Доступ к ресурсам из подключенных виртуальных сетей Azure через VPN

У меня есть две виртуальные сети, каждая из которых имеет собственный шлюз виртуальной сети (VNET1 и VNET2). Я соединил их с подключениями VNET к VNET. Все ресурсы в каждой VNET могут видеть друг друга через PING, а также RDP, поэтому я знаю, что соединение VNET с VNET работает правильно.

У меня также есть настройка конфигурации Point to Site на VNET1, которая позволяет мне подключаться к VPN из моего локального помещения. Когда я запускаю VPN-соединение, я вижу все в VNET1, но ничего не вижу в другом VNET (VNET2).

Разве я не могу видеть ресурсы из обеих виртуальных сетей независимо от того, с какой виртуальной сетью я установил свое VPN-соединение, поскольку они подключены друг к другу?


azure azure-virtual-network azure-vpn
person Geekn    schedule 07.06.2018    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Для решения вашей проблемы вы можете использовать подключение VNET1 к локальной сети с помощью VPN и подключить VNET1 к VNET2 с помощью пиринга, но если вы хотите подключиться к VNET2 из локальной сети через VPN, вам необходимо настроить транзит шлюза в обоих VNET.

Вы можете завершить работу, следуя документу Настройте транзит через VPN-шлюз для пиринга виртуальной сети, и вы получите то, что хотите.

person Charles Xu    schedule 08.06.2018
comment
Перед настройкой пиринга следует удалить существующие соединения vnet-vnet, которые в настоящее время существуют между двумя виртуальными сетями, или должны присутствовать оба метода подключения виртуальных сетей? Я настроил его, используя оба. Только одна из VNETS, на которой я настраиваю однорангового узла, показывает, что он подключен. Должны ли обе виртуальные сети отображать одноранговые отношения или только одно из двух? Кроме того, вариант использования удаленного шлюза недоступен, но два других отмечены. - person Geekn; 08.06.2018
comment
Я знаю, что пиринг может работать, вы можете попробовать другие методы. Если вы используете пиринг, в нем должны быть оба VNET. VNET1 с VPN и подсетью шлюза выбирает Разрешить транзит через шлюз, а VNET2 выбирает Использовать удаленный шлюз. Так что вы можете подключить VNET2 локально. - person Charles Xu; 08.06.2018
comment
Очень признателен за помощь. У VNET2 также был собственный шлюз, чтобы разрешить VPN в эту конкретную VNET. Я удалил этот шлюз и смог настроить, как вы предлагали, после того, как шлюз был отключен. По-прежнему нет кубиков, но еще раз спасибо за попытку помочь мне. Наверное, что-то с моей стороны. - person Geekn; 08.06.2018
comment
Что ты на самом деле хочешь делать? Не могли бы вы рассказать больше? - person Charles Xu; 08.06.2018
comment
Я следовал указанному вами документу, чтобы настроить одноранговую среду vnet-vnet. Пиринг работает, и vnet1 может общаться с vnet2 (и наоборот). В пиринге vnet1 установлен флажок Разрешить транзит через шлюз. В пиринге vnet2 установлен флажок Использовать удаленный шлюз. Я также разрешил перенаправленный трафик в каждом. Затем я настраиваю VPN-шлюз на vnet1, к которому я могу успешно подключиться и который позволяет мне управлять всеми виртуальными машинами в vnet1. Однако это НЕ позволяет мне управлять виртуальными машинами в vnet2. Поэтому я не могу получить доступ к каким-либо ресурсам моего VPN-клиента, находящимся за пределами vnet1 (даже тем, которые находятся в одноранговом vnet2). Мне нужна таблица маршрутов? - person Geekn; 08.06.2018
comment
Собственно ... мы выяснили, почему конфигурация не работает. Пришлось повторно скачать VPN-клиент. Новый установщик поместил дополнительную запись в таблицу маршрутов, разрешающую трафику, привязанному к одноранговой виртуальной сети, использовать шлюз VPN. Все хорошо. Спасибо за помощь. - person Geekn; 09.06.2018
comment
Мне жаль, что я увидел это так поздно, но я рад, что ответ оказался для вас полезным. - person Charles Xu; 11.06.2018
comment
Не волнуйся, Чарльз ... есть шанс, что мне придется взглянуть на следующий шаг в этом процессе. Блокировка внутренних виртуальных машин в VNET? Теперь, когда все подключено правильно, я пытаюсь ограничить трафик только внутренним балансировщиком нагрузки. stackoverflow.com/ questions / 50865566 / - person Geekn; 15.06.2018
comment
Что значит заблокировать серверные ВМ? Вы хотите ограничить доступ из интернета? Вы можете дать мне более подробную информацию? - person Charles Xu; 15.06.2018
comment
Публичный доступ к серверным модулям не поддерживается. По сути, мы настраиваем частный обмен, где все партнеры подключаются через VPN (сайт-сайт или точка-сайт) к VNET1. После их подключения мы хотели бы предоставить единую точку, в которой выполняются все запросы (внутренний балансировщик нагрузки), который будет перенаправлять запросы на любую виртуальную машину в бэкэнд-пуле VNET2. Проблема, по-видимому, связана с требованием, чтобы внутренний балансировщик нагрузки мог нацеливаться только на виртуальные машины в той же виртуальной сети, где находится балансировщик нагрузки (общедоступные балансировщики нагрузки, похоже, не имеют этого ограничения). - person Geekn; 15.06.2018
comment
Похоже, что я не могу добиться того, что ищу, с помощью внутреннего балансировщика нагрузки, если правильно интерпретирую то, что говорит Нэнси .. serverfault.com/questions/916764/ - person Geekn; 16.06.2018