Erstellen eines VPN-Gateways mithilfe von PowerShell

In diesem Artikel erfahren Sie, wie Sie ein Azure-VPN-Gateway mithilfe von PowerShell erstellen. Ein VPN-Gateway wird beim Herstellen einer VPN-Verbindung mit Ihrem lokalen Netzwerk verwendet. Sie können auch ein VPN-Gateway verwenden, um Verbindungen mit virtuellen Netzwerken herzustellen. Ausführlichere Informationen zu einigen Einstellungen in diesem Artikel finden Sie unter Erstellen eines VPN-Gateways – Portal.

• Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
• Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.

Mit den Schritten in diesem Artikel werden ein VNet, ein Subnetz, ein Gatewaysubnetz und ein routingbasiertes, zonenredundantes VPN-Gateway im Aktiv-Aktiv-Modus (virtuelles Netzwerkgateway) mit der VpnGw2AZ SKU der Generation 2 erstellt. Nachdem das Gateway erstellt wurde, können Sie Verbindungen konfigurieren.

• Wenn Sie stattdessen ein VPN-Gateway mit der Basic-SKU erstellen möchten, lesen Sie Erstellen eines Basic-SKU-VPN-Gateways.
• Es wird empfohlen, nach Möglichkeit ein VPN-Gateway im Aktiv-Aktiv-Modus zu erstellen. VPN-Gateways im Aktiv-Aktiv-Modus bieten eine bessere Verfügbarkeit und Leistung als VPN-Gateways im Standardmodus. Weitere Informationen zu Gateways im Aktiv-Aktiv-Modus finden Sie unter Informationen zu Gateways im Aktiv-Aktiv-Modus.
• Informationen zu Verfügbarkeitszonen und redundanten Gateways für Zonen finden Sie unter Was sind Verfügbarkeitszonen.

Voraussetzungen

Diese Schritte erfordern ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

In diesem Artikel werden PowerShell-Cmdlets verwendet. Um die Cmdlets auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/powershell navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.

Sie können die Azure PowerShell-Cmdlets auch lokal auf Ihrem Computer installieren und ausführen. PowerShell-Cmdlets werden regelmäßig aktualisiert. Wenn Sie nicht die aktuelle Version installiert haben, kann es bei Verwendung der in den Anweisungen angegebenen Werte zu Fehlern kommen. Verwenden Sie das Cmdlet Get-Module -ListAvailable Az, um die auf Ihrem Computer installierten Azure PowerShell-Versionen zu ermitteln. Informationen zum Installieren oder Aktualisieren finden Sie unter Installieren des Azure PowerShell-Moduls.

Erstellen einer Ressourcengruppe

Erstellen Sie mit dem Befehl New-AzResourceGroup eine Azure-Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Öffnen Sie bei lokaler Ausführung von PowerShell Ihre PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her, indem Sie den Befehl Connect-AzAccount verwenden.

New-AzResourceGroup -Name TestRG1 -Location EastUS

Erstellen eines virtuellen Netzwerks

Falls Sie noch nicht über ein virtuelles Netzwerk verfügen, erstellen Sie eines mit New-AzVirtualNetwork. Stellen Sie beim Erstellen eines virtuellen Netzwerks sicher, dass sich die angegebenen Adressräume und die Adressräume im lokalen Netzwerk nicht überschneiden. Falls ein Adressbereich auf beiden Seiten der VPN-Verbindung und somit doppelt vorhanden ist, wird Datenverkehr unter Umständen nicht wie erwartet weitergeleitet. Wenn Sie dieses virtuelle Netzwerk außerdem mit einem anderen virtuellen Netzwerk verbinden möchten, darf sich der Adressraum nicht mit dem anderen virtuellen Netzwerk überschneiden. Achten Sie darauf, dass Sie Ihre Netzwerkkonfiguration entsprechend planen.

Im folgenden Beispiel wird ein virtuelles Netzwerk mit dem Namen VNet1 am Standort USA, Osten erstellt:

$virtualnetwork = New-AzVirtualNetwork `
  -ResourceGroupName TestRG1 `
  -Location EastUS `
  -Name VNet1 `
  -AddressPrefix 10.1.0.0/16

Erstellen Sie mit dem New-AzVirtualNetworkSubnetConfig-Cmdlet eine Subnetzkonfiguration. Das FrontEnd-Subnetz wird in dieser Übung nicht verwendet. Sie können es mit Ihrem eigenen Subnetznamen ersetzen.

$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
  -Name FrontEnd `
  -AddressPrefix 10.1.0.0/24 `
  -VirtualNetwork $virtualnetwork

Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.

$virtualnetwork | Set-AzVirtualNetwork

Hinzufügen eines Gatewaysubnetzes

Ressourcen eines virtuellen Netzwerkgateways werden in einem bestimmten Subnetz mit dem Namen GatewaySubnet bereitgestellt. Das Gatewaysubnetz ist Teil des IP-Adressbereichs für das virtuelle Netzwerk, den Sie beim Konfigurieren Ihres virtuellen Netzwerks angeben.

Wenn Sie kein Subnetz namens GatewaySubnet haben, tritt beim Erstellen des VPN-Gateways ein Fehler auf. Es empfiehlt sich, ein Gatewaysubnetz mit /27 (oder größer) zu erstellen. Zum Beispiel /27 oder /26. Weitere Informationen finden Sie unter VPN-Gateway-Einstellungen – Gatewaysubnetz.

Legen Sie eine Variable für Ihr virtuelles Netzwerk fest.

$vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1

Erstellen Sie das Gatewaysubnetz mit dem Add-AzVirtualNetworkSubnetConfig-Cmdlet.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet

Legen Sie die Subnetzkonfiguration für das virtuelle Netzwerk mithilfe des Set-AzVirtualNetwork-Cmdlets fest.

$vnet | Set-AzVirtualNetwork

Anfordern öffentlicher IP-Adressen

Ein VPN-Gateway muss über eine öffentliche IP-Adresse verfügen. Wenn Sie eine Verbindung mit einem VPN-Gateway herstellen, geben Sie diese IP-Adresse an. Für Gateways im Aktiv-Aktiv-Modus verfügt jede Gatewayinstanz über eine eigene öffentliche IP-Adressressource. Sie fordern zuerst die IP-Adressressource an und verweisen dann beim Erstellen des Gateways des virtuellen Netzwerks darauf. Darüber hinaus müssen Sie für jede Gateway-SKU, die auf AZ endet, auch die Zoneneinstellung angeben. In diesem Beispiel wird eine zonenredundante Konfiguration angegeben, da sie alle drei regionalen Zonen angibt.

Die IP-Adresse wird der Ressource bei der Erstellung des VPN-Gateways zugewiesen. Die öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird. Sie ändert sich nicht, wenn die Größe geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.

Verwenden Sie die folgenden Beispiele, um eine statische öffentliche IP-Adresse für jede Gatewayinstanz anzufordern.

$gw1pip1 = New-AzPublicIpAddress -Name "VNet1GWpip1" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Zum Erstellen eines Aktiv/Aktiv Gateways (empfohlen) fordern Sie eine zweite öffentliche IP-Adresse an:

$gw1pip2 = New-AzPublicIpAddress -Name "VNet1GWpip2" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard -Zone 1,2,3

Erstellen der Gateway-IP-Adresskonfiguration

Die Gatewaykonfiguration definiert das zu verwendende Subnetz und die zu verwendende öffentliche IP-Adresse. Verwenden Sie das folgende Beispiel, um Ihre Gatewaykonfiguration zu erstellen:

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet

$gwipconfig1 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip1.Id
$gwipconfig2 = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig2 -SubnetId $subnet.Id -PublicIpAddressId $gw1pip2.Id

Erstellen des VPN-Gateways

Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Nachdem das Gateway erstellt wurde, können Sie eine Verbindung zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort herstellen. Oder erstellen Sie eine Verbindung zwischen Ihrem virtuellen Netzwerk und einem anderen virtuellen Netzwerk.

Erstellen Sie mit dem Cmdlet New-AzVirtualNetworkGateway ein VPN-Gateway. Beachten Sie in den Beispielen, dass auf beide öffentlichen IP-Adressen verwiesen wird und das Gateway mit dem Switch EnableActiveActiveFeature als „Aktiv-Aktiv“ konfiguriert wird. Im Beispiel fügen wir den optionalen -Debug-Schalter hinzu. Wenn Sie ein Gateway mit einer anderen SKU erstellen möchten, lesen Sie Informationen zu Gateway-SKUs, um die SKU zu ermitteln, die ihren Konfigurationsanforderungen am besten entspricht.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location "East US" -IpConfigurations $gwipconfig1,$gwipconfig2 -GatewayType "Vpn" -VpnType RouteBased `
-GatewaySku VpnGw2AZ -VpnGatewayGeneration Generation2 -EnableActiveActiveFeature -Debug

Anzeigen des VPN-Gateways

Sie können das VPN-Gateway mit dem Get-AzVirtualNetworkGateway-Cmdlet anzeigen.

Get-AzVirtualNetworkGateway -Name Vnet1GW -ResourceGroup TestRG1

Anzeigen von Gateway-IP-Adressen

Jeder VPN-Gatewayinstanz wird eine öffentliche IP-Adressressource zugewiesen. Verwenden Sie das Cmdlet Get-AzPublicIpAddress, um die mit der Ressource verknüpfte IP-Adresse anzuzeigen. Wiederholen Sie diesen Vorgang für jede Gatewayinstanz. Aktiv-Aktive Gateways weisen jeder Instanz eine andere öffentliche IP-Adresse zu.

Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1

Bereinigen von Ressourcen

Wenn Sie die erstellten Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe mit dem Befehl Remove-AzResourceGroup. Damit löschen Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen.

Remove-AzResourceGroup -Name TestRG1

Nächste Schritte

Nachdem das Gateway erstellt wurde, können Sie Verbindungen konfigurieren.

• Herstellen einer Site-to-Site-Verbindung
• Herstellen einer Point-to-Site-Verbindung
• Erstellen einer Verbindung mit einem anderen virtuellen Netzwerk