rede de gateway:
az network vnet subnet create \
--vnet-name VNet1 \
-n GatewaySubnet \
-g TestRG1 \
--address-prefix 10.1.255.0/27
Solicitar endereços IP públicos
Um gateway VPN deve ter um endereço IP público. Quando você cria uma conexão com um gateway VPN, esse é o endereço IP que você especifica. Para gateways de modo ativo-ativo, cada instância de gateway tem seu próprio recurso de endereço IP público. Primeira, requeira o recurso de endereço IP e, em seguida, faça referência ao mesmo ao criar o gateway de rede virtual. Além disso, para qualquer SKU de gateway que termine em AZ, você também deve especificar a configuração Zone. Este exemplo especifica uma configuração com redundância de zona porque especifica todas as três zonas regionais.
O endereço IP é atribuído ao recurso quando o gateway VPN é criado. A única vez que o endereço IP público é alterado é quando o gateway é excluído e recriado. Não muda ao redimensionar, repor ou realizar outras manutenções/atualizações internas do gateway VPN.
Use o comando az network public-ip create para solicitar um endereço IP público:
az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Para criar um gateway ativo-ativo (recomendado), solicite um segundo endereço IP público:
az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3
Criar o gateway de VPN
Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Depois que o gateway for criado, você poderá criar conexão entre sua rede virtual e seu local local. Ou crie uma conexão entre sua rede virtual e outra rede virtual.
Crie o gateway de VPN com o comando az network vnet-gateway create. Se você executar esse comando usando o --no-wait parâmetro, não verá nenhum feedback ou saída. O --no-wait parâmetro permite que o gateway seja criado em segundo plano. Isso não significa que o gateway VPN é criado imediatamente. Se quiser criar um gateway usando uma SKU diferente, consulte Sobre as SKUs de gateway para determinar a SKU que melhor se ajusta aos seus requisitos de configuração.
Gateway de modo ativo-ativo
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
Gateway de modo de espera ativa
az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait
Um gateway de VPN pode demorar 45 minutos ou mais a ser criado.
Exibir o gateway VPN
az network vnet-gateway show \
-n VNet1GW \
-g TestRG1
Exibir endereços IP do gateway
A cada instância de gateway VPN é atribuído um recurso de endereço IP público. Para exibir o endereço IP associado ao recurso, use o seguinte comando. Repita para cada instância de gateway.
az network public-ip show -g TestRG1 -n VNet1GWpip1
Limpar recursos
Quando não precisar mais dos recursos criados, use az group delete para excluir o grupo de recursos. Isso exclui o grupo de recursos e todos os recursos que ele contém.
az group delete --name TestRG1 --yes
Próximos passos
Depois que o gateway é criado, você pode configurar conexões.