Simulieren der Remotenetzwerkkonnektivität mithilfe von Azure VNG

Übersicht

Organisationen möchten möglicherweise die Funktionen von Microsoft Entra Internet Access auf ganze Netzwerke erweitern, nicht nur auf einzelne Geräte. Sie können den globalen Secure Access-Client auf diesen Geräten installieren. In diesem Artikel wird gezeigt, wie Sie diese Funktionen auf ein Azure virtuelles Netzwerk erweitern, das in der Cloud gehostet wird. Sie können ähnliche Prinzipien auf die lokale Netzwerkausrüstung eines Kunden anwenden.

Voraussetzungen

Um die Schritte in diesem Prozess auszuführen, benötigen Sie die folgenden Voraussetzungen:

Komponenten des virtuellen Netzwerks

Wenn Sie diese Funktionalität in Azure erstellen, kann Ihre Organisation besser verstehen, wie Microsoft Entra Internet Access in einer umfassenderen Implementierung funktioniert. Die Ressourcen, die Sie in Azure erstellen, entsprechen lokalen Konzepten auf folgende Weise:

Diagramm mit einem virtuellen Netzwerk in Azure, das mit Microsoft Entra Internet Access das Netzwerk eines Kunden simuliert.

Azure Ressource Traditionelle lokale Komponente
Virtuelles Netzwerk Ihr lokaler IP-Adressraum
Gateway für virtuelle Netzwerke Ihr lokaler Router, manchmal auch als CPE (Customer Premises Equipment, lokales Kundengerät) bezeichnet
Lokales Netzwerkgateway Das Microsoft Gateway, zu dem Ihr Router (Azure virtuelles Netzwerkgateway) einen IPsec-Tunnel erstellt
Verbindung IPsec-VPN-Tunnel, der zwischen dem Gateway für virtuelle Netzwerke und dem lokalen Netzwerkgateway erstellt wird
Virtueller Computer Clientgeräte in Ihrem lokalen Netzwerk

Verwenden Sie in diesem Artikel die folgenden Standardwerte. Sie können diese Einstellungen entsprechend Ihren eigenen Anforderungen ändern.

  • Subscription: Visual Studio Enterprise
  • Ressourcengruppenname: Network_Simulation
  • Region: Ost-USA

Allgemeine Schritte

Führen Sie die Schritte aus, um die Remote-Netzwerkkonnektivität mit virtuellen Azure-Netzwerken im Azure-Portal und im Microsoft Entra Admin Center zu simulieren. Es kann hilfreich sein, mehrere Registerkarten zu öffnen, zwischen denen Sie einfach wechseln können.

Vor dem Erstellen der virtuellen Ressourcen benötigen Sie eine Ressourcengruppe und ein virtuelles Netzwerk, die Sie in den folgenden Abschnitten verwenden. Wenn Sie bereits eine Testressourcengruppe und ein virtuelles Netzwerk konfiguriert haben, können Sie mit Schritt 3 beginnen.

  1. Create a resource group (Azure portal)
  2. Create a virtual network (Azure portal)
  3. Erstellen Sie ein virtuelles Netzwerk-Gateway (Azure-Portal)
  4. Erstellen Sie ein Remote-Netzwerk mit Geräteverknüpfungen (Microsoft Entra-Verwaltungscenter)
  5. Create local network gateway (Azure portal)
  6. Erstellen Sie eine Site-to-Site (S2S) VPN-Verbindung (Azure-Portal)
  7. Überprüfen der Konnektivität (beide)

Erstellen einer Ressourcengruppe

Erstellen Sie eine Ressourcengruppe, die alle notwendigen Ressourcen enthält.

  1. Melden Sie sich beim portal Azure mit der Berechtigung zum Erstellen von Ressourcen an.
  2. Navigieren Sie zu Ressourcengruppen.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie Ihr Abonnement und Ihre Region aus, und geben Sie einen Namen für Ihre Ressourcengruppe ein.
  5. Klicken Sie auf Überprüfen + erstellen.
  6. Bestätigen Sie Ihre Details, und wählen Sie dann "Erstellen" aus.

Screenshot, der die Felder zum Erstellen einer Ressourcengruppe zeigt.

Erstellen eines virtuellen Netzwerks

Erstellen Sie ein virtuelles Netzwerk innerhalb Ihrer neuen Ressourcengruppe.

  1. Navigieren Sie im Azure-Portal zu Virtual Networks.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie die soeben erstellte Ressourcengruppe aus.
  4. Geben Sie den Namen des virtuellen Netzwerks Ihres Netzwerks ein.
  5. Übernehmen Sie in den restlichen Feldern die Standardwerte.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Screenshot, der das Erstellen eines virtuellen Netzwerkfelds zeigt.

Erstellen eines Gateways für das virtuelle Netzwerk

Erstellen Sie ein Gateway für das virtuelle Netzwerk innerhalb Ihrer neuen Ressourcengruppe.

  1. Navigieren Sie im Azure-Portal zu Virtual-Netzwerkgateways.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie einen Namen für Ihr virtuelles Netzwerkgateway ein, und wählen Sie die entsprechende Region aus.

  4. Wählen Sie Ihr virtuelles Netzwerk aus.

    Screenshot des Azure Portals mit Konfigurationseinstellungen für ein virtuelles Netzwerkgateway.

  5. Erstellen Sie eine öffentliche IP-Adresse , und geben Sie einen beschreibenden Namen ein.

    • OPTIONAL: Wenn Sie einen sekundären IPsec-Tunnel verwenden möchten, erstellen Sie unter dem Abschnitt "SECOND PUBLIC IP ADDRESS " eine weitere öffentliche IP-Adresse, und geben Sie einen Namen ein. Wenn Sie einen zweiten IPsec-Tunnel erstellen, müssen Sie im Schritt Erstellen eines Remotenetzwerks zwei Geräteverbindungen erstellen.
    • Legen Sie Aktiv/Aktiv-Modus aktivieren auf Deaktiviert fest, wenn Sie keine zweite öffentliche IP-Adresse benötigen.
    • Im Beispiel in diesem Artikel wird ein einzelner IPsec-Tunnel verwendet.

  6. Wählen Sie eine Verfügbarkeitszone aus.

  7. Legen Sie BGP konfigurieren auf Aktiviert fest.

  8. Legen Sie Autonome Systemnummer (ASN) auf einen geeigneten Wert fest. Verweisen Sie auf die liste der gültigen ASN-Werte für reservierte Werte, die Sie nicht verwenden können.

    Screenshot der IP-Adressfelder zur Erstellung eines virtuellen Netzwerk-Gateways.

  9. Behalten Sie alle anderen Einstellungen als Standardeinstellungen oder leer.

  10. Klicken Sie auf Überprüfen + erstellen. Bestätigen Sie anschließend Ihre Einstellungen.

  11. Klicken Sie auf Erstellen.

Hinweis

Es kann mehrere Minuten dauern, bis das virtuelle Netzwerkgateway bereitgestellt und erstellt wird. Sie können mit dem nächsten Abschnitt beginnen, während es erstellt wird, Sie benötigen aber die öffentlichen IP-Adressen Ihres Gateways für virtuelle Netzwerke für den nächsten Schritt.

Um diese IP-Adressen anzuzeigen, navigieren Sie zur Seite Konfiguration Ihres virtuellen Netzwerkgateways, nachdem es bereitgestellt wurde.

Screenshot, der zeigt, wie Sie die öffentlichen IP-Adressen eines virtuellen Netzwerkgateways finden.

Erstellen eines Remotenetzwerks

Sie erstellen ein Remotenetzwerk im Microsoft Entra admin center. Geben Sie die Informationen in zwei Gruppen von Registerkarten ein.

Screenshot der zwei Tab-Gruppen, die im Prozess verwendet werden.

Die folgenden Schritte enthalten die grundlegenden Informationen, die zum Erstellen eines Remotenetzwerks mit globalem sicherem Zugriff erforderlich sind. Zwei separate Artikel behandeln diesen Prozess ausführlicher. Um Verwirrung zu vermeiden, lesen Sie die folgenden Artikel:

Zonenredundanz

Bevor Sie Ihr Remotenetzwerk für globalen sicheren Zugriff erstellen, überprüfen Sie die beiden Optionen zur Redundanz. Sie können Remotenetzwerke mit oder ohne Redundanz erstellen. Redundanz auf zwei Arten hinzufügen:

  • Wählen Sie Zone-Redundanz aus, während Sie eine Geräteverbindung im Microsoft Entra admin center erstellen.
    • In diesem Szenario erstellen Sie ein weiteres Gateway in einer anderen Verfügbarkeitszone innerhalb derselben Rechenzentrumsregion , die Sie beim Erstellen Ihres Remotenetzwerks ausgewählt haben.
    • In diesem Szenario benötigen Sie nur eine öffentliche IP-Adresse für Ihr VNet-Gateway.
    • Zwei IPSec-Tunnel werden aus derselben öffentlichen IP-Adresse Ihres Routers zu unterschiedlichen Microsoft Gateways in verschiedenen Verfügbarkeitszonen erstellt.
  • Erstellen Sie eine sekundäre öffentliche IP-Adresse im Azure-Portal, und erstellen Sie zwei Gerätelinks mit unterschiedlichen öffentlichen IP-Adressen im Microsoft Entra admin center.
    • Sie können Keine Redundanz auswählen, wenn Sie Gerätelinks zu Ihrem Remotenetzwerk im Microsoft Entra Admin Center hinzufügen.
    • In diesem Szenario benötigen Sie die primäre und sekundäre öffentliche IP-Adresse für Ihr VNet-Gateway.

Wählen Sie für diesen Artikel den Zonenredundanzpfad aus.

Tipp

Die lokale BGP-Adresse muss eine private IP-Adresse außerhalb des Adressraums des virtuellen Netzwerks sein, das Ihrem VNet-Gateway zugeordnet ist. Wenn beispielsweise der Adressraum Ihres virtuellen Netzwerks 10.1.0.0/16 ist, können Sie 10.2.0.0 als lokale BGP-Adresse verwenden.

Verweisen Sie auf die liste der gültigen BGP-Adressen für reservierte Werte, die Sie nicht verwenden können.

  1. Melden Sie sich beim Microsoft Entra admin center als Global Secure Access Administrator an.
  2. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.
  3. Wählen Sie "Remotenetzwerk erstellen " aus, und geben Sie auf der Registerkarte " Grundlagen " die folgenden Details an:
    • Name
    • Region

Screenshot: Registerkarte „Grundlagen“ zum Erstellen eines Remotenetzwerks

  1. Wählen Sie auf der Registerkarte „Konnektivität“ die Option Link hinzufügen aus.

  2. Geben Sie auf der Registerkarte Link hinzufügen – Allgemein die folgenden Details ein:

    • Verknüpfungsname: Name Ihrer lokalen Kundengeräte (Customer Premises Equipment, CPE).
    • Gerätetyp: Wählen Sie eine Geräteoption aus der Dropdownliste aus.
    • Geräte-IP-Adresse: Öffentliche IP-Adresse Ihres CPE-Geräts (lokales Kundengerät).
    • Geräte-BGP-Adresse: Geben Sie die BGP-IP-Adresse Ihres CPE ein.
      • Geben Sie diese Adresse als lokale BGP-IP-Adresse auf dem CPE ein.
    • Geräte-ASN: Geben Sie die autonome Systemnummer (ASN) des CPE an.
      • Eine BGP-fähige Verbindung zwischen zwei Netzwerkgateways erfordert, dass sie über unterschiedliche ASNs verfügen.
      • Weitere Informationen finden Sie im Abschnitt Gültige ASNs des Artikels Remotenetzwerkkonfigurationen.
    • Redundanz: Wählen Sie entweder Keine Redundanz oder Zonenredundanz für Ihren IPSec-Tunnel aus.
    • Lokale BGP-Adresse für Zonenredundanz: Dieses optionale Feld wird nur angezeigt, wenn Sie Zonenredundanz auswählen.
      • Geben Sie eine BGP-IP-Adresse ein, die nicht Teil des lokalen Netzwerks ist, in dem sich Ihre CPE befindet, und die sich von der BGP-Adresse des Geräts unterscheidet.
    • Bandbreitenkapazität (MBit/s): Geben Sie die Tunnelbandbreite an. Verfügbare Optionen sind 250, 500, 750 und 1.000 MBit/s.
    • Lokale BGP-Adresse: Geben Sie eine BGP-IP-Adresse ein, die nicht Teil Ihres lokalen Netzwerks ist, in dem sich Ihr CPE befindet.
      • Wenn Ihr lokales Netzwerk beispielsweise 10.1.0.0/16 ist, können Sie 10.2.0.4 als lokale BGP-Adresse verwenden.
      • Geben Sie diese Adresse als Peer-BGP-IP-Adresse in Ihrem CPE ein.
      • Reservierte Werte, die nicht verwendet werden können, finden Sie in der Liste gültiger BGP-Adressen.

    Screenshot: Registerkarte „Allgemein – Verbindung hinzufügen“ mit Beispielen in den einzelnen Feldern

  3. Behalten Sie auf der Registerkarte "Link hinzufügen – Details " die Standardwerte bei, es sei denn, Sie haben zuvor eine andere Auswahl getroffen, und wählen Sie "Weiter" aus.

  4. Geben Sie auf der Registerkarte "Link hinzufügen – Sicherheit " den vorab freigegebenen Schlüssel (PSK) ein, und wählen Sie "Speichern" aus. Sie kehren zu den Hauptregisterkarten Remotenetzwerk erstellen zurück.

  5. Wählen Sie auf der Registerkarte Datenverkehrsprofile das entsprechende Profil für die Datenverkehrsweiterleitung aus.

  6. Wählen Sie Überprüfen + Erstellen aus.

  7. Wenn alles korrekt aussieht, wählen Sie "Remotenetzwerk erstellen" aus.

Anzeigen der Konnektivitätskonfiguration

Nachdem Sie ein Remotenetzwerk erstellt und eine Geräteverbindung hinzugefügt haben, können Sie die Konfigurationsdetails im Microsoft Entra admin center anzeigen. Sie benötigen mehrere Details aus dieser Konfiguration für den nächsten Schritt.

  1. Navigieren Sie zu Globaler sicherer Zugriff>Verbinden>Remotenetzwerke.

  2. Wählen Sie in der letzten Spalte ganz rechts in der Tabelle Konfiguration anzeigen für das erstellte Remotenetzwerk aus. Die Konfiguration wird als JSON-Blob angezeigt.

  3. Suchen und speichern Sie Microsofts öffentliche IP-Adressen endpoint, asn, und bgpAddress aus dem sich öffnenden Bereich.

    Screenshot des Ansichtskonfigurationsbereichs.

Das folgende Diagramm verbindet die wichtigsten Details dieser Konfigurationsdetails mit der entsprechenden Rolle im simulierten Remotenetzwerk. Eine Textbeschreibung des Diagramms finden Sie unter der Abbildung.

Diagramm der Remote-Netzwerkkonfigurationen und wo die Details mit dem Netzwerk korrelieren.

In der Mitte des Diagramms ist eine Ressourcengruppe dargestellt, die einen virtuellen Computer enthält, der mit einem virtuellen Netzwerk verbunden ist. Ein virtueller Netzwerkgateway stellt dann eine Verbindung mit dem lokalen Netzwerkgateway über eine redundante S2S (Site-to-Site)-VPN-Verbindung her.

Im Screenshot der Verbindungsdetails sind zwei Abschnitte hervorgehoben. Der erste hervorgehobene Abschnitt unter localConfigurations enthält die Details des Gateways für den globalen sicheren Zugriff. Dies ist Ihr lokales Netzwerkgateway.

Lokales Netzwerkgateway 1

  • Öffentliche IP-Adresse/Endpunkt: 120.x.x.76
  • ASN: 65476
  • BGP-IP-Adresse/bgpAddress: 192.168.1.1

Lokales Netzwerkgateway 2

  • Öffentliche IP-Adresse/Endpunkt: 4.x.x.193
  • ASN: 65476
  • BGP-IP-Adresse/bgpAddress: 192.168.1.2

Der zweite hervorgehobene Abschnitt unter peerConfiguration enthält die Details des virtuellen Netzwerkgateways, d. h. Ihrer lokalen Routereinrichtung.

Virtual Network Gateway

  • Öffentliche IP-Adresse/Endpunkt: 20.x.x.1
  • ASN: 65533
  • BGP-IP-Adresse/bgpAddress: 10.1.1.1

Eine weitere Beschriftung verweist auf das virtuelle Netzwerk, das Sie in Ihrer Ressourcengruppe erstellt haben. Der Adressraum für das virtuelle Netzwerk lautet 10.2.0.0/16. Die lokale BGP-Adresse und die Peer-BGP-Adresse können nicht im gleichen Adressraum enthalten sein.

Lokales Netzwerkgateway erstellen

Erstellen Sie ein lokales Netzwerkgateway im Azure-Portal. Sie benötigen mehrere Details aus der Remotenetzwerkkonfiguration, einschließlich des Microsoft Gatewayendpunkts, ASN- und BGP-Adresse, um diesen Schritt abzuschließen.

Wenn Sie Keine Redundanz beim Erstellen von Geräteverbindungen im Microsoft Entra Verwaltungscenter auswählen, erstellen Sie ein lokales Netzwerkgateway.

Wenn Sie Zonenredundanz auswählen, erstellen Sie zwei lokale Netzwerkgateways. Sie verfügen über zwei Sätze von endpoint, asn, und bgpAddress in localConfigurations für die Gerätelinks. Die View Configuration-Details zu diesem Remotenetzwerk im Microsoft Entra Admin Center liefern diese Informationen.

  1. Navigieren Sie im Azure-Portal zu Local-Netzwerkgateways.

  2. Klicken Sie auf Erstellen.

  3. Wählen Sie Ihre Ressourcengruppe aus (z. B Network_Simulation. ).

  4. Wählen Sie die geeignete Region aus.

  5. Geben Sie für Ihr lokales Netzwerkgateway einen Namen an.

  6. Wählen Sie für EndpointIP-Adresse aus, und geben Sie dann die endpoint IP-Adresse aus dem Microsoft Entra admin center an.

  7. Klicken Sie auf Weiter: Erweitert.

  8. Legen Sie BGP konfigurieren auf Ja fest.

  9. Geben Sie die autonome Systemnummer (ASN) aus dem Abschnitt localConfigurations der Konfigurationsdetails anzeigen ein.

  10. Geben Sie die IP-Adresse des BGP-Peers aus dem Abschnitt localConfigurations der Details für Konfiguration anzeigen ein.

    Screenshot: Felder „ASN“ und „BGP“ im Prozess für das lokale Netzwerkgateway

  11. Wählen Sie Überprüfen + erstellen aus, und bestätigen Sie Ihre Einstellungen.

  12. Klicken Sie auf Erstellen.

Wenn Sie beim Erstellen von Gerätelinks (die zwei Gruppen von Microsoft Gatewayendpunkten bereitstellen) Zonenredundanz konfiguriert haben, wiederholen Sie diese Schritte, um ein zweites lokales Netzwerkgateway mithilfe der zweiten Gruppe von Endpunkt-, ASN- und BGP-Adresswerten zu erstellen.

Wechseln Sie zu den Konfigurationen , um die Details Ihres lokalen Netzwerkgateways zu überprüfen.

Screenshot des Azure Portals mit Konfigurationseinstellungen für ein lokales Netzwerkgateway.

Erstellen einer Standort-zu-Standort-VPN-Verbindung (S2S)

Erstellen Sie eine Standort-zu-Standort-VPN-Verbindung im Azure-Portal. Wenn Sie Zonenredundanz konfiguriert haben, erstellen Sie zwei Verbindungen: eine für das primäre Gateway und eine für die sekundäre. Lassen Sie alle Einstellungen auf dem Standardwert, es sei denn, anders angegeben.

  1. Navigieren Sie im Azure-Portal zu Connections.
  2. Klicken Sie auf Erstellen.
  3. Wählen Sie Ihre Ressourcengruppe aus (z. B Network_Simulation. ).
  4. Wählen Sie als Verbindungstyp die Option Site-to-Site (IPsec) aus.
  5. Geben Sie einen Namen für die Verbindung ein, und wählen Sie die entsprechende Region aus.
  6. Wählen Sie Weiter: Einstellungen aus.
  7. Wählen Sie Ihr virtuelles Netzwerkgateway und das lokale Netzwerkgateway aus.
  8. Geben Sie denselben Shared-Schlüssel (PSK) ein, den Sie für die Geräteverbindung in der Microsoft Entra admin center Remotenetzwerkkonfiguration konfiguriert haben.
  9. Aktivieren Sie das Kontrollkästchen für BGP aktivieren.
  10. Klicken Sie auf Überprüfen + erstellen. Bestätigen Sie anschließend Ihre Einstellungen.
  11. Klicken Sie auf Erstellen.

Wiederholen Sie diese Schritte, um eine weitere Verbindung mit dem zweiten lokalen Netzwerkgateway zu erstellen.

Screenshot des Azure Portals mit Konfigurationseinstellungen für eine Standort-zu-Standort-Verbindung.

Überprüfen der Konnektivität

Um die Konnektivität zu überprüfen, müssen Sie Datenverkehrsfluss simulieren. Eine Methode besteht darin, eine VM zu erstellen, um Datenverkehr zu initiieren.

Simulieren von Datenverkehr mit einer VM

Um Datenverkehr zu simulieren und die Konnektivität zu überprüfen, erstellen Sie einen virtuellen Computer im virtuellen Netzwerk, und initiieren Sie Datenverkehr zu Microsoft services. Behalten Sie alle Standardeinstellungen bei, sofern nichts anderes angegeben ist.

  1. Navigieren Sie im Azure-Portal zu Virtual machines.
  2. Wählen Sie Create>Azure virtual machine aus.
  3. Wählen Sie Ihre Ressourcengruppe aus (z. B Network_Simulation. ).
  4. Geben Sie einen VM-Namen ein.
  5. Wählen Sie das Bild aus, das Sie verwenden möchten. Wählen Sie in diesem Beispiel Windows 11 Pro, Version 22H2 – x64 Gen2 aus.
  6. Wählen Sie für diesen Test Mit Azure Spot-Rabatt ausführen aus.
  7. Geben Sie einen Benutzernamen und ein Kennwort für die VM an.
  8. Vergewissern Sie sich, dass Sie über eine berechtigte Windows 10- oder 11-Lizenz mit mehrinstanzenfähigen Hostingrechten am unteren Rand der Seite verfügen.
  9. Wechseln Sie zur Registerkarte Netzwerk.
  10. Wählen Sie Ihr virtuelles Netzwerk aus.
  11. Wechseln zur Registerkarte " Verwaltung ".
  12. Aktivieren Sie das Kontrollkästchen Login mit Microsoft Entra ID.
  13. Klicken Sie auf Überprüfen + erstellen. Bestätigen Sie anschließend Ihre Einstellungen.
  14. Klicken Sie auf Erstellen.

Sie können den Remotezugriff auf die Netzwerksicherheitsgruppe auf ein bestimmtes Netzwerk oder eine bestimmte IP-Adresse einschränken.

Vermeiden eines asymmetrischen Routings beim Herstellen einer Verbindung mit virtuellen Computern in Remotenetzwerken

Wenn Sie einen Azure virtuellen Computer (VM) mit einem Remotenetzwerk für globalen sicheren Zugriff verbinden, können Sie Remote Desktop Protocol (RDP as-is) nicht verwenden, um eine Verbindung mit dem virtuellen Computer mithilfe der öffentlichen IP-Adresse herzustellen. Wenn Sie das Remotenetzwerk trennen, funktioniert RDP wieder. Asymmetrisches Routing verursacht dieses Verhalten und wird erwartet.

Dies ist der Grund dafür: Der virtuelle Computer verfügt über eine öffentliche IP-Adresse, sodass eingehender RDP-Datenverkehr (das SYN-Paket) von Ihrem PC die VM direkt erreicht. Da Global Secure Access jedoch den gesamten Internetadressbereich umfasst, wird der Rückverkehr der VM (das SYN-ACK) über den IPsec-Tunnel zu Global Secure Access geleitet. Global Secure Access empfängt eine SYN-ACK für eine Sitzung ohne entsprechendes SYN, sodass das Paket verworfen wird und die Verbindung fehlschlägt. Diese Bedingung macht die öffentliche IP-Adresse des virtuellen Computers für eingehende Verbindungen unbrauchbar.

Problemumgehungen

Um asymmetrische Routingprobleme mit Remotenetzwerken zu vermeiden, verwenden Sie eine der folgenden Problemumgehungen:

  • Verwenden von Azure Bastion

    Azure Bastion beseitigt asymmetrisches Routing für Remoteverwaltungsszenarien wie RDP. Mithilfe von Bastion stellt Ihr PC eine Verbindung mit dem Bastion-Dienst über HTTPS her, und Bastion initiiert die RDP-Sitzung mit der VM mithilfe seiner privaten IP-Adresse. Der virtuelle Computer antwortet direkt auf Bastion innerhalb des virtuellen Netzwerks. Da beide Richtungen der Verbindung innerhalb des virtuellen Netzwerks verbleiben, wird der Datenverkehr nie über das Gateway für den globalen sicheren Zugriff weitergeleitet, und routing bleibt symmetrisch.

  • Verwenden Sie das P2S-VPN (Point-to-Site) mit Ihrem VNG

    Wenn Sie ein virtuelles Netzwerkgateway (VNG) für point-to-Site(P2S)-Konnektivität konfigurieren, empfängt Ihr Clientgerät eine private IP-Adresse aus dem VNG-Adresspool mithilfe des Azure VPN-Clients. Der gesamte Datenverkehr zur virtuellen Maschine fließt über den VNG-Tunnel und kehrt auf dem gleichen Weg zurück, wodurch das Routing symmetrisch bleibt.

Überprüfen des Konnektivitätsstatus

Nachdem Sie die Remotenetzwerke und Verbindungen erstellt haben, kann es einige Minuten dauern, bis die Verbindung hergestellt wird. Im Azure-Portal können Sie überprüfen, ob der VPN-Tunnel verbunden ist und dass BGP-Peering erfolgreich ist.

  1. Navigieren Sie im Azure-Portal zu dem virtuellen Netzwerkgateway, das Sie erstellt haben, und wählen Sie Verbindungen aus.
  2. Jede Der Verbindungen zeigt den Status " Verbunden" an, sobald die Konfiguration angewendet und erfolgreich ist.
  3. Im Abschnitt Überwachung können Sie unter BGP-Peers überprüfen, ob das BGP-Peering erfolgreich ist. Suchen Sie nach den Peeradressen, die von Microsoft bereitgestellt werden. Sobald die Konfiguration angewendet und erfolgreich ist, zeigt der Status"Verbunden" an.

Screenshot: Ermitteln des Verbindungsstatus für Ihr VNet-Gateway

Sie können den von Ihnen erstellten virtuellen Computer verwenden, um zu überprüfen, ob Datenverkehr an Microsoft services fließt. Das Navigieren zu Ressourcen in SharePoint oder Exchange Online sollte zu Datenverkehr auf Ihrem virtuellen Netzwerkgateway führen. Sie können diesen Datenverkehr sehen, indem Sie zu Metriken auf dem virtuellen Netzwerkgateway oder durch Konfigurieren der Paketerfassung für VPN-Gateways navigieren.

Tipp

Wenn Sie diesen Artikel zum Testen Microsoft Entra Internet Access verwenden, bereinigen Sie alle verwandten Azure Ressourcen, indem Sie die neue Ressourcengruppe löschen, wenn Sie fertig sind.

Nächste Schritte

  • Last updated on