Compartilhar via

Configurar uma conexão VPN de VNet a VNet - portal do Microsoft Azure

  • Artigo

Este artigo ajuda você a conectar redes virtuais usando o tipo de conexão VNet a VNet no portal do Azure. Quando você usa o portal para conectar redes virtuais usando VNet a VNet, as redes virtuais podem estar em regiões diferentes, mas devem estar na mesma assinatura. Se suas redes virtuais estiverem em assinaturas diferentes, use as instruções do PowerShell. Este artigo não se aplica ao emparelhamento de rede virtual. Para emparelhamento de rede virtual, consulte o artigo Emparelhamento de Rede Virtual.

Diagrama de uma conexão VNet a VNet.

Sobre conexões de rede virtual a rede virtual

Configurar uma conexão de VNet a VNet é uma maneira simples de conectar redes virtuais. Quando você conecta uma rede virtual a outra rede virtual com um tipo de conexão VNet a VNet, é semelhante à criação de uma conexão IPsec site a site para um local no local. Os dois tipos de conexão usam um gateway de VPN para fornecer um túnel seguro com IPsec/IKE e funcionam da mesma forma ao se comunicar. No entanto, diferem na maneira como gateway de rede local é configurado.

  • Quando você cria uma conexão de VNet a VNet, o espaço de endereço de gateway de rede local é automaticamente criado e preenchido. No entanto, o gateway de rede local não fica visível nessa configuração. Isso significa que você não pode configurá-lo manualmente.

  • Se você atualizar o espaço de endereço de uma VNet, a outra roteará automaticamente para o espaço de endereço atualizado.

  • Normalmente, é mais rápido e fácil criar uma conexão de VNet a VNet do que uma conexão site a site.

  • Se você sabe que deseja especificar mais espaços de endereço para o gateway de rede local ou planeja adicionar mais conexões posteriormente e precisa ajustar o gateway de rede local, crie a configuração usando as etapas de conexão site a site.

  • A conexão VNet a VNet não inclui o espaço de endereço do pool de clientes ponto a site. Se você precisar de roteamento transitivo para clientes ponto a site, crie uma conexão site a site entre os gateways de rede virtual ou use o emparelhamento de rede virtual.

Por que criar uma conexão de VNet a VNet?

Talvez você queira conectar as redes virtuais com uma conexão VNet a VNet pelos seguintes motivos:

  • Redundância geográfica entre regiões e presença geográfica

    • Você pode configurar sua própria sincronização ou replicação geográfica com conectividade segura sem passar por pontos de extremidade voltados para a Internet.
    • Com o Azure Load Balancer e o Gerenciador de Tráfego do Azure você pode configurar a carga de trabalho de alta disponibilidade com redundância geográfica em várias regiões do Azure. Por exemplo, você pode configurar grupos de disponibilidade Always On do SQL Server em várias regiões do Azure.

  • Aplicativos multicamadas regionais com limites administrativos ou de isolamento

    Na mesma região, você pode configurar aplicativos multicamadas com várias redes virtuais conectadas devido aos requisitos administrativos ou de isolamento. Você pode combinar a comunicação de VNet a VNet usando configurações multissite. Essas configurações permitem que você estabeleça topologias de rede que combinam conectividade entre locais com a conectividade de rede intervirtual, conforme mostrado no diagrama a seguir:

    Diagrama de uma conexão VNet a VNet mostrando várias assinaturas.

Crie e configure o VNet1

Se você já tiver uma rede virtual, verifique se as configurações são compatíveis com seu design de gateway de VPN. Preste atenção especial a todas as sub-redes que podem se sobrepor a outras redes. Sua conexão não funcionará corretamente se você tiver uma sobreposição de sub-redes.

Nesta seção, crie a VNet1 usando os valores a seguir. Se você estiver usando valores próprios, verifique se os espaços de endereço não se sobrepõem a nenhuma das redes virtuais às quais você deseja se conectar.

  • Configurações de rede virtual
    • Nome: VNet1
    • Espaço de endereço: 10.1.0.0/16
    • Assinatura: Selecione a assinatura que você deseja usar.
    • Grupo de recursos: TestRG1
    • Local: Leste dos EUA
    • Sub-rede
      • Nome: FrontEnd
      • Intervalo de endereços: 10.1.0.0/24

  1. Entre no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Informações Básicas, defina as configurações Detalhes do projeto e Detalhes da instância da rede virtual. Você verá uma marca de seleção verde quando os valores que você inserir forem validados. É possível ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Captura de tela que mostra a guia Básico.

    • Assinatura: verifique se a assinatura listada é a correta. É possível alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos ou selecione Criar para criar outro. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
    • Name: insira o nome de sua rede virtual.
    • Região: selecione o local da sua rede virtual. A localização determina onde residirão os recursos que você implanta nessa rede virtual.

  5. Selecione Avançar ou Segurança para acessar a guia Segurança. Para este exercício, mantenha os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP ou acesse a guia Endereços IP. Na guia Endereços IP, faça as configurações.

    • Espaço de endereço IPv4: por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, especifique o endereço inicial como 10.1.0.0 e especifique o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Defina as configurações a seguir e depois selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: você pode usar o padrão ou especificar o nome. Exemplo: FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços para esta sub-rede. Os exemplos são 10.1.0.0 e /24.

  7. Examine a página endereços IP e remova todos os espaços de endereço ou sub-redes que você não precisa.

  8. Selecione Examinar + criar para validar as configurações de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Criar a sub-rede de gateway

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. O número de endereços IP necessários depende da configuração do gateway VPN que você deseja criar. Algumas configurações exigem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25 etc.) para sua sub-rede de gateway.

  1. Na página da rede virtual, no painel à esquerda, selecione sub-redes para abrir a página Sub-redes.
  2. Na parte superior da página, selecione + Sub-rede do gateway para abrir o painel Adicionar sub-rede.
  3. O nome é inserido automaticamente como GatewaySubnet. Ajuste o valor do intervalo de endereços IP, se necessário. Um exemplo é 10.1.255.0/27.
  4. Não ajuste os outros valores na página. Selecione Salvar na parte inferior da página para criar a sub-rede.

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?

Criar o gateway de VPN VNet1

Nesta etapa, você cria o gateway de rede virtual da sua rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Para saber o preço da SKU do gateway, consulte Preços.

Crie um gateway de rede virtual (gateway de VPN) usando os seguintes valores:

  • Nome: Vnet1GW
  • Tipo de gateway: VPN
  • SKU: VpnGw2AZ
  • Geração: geração 2
  • Rede virtual: VNet1
  • Intervalo de endereços da sub-rede do gateway: 10.1.255.0/27
  • Endereço de IP público: Criar novo
  • Nome do endereço IP público: VNet1GWpip1
  • SKU do endereço IP público: padrão
  • Atribuição: estático
  • Nome do segundo endereço IP público: VNet1GWpip2
  • Habilite o modo ativo-ativo: habilitado

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize o Gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

  2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.

    Captura de tela que mostra os campos da Instância.

    • Assinatura: escolha na lista de seleção a assinatura que deseja usar.

    • Grupo de recursos: esse valor é preenchido automaticamente ao selecionar a rede virtual nesta página.

    • Nome: este é o nome do objeto de gateway que você está criando. Isso é diferente da sub-rede de gateway para a qual os recursos do gateway serão implantados.

    • Região: Selecione a região na qual deseja criar este recurso. A região do gateway deve ser a mesma que da rede virtual.

    • Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.

    • SKU: na lista de seleção, escolha um SKU do gateway que dê suporte aos recursos que você deseja usar.

      • Recomendamos que você selecione um SKU que termine em AZ, quando possível. Os SKUs de AZ dão suporte às zonas de disponibilidade.
      • A SKU básica não está disponível no portal. Para configurar um gateway de SKU Básico, você deve usar o PowerShell ou a CLI.

    • Geração: selecione Generation2 no menu suspenso.

    • Rede virtual: na lista de seleção, escolha a rede virtual à qual você deseja adicionar este gateway. Caso não consiga visualizar a rede virtual que deseja usar, verifique se selecionou a assinatura e a região corretas nas configurações anteriores.

    • Intervalo de endereços da sub-rede do gateway ou Sub-rede: a sub-rede do gateway é necessária para criar um gateway de VPN.

      Atualmente, esse campo pode mostrar diferentes opções de configurações, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Caso não tenha uma sub-rede de gateway e não vir a opção para criá-la nesta página, volte para sua rede virtual e crie a sub-rede do gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores do Endereço IP público. Essas configurações especificam os objetos de endereço IP público que serão associados ao Gateway de VPN. O endereço IP público é atribuído a cada objeto do endereço IP público quando o gateway de VPN é criado. A única vez em que o endereço IP público atribuído é alterado é quando o gateway é excluído e recriado. Endereços IP não alteram o redimensionamento, redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.

    Captura de tela que mostra o campo Endereço IP público.

    • Tipo de endereço IP público: se essa opção aparecer, selecione Standard.

    • Endereço IP público: Deixe criar novo selecionado.

    • Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.

    • SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.

    • Atribuição: a atribuição normalmente é selecionada automaticamente e deve ser Estática.

    • Zona de disponibilidade: essa configuração está disponível para SKUs de gateway de AZ em regiões que dão suporte a zonas de disponibilidade. Selecione com redundância de zona, a menos que você queira especificar uma zona.

    • Habilitar o modo ativo-ativo: recomendamos que você selecione Habilitado para aproveitar os benefícios de um gateway de modo ativo-ativo. Se você planeja usar esse gateway para uma conexão site a site, considere o seguinte:

      • Verifique o design ativo-ativo que você deseja usar. As conexões com seu dispositivo VPN local devem ser configuradas especificamente para aproveitar o modo ativo-ativo.
      • Alguns dispositivos VPN não dão suporte ao modo ativo-ativo. Se você não tiver certeza, verifique com o fornecedor do dispositivo VPN. Se você estiver usando um dispositivo VPN que não dá suporte ao modo ativo-ativo, selecione Desabilitado para essa configuração.

    • Segundo endereço IP público: selecione Criar. Isso só estará disponível se você tiver selecionado Habilitado para a configuração Habilitar modo ativo-ativo.

    • Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.

    • SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.

    • Zona de disponibilidade: selecione com redundância de zona, a menos que você saiba que deseja especificar uma zona.

    • Configurar BGP: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

    • Habilitar o Acesso do Key Vault: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração.

  2. Selecione Examinar + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN.

Podem ser necessários 45 minutos ou mais para criar e implantar um gateway por completo. Você pode ver o status de implantação na página de Visão Geral do seu gateway. Depois de criar o gateway você pode exibir, observando a Rede Virtual no portal, o endereço IP que foi atribuído a esse gateway. O gateway aparecerá como um dispositivo conectado.

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?

Crie e configure o VNet4

Depois de configurar o VNet1, crie o VNet4 e o gateway VNet4 repetindo as etapas anteriores e substituindo os valores por valores de VNet4. Você não precisa esperar até que o gateway de rede virtual para VNet1 tenha terminado a criação antes de configurar o VNet4. Se você estiver usando valores próprios, verifique se os espaços de endereço não se sobrepõem a nenhuma das redes virtuais às quais você deseja se conectar.

Você pode usar os seguintes valores de exemplos para configurar a VNet4 e o gateway VNet4.

  • Configurações de rede virtual
    • Nome: VNet4
    • Espaço de endereço: 10.41.0.0/16
    • Assinatura: Selecione a assinatura que você deseja usar.
    • Grupo de recursos: TestRG4
    • Localização: Oeste dos EUA 2
    • Sub-rede
      • Nome: FrontEnd
      • Intervalo de endereços: 10.41.0.0/24

Adicione a sub-rede de gateway:

  • Nome: GatewaySubnet
  • Intervalo de endereços da Sub-rede do Gateway: 10.41.255.0/27

Configurar o gateway de VPN VNet4

Você pode usar os seguintes valores de exemplos para configurar o gateway de VPN VNet4.

  • Configurações de gateway de rede virtual
    • Nome: VNet4GW
    • Grupo de recursos: Oeste dos EUA 2
    • Geração: geração 2
    • Tipo de gateway: selecione VPN.
    • Tipo de VPN: selecione baseado em rota.
    • SKU: VpnGw2AZ
    • Geração: Geração 2
    • Rede virtual: VNet4
    • Nome do endereço IP público: VNet4GWpip1
    • SKU do endereço IP público: padrão
    • Atribuição: estático
    • Nome do segundo endereço IP público: VNet4GWpip2
    • Habilite o modo ativo-ativo: habilitado

Configure suas conexões

Quando os gateways de VPN para a VNet1 e a VNet4 estiverem concluídos, você poderá criar suas conexões de gateway de rede virtual.

As redes virtuais na mesma assinatura podem ser conectadas usando o portal, mesmo que estejam em grupos de recursos diferentes. No entanto, se as redes virtuais estiverem em assinaturas diferentes, você precisará usar o PowerShell para fazer as conexões.

Você pode criar uma conexão bidirecional ou de direção única. Para esse exercício, especificaremos uma conexão bidirecional. O valor da conexão bidirecional cria duas conexões separadas para que o tráfego possa fluir em ambas as direções.

  1. No portal, acesse VNet1GW.

  2. Na página do gateway de rede virtual, no painel esquerdo, selecione Conexões para abrir a página Conexões. Em seguida, selecione + Adicionar para abrir a página Criar conexão.

  3. Na página Criar conexão, preencha os valores da conexão.

    Captura de tela mostrando a página Criar Conexão.

    • Tipo de conexão: selecione VNet-para-VNet na lista suspensa.
    • Estabelecer conectividade bidirecional: selecione esse valor se desejar estabelecer o fluxo de tráfego em ambas as direções. Se você não selecionar essa configuração e mais tarde quiser adicionar uma conexão na direção oposta, precisará criar uma nova conexão proveniente do outro gateway de rede virtual.
    • Nome da primeira conexão : VNet1-para-VNet4
    • Nome da segunda conexão: VNet4-para-VNet1
    • Região: Leste dos EUA (a região da VNet1GW)

  4. Clique em Avançar : Configurações > na parte inferior da página para avançar para a página Configurações.

  5. Na página Configurações, especifique os seguintes valores:

    • Primeiro gateway de rede virtual : selecione VNet1GW na lista suspensa.
    • Segundo gateway de rede virtual : selecione VNet4GW na lista suspensa.
    • Chave compartilhada (PSK) : neste campo, insira uma chave compartilhada para sua conexão. Você pode gerar ou criar essa chave. Em uma conexão site a site, a chave usada é a mesma que para o dispositivo local e a conexão de gateway de rede virtual. O conceito é semelhante aqui, exceto que, em vez de se conectar a um dispositivo VPN, você se conectará a outro gateway de rede virtual. O importante ao especificar uma chave compartilhada é que ela seja exatamente a mesma para ambos os lados da conexão.
    • Protocolo IKE: IKEv2

  6. Para esse exercício, você pode deixar o restante das configurações com seus valores padrão.

  7. Selecione Revisar + criar e, em seguida, Criar para validar e criar suas conexões.

Verificar as conexões

  1. Localize o gateway de rede virtual no portal do Azure. Por exemplo, VNet1GW.

  2. Na página Gateway de rede virtual, selecione Conexões para exibir a página Conexões para o gateway de rede virtual. Depois que a conexão for estabelecida, você verá os valores do Status mudarem para Conectado.

  3. Na coluna Nome, selecione uma das conexões para exibir mais informações. Quando dados começarem a fluir, você verá valores de Entrada de dados e de Saída de dados.

Adicionar mais conexões

Você pode criar outra conexão VNet a VNet ou criar uma conexão site a site do IPsec para um local no local.

  • Antes de criar mais conexões, verifique se o espaço de endereço da rede virtual não se sobrepõe a nenhum dos espaços de endereço aos quais você deseja se conectar.

  • Ao configurar uma nova conexão, ajuste o Tipo de conexão para corresponder ao tipo de conexão que você deseja criar. Se você estiver adicionando uma conexão site a site , crie um gateway de rede local antes de criar a conexão.

  • Ao configurar uma conexão que usa uma chave compartilhada, certifique-se de que a chave compartilhada seja exatamente a mesma para ambos os lados da conexão.

Para criar mais conexões, siga estas etapas:

  1. No portal do Azure, acesse o gateway de VPN do qual você deseja criar a conexão.
  2. No painel esquerdo, selecione Conexões. Exiba as conexões existentes.
  3. Crie a nova conexão.

Perguntas Frequentes sobre VNet a VNet

Consulte as perguntas frequentes sobre o Gateway de VPN para as perguntas frequentes sobre a conexão VNet a VNet.

Próximas etapas

  • Para obter mais informações sobre como você pode limitar o tráfego de rede para recursos em uma rede virtual, confira Segurança de Rede.

  • Para obter mais informações sobre como o Azure roteia o tráfego entre o Azure, locais e recursos da Internet, consulte Roteamento de tráfego da rede virtual.