Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo mostra como usar a CLI do Azure para criar uma conexão de gateway VPN site a site (S2S) de sua rede local para uma rede virtual (VNet).
Uma conexão de gateway VPN site a site é usada para conectar a sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local que tenha um endereço IP público com acesso exterior atribuído ao mesmo. As etapas neste artigo criam uma conexão entre o gateway VPN e o dispositivo VPN local usando uma chave compartilhada. Para obter mais informações sobre o gateways de VPN, veja About VPN gateway (Acerca do gateway de VPN).
Antes de começar
Verifique se seu ambiente atende aos seguintes critérios antes de iniciar a configuração:
Verifique se você tem um gateway VPN baseado em rota funcionando. Para criar um gateway VPN, consulte Criar um gateway VPN.
Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, precisará coordenar com alguém que possa fornecer esses detalhes para você. Ao criar essa configuração, você deve especificar os prefixos de intervalo de endereços IP que o Azure roteia para seu local local. Nenhuma das sub-redes da sua rede local pode sobrepor-se às sub-redes de rede virtual às quais pretende ligar.
Dispositivos VPN:
- Certifique-se de que tem um dispositivo VPN compatível e alguém que o possa configurar. Para obter mais informações sobre dispositivos VPN compatíveis e configuração de dispositivos, consulte Sobre dispositivos VPN.
- Verifique se o seu dispositivo VPN suporta gateways em modo ativo-ativo. Este artigo cria um gateway VPN em modo ativo-ativo, recomendado para uma conectividade altamente fiável. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas. Esse modo requer dois endereços IP públicos, um para cada instância de VM de gateway. Você configura seu dispositivo VPN para se conectar ao endereço IP de cada instância de VM de gateway.
Se o seu dispositivo VPN não suportar este modo, não o ative para o seu gateway. Para mais informações, consulte Design de conectividade altamente disponível para conexões entre locais e VNet para VNet e Sobre gateways VPN em modo ativo-ativo.
Este artigo requer a versão 2.0 ou posterior da CLI do Azure.
Use o ambiente Bash no Azure Cloud Shell. Para mais informações, veja Get started with Azure Cloud Shell.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Criar o gateway de rede local
O gateway de rede local refere-se normalmente à sua localização no local. Você dá ao site um nome pelo qual o Azure pode se referir a ele e, em seguida, especifica o endereço IP do dispositivo VPN local ao qual você criará uma conexão. Também pode especificar os prefixos do endereço IP que sejam encaminhados através do gateway de VPN para o dispositivo de VPN. Os prefixos do endereço que especificar são os que estão localizados na sua rede no local. Se a rede no local se alterar, pode atualizar facilmente os prefixos.
Utilize os seguintes valores:
- O --gateway-ip-address é o endereço IP do seu dispositivo VPN no local.
- Os --local-address-prefixes são os seus espaços de endereçamento internos.
Use o comando az network local-gateway create para adicionar um gateway de rede local. O exemplo a seguir mostra um gateway de rede local com vários prefixos de endereço. Substitua os valores pelos seus.
az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24
Configurar o dispositivo VPN
As conexões site a site com uma rede local exigem um dispositivo VPN. Neste passo, configure o seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisa dos seguintes valores:
Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar sua conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Recomendamos que gere uma chave mais complexa para utilizar.
Endereços IP públicos das instâncias do seu gateway de rede virtual: obtenha o endereço IP para cada instância de máquina virtual. Se o gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM de gateway. Certifique-se de configurar seu dispositivo com ambos os endereços IP, um para cada VM de gateway ativa. Os gateways de modo de espera ativa têm apenas um endereço IP.
Para encontrar o endereço IP público do gateway da rede virtual, utilize o comando az network public-ip list. Para maior facilidade de leitura, a saída é formatada para apresentar a lista de IPs públicos no formato de tabela. No exemplo, VNet1GWpip1 é o nome do recurso de endereço IP público.
az network public-ip list --resource-group TestRG1 --output table
Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, ver Transferir os scripts de configuração do dispositivo VPN.
Os links a seguir fornecem mais informações de configuração:
Para obter informações sobre dispositivos VPN compatíveis, consulte Sobre dispositivos VPN.
Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. Fornecemos os links de configuração do dispositivo com base no melhor esforço, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.
A lista mostra as versões que testamos. Se a versão do SO do seu dispositivo VPN não estiver na lista, poderá ainda ser compatível. Consulte o fabricante do dispositivo.
Para obter informações básicas sobre a configuração do dispositivo VPN, consulte Visão geral das configurações do dispositivo VPN do parceiro.
Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).
Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.
Para obter informações sobre os parâmetros necessários para concluir a configuração, consulte Parâmetros IPsec/IKE padrão. As informações incluem a versão IKE, o grupo Diffie-Hellman (DH), o método de autenticação, os algoritmos de encriptação e de hashing, o tempo de vida da associação de segurança (SA), o sigilo de encaminhamento perfeito (PFS) e a Detecção de Peer Morto (DPD).
Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.
Para conectar vários dispositivos VPN baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Criar a ligação VPN
Crie uma conexão VPN site a site entre seu gateway de rede virtual e seu dispositivo VPN local. Se estiveres a usar um gateway em modo ativo-ativo (recomendado), cada instância de máquina virtual (VM) de gateway terá um endereço IP separado. Para configurar corretamente a conectividade altamente disponível, você deve estabelecer um túnel entre cada instância de VM e seu dispositivo VPN. Ambos os túneis fazem parte da mesma ligação.
Crie a ligação utilizando o comando az network vpn-connection create. A chave partilhada tem de corresponder ao valor utilizado na configuração do dispositivo VPN.
az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1
Após uns breves instantes, a ligação será estabelecida.
Verificar a ligação VPN
Pode verificar se a sua ligação foi concluída com êxito com o comando az network vpn-connection show. No exemplo, '--name' refere-se ao nome da conexão que você deseja testar. Quando a ligação está a ser estabelecida, o respetivo estado de ligação mostra "A ligar". Quando a ligação estiver estabelecido, o estado muda para "Ligado". Modifique o exemplo a seguir com os valores para seu ambiente.
az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>
Se quiser utilizar outro método para verificar a sua ligação, veja Verify a VPN Gateway connection (Verificar ligações de Gateway de VPN).
Tarefas comuns
Esta secção contém comandos comuns que são úteis quando se trabalha com configurações site-to-site. Para obter a lista completa de comandos de redes CLI, veja Azure CLI - Redes.
Para ver os gateways de rede local
Para ver uma lista de gateways da rede local, utilize o comando az network local-gateway list.
az network local-gateway list --resource-group TestRG1
Para modificar os prefixos de endereço IP do gateway de rede local - sem ligação ao gateway
Se você quiser adicionar ou remover prefixos de endereço IP e seu gateway ainda não tiver uma conexão, você pode atualizar os prefixos usando az network local-gateway create. Para substituir as definições atuais, utilize o nome existente do seu gateway de rede local. Se utilizar um nome diferente, vai criar um novo gateway de rede local, em vez de substituir o existente. Também pode utilizar este comando para atualizar o endereço IP do gateway para o dispositivo VPN.
Sempre que fizer uma alteração, tem de ser especificada a lista completa de prefixos, não apenas aqueles que pretende alterar. Especifique apenas os prefixos que quer manter. Neste caso, 10.0.0.0/24 e 10.3.0.0/16
az network local-gateway create --gateway-ip-address 203.0.113.34 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16
Para modificar prefixos de endereços IP do gateway de rede local - ligação existente do gateway
Se tiver uma ligação de gateway e pretender adicionar ou remover prefixos de endereços IP, pode atualizar os prefixos utilizando-a az network local-gateway update. Este procedimento resulta num período de indisponibilidade da ligação VPN.
Sempre que fizer uma alteração, tem de ser especificada a lista completa de prefixos, não apenas aqueles que pretende alterar. Neste exemplo, 10.0.0.0/24 e 10.3.0.0/16 já estão presentes. Adicionamos os prefixos 10.5.0.0/16 e 10.6.0.0/16 e especificamos todos os 4 prefixos ao atualizar.
az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1
Para modificar o endereço IP do gateway da rede local
Se você alterar o endereço IP público do seu dispositivo VPN, precisará modificar o gateway de rede local com o endereço IP atualizado. Ao modificar o gateway, certifique-se de especificar o nome existente do gateway de rede local. Caso utilizes um nome diferente, crias um novo gateway de rede local, em vez de substituir as informações do gateway existente.
Para modificar o endereço IP do gateway, substitua os valores "Site2" e "TestRG1" pelos seus utilizando o comando az network local-gateway update.
az network local-gateway update --gateway-ip-address 203.0.113.170 --name Site2 --resource-group TestRG1
Certifique-se de que o endereço IP está correto na saída:
"gatewayIpAddress": "203.0.113.170",
Para verificar os valores de chave partilhada
Verifique se o valor da chave partilhada é igual ao valor que utilizou na configuração do dispositivo VPN. Se não estiver, execute a conexão novamente usando o valor do dispositivo ou atualize o dispositivo com o valor do retorno. Os valores têm de corresponder. Para ver a chave partilhada, utilize az network vpn-connection-list.
az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1
Para ver o endereço IP Público do gateway de VPN
Para encontrar o endereço IP público do gateway da rede virtual, utilize o comando az network public-ip list. Para maior facilidade de leitura, a saída para este exemplo é formatada para apresentar a lista de IPs públicos no formato de tabela.
az network public-ip list --resource-group TestRG1 --output table
Próximos passos
- Para obter informações sobre BGP, consulte a visão geral do BGP e Como configurar o BGP.
- Para obter informações sobre o túnel forçado, veja About forced tunneling (Acerca do túnel forçado).
- Para obter informações sobre conexões ativas-ativas altamente disponíveis, consulte Conectividade altamente disponível entre locais e VNet-to-VNet.
- Para obter uma lista de comandos de rede da CLI do Azure, veja Azure CLI (CLI do Azure).
- Para obter informações sobre como criar uma conexão VPN site a site usando o modelo do Azure Resource Manager, consulte Criar uma conexão VPN site a site.
- Para obter informações sobre como criar uma conexão VPN VNet-to-VNet usando o modelo do Azure Resource Manager, consulte Implantar replicação geográfica do HBase.