Windows azure Vnet到Vnet之间的***配置

yxixi

　　Windows azure Vnet到Vnet之间的***配置
　　我们知道windows azure 上可以定义多个子网或者地址池，但是在同一个虚拟网络中 定义多个子网或者地址池他们是互通的，但是如果定义多个虚拟网络的话，他们之间的网络是不通的，那如果真实存在多个虚拟网络的话，如何实现虚拟网络之间进行通信呢，这个时候我们就可以配置虚拟网络之间的***了，其实配置跟本地到windows azure虚拟网络之间的***配置原理一样，为什么这么说呢，原因是因为，当配置本地到windows azure的***时候，我们需要将本地的网络地址子网添加到windows azure的虚拟本地网络中，然后在配置相关的站点到站点的***即可通信，同理，虚拟网络之间的通信原理是一样的，我们需要将不同虚拟网络的子网定义为虚拟的本地网络。所以很好理解。在官网的叫法是Vnet到Vnet的链接。那Vnet到Vnet连接具有哪些作用？跨区域地域冗余和地域存在，你可以使用安全连接设置自己的地域复制或同步，而无需借助于面向 Internet 的终结点。使用 Azure 负载平衡器和 Microsoft 或第三方群集技术，你可以设置支持跨多个 Azure 区域实现地域冗余的高可用性工作负载。一个重要的示例就是对分散在多个 Azure 区域中的可用性组设置 SQL Always On。具有强大隔离边界的区域多层应用程序。在同一区域中，你可以设置具有多个虚拟网络的多层应用程序，这些虚拟网络相互连接在一起，但同时又能保持强大的隔离性，而且还能进行安全的层间通信。在Azure 中跨订阅进行组织间通信。如果你有多个 Azure 订阅，现在可以在虚拟网络之间安全地将不同订阅中的工作负载连接起来。对于企业或服务提供商而言，现在可以在 Azure 中使用安全 *** 技术启用跨组织通信。
　　配置Vnet到Vnet通信的要求和注意事项：VNet 到 VNet 通信支持连接 Azure 虚拟网络。它不支持连接虚拟网络外部的虚拟机或云服务。
　　VNet 到 VNet 通信需要使用具有动态路由 *** 的 Azure *** 网关 - 不支持 Azure 静态路由 ***。将多个 Azure 虚拟网络连接在一起不需要任何本地 *** 网关，除非需要跨界连接。虚拟网络连接可与多站点 *** 同时使用，最多可以将一个虚拟网络 *** 网关的 10 个 *** 隧道连接到其他虚拟网络或本地站点。虚拟网络和本地网络站点的地址空间不得重叠。地址空间重叠将会导致创建虚拟网络或上载 netcfg 配置文件失败。
　　虚拟网络可以在相同或不同的订阅中。
　　虚拟网络可以在相同或不同的 Azure 区域（位置）中。
　　不支持一对虚拟网络之间存在冗余隧道。
　　云服务或负载平衡终结点不能跨虚拟网络，即使它们连接在一起，也是如此。
　　虚拟网络的所有 *** 隧道（包括 P2S ***）共享 Azure *** 网关上的可用带宽，以及 Azure 中的相同 *** 网关运行时间 SLA。
　　在配置前我们需要定义规划IP地址范围：
　　Vnet01-----Vnetwork-01
　　10.1.1.0
　　Vnet02------Vnetwork-02
　　172.16.2.0
　　2.添加本地网络：我们需要把vnet01的虚拟地址范围作为定义添加到vnet01的本地网络中，同理vnet02的虚拟地址范围作为定义添加到vnet02的本地网络中。
　　3.为每个vnet创建动态路由网关，及修改本地网络的***网关地址。
　　4.通过powershell设置两个vnet之间的共享秘钥及连接***网关。
　　接下来我们我们开始创建虚拟网络，具体就不做详细介绍了：
　　配置站点到站点的***

　　定义站点到站点的链接名称，我们 要链接到站点2，所以我们定义为Vnet-Vnet02，地址范围172.16.2.0

　　我们定义vnetwork-01的虚拟网络地址范围10.1.1.0及网关

　　基本网络配置创建完成

　　创建***网管

　　Vnetwork-01的基本配置

　　Vnetwork-01的网络地址定义及***网关创建完成，我们发现会多一个***网关地址。

　　Vnet-net02的本地地址范围

　　同理我们定义Vnetwork-02

　　Vnet01的地址范围

　　Vnetwork-02的网络地址范围定义完成

　　创建网关

　　Vnetwork-02的***网关地址

　　为了更好的测试该服务，我们分别在不通的虚拟网络中启用一个虚拟机做为测试：
　　我们首先在vnetwork-01上启用一个虚拟机

　　同样在vnetwork-02上启用一个虚拟机

　　接下来我们就是测试服务了，首先确认一下每个虚拟网络下的计算机状态：

　　Vnetwork-02的网络状态。

　　接下来我们进行服务测试，首先确认两个不同的虚拟网络是否互通。
　　为了测试的真实性，我们将 防火墙的icpm协议关闭了。
　　我们在computer-01上ping computer-02

　　我们在computer-02上ping computer-01

　　通过以上的结果进行确认，两个不同的虚拟网络之间是不通的。
　　所以为了解决该问题，我们需要通过以下方法进行来解决：
　　1. 首先我们得到的信息是
　　Vnetwork-01的***网关地址是：139.219.135.120

　　Vnetwork-02的***网关地址是：139.219.135.132

　　我们可以通过修改Vnetwork-01、vnetwork-02的本地网络***地址即可。

　　我们首先更改本地网络Vnet-Net01的***网关地址：

　　在“本地网络”页上，单击你要编辑的本地网络名称，然后单击页底部的“编辑”。对于“*** 设备IP 地址”，请输入对应于 VNet 的网关 IP 地址。例如，对于 VNet1，请输入分配给 VNet1 的网关 IP 地址。然后，单击页底部的箭头。
　　在“指定地址空间”页上，单击右下角的复选标记，但不要进行任何更改。
　　Vnetwork-01、vnetwork-02的本地网络中的***网关地址更新后

　　我们查看两个虚拟网络之间的网络是否正常，我们首先手动连接一下***

　　我们发现手动连接后还是失败，原因是因为两个***网关会有两个不通过的共享秘钥，所以我们需要通过powershheell来完成下面的工作。
　　我们首先是复制保存Vnetwork-01的共享秘钥

　　再次用同样的方式操作Vnetwork-02的共享秘钥

　　然后我们首先下载该订阅，然后导入windows azure powershell订阅下操作
　　https://manage.windowsazure.cn/publishsettings/index?client=powershell

　　订阅文件导入
　　在windows azure powershell中输入 Import-AzurePublishSettingsFile 'D:\8xxx.publishsettings'
　　标黄处是您存放Publishsetting file的位置和名称。

　　因为我之前通过该windows azure powershell导入了其他订阅，所以会存在多个订阅，
　　Get-azuresubscription

　　但是我们刚才导入的订阅文件应该是

　　所以我们需要将该订阅文件设置为默认的。
　　Select- Select-AzureSubscription -SubscriptionName "添加账户名" –Default

　　确认该订阅是正常的

　　连接*** 网关
　　完成前面的所有步骤后，需要将 IPsec/IKE 预共享密钥设置为相同。你可以使用 REST API 或 PowerShell cmdlet 完成此操作。如果使用 PowerShell，请确认你使用的是最新版本的 Microsoft Azure PowerShell cmdlet。以下示例使用 PowerShell cmdlet 将密钥值设置为 A1b2C3D4。请注意，两个 VNet 应使用相同的密钥值。请编辑以下示例，使之反映你自己的值。
　　对于 VNet1
　　PS C:\> Set-AzureVNetGatewayKey -VNetName VNet1 -LocalNetworkSiteName VNet2 -SharedKey xxxxxxxx

　　对于 VNet2
　　PS C:\> Set-AzureVNetGatewayKey -VNetName VNet2 -LocalNetworkSiteName VNet1 -SharedKey xxxxxxxx

　　我们执行后发现还是不行，经过确认，两边的执行共享秘钥必须要一样。使用同一个共享秘钥才能生效。

　　接下来我们查看azure portal页面状态：

　　我们再看看vnetwork-02的网络状态：

　　接下来我们查看两个虚拟网络的服务器是否可以正常通信了。
　　我们可以看见vnetwork-01上进行测试vnetwork-02测试网络是互通的。

　　同样我们可以看见vnetwork-02上进行测试vnetwork-01测试网络是互通的。