之前我们已经把Exchange主站点完毕了,接下来我们来配置Exchange副站点。
首先还是要打通两个站点的链路。因为两个虚拟网络在Azure的不同区域中,所以我们可以使用虚拟网络间的VPN来打通连接,如下图红框所示。
Azure的虚拟网络中每个子网之间默认是打通的,但虚拟网络之间,是不能连通的。要打通虚拟网络之间的链路,就要使用所谓Vnet-to-Vnet的VPN。
Vnet-to-Vnet的VPN以下需要注意:
a. 虚拟网络可以在相同或不同的订阅中。
b. 虚拟网络可以在相同或不同的Azure区域(位置)中。
c. 云服务或负载平衡终结点不能跨虚拟网络,即使它们连接在一起,也是如此。
d. 将多个虚拟网络连接在一起不需要任何本地VPN网关,除非需要跨界连接。
e. 虚拟网络间通信支持连接 Azure 虚拟网络,不支持连接不在虚拟网络中的虚拟机或云服务。
f. 虚拟网络间连接需要具有动态路由VPN网关,不支持Azure静态路由VPN网关。
g. 虚拟网络连接可与多站点VPN同时使用,最多可以将一个虚拟网络 VPN网关的10个VPN 隧道连接到其他虚拟网络或本地站点。
h. 虚拟网络和本地网络站点的地址空间不得重叠。地址空间重叠将会导致创建虚拟网络或上载 netcfg 配置文件失败。
i. 不支持一对虚拟网络之间存在冗余隧道。
j. 虚拟网络的所有VPN隧道(包括P2S VPN)共享 Azure VPN网关上的可用带宽,以及Azure 中的相同VPN网关运行时间 SLA。
k. 虚拟网络间流量只经过Microsoft自己的网络主干中,并不会经过公共 Internet。
接下来我们来配置Vnet-to-Vnet的VPN
1.添加既有虚拟网络HHCLOUD为本地网络
我们之前已经创建了Exchange主站点HHCLOUD到本地LOCAL的站点间的VPN隧道。
现在需要打通主站点到副站点HHCLOUD-US链路,这里为了在新建副站点时同时建立VPN,所以先把主站点加入本地网络
选择添加本地网络
输入HHDLOUD的网关IP
指定地址空间
2.新建虚拟网络HHCLOUD-US
选择自定义创建虚拟网络
指定名称和位置
这里直接配置站点间的VPN
定义HHCLOUD-US网络的IP地址
虚拟网络创建完毕后,到仪表盘可以看到目前状态
现在创建网关,创建完毕后可以得到网关IP
3.添加HHCLOUD-US为本地网络
指定名称和IP
指定地址空间
创建完毕后可以看到有3个本地网络
4.修改虚拟网络配置
因为现在主站点有2条VPN线路,所以我们需要更改配置来满足多条VPN的共存。
首先选择导出配置
找到HHCLOUD中VPN网关配置
增加到HHCLOUD-US副站点的IPsec链路
保存后导入配置
选择导入文件
确认更改的有哪些部分,确认完毕后可以提交
5.同步共享密钥
在虚拟网络面板中,点击管理秘钥可以看到当前密钥
或者用Azure Powershell来查看下
Get-AzureVNetGatewayKey -VNetName "HHCLOUD-US" -LocalNetworkSiteName "JPEAST"
Get-AzureVNetGatewayKey -VNetName "HHCLOUD" -LocalNetworkSiteName "USEAST"
发现共享密钥不一致,所以我们更新下共享密钥使两者相匹配
Set-AzureVNetGatewayKey -VNetName "HHCLOUD" -LocalNetworkSiteName "USEAST" -sharedkey q6Aax9cgxJf7FUmtOBAi3Jxk7VcJdHe1
匹配后发现VPN通道已经建立起来了
到主站点可以看到有两条VPN隧道已经建立了
最后我们来新建一台虚拟机来简单测试下连接。
发现两台不同虚拟网络间的DC已经能相互ping通了。
