Siteden siteye VPN bağlantısı oluşturma - Azure CLI

Bu makalede, şirket içi ağınızdan bir sanal ağa (VNet) siteden siteye (S2S) VPN ağ geçidi bağlantısı oluşturmak için Azure CLI'nin nasıl kullanılacağı gösterilmektedir.

IPsec/IKE (IKEv1 veya IKEv2) VPN tüneli üzerinden şirket içi ağınızı azure sanal ağına bağlamak için siteden siteye VPN ağ geçidi bağlantısı kullanılır. Bu bağlantı türü için, şirket içinde yer alan ve kendisine atanmış dışarıya yönelik bir genel IP adresi atanmış olan bir VPN cihazı gerekir. Bu makaledeki adımlar, paylaşılan anahtar kullanarak VPN ağ geçidi ile şirket içi VPN cihazı arasında bağlantı oluşturur. VPN ağ geçitleri hakkında daha fazla bilgi için bkz. VPN ağ geçidi hakkında.

Başlamadan önce

Yapılandırmaya başlamadan önce ortamınızın aşağıdaki ölçütleri karşıladığını doğrulayın:

• İşlevli bir rota tabanlı VPN ağ geçidine sahip olduğunuzu doğrulayın. VPN ağ geçidi oluşturmak için bkz . VPN ağ geçidi oluşturma.

• Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, bu ayrıntıları sizin için sağlayabilecek biriyle koordine olmanız gerekir. Bu yapılandırmayı oluştururken, Azure'ın şirket içi konumunuza yönlendirdiği IP adresi aralığı ön eklerini belirtmeniz gerekir. Şirket içi ağınızın alt ağlarından hiçbiri bağlanmak istediğiniz sanal ağ alt ağlarıyla örtüşemez.

• VPN cihazları:

  • Uyumlu bir VPN cihazınız olduğundan ve cihazı yapılandırabilecek birine sahip olduğunuzdan emin olun. Uyumlu VPN cihazları ve cihaz yapılandırması hakkında daha fazla bilgi için bkz . VPN cihazları hakkında.
  • VPN cihazınızın etkin-etkin mod ağ geçitlerini desteklenip desteklemediğini belirleyin. Bu makalede, yüksek oranda kullanılabilir bağlantı için önerilen etkin-etkin mod VPN ağ geçidi oluşturulur. Etkin-etkin modu, her iki ağ geçidi VM örneğinin de etkin olduğunu belirtir. Bu mod, her ağ geçidi VM örneği için bir tane olan iki genel IP adresi gerektirir. VPN cihazınızı her ağ geçidi VM örneğinin IP adresine bağlanacak şekilde yapılandırabilirsiniz.
    VPN cihazınız bu modu desteklemiyorsa ağ geçidiniz için bu modu etkinleştirmeyin. Daha fazla bilgi için bkz . Şirket içi ve sanal ağdan sanal ağa bağlantılar için yüksek oranda kullanılabilir bağlantı tasarlama ve Etkin-etkin mod VPN ağ geçitleri hakkında.

• Bu makale, Azure CLI'nın 2.0 veya sonraki bir sürümünü gerektirir.

  • Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

    

  • CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

    • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

    • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

    • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Yerel ağ geçidini oluşturma

Yerel ağ geçidi genellikle şirket içi konumunuz anlamına gelir. Siteye Azure'ın başvurabileceği bir ad verir ve ardından bağlantı oluşturacağınız şirket içi VPN cihazının IP adresini belirtirsiniz. Ayrıca, VPN ağ geçidi üzerinden VPN cihazına yönlendirilecek IP adresi ön eklerini de belirtirsiniz. Belirttiğiniz adres ön ekleri, şirket içi adresinizde yer alan ön eklerdir. Şirket içi ağınız değişirse, ön ekleri kolayca güncelleştirebilirsiniz.

Aşağıdaki değerleri kullanın:

• --gateway-ip-address şirket içi VPN cihazınızın IP adresidir.
• --local-address-prefixes şirket içi adres alanlarınızdır.

Yerel ağ geçidi eklemek için az network local-gateway create komutunu kullanın. Aşağıdaki örnekte, birden çok adres ön eki olan bir yerel ağ geçidi gösterilmektedir. Değerleri kendi değerlerinizle değiştirin.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

VPN cihazınızı yapılandırma

Şirket içi ağa siteden siteye bağlantılar bir VPN cihazı gerektirir. Bu adımda VPN cihazınızı yapılandıracaksınız. VPN cihazınızı yapılandırırken aşağıdaki değerlere ihtiyacınız vardır:

• Paylaşılan anahtar: Bu paylaşılan anahtar, siteden siteye VPN bağlantınızı oluştururken belirttiğiniz anahtarla aynıdır. Örneklerimizde basit bir paylaşılan anahtar kullanıyoruz. Kullanmak için daha karmaşık bir anahtar oluşturmanız önerilir.

• Sanal ağ geçidi örneklerinizin genel IP adresleri: Her VM örneğinin IP adresini alın. Ağ geçidiniz etkin-etkin moddaysa her ağ geçidi VM örneği için bir IP adresiniz olur. Cihazınızı her bir etkin ağ geçidi VM'sine birer tane olmak üzere her iki IP adresiyle de yapılandırıldığından emin olun. Etkin bekleme modu ağ geçitlerinin yalnızca bir IP adresi vardır.

  Sanal ağ geçidinizin genel IP adresini bulmak için az network public-ip list komutunu kullanın. Kolay okunması için, çıkış genel IP’lerin tablo biçiminde gösterileceği şekilde biçimlendirilmiştir. Örnekte, VNet1GWpip1 genel IP adresi kaynağının adıdır.

  az network public-ip list --resource-group TestRG1 --output table
  

Sahip olduğunuz VPN cihazına bağlı olarak bir VPN cihazı yapılandırma betiği indirebilirsiniz. Daha fazla bilgi için bkz. VPN cihazı yapılandırma betiklerini indirme.

Aşağıdaki bağlantılar daha fazla yapılandırma bilgisi sağlar:

• Uyumlu VPN cihazları hakkında bilgi için bkz . VPN cihazları hakkında.

• VPN cihazınızı yapılandırmadan önce bilinen cihaz uyumluluk sorunlarını denetleyin.

• Cihaz yapılandırma ayarlarına bağlantılar için bkz . Doğrulanmış VPN cihazları. Cihaz yapılandırma bağlantılarını en iyi çaba temelinde sağlarız, ancak en son yapılandırma bilgilerini cihaz üreticinize danışmak her zaman en iyisidir.

  Listede test ettiğimiz sürümler gösterilir. VPN cihazınızın işletim sistemi sürümü listede yoksa, yine de uyumlu olabilir. Cihaz üreticinize danışın.

• VPN cihazı yapılandırması hakkında temel bilgiler için bkz . İş ortağı VPN cihazı yapılandırmalarına genel bakış.

• Cihaz yapılandırma örneklerini düzenleme hakkında daha fazla bilgi için bkz. Örnekleri düzenleme.

• Şifrelemeyle ilgili gereksinimler için bkz. Şifrelemeyle ilgili gereksinimler ve Azure VPN ağ geçitleri hakkında.

• Yapılandırmanızı tamamlamak için ihtiyacınız olan parametreler hakkında bilgi için bkz . Varsayılan IPsec/IKE parametreleri. Bilgiler arasında IKE sürümü, Diffie-Hellman (DH) grubu, kimlik doğrulama yöntemi, şifreleme ve karma algoritmaları, güvenlik ilişkilendirmesi (SA) ömrü, mükemmel iletme gizliliği (PFS) ve Ölü Eş Algılama (DPD) yer alır.

• IPsec/IKE ilke yapılandırma adımları için bkz . S2S VPN ve VNet-VNet için özel IPsec/IKE bağlantı ilkeleri yapılandırma.

• Birden çok ilke tabanlı VPN cihazını bağlamak için bkz . Bir VPN ağ geçidini birden çok şirket içi ilke tabanlı VPN cihazına bağlama.

VPN bağlantısını oluşturma

Sanal ağ geçidinizle şirket içi VPN cihazınız arasında siteden siteye VPN bağlantısı oluşturun. Etkin-etkin mod ağ geçidi kullanıyorsanız (önerilir), her ağ geçidi VM örneğinin ayrı bir IP adresi vardır. Yüksek oranda kullanılabilir bağlantıyı düzgün bir şekilde yapılandırmak için her VM örneği ile VPN cihazınız arasında bir tünel oluşturmanız gerekir. Her iki tünel de aynı bağlantının parçasıdır.

az network vpn-connection create komutunu kullanarak bağlantıyı oluşturun. Paylaşılan anahtar, VPN cihazınızın yapılandırması için kullandığınız değerin aynısı olmalıdır.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Kısa bir süre içerisinde bağlantı kurulur.

VPN bağlantısını doğrulama

az network vpn-connection show komutunu kullanarak bağlantınızın başarılı olup olmadığını doğrulayabilirsiniz. Örnekte ,'--name', test etmek istediğiniz bağlantının adını ifade eder. Bağlantı henüz kurulma aşamasındayken, bağlantı durumu "Bağlanıyor" olarak gösterilir. Bağlantı kurulduktan sonra durum "Bağlandı" olarak değişir. Aşağıdaki örneği ortamınızın değerleriyle değiştirin.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Bağlantınızı doğrulamak için başka bir yöntem kullanmak istiyorsanız, bkz. VPN Gateway bağlantısını doğrulama.

Genel görevler

Bu bölüm, siteden siteye yapılandırmalarla çalışırken yararlı olan genel komutları içerir. CLI ağ komutlarının tam listesi için bkz. Azure CLI - Ağ.

Yerel ağ geçitlerini görüntülemek için

Yerel ağ geçitlerinin bir listesini görüntülemek için az network local gateway list komutunu kullanın.

az network local-gateway list --resource-group TestRG1

Yerel ağ geçidinin IP adresi ön eklerini değiştirmek için - ağ geçidi bağlantısı yok

IP adresi ön eklerini eklemek veya kaldırmak istiyorsanız ve ağ geçidinizin henüz bir bağlantısı yoksa, az network local-gateway create komutunu kullanarak ön ekleri güncelleştirebilirsiniz. Geçerli ayarların üzerine yazmak için yerel ağ geçidinizin mevcut adını kullanın. Farklı bir ad kullanırsanız mevcut olanın üzerine yazmak yerine yeni bir yerel ağ geçidi oluşturursunuz. VPN cihazının ağ geçidi IP adresini güncelleştirmek için de bu komutu kullanabilirsiniz.

Her değişiklik yaptığınızda, yalnızca değiştirmek istediğiniz ön ekler değil ön ek listesinin tamamı belirtilmelidir. Yalnızca kalmasını istediğiniz ön ekleri belirtin. Bu durumda, 10.0.0.0/24 ve 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Yerel ağ geçidinin IP adresi ön eklerini değiştirmek için - ağ geçidi bağlantısı var

Bir ağ geçidi bağlantınız varsa ve IP adresi önekleri eklemek veya kaldırmak istiyorsanız önekleri az network local-gateway update komutunu kullanarak güncelleştirebilirsiniz. Bunun sonucunda, VPN bağlantınızda kesinti oluşur.

Her değişiklik yaptığınızda, yalnızca değiştirmek istediğiniz ön ekler değil ön ek listesinin tamamı belirtilmelidir. Bu örnekte, 10.0.0.0/24 ve 10.3.0.0/16 zaten mevcuttur. 10.5.0.0/16 ve 10.6.0.0/16 ön eklerini ekler ve güncelleştirme sırasında ön eklerin 4'ünü de belirtiriz.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Yerel ağ geçidini değiştirmek için 'gatewayIpAddress'

VPN cihazınızın genel IP adresini değiştirirseniz, yerel ağ geçidini güncelleştirilmiş IP adresiyle değiştirmeniz gerekir. Ağ geçidini değiştirirken yerel ağ geçidinizin mevcut adını belirttiğinizden emin olun. Farklı bir ad kullanırsanız, mevcut ağ geçidi bilgilerinin üzerine yazmak yerine yeni bir yerel ağ geçidi oluşturursunuz.

Ağ geçidi IP adresini değiştirmek için 'Site2' ve 'TestRG1' değerlerini az network local-gateway update komutunu kullanarak istediğiniz değerlerle değiştirin.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Çıktıda IP adresinin doğru olduğundan emin olun:

"gatewayIpAddress": "23.99.222.170",

Paylaşılan anahtar değerlerini doğrulamak için

Paylaşılan anahtar değerinin, VPN cihaz yapılandırmanızda kullandığınız değerle aynı olduğunu doğrulayın. Değilse, cihazdaki değeri kullanarak bağlantıyı yeniden çalıştırın veya döndürülen değerle cihazı güncelleştirin. Değerler eşleşmelidir. Paylaşılan anahtarı görüntülemek için az network vpn-connection-list komutunu kullanın.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

VPN ağ geçidi Genel IP Adresini görüntülemek için

Sanal ağ geçidinizin genel IP adresini bulmak için az network public-ip list komutunu kullanın. Kolay okunması için, bu örneğin çıktısı genel IP’lerin tablo biçiminde gösterileceği şekilde biçimlendirilmiştir.

az network public-ip list --resource-group TestRG1 --output table

Sonraki adımlar

• BGP hakkında bilgi için bkz. BGP'ye genel bakış ve BGP'yi yapılandırma.
• Zorlamalı tünel oluşturma hakkında bilgi için bkz. Zorlamalı tünel oluşturma hakkında.
• Yüksek oranda kullanılabilir etkin-etkin bağlantılar hakkında bilgi için bkz . Yüksek Oranda Kullanılabilir şirket içi ve sanal ağdan sanal ağa bağlantı.
• Ağ Azure CLI komutlarının listesi için bkz. Azure CLI.
• Azure Resource Manager şablonunu kullanarak siteden siteye VPN bağlantısı oluşturma hakkında bilgi için bkz . Siteden siteye VPN bağlantısı oluşturma.
• Azure Resource Manager şablonunu kullanarak sanal ağdan sanal ağa VPN bağlantısı oluşturma hakkında bilgi için bkz . HBase coğrafi çoğaltmasını dağıtma.