通过

教程:使用 Azure 门户创建和管理 VPN 网关

  • 项目

本教程可帮助你使用 Azure 门户创建和管理虚拟网络网关 (VPN 网关)。 VPN 网关是连接体系结构的一部分,可帮助安全地访问使用 VPN 网关的虚拟网络中的资源。

显示虚拟网络和 VPN 网关的示意图。

  • 关系图左侧显示了使用本文中的步骤创建的虚拟网络和 VPN 网关。
  • 你稍后可以添加不同类型的连接,如关系图右侧所示。 例如,可以创建站点到站点连接和点到站点连接。 若要查看可以构建的不同设计体系结构,请参阅 VPN 网关设计
  • 有关 Azure VPN 网关的详细信息,请参阅 什么是 Azure VPN 网关? 若想了解有关本教程中使用的配置设置的详细信息,请参阅关于 VPN 网关配置设置

本教程介绍如何执行下列操作:

  • 创建虚拟网络。
  • 创建主动 - 主动模式区域冗余 VPN 网关。
  • 查看网关公共 IP 地址。
  • 调整 VPN 网关大小(调整 SKU 大小)。
  • 重置 VPN 网关。

注意

本文中的步骤使用支持 Azure 可用性区域的网关 SKU“VpnGw2AZ”。 从 2025 年 5 月开始,所有区域都将接受 AZ SKU,无论该区域中是否支持可用性区域。 有关网关 SKU 的详细信息,请参阅《关于网关 SKU》

先决条件

需要一个具有活动订阅的 Azure 帐户。 如果没有,请为试用创建一个

创建虚拟网络

本文使用 Azure 门户创建虚拟网络。 还可以使用不同的工具或方法创建虚拟网络。 有关详细信息或步骤,请参阅 “创建虚拟网络”。 在本练习中,虚拟网络不需要配置其他服务,例如 Azure Bastion。 但是,如果要使用这些服务,可以添加这些服务。

设置 示例值
资源组 TestRG1
虚拟网络名称 VNet1
区域 中国北部 3
IPv4 地址空间 10.1.0.0/16
子网名称 FrontEnd
子网地址空间 10.1.0.0/24
  1. 登录 Azure 门户。
  2. 在门户页顶部的“搜索资源、服务和文档(G+/)”中,输入“虚拟网络”。 在市场搜索结果中选择虚拟网络,以打开虚拟网络页面。
  3. 在“虚拟网络”页面上,选择“创建”以打开“创建虚拟网络”页面
  4. 填写 “基本信息 ”选项卡所需的值。
  5. 选择“下一步”或“安全性”,转到“安全性”选项卡。对于此练习,请保留此页上所有服务的默认值。
  6. 选择 IP 地址 以转到“ IP 地址 ”选项卡。在 “IP 地址 ”选项卡上,配置所需的设置。
  7. 查看“IP 地址”页并移除不需要的任何地址空间或子网。
  8. 选择“审阅 + 创建”,验证虚拟网络设置。
  9. 验证设置后,选择“创建”以创建虚拟网络

创建网关子网

虚拟网络网关资源部署到一个名为“GatewaySubnet”的特定子网。 网关子网是虚拟网络 IP 地址范围的一部分,该范围是在配置虚拟网络时指定的。

如果没有名为“GatewaySubnet”的子网,则创建 VPN 网关时会失败。 我们建议创建使用 /27(或更大)的网关子网。 例如 /27 或 /26。 有关详细信息,请参阅 VPN 网关设置 - 网关子网

  1. 在虚拟网络页面的左侧窗格中,选择“子网”以打开“子网”页面
  2. 在页面顶部,选择“ + 子网 ”以打开 “添加子网 ”窗格。
  3. 出于 子网目的,请从下拉列表中选择 “虚拟网络网关 ”。
  4. 名称将自动输入为“GatewaySubnet”。 根据需要调整起始 IP 地址和大小。 例如 ,10.1.255.0/27
  5. 不要调整该页面上的其他值。 单击“ 添加” 以添加子网。

重要

网关子网上的 NSG 不受支持。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅 什么是网络安全组?

创建 VPN 网关

在此部分中,为虚拟网络创建虚拟网络网关(VPN 网关)。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。 使用以下步骤创建 VPN 网关。 请注意,VPN 网关基本 SKU 仅在 PowerShell 或 CLI 中可用。

  1. 在“搜索资源、服务和文档(G+/)”中,输入“虚拟网络网关”。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页面

    显示“实例”字段的屏幕截图。

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    设置 价值
    名字 示例:VNet1GW
    区域 网关的区域必须与虚拟网络相同。
    网关类型 选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。
    SKU 示例:VpnGw2AZ。 如果区域支持可用性区域,建议选择以 AZ 结尾的网关 SKU
    一代 第 2 代
    虚拟网络 示例:VNet1。 如果虚拟网络在下拉列表中不可用,则需要调整所选区域。
    子网 示例:10.1.255.0/27,创建 VPN 网关需要名为 GatewaySubnet 的子网。 如果网关子网没有自动填充,并且在此页面上看不到创建选项,请返回虚拟网络页面并创建网关子网。

  1. 指定“公共 IP 地址”的值。 这些设置指定与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址分配给此对象。 仅当删除并重新创建网关时,主公共 IP 地址才会发生更改。

    设置 价值
    公共 IP 地址名称 示例:VNet1GWpip1
    可用性区域 此设置适用于支持 可用性区域的区域中的 AZ SKU。 示例: 区域冗余
    启用主动-主动模式 - 选择“已启用”,以利用主动 - 主动网关的优势。 主动 - 主动网关需要额外的公共 IP 地址。
    - 如果计划将此网关用于站点到站点连接,请验证要使用的主动 - 主动设计
    - 必须专门配置与本地 VPN 设备的连接,以便在主动 - 主动模式下运行。
    - 某些 VPN 设备不支持主动 - 主动模式。 如果不确定,请咨询 VPN 设备供应商。 如果您的 VPN 设备不支持主动-主动模式,您可以在此设置中选择“禁用”。
    第二个公共 IP 地址名称 仅适用于主动-主动模式网关。 示例:VNet1GWpip2
    可用性区域 示例: 区域冗余
    配置 BGP 选择 “已禁用”,除非你的配置特别需要此设置。 如果确实需要此设置,则默认 ASN 为 65515。
    启用 Key Vault 的访问权限 选择 “已禁用 ”,除非有启用此设置的特定要求。

  2. 选择“查看 + 创建” ,运行验证。

  3. 验证通过后,选择“创建”以部署 VPN 网关

可以在网关的“概述”页上查看部署状态。 创建网关后,可以通过在门户中查看虚拟网络来查看分配给它的 IP 地址。 网关显示为连接的设备。

查看公共 IP 地址

若要查看与虚拟网络网关关联的公共 IP 地址,请在门户中导航到网关。

  1. “虚拟网络网关 门户”页上的 “设置”下,打开 “属性 ”页。
  2. 若要查看有关 IP 地址对象的详细信息,请单击关联的 IP 地址链接。

重设网关 SKU 大小

相比更改网关 SKU,重设网关 SKU 大小有特定规则。 在本部分中,你将调整 SKU 的大小。 有关详细信息,请参阅重设网关 SKU 大小或更改网关 SKU

  1. 请转到“配置”页面,查看虚拟网络网关。
  2. 在页面右侧,选择下拉箭头以显示可用的 SKU 列表。 请注意,该列表只会列出可用于调整当前 SKU 大小的 SKU。 如果未看到要使用的 SKU,则必须更改为新的 SKU,而不是调整大小。
  3. 从下拉列表中选择 SKU 并保存更改。

重置网关

网关重置的行为有所不同,具体取决于网关配置。 有关详细信息,请参阅重置 VPN 网关或连接

  1. 在门户中,导航到要重置的虚拟网络网关。
  2. 在“虚拟网络网关”页面的左窗格中,滚动浏览并找到“帮助 -> 重置”
  3. 重置页面,选择重置。 发出命令后,将立即重新启动 Azure VPN 网关的当前活动实例。 重置网关会导致 VPN 连接中断,并可能限制未来对该问题的根本原因分析。

清理资源

如果不打算继续使用此应用程序或转到下一个教程,请删除这些资源。

  1. 在门户顶部的“搜索”框中输入资源组的名称,并从搜索结果中选择资源组。
  2. 选择“删除资源组” 。
  3. 在“键入资源组名称”中输入资源组名称,然后选择“删除”

后续步骤

创建 VPN 网关后,可以配置更多网关设置和连接。 以下文章可帮助你创建一些最常见的配置:

站点到站点 VPN 连接

点对站点 - 证书身份验证 VPN 连接

点到站点 - Microsoft Entra ID 身份验证 VPN 连接