Sdílet prostřednictvím

Připojení služby Azure Stack Hub k Azure s využitím Azure ExpressRoute

  • Článek

Tento článek popisuje, jak připojit virtuální síť Azure Stack Hub k virtuální síti Azure pomocí přímého připojení Microsoft Azure ExpressRoute .

Tento článek můžete použít jako kurz a použít příklady k nastavení stejného testovacího prostředí. Nebo si můžete přečíst článek jako návod, který vás provede nastavením vlastního prostředí ExpressRoute.

Přehled, předpoklady a požadavky

Azure ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení poskytované poskytovatelem připojení. ExpressRoute není připojení VPN přes veřejný internet.

Další informace o Azure ExpressRoute najdete v přehledu ExpressRoute.

Předpoklady

Tento článek předpokládá, že:

  • Máte funkční znalosti Azure.
  • Máte základní znalosti o službě Azure Stack Hub.
  • Máte základní znalosti o sítích.

Požadavky

Pokud chcete připojit Azure Stack Hub a Azure pomocí ExpressRoute, musíte splnit následující požadavky:

  • Zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.
  • Předplatné Azure pro vytvoření okruhu ExpressRoute a virtuálních sítí v Azure.
  • Směrovač, který musí:
    • Podpora připojení VPN typu site-to-site mezi rozhraním LAN a víceklientovou bránou služby Azure Stack Hub.
    • Podpora vytváření více VRF (virtuální směrování a předávání), pokud je v nasazení služby Azure Stack Hub více než jeden tenant.
  • Směrovač, který má:
    • Port WAN připojený k okruhu ExpressRoute
    • Port LAN připojený k víceklientové bráně služby Azure Stack Hub.

Síťová architektura ExpressRoute

Následující obrázek znázorňuje prostředí Azure Stack Hub a Azure po dokončení nastavení ExpressRoute pomocí příkladů v tomto článku:

Síť ExpressRoute

Následující obrázek ukazuje, jak se více tenantů připojuje z infrastruktury služby Azure Stack Hub prostřednictvím směrovače ExpressRoute k Azure:

Připojení s více tenanty pomocí ExpressRoute

Příklad v tomto článku používá stejnou architekturu s více tenanty zobrazenou v tomto diagramu k připojení služby Azure Stack Hub k Azure pomocí privátního partnerského vztahu ExpressRoute. Připojení se provádí pomocí připojení VPN typu site-to-site z brány virtuální sítě ve službě Azure Stack Hub ke směrovači ExpressRoute.

Kroky v tomto článku ukazují, jak vytvořit ucelené připojení mezi dvěma virtuálními sítěmi ze dvou různých tenantů ve službě Azure Stack Hub k odpovídajícím virtuálním sítím v Azure. Nastavení dvou tenantů je volitelné; Tento postup můžete použít také pro jednoho tenanta.

Konfigurace služby Azure Stack Hub

Pokud chcete nastavit prostředí služby Azure Stack Hub pro prvního tenanta, použijte jako vodítko následující kroky. Pokud nastavujete více než jednoho tenanta, opakujte tento postup:

Poznámka:

Tyto kroky ukazují, jak vytvářet prostředky pomocí portálu Azure Stack Hub, ale můžete také použít PowerShell.

Nastavení sítě služby Azure Stack Hub

Než začnete

Než začnete s konfigurací služby Azure Stack Hub, potřebujete:

Vytvoření síťových prostředků ve službě Azure Stack Hub

Pomocí následujících postupů vytvořte požadované síťové prostředky ve službě Azure Stack Hub pro tenanta.

Vytvoření virtuální sítě a podsítě virtuálních počítačů

  1. Přihlaste se k portálu User Portal služby Azure Stack Hub.

  2. Na portálu vyberte + Vytvořit prostředek.

  3. V části Azure Marketplace vyberte Sítě.

  4. V části Doporučené vyberte Virtuální síť.

  5. V části Vytvořit virtuální síť zadejte do příslušných polí hodnoty uvedené v následující tabulce:

    Pole Hodnota
    Name Tenant1VNet1
    Adresní prostor 10.1.0.0/16
    Název podsítě Tenant1-Sub1
    Rozsah adres podsítě 10.1.1.0/24

  6. V poli Předplatné by se mělo zobrazit dříve vytvořené předplatné. Pro zbývající pole:

    • V části Skupina prostředků vyberte Vytvořit novou , abyste vytvořili novou skupinu prostředků, nebo pokud ji už máte, vyberte Použít existující.
    • Ověřte výchozí umístění.
    • Klikněte na Vytvořit.
    • (Volitelné) Klikněte na Připnout na řídicí panel.

Vytvoření podsítě brány

  1. V části Virtuální síť vyberte Tenant1VNet1.
  2. V části NASTAVENÍ vyberte Podsítě.
  3. Vyberte podsíť brány a přidejte podsíť brány do virtuální sítě.
  4. Ve výchozím nastavení je název této podsítě nastavený na GatewaySubnet. Podsítě brány jsou zvláštní případ a musí používat tento název, aby fungovaly správně.
  5. Ověřte, že rozsah adres je 10.1.0.0/24.
  6. Kliknutím na OK vytvořte podsíť brány.

Vytvoření brány virtuální sítě

  1. Na uživatelském portálu Azure Stack Hub klikněte na + Vytvořit prostředek.
  2. V části Azure Marketplace vyberte Sítě.
  3. V seznamu síťových prostředků vyberte bránu virtuální sítě.
  4. Do pole Název zadejte GW1.
  5. Vyberte Virtuální síť.
  6. V rozevíracím seznamu vyberte Tenant1VNet1 .
  7. Vyberte veřejnou IP adresu, pak zvolte veřejnou IP adresu a potom klikněte na Vytvořit novou.
  8. Do pole Název zadejte GW1-PiP a klepněte na tlačítko OK.
  9. Jako Typ VPN by ve výchozím nastavení měla být vybraná možnost Založená na trasách. Toto nastavení zachovejte.
  10. Ověřte, že nastavení Předplatné a Umístění jsou správná. Klikněte na Vytvořit.

Vytvoření brány místní sítě

Prostředek brány místní sítě identifikuje vzdálenou bránu na druhém konci připojení VPN. V tomto příkladu je vzdáleným koncem připojení sub-rozhraní LAN směrovače ExpressRoute. Pro tenanta 1 v předchozím diagramu je vzdálená adresa 10.60.3.255.

  1. Přihlaste se k portálu User Portal služby Azure Stack Hub a vyberte + Vytvořit prostředek.

  2. V části Azure Marketplace vyberte Sítě.

  3. V seznamu prostředků vyberte bránu místní sítě.

  4. Do pole Název zadejte ER-Router-GW.

  5. Pole IP adresy najdete na předchozím obrázku. IP adresa dílčího rozhraní sítě LAN směrovače ExpressRoute pro tenanta 1 je 10.60.3.255. Pro vaše vlastní prostředí zadejte IP adresu odpovídajícího rozhraní směrovače.

  6. Do pole Adresní prostor zadejte adresní prostor virtuálních sítí, ke kterým se chcete připojit v Azure. Podsítě pro tenanta 1 jsou následující:

    • 192.168.2.0/24 je virtuální síť centra v Azure.
    • 10.100.0.0/16 je paprsková virtuální síť v Azure.

    Důležité

    Tento příklad předpokládá, že používáte statické trasy pro připojení VPN typu site-to-site mezi bránou služby Azure Stack Hub a směrovačem ExpressRoute.

  7. Ověřte správnost předplatného, skupiny prostředků a umístění. Pak vyberte Vytvořit.

Vytvoření připojení

  1. Na uživatelském portálu Azure Stack Hub vyberte + Vytvořit prostředek.
  2. V části Azure Marketplace vyberte Sítě.
  3. V seznamu prostředků vyberte Připojení.
  4. V části Základy jako typ připojení zvolte Site-to-Site (IPSec).
  5. Vyberte předplatné, skupinu prostředků a umístění. Klikněte na OK.
  6. V části Nastavení vyberte bránu virtuální sítě a pak vyberte GW1.
  7. Vyberte bránu místní sítě a pak vyberte ER Router GW.
  8. Do pole Název připojení zadejte ConnectToAzure.
  9. Do pole Sdílený klíč (PSK) zadejte abc123 a pak vyberte OK.
  10. V části Souhrn vyberte OK.

Získání veřejné IP adresy brány virtuální sítě

Po vytvoření brány virtuální sítě můžete získat veřejnou IP adresu brány. Poznamenejte si tuto adresu pro případ, že ji budete potřebovat později pro nasazení. V závislosti na vašem nasazení se tato adresa použije jako interní IP adresa.

  1. Na uživatelském portálu Azure Stack Hub vyberte Všechny prostředky.
  2. V části Všechny prostředky vyberte bránu virtuální sítě, která je v příkladu GW1 .
  3. V části Brána virtuální sítě vyberte v seznamu prostředků přehled . Alternativně můžete vybrat vlastnosti.
  4. IP adresa, kterou chcete poznamenat, je uvedená v části Veřejná IP adresa. V příkladu konfigurace je tato adresa 192.68.102.1.

Vytvořit virtuální počítač

K otestování datového provozu přes připojení VPN potřebujete, aby virtuální počítače odesílaly a přijímaly data ve virtuální síti Azure Stack Hub. Vytvořte virtuální počítač a nasaďte ho do podsítě virtuálního počítače pro vaši virtuální síť.

  1. Na uživatelském portálu Azure Stack Hub vyberte + Vytvořit prostředek.

  2. V části Azure Marketplace vyberte Compute.

  3. V seznamu imagí virtuálních počítačů vyberte image Windows Serveru 2016 Datacenter Eval .

    Poznámka:

    Pokud image použitá pro tento článek není dostupná, požádejte operátora služby Azure Stack Hub, aby zadal jinou image Windows Serveru.

  4. V části Vytvořit virtuální počítač vyberte Základy a pak jako název zadejte virtuální počítač VM01.

  5. Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítači po jeho vytvoření.

  6. Zadejte předplatné, skupinu prostředků a umístění. Vyberte OK.

  7. V části Zvolit velikost vyberte velikost virtuálního počítače pro tuto instanci a pak vyberte Vybrat.

  8. V části Nastavení potvrďte, že:

    • Virtuální síť je Tenant1VNet1.
    • Podsíť je nastavená na 10.1.1.0/24.

    Použijte výchozí nastavení a klepněte na tlačítko OK.

  9. V části Souhrn zkontrolujte konfiguraci virtuálního počítače a klepněte na tlačítko OK.

Pokud chcete přidat další tenanty, zopakujte kroky, které jste provedli v těchto částech:

Pokud jako příklad používáte tenanta 2, nezapomeňte změnit IP adresy, aby se nepřekrývaly.

Konfigurace virtuálního počítače NAT pro procházení bran

Důležité

Tato část je určená jenom pro nasazení ASDK. Překlad adres (NAT) není nutný pro nasazení s více uzly.

Sada ASDK je samostatná a izolovaná od sítě, ve které je fyzický hostitel nasazený. Síť VIP, ke které jsou brány připojené, není externí; je skrytý za směrovačem provádějícím překlad adres (NAT).

Směrovač je hostitel ASDK, na kterém běží role Směrování a vzdálený přístup (RRAS). Na hostiteli ASDK musíte nakonfigurovat překlad adres (NAT), aby se připojení VPN typu site-to-site povolilo na obou koncích.

Konfigurace překladu adres (NAT)

  1. Přihlaste se k hostitelskému počítači služby Azure Stack Hub pomocí účtu správce.

  2. Spusťte skript v prostředí PowerShell ISE se zvýšenými oprávněními. Tento skript vrátí vaši externí adresu BGPNAT.

    Get-NetNatExternalAddress

  3. Pokud chcete nakonfigurovat překlad adres (NAT), zkopírujte a upravte následující skript PowerShellu. Upravte skript a nahraďte External BGPNAT address Internal IP address ho následujícími ukázkovými hodnotami:

    • Pro externí adresu protokolu BGPNAT použijte adresu 10.10.0.62.
    • Pro interní IP adresu použijte adresu 192.168.102.1.

    Spusťte následující skript z prostředí POWERShell ISE se zvýšenými oprávněními:

    $ExtBgpNat = 'External BGPNAT address'
$IntBgpNat = 'Internal IP address'

# Designate the external NAT address for the ports that use the IKE authentication.
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 499 `
   -PortEnd 501
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 4499 `
   -PortEnd 4501
# Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 500 `
   -InternalPort 500
# Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 4500 `
   -InternalPort 4500

Nakonfigurujte Azure

Po dokončení konfigurace služby Azure Stack Hub můžete nasadit prostředky Azure. Následující obrázek ukazuje příklad virtuální sítě tenanta v Azure. Pro virtuální síť v Azure můžete použít jakékoli schéma názvů a adresování. Rozsah adres virtuálních sítí v Azure a Azure Stack Hubu ale musí být jedinečný a nesmí se překrývat:

Virtuální sítě Azure

Prostředky, které nasadíte v Azure, se podobají prostředkům, které jste nasadili ve službě Azure Stack Hub. Nasadíte následující komponenty:

  • Virtuální sítě a podsítě
  • Podsíť brány
  • Brána virtuální sítě
  • Připojení
  • Okruh ExpressRoute

Příklad síťové infrastruktury Azure se konfiguruje takto:

  • Standardní rozbočovač (192.168.2.0/24) a paprskový model virtuální sítě (10.100.0.0./16). Další informace o hvězdicové síťové topologii najdete v tématu Implementace hvězdicové síťové topologie v Azure.
  • Úlohy se nasadí do paprskové virtuální sítě a okruh ExpressRoute je připojený k virtuální síti centra.
  • Dvě virtuální sítě jsou připojené pomocí partnerského vztahu virtuálních sítí.

Konfigurace virtuálních sítí Azure

  1. Přihlaste se k webu Azure Portal pomocí svých přihlašovacích údajů Azure.
  2. Vytvořte virtuální síť centra pomocí rozsahu adres 192.168.2.0/24.
  3. Vytvořte podsíť pomocí rozsahu adres 192.168.2.0/25 a přidejte podsíť brány pomocí rozsahu adres 192.168.2.128/27.
  4. Vytvořte virtuální síť a podsíť paprsku pomocí rozsahu adres 10.100.0.0/16.

Další informace o vytváření virtuálních sítí v Azure najdete v tématu Vytvoření virtuální sítě.

Konfigurace okruhu ExpressRoute

  1. Zkontrolujte požadavky ExpressRoute v kontrolním seznamu a požadavcích ExpressRoute.

  2. Postupujte podle kroků v tématu Vytvoření a úprava okruhu ExpressRoute a vytvořte okruh ExpressRoute pomocí předplatného Azure.

    Poznámka:

    Dejte klíč služby pro váš okruh vaší službě, aby mohl nastavit okruh ExpressRoute na jejich konci.

  3. Postupujte podle kroků v tématu Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute a nakonfigurujte privátní partnerský vztah v okruhu ExpressRoute.

Vytvoření brány virtuální sítě

Postupujte podle kroků v části Konfigurace brány virtuální sítě pro ExpressRoute pomocí PowerShellu a vytvořte bránu virtuální sítě pro ExpressRoute v centrální virtuální síti.

Vytvoření připojení

Pokud chcete propojit okruh ExpressRoute s virtuální sítí centra, postupujte podle kroků v části Připojení virtuální sítě k okruhu ExpressRoute.

Vytvoření partnerského vztahu virtuálních sítí

Vytvořte partnerský vztah mezi hvězdicovými virtuálními sítěmi pomocí kroků v části Vytvoření partnerského vztahu virtuálních sítí pomocí webu Azure Portal. Při konfiguraci partnerského vztahu virtuálních sítí se ujistěte, že používáte následující možnosti:

  • Z centra do paprsku povolte průchod bránou.
  • Z paprsku do centra použijte vzdálenou bránu.

Vytvoření virtuálního počítače

Nasaďte virtuální počítače úloh do paprskové virtuální sítě.

Tento postup opakujte pro všechny další virtuální sítě tenantů, které chcete připojit v Azure prostřednictvím příslušných okruhů ExpressRoute.

Konfigurace směrovače

Jako vodítko pro konfiguraci směrovače ExpressRoute můžete použít následující konfigurační diagram směrovače ExpressRoute. Tento obrázek znázorňuje dva tenanty (Tenant 1 a Tenant 2) s příslušnými okruhy ExpressRoute. Každý tenant je propojený s vlastním virtuálním směrováním (směrováním a předáváním) v síti LAN a WAN ve směrovači ExpressRoute. Tato konfigurace zajišťuje kompletní izolaci mezi dvěma tenanty. Poznamenejte si IP adresy používané v rozhraních směrovačů podle příkladu konfigurace.

Konfigurace směrovače ExpressRoute

K ukončení připojení VPN typu site-to-site ze služby Azure Stack Hub můžete použít libovolný směrovač, který podporuje síť VPN IKEv2 a protokol BGP. Stejný směrovač se používá k připojení k Azure pomocí okruhu ExpressRoute.

Následující příklad konfigurace směrovače agregačních služeb řady Cisco ASR 1000 podporuje síťovou infrastrukturu zobrazenou v konfiguračním diagramu směrovače ExpressRoute.

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Test připojení

Otestujte připojení po navázání připojení typu site-to-site a okruhu ExpressRoute.

Proveďte následující testy ping:

  • Přihlaste se k jednomu z virtuálních počítačů ve virtuální síti Azure a odešlete příkaz ping na virtuální počítač, který jste vytvořili ve službě Azure Stack Hub.
  • Přihlaste se k jednomu z virtuálních počítačů, které jste vytvořili ve službě Azure Stack Hub, a odešlete příkaz ping na virtuální počítač, který jste vytvořili ve virtuální síti Azure.

Poznámka:

Abyste měli jistotu, že odesíláte provoz přes připojení typu site-to-site a ExpressRoute, musíte odeslat příkaz ping na vyhrazenou IP adresu (DIP) virtuálního počítače na obou koncích, a nikoli IP adresu virtuálního počítače.

Povolení PROTOKOLU ICMP přes bránu firewall

Ve výchozím nastavení Windows Server 2016 nepovoluje příchozí pakety ICMP přes bránu firewall. Pro každý virtuální počítač, který používáte pro testy ping, musíte povolit příchozí pakety ICMP. Pokud chcete vytvořit pravidlo brány firewall pro PROTOKOL ICMP, spusťte v okně PowerShellu se zvýšenými oprávněními následující rutinu:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Příkaz ping na virtuální počítač služby Azure Stack Hub

  1. Přihlaste se k portálu User Portal služby Azure Stack Hub.

  2. Vyhledejte virtuální počítač, který jste vytvořili, a vyberte ho.

  3. Vyberte Připojit.

  4. Z příkazového řádku Windows nebo PowerShellu se zvýšenými oprávněními zadejte ipconfig /all. Poznamenejte si adresu IPv4 vrácenou ve výstupu.

  5. Odešlete příkaz ping na adresu IPv4 z virtuálního počítače ve virtuální síti Azure.

    V ukázkovém prostředí je adresa IPv4 z podsítě 10.1.1.x/24. Ve vašem prostředí se adresa může lišit, ale měla by být v podsíti, kterou jste vytvořili pro podsíť virtuální sítě tenanta.

Zobrazení statistik přenosu dat

Pokud chcete zjistit, kolik provozu prochází vaším připojením, najdete tyto informace na portálu User Portal služby Azure Stack Hub. Zobrazení statistik přenosu dat je také dobrým způsobem, jak zjistit, jestli testovací data ping prošla připojením VPN a ExpressRoute:

  1. Přihlaste se k uživatelskému portálu Azure Stack Hub a vyberte Všechny prostředky.
  2. Přejděte do skupiny prostředků pro bránu VPN Gateway a vyberte typ objektu Připojení .
  3. V seznamu vyberte připojení ConnectToAzure.
  4. V části Přehled připojení>můžete zobrazit statistiky pro data v datech a data ven. Měly by se zobrazit některé nenulové hodnoty.

Další kroky

Nasazení aplikací do Azure a azure Stack Hubu