Sdílet prostřednictvím

Příprava na připojení služby Azure Communications Gateway k vlastní virtuální síti (Preview)

  • Článek

Tento článek popisuje kroky potřebné k připojení služby Azure Communications Gateway k vlastní virtuální síti pomocí injektáže virtuální sítě pro službu Azure Communications Gateway (Preview). Tento postup je nutný k nasazení služby Azure Communications Gateway do podsítě, kterou řídíte, a používá se při připojování místní sítě s privátním partnerským vztahem ExpressRoute nebo prostřednictvím služby Azure VPN Gateway. Azure Communications Gateway má dvě oblasti služeb s vlastním připojením, což znamená, že potřebujete poskytovat virtuální sítě a podsítě v každé z těchto oblastí.

Následující diagram znázorňuje přehled služby Azure Communications Gateway nasazené pomocí injektáže virtuální sítě. Síťová rozhraní ve službě Azure Communications Gateway směřující k vaší síti se nasadí do vaší podsítě, zatímco síťová rozhraní směřující k back-endovým komunikačním službám zůstávají spravovaná Microsoftem.

Síťový diagram znázorňující službu Azure Communications Gateway nasazenou do dvou oblastí Azure Prostředek služby Azure Communications Gateway v každé oblasti se připojuje k virtuální síti operátora s IP adresami řízenými operátorem.

Požadavky

  • Získejte povolené předplatné Azure pro službu Azure Communications Gateway.
  • Informujte svůj tým o zprovoznění, že máte v úmyslu používat vlastní virtuální sítě.
  • Vytvořte virtuální síť Azure v každé oblasti Azure, která se má použít jako oblasti služby Azure Communications Gateway. Zjistěte, jak vytvořit virtuální síť.
  • Vytvořte podsíť v každé virtuální síti Azure pro výhradní použití služby Azure Communications Gateway. Tyto podsítě musí mít alespoň 16 IP adres (rozsah /28 IPv4 nebo větší). Tuto podsíť nesmí používat nic jiného. Zjistěte, jak vytvořit podsíť.
  • Ujistěte se, že váš účet Azure má ve virtuálních sítích roli Přispěvatel sítě nebo nadřazenou roli.
  • Nasaďte zvolené řešení připojení (například ExpressRoute) do předplatného Azure a ujistěte se, že je připravené k použití.

Tip

Nasazení testovacího prostředí mají pouze jednu oblast služby, takže během tohoto postupu stačí nastavit jenom jednu oblast.

Delegování podsítí virtuální sítě

Pokud chcete používat virtuální síť se službou Azure Communications Gateway, musíte podsítě delegovat na službu Azure Communications Gateway. Delegování podsítě dává službě Azure Communications Gateway explicitní oprávnění k vytváření prostředků specifických pro služby, jako jsou síťová rozhraní (NIC) v podsítích.

Při delegování podsítí pro použití se službou Azure Communications Gateway postupujte takto:

  1. Přejděte do virtuálních sítí a vyberte virtuální síť, kterou chcete použít v první oblasti služby pro službu Azure Communications Gateway.

  2. Vyberte podsítě.

  3. Vyberte podsíť, kterou chcete delegovat na službu Azure Communications Gateway.

    Důležité

    Použitá podsíť musí být vyhrazená pro službu Azure Communications Gateway.

  4. V části Delegovat podsíť na službu vyberte Microsoft.AzureCommunicationsGateway/networkSettings a pak vyberte Uložit.

  5. Ověřte, že se microsoft.AzureCommunicationsGateway/networkSettings zobrazuje ve sloupci Delegováno do vaší podsítě.

  6. Zopakujte výše uvedené kroky pro virtuální síť a podsíť v jiné oblasti služby Azure Communications Gateway.

Konfigurace skupin zabezpečení sítě

Když připojíte bránu Azure Communications Gateway k virtuálním sítím, musíte nakonfigurovat skupinu zabezpečení sítě (NSG), která povolí provoz z vaší sítě tak, aby se dostal do služby Azure Communications Gateway. Skupina zabezpečení sítě obsahuje pravidla pro řízení přístupu, která povolují nebo zakazují provoz na základě směru přenosu, protokolu, zdrojové adresy a portu a cílové adresy a portu.

Pravidla skupiny zabezpečení sítě je možné kdykoli změnit a změny se použijí u všech přidružených instancí. Může trvat až 10 minut, než se změny skupiny zabezpečení sítě projeví.

Důležité

Pokud skupinu zabezpečení sítě nenakonfigurujete, provoz nebude mít přístup k síťovým rozhraním služby Azure Communication Gateway.

Konfigurace skupiny zabezpečení sítě se skládá ze dvou kroků, které se mají provést v každé oblasti služby:

  1. Vytvořte skupinu zabezpečení sítě, která umožňuje požadovaný provoz.
  2. Přidružte skupinu zabezpečení sítě k podsítím virtuální sítě.

Skupinu zabezpečení sítě můžete použít k řízení provozu do jednoho nebo několika virtuálních počítačů, instancí rolí, síťových adaptérů (síťových adaptérů) nebo podsítí ve vaší virtuální síti. Skupina zabezpečení sítě obsahuje pravidla pro řízení přístupu, která povolují nebo zakazují provoz na základě směru přenosu, protokolu, zdrojové adresy a portu a cílové adresy a portu. Pravidla skupiny zabezpečení sítě je možné kdykoli změnit a změny se použijí u všech přidružených instancí.

Další informace o skupině zabezpečení sítě najdete v tématu NSG.

Vytvoření příslušné skupiny zabezpečení sítě

Spolupracujte se svým týmem pro onboarding a určete správnou konfiguraci skupiny zabezpečení sítě pro vaše virtuální sítě. Tato konfigurace závisí na vaší volbě připojení (například ExpressRoute) a topologii virtuální sítě.

Konfigurace skupiny zabezpečení sítě musí umožňovat provoz do potřebných rozsahů portů používaných službou Azure Communications Gateway.

Tip

Doporučení pro skupiny zabezpečení sítě vám pomohou zajistit, aby konfigurace odpovídala osvědčeným postupům zabezpečení.

Přidružení podsítě ke skupině zabezpečení sítě

  1. Přejděte do skupiny zabezpečení sítě a vyberte Podsítě.
  2. V horním řádku nabídek vyberte + Přidružit .
  3. V případě virtuální sítě vyberte svou virtuální síť.
  4. Jako podsíť vyberte podsíť virtuální sítě.
  5. Vyberte OK a přidružte podsíť virtuální sítě ke skupině zabezpečení sítě.
  6. Tento postup opakujte pro jinou oblast služby.

Další krok

Příprava k nasazení služby Azure Communications Gateway