Freigeben über

Erstellen eines VPN-Gateways mit CLI

  • Artikel

In diesem Artikel erfahren Sie, wie Sie ein Azure-VPN-Gateway mithilfe von Azure CLI erstellen. Ein VPN-Gateway wird beim Herstellen einer VPN-Verbindung mit Ihrem lokalen Netzwerk verwendet. Sie können auch ein VPN-Gateway verwenden, um Verbindungen mit virtuellen Netzwerken herzustellen. Ausführlichere Informationen zu einigen Einstellungen in diesem Artikel finden Sie unter Erstellen eines VPN-Gateways – Portal.

Diagramm eines virtuellen Netzwerks und eines VPN-Gateways.

  • Die linke Seite der Abbildung zeigt das virtuelle Netzwerk und das VPN-Gateway, die Sie mithilfe der Schritte in diesem Artikel erstellen.
  • Sie können später verschiedene Verbindungstypen hinzufügen, wie auf der rechten Seite der Abbildung gezeigt. Sie können beispielsweise Site-to-Site- und Point-to-Site-Verbindungen erstellen. Um verschiedene Entwurfsarchitekturen anzuzeigen, die Sie erstellen können, lesen Sie Entwurf für VPN-Gateway.

Mit den Schritten in diesem Artikel werden ein VNet, ein Subnetz, ein Gatewaysubnetz und ein routingbasiertes, zonenredundantes VPN-Gateway im Aktiv-Aktiv-Modus (virtuelles Netzwerkgateway) mit der VpnGw2AZ SKU der Generation 2 erstellt. Mit den Schritten in diesem Artikel werden ein VNet, ein Subnetz, ein Gatewaysubnetz und ein routingbasiertes, zonenredundantes VPN-Gateway im Aktiv-Aktiv-Modus (virtuelles Netzwerkgateway) mit der VpnGw2AZ SKU der Generation 2 erstellt. Nachdem das Gateway erstellt wurde, können Sie Verbindungen konfigurieren.

  • Wenn Sie stattdessen ein VPN-Gateway mit der Basic-SKU erstellen möchten, lesen Sie Erstellen eines Basic-SKU-VPN-Gateways.
  • Es wird empfohlen, nach Möglichkeit ein VPN-Gateway im Aktiv-Aktiv-Modus zu erstellen. VPN-Gateways im Aktiv-Aktiv-Modus bieten eine bessere Verfügbarkeit und Leistung als VPN-Gateways im Standardmodus. Weitere Informationen zu Gateways im Aktiv-Aktiv-Modus finden Sie unter Informationen zu Gateways im Aktiv-Aktiv-Modus.
  • Informationen zu Verfügbarkeitszonen und redundanten Gateways für Zonen finden Sie unter Was sind Verfügbarkeitszonen?

Hinweis

Die Schritte in diesem Artikel nutzen die Gateway-SKU VpnGw2AZ, eine SKU, die Azure-Verfügbarkeitszonen unterstützt. Wenn Verfügbarkeitszonen für Ihre Region nicht unterstützt werden, verwenden Sie stattdessen eine Nicht-AZ-SKU. Weitere Informationen zu SKUs finden Sie unter Informationen zu Gateway-SKUs.

Voraussetzungen

Diese Schritte erfordern ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  • Für diesen Artikel ist mindestens Version 2.0.4 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

Erstellen einer Ressourcengruppe

Erstellen Sie mit dem Befehl az group create eine Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

az group create --name TestRG1 --location eastus

Erstellen eines virtuellen Netzwerks

Falls Sie noch kein virtuelles Netzwerk besitzen, erstellen Sie eins mit dem Befehl az network vnet create. Stellen Sie beim Erstellen eines virtuellen Netzwerks sicher, dass sich die angegebenen Adressräume und die Adressräume im lokalen Netzwerk nicht überschneiden. Falls ein Adressbereich auf beiden Seiten der VPN-Verbindung und somit doppelt vorhanden ist, wird Datenverkehr unter Umständen nicht wie erwartet weitergeleitet. Wenn Sie dieses virtuelle Netzwerk außerdem mit einem anderen virtuellen Netzwerk verbinden möchten, darf sich der Adressraum nicht mit dem anderen virtuellen Netzwerk überschneiden. Achten Sie darauf, dass Sie Ihre Netzwerkkonfiguration entsprechend planen.

Im folgenden Beispiel werden ein virtuelles Netzwerk mit dem Namen „VNet1“ und ein Subnetz mit dem Namen „FrontEnd“ erstellt. Das FrontEnd-Subnetz wird in dieser Übung nicht verwendet. Sie können es mit Ihrem eigenen Subnetznamen ersetzen.

az network vnet create \
  -n VNet1 \
  -g TestRG1 \
  -l eastus \
  --address-prefix 10.1.0.0/16 \
  --subnet-name FrontEnd \
  --subnet-prefix 10.1.0.0/24

Hinzufügen eines Gatewaysubnetzes

Ressourcen eines virtuellen Netzwerkgateways werden in einem bestimmten Subnetz mit dem Namen GatewaySubnet bereitgestellt. Das Gatewaysubnetz ist Teil des IP-Adressbereichs für das virtuelle Netzwerk, den Sie beim Konfigurieren Ihres virtuellen Netzwerks angeben.

Wenn Sie kein Subnetz namens GatewaySubnet haben, tritt beim Erstellen des VPN-Gateways ein Fehler auf. Es empfiehlt sich, ein Gatewaysubnetz mit /27 (oder größer) zu erstellen. Zum Beispiel /27 oder /26. Weitere Informationen finden Sie unter VPN-Gateway-Einstellungen – Gatewaysubnetz.

Wichtig

Netzwerksicherheitsgruppen (NSGs) im Gateway-Subnetz werden nicht unterstützt. Das Zuordnen einer Netzwerksicherheitsgruppe zu diesem Subnetz könnte dazu führen, dass Ihr virtuelles Netzwerkgateway (VPN- und ExpressRoute-Gateways) nicht mehr wie erwartet funktioniert. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Was ist eine Netzwerksicherheitsgruppe (NSG)?.

Verwenden Sie das folgende Beispiel, um ein Gatewaysubnetz hinzufügen:

az network vnet subnet create \
  --vnet-name VNet1 \
  -n GatewaySubnet \
  -g TestRG1 \
  --address-prefix 10.1.255.0/27 

Anfordern öffentlicher IP-Adressen

Ein VPN-Gateway muss über eine öffentliche IP-Adresse verfügen. Wenn Sie eine Verbindung mit einem VPN-Gateway herstellen, geben Sie diese IP-Adresse an. Für Gateways im Aktiv-Aktiv-Modus verfügt jede Gatewayinstanz über eine eigene öffentliche IP-Adressressource. Sie fordern zuerst die IP-Adressressource an und verweisen dann beim Erstellen des Gateways des virtuellen Netzwerks darauf. Darüber hinaus müssen Sie für jede Gateway-SKU, die auf AZ endet, auch die Zoneneinstellung angeben. In diesem Beispiel wird eine zonenredundante Konfiguration angegeben, da sie alle drei regionalen Zonen angibt.

Die IP-Adresse wird der Ressource bei der Erstellung des VPN-Gateways zugewiesen. Die öffentliche IP-Adresse wird nur geändert, wenn das Gateway gelöscht und neu erstellt wird. Sie ändert sich nicht, wenn die Größe geändert wird, das VPN-Gateway zurückgesetzt wird oder andere interne Wartungs-/Upgradevorgänge für das VPN-Gateway durchgeführt werden.

Fordern Sie mit dem Befehl az network public-ip create eine öffentliche IP-Adresse an:

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Zum Erstellen eines Aktiv/Aktiv Gateways (empfohlen) fordern Sie eine zweite öffentliche IP-Adresse an:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Erstellen des VPN-Gateways

Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Nachdem das Gateway erstellt wurde, können Sie eine Verbindung zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort herstellen. Oder erstellen Sie eine Verbindung zwischen Ihrem virtuellen Netzwerk und einem anderen virtuellen Netzwerk.

Erstellen Sie das VPN-Gateway mit dem Befehl az network vnet-gateway create. Wenn Sie diesen Befehl mit dem Parameter --no-wait ausführen, werden kein Feedback und keine Ausgabe angezeigt. Der Parameter --no-wait ermöglicht die Erstellung des Gateways im Hintergrund. Das bedeutet nicht, dass die Erstellung des VPN-Gateways sofort abgeschlossen ist. Wenn Sie ein Gateway mit einer anderen SKU erstellen möchten, lesen Sie Informationen zu Gateway-SKUs, um die SKU zu ermitteln, die ihren Konfigurationsanforderungen am besten entspricht.

Gateway im Aktiv/Aktiv-Modus

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway im Aktiv/Standby-Modus

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Das Erstellen eines VPN-Gateways kann 45 Minuten oder länger dauern.

Anzeigen des VPN-Gateways

az network vnet-gateway show \
  -n VNet1GW \
  -g TestRG1

Anzeigen von Gateway-IP-Adressen

Jeder VPN-Gatewayinstanz wird eine öffentliche IP-Adressressource zugewiesen. Verwenden Sie den folgenden Befehl, um die mit der Ressource verknüpfte IP-Adresse anzuzeigen. Wiederholen Sie diesen Vorgang für jede Gatewayinstanz.

az network public-ip show -g TestRG1 -n VNet1GWpip1

Bereinigen von Ressourcen

Wenn Sie die erstellten Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe mit dem Befehl az group delete. Damit löschen Sie die Ressourcengruppe und alle darin enthaltenen Ressourcen.

az group delete --name TestRG1 --yes

Nächste Schritte

Nachdem das Gateway erstellt wurde, können Sie Verbindungen konfigurieren.