Tutorial: Criar e gerenciar um gateway de VPN usando o portal do Azure
Este tutorial ajuda você a criar e gerenciar um gateway de rede virtual (gateway de VPN) usando o portal do Azure. O gateway de VPN é uma parte de uma arquitetura de conexão para ajudar você a acessar os recursos com segurança em uma rede virtual usando o Gateway de VPN.
- O lado esquerdo do diagrama mostra a rede virtual e o gateway de VPN que você cria ao usar as etapas neste artigo.
- Posteriormente, você pode adicionar diferentes tipos de conexões, conforme mostrado no lado direito do diagrama. Por exemplo, você pode criar conexões site a site e ponto a site. Para exibir diferentes arquiteturas de design que você pode compilar, confira Design de gateway de VPN.
Neste tutorial, você aprenderá a:
- Crie uma rede virtual.
- Crie um gateway VPN com redundância de zona no modo ativo-ativo.
- Exiba o endereço IP público do gateway.
- Redimensione um gateway de VPN (redimensionar SKU).
- Redefina um Gateway de VPN.
- Caso deseje saber mais sobre as definições de configuração usadas neste tutorial, confira Sobre as definições de configuração do Gateway de VPN.
- Para obter mais informações sobre o Gateway de VPN do Azure, confira O que é o Gateway de VPN do Azure.
- Se você quiser criar um gateway usando o SKU Básico (em vez de VpnGw2AZ), veja Criar um gateway VPN com SKU básico.
- Para obter mais informações sobre gateways de modo ativo-ativo, veja Sobre o modo ativo-ativo.
- Para obter mais informações sobre gateways com redundância de zona, veja Sobre gateways com redundância de zona.
Observação
As etapas desse artigo usam o gateway SKU VpnGw2AZ, que é um SKU que dá suporte a zonas de disponibilidade do Azure. Se as zonas de disponibilidade não forem suportadas em sua região, use um SKU que não seja AZ. Para obter mais informações sobre SKUs, veja Sobre SKUs de gateway.
Pré-requisitos
Você precisa de uma conta do Azure com uma assinatura ativa. Caso não tenha uma, crie uma gratuitamente.
Criar uma rede virtual
Crie uma rede virtual usando os seguintes valores de exemplo:
- Grupo de recursos: TestRG1
- Nome: VNet1
- Região: (EUA) Leste dos EUA (ou uma região de sua escolha)
- Espaço de endereço IPv4: 10.1.0.0/16
- Nome da sub-rede: use o nome padrão ou especifique um nome. Exemplo: FrontEnd
- Espaço de endereço de sub-rede: 10.1.0.0/24
Entre no portal do Azure.
Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.
Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.
Na guia Informações Básicas, defina as configurações Detalhes do projeto e Detalhes da instância da rede virtual. Você verá uma marca de seleção verde quando os valores que você inserir forem validados. É possível ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.
- Assinatura: verifique se a assinatura listada é a correta. É possível alterar as assinaturas usando a caixa suspensa.
- Grupo de recursos: selecione um grupo de recursos ou selecione Criar para criar outro. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
- Name: insira o nome de sua rede virtual.
- Região: selecione o local da sua rede virtual. A localização determina onde residirão os recursos que você implanta nessa rede virtual.
Selecione Avançar ou Segurança para acessar a guia Segurança. Para este exercício, mantenha os valores padrão para todos os serviços nesta página.
Selecione Endereços IP ou acesse a guia Endereços IP. Na guia Endereços IP, faça as configurações.
Espaço de endereço IPv4: por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, especifique o endereço inicial como 10.1.0.0 e especifique o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.
+ Adicionar sub-rede: se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Defina as configurações a seguir e depois selecione Adicionar na parte inferior da página para adicionar os valores.
- Nome da sub-rede: você pode usar o padrão ou especificar o nome. Exemplo: FrontEnd.
- Intervalo de endereços da sub-rede: o intervalo de endereços para esta sub-rede. Os exemplos são 10.1.0.0 e /24.
Examine a página endereços IP e remova todos os espaços de endereço ou sub-redes que você não precisa.
Selecione Examinar + criar para validar as configurações de rede virtual.
Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.
Depois de criar a rede virtual, opcionalmente, você pode configurar a Proteção contra DDoS do Azure. É muito simples habilitar a proteção em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo ou alterações de recursos. Para obter mais informações sobre a Proteção contra DDoS do Azure, confira O que é a Proteção contra DDoS do Azure.
Criar uma sub-rede de gateway
Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. O gateway faz parte do intervalo de endereços IP de rede virtual que você especifica ao configurar sua rede virtual.
Se você não tiver uma sub-rede chamada GatewaySubnet, ao criar seu gateway VPN, ele falhará. Recomendamos que você crie uma sub-rede de gateway que use /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações, veja Configurações do gateway de VPN - Sub-rede do gateway.
- Na página da rede virtual, no painel à esquerda, selecione sub-redes para abrir a página Sub-redes.
- Na parte superior da página, selecione + Sub-rede do gateway para abrir o painel Adicionar sub-rede.
- O nome é inserido automaticamente como GatewaySubnet. Ajuste o valor do intervalo de endereços IP, se necessário. Um exemplo é 10.1.255.0/27.
- Não ajuste os outros valores na página. Selecione Salvar na parte inferior da página para criar a sub-rede.
Importante
Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?
Criar um gateway de VPN
Nesta seção, você cria o gateway de rede virtual (Gateway de VPN) para sua rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado.
Crie um gateway usando os seguintes valores:
- Nome: Vnet1GW
- Tipo de gateway: VPN
- SKU: VpnGw2AZ
- Geração: geração 2
- Rede virtual: VNet1
- Intervalo de endereços da sub-rede do gateway: 10.1.255.0/27
- Endereço de IP público: Criar novo
- Nome do endereço IP público: VNet1GWpip1
- SKU do endereço IP público: padrão
- Atribuição: estático
- Nome do segundo endereço IP público: VNet1GWpip2
Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize o Gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.
Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.
Assinatura: escolha na lista de seleção a assinatura que deseja usar.
Grupo de recursos: esse valor é preenchido automaticamente ao selecionar a rede virtual nesta página.
Nome: este é o nome do objeto de gateway que você está criando. Isso é diferente da sub-rede de gateway para a qual os recursos do gateway serão implantados.
Região: Selecione a região na qual deseja criar este recurso. A região do gateway deve ser a mesma que da rede virtual.
Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.
SKU: na lista de seleção, escolha um SKU do gateway que dê suporte aos recursos que você deseja usar.
- Recomendamos que você selecione um SKU que termine em AZ, quando possível. Os SKUs de AZ dão suporte às zonas de disponibilidade.
- A SKU básica não está disponível no portal. Para configurar um gateway de SKU Básico, você deve usar o PowerShell ou a CLI.
Geração: selecione Generation2 no menu suspenso.
Rede virtual: na lista de seleção, escolha a rede virtual à qual você deseja adicionar este gateway. Caso não consiga visualizar a rede virtual que deseja usar, verifique se selecionou a assinatura e a região corretas nas configurações anteriores.
Intervalo de endereços da sub-rede do gateway ou Sub-rede: a sub-rede do gateway é necessária para criar um gateway de VPN.
Atualmente, esse campo pode mostrar diferentes opções de configurações, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.
Caso não tenha uma sub-rede de gateway e não vir a opção para criá-la nesta página, volte para sua rede virtual e crie a sub-rede do gateway. Em seguida, retorne a esta página e configure o gateway de VPN.
Especifique os valores do Endereço IP público. Essas configurações especificam os objetos de endereço IP público que serão associados ao Gateway de VPN. O endereço IP público é atribuído a cada objeto do endereço IP público quando o gateway de VPN é criado. A única vez em que o endereço IP público atribuído é alterado é quando o gateway é excluído e recriado. Endereços IP não alteram o redimensionamento, redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.
Tipo de endereço IP público: se essa opção aparecer, selecione Standard.
Endereço IP público: Deixe criar novo selecionado.
Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.
Atribuição: a atribuição normalmente é selecionada automaticamente e deve ser Estática.
Zona de disponibilidade: essa configuração está disponível para SKUs de gateway de AZ em regiões que dão suporte a zonas de disponibilidade. Selecione com redundância de zona, a menos que você queira especificar uma zona.
Habilitar o modo ativo-ativo: recomendamos que você selecione Habilitado para aproveitar os benefícios de um gateway de modo ativo-ativo. Se você planeja usar esse gateway para uma conexão site a site, considere o seguinte:
- Verifique o design ativo-ativo que você deseja usar. As conexões com seu dispositivo VPN local devem ser configuradas especificamente para aproveitar o modo ativo-ativo.
- Alguns dispositivos VPN não dão suporte ao modo ativo-ativo. Se você não tiver certeza, verifique com o fornecedor do dispositivo VPN. Se você estiver usando um dispositivo VPN que não dá suporte ao modo ativo-ativo, selecione Desabilitado para essa configuração.
Segundo endereço IP público: selecione Criar. Isso só estará disponível se você tiver selecionado Habilitado para a configuração Habilitar modo ativo-ativo.
Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.
Zona de disponibilidade: selecione com redundância de zona, a menos que você saiba que deseja especificar uma zona.
Configurar BGP: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.
Habilitar o Acesso do Key Vault: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração.
Selecione Examinar + criar para executar a validação.
Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN.
Podem ser necessários 45 minutos ou mais para criar e implantar um gateway por completo. Você pode ver o status de implantação na página de Visão Geral do seu gateway. Após a criação do gateway, será possível ver o endereço IP atribuído a ele examinando a rede virtual no portal. O gateway aparecerá como um dispositivo conectado.
Exibir o endereço IP público
Para visualizar endereços IP públicos associados ao seu gateway de rede virtual, navegue até o seu gateway no portal.
- Na página do portal do seu gateway de rede virtual, em Configurações, abra a página Propriedades.
- Para visualizar mais informações sobre o objeto de endereço IP, clique no link de endereço IP associado.
Redimensionar um SKU de gateway
Há regras específicas sobre o redimensionamento versus a alteração de um SKU de gateway. Nesta seção, você redimensiona o SKU. Para obter mais informações, confira Redimensionar ou alterar os SKUs de gateway.
As etapas básicas são:
- Acesse a página de Configuração do seu gateway de rede virtual.
- No lado direito da página, selecione a seta de lista suspensa para mostrar a lista de SKUs disponíveis. Observe que a lista preenche apenas os SKUs para os quais você pode usar para redimensionar o SKU atual. Se você não vir o SKU que deseja usar, em vez de redimensioná-lo, troque por um novo SKU.
- Selecione o SKU na lista suspensa e salve as alterações.
Redefinir um gateway
As redefinições de gateway se comportam de forma diferente, dependendo da configuração do gateway. Para obter mais informações, consulte Redefinir uma conexão ou um gateway de VPN.
As etapas básicas são:
- No portal, acesse o gateway de rede virtual que você deseja redefinir.
- Na página Gateway de rede virtual, no painel esquerdo, role e localize Ajuda –> Redefinir.
- Na página Redefinir, selecione Redefinir. Após a emissão do comando, a instância ativa atual do gateway Azure VPN é reiniciada imediatamente. A redefinição do gateway causará uma lacuna na conectividade VPN e poderá limitar a análise da causa raiz futura do problema.
Limpar os recursos
Se você não for continuar usando este aplicativo ou for para o próximo tutorial, exclua os recursos.
- Insira o nome do grupo de recursos na caixa Pesquisar na parte superior do portal e selecione-o nos resultados da pesquisa.
- Selecione Excluir grupo de recursos.
- Insira seu grupo de recursos para obter a opção DIGITAR O NOME DO GRUPO DE RECURSOS e clique em Excluir.
Próximas etapas
Após criar um gateway de VPN, você poderá configurar mais configurações e conexões de gateway. Os seguintes artigos ajudarão você a criar algumas das configurações mais comuns: