Konfigurace průchodu bránou VPN pro partnerský vztah virtuální sítě

Tento článek vám pomůže nakonfigurovat průchod bránou pro partnerský vztah virtuální sítě. Partnerský vztah virtuální sítě umožňuje hladké připojení ke dvěma virtuálním sítím Azure a pro účely připojení je sloučí do jedné. Průchod bránou je vlastnost partnerského vztahu, která umožňuje jedné virtuální síti používat bránu VPN v partnerské virtuální síti pro připojení mezi místními sítěmi nebo připojení typu VNet-to-VNet.

Následující diagram znázorňuje, jak funguje průchod bránou s využitím partnerského vztahu virtuální sítě. V diagramu průchod bránou umožňuje partnerským virtuálním sítím používat službu Azure VPN Gateway v centrálním Resource Manageru (Hub-RM). Možnosti připojení dostupné u brány VPN, včetně připojení S2S, P2S a připojení mezi virtuálními sítěmi, platí pro všechny tři virtuální sítě.

Možnost přenosu se dá použít se všemi skladovými položkami služby VPN Gateway s výjimkou skladové položky Basic.

V hvězdicové síťové architektuře průchod bránou umožňuje koncovým virtuálním sítím sdílet bránu VPN v centrálním uzlu a není tedy nutné nasazovat brány VPN do každé koncové virtuální sítě. Trasy do virtuálních sítí připojených k bráně nebo místních sítí se šíří do směrovacích tabulek pro partnerské virtuální sítě pomocí průchodu bránou.

Automatické rozšíření tras z brány VPN můžete zakázat. Vytvořte směrovací tabulku s možností Zakázat šíření tras protokolu BGP a přidružte směrovací tabulku k podsítím, abyste zabránili distribuci tras do těchto podsítí. Další informace najdete v článku o směrovací tabulce virtuální sítě.

Poznámka:

Pokud provedete změnu topologie sítě a máte klienty VPN systému Windows, musí se balíček klienta VPN pro klienty Windows stáhnout a nainstalovat znovu, aby se změny použily u klienta.

Požadavky

Tento článek vyžaduje následující virtuální sítě a oprávnění.

Virtuální sítě

Virtuální síť	Kroky konfigurace	Brána virtuální sítě
Hub-RM	Resource Manager	Ano
Spoke-RM	Resource Manager	No

Oprávnění

Účty použité k vytvoření partnerského uzlu virtuální sítě musí mít nezbytné role a oprávnění. Pokud jste v následujícím příkladu vytvořili partnerský vztah mezi dvěma virtuálními sítěmi s názvem Hub-RM a Spoke-Classic, váš účet musí mít pro každou virtuální síť následující role nebo oprávnění:

Virtuální síť	Model nasazení	Role	Oprávnění
Hub-RM	Správce zdrojů	Přispěvatel sítě	Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM	Správce zdrojů	Přispěvatel sítě	Microsoft.Network/virtualNetworks/peer

Přečtěte si další informace o integrovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím (platí pouze pro Resource Manager).

Přidání partnerského vztahu a povolení přenosu

1. Na webu Azure Portal vytvořte nebo aktualizujte partnerský vztah virtuálních sítí z hub-RM. Přejděte do virtuální sítě Hub-RM . Vyberte Peerings (Partnerské vztahy) a pak + Add (Přidat) a otevřete Add Peering (Přidat partnerský vztah).

2. Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro souhrn vzdálené virtuální sítě.

   • Název odkazu peeringu: Pojmenujte odkaz. Příklad: SpokeRMToHubRM
   • Model nasazení virtuální sítě: Resource Manager
   • Vím, že id prostředku: Ponechejte prázdné. Tuto možnost musíte vybrat jenom v případě, že nemáte přístup pro čtení k virtuální síti nebo předplatnému, se kterým chcete vytvořit partnerský vztah.
   • Předplatné: Vyberte předplatné.
   • Virtuální síť: Spoke-RM

3. Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro nastavení partnerského vztahu vzdálené virtuální sítě.

   • Povolit "Spoke-RM" přístup k Hub-RM: Ponechte výchozí hodnotu vybranou.
   • Povolit "Spoke-RM" přijímat přesměrovaný provoz z Hub-RM: Zaškrtněte políčko.
   • Povolit bráně nebo směrovacímu serveru v partnerské virtuální síti směrovat provoz do Hub-RM: Ponechte výchozí hodnotu nevybíjenou.
   • Pokud chcete použít vzdálenou bránu hub-RM nebo směrovací server, povolte "SpokeRM": Zaškrtněte políčko.

   

4. Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro souhrn místních virtuálních sítí.

   • Název odkazu peeringu: Pojmenujte odkaz. Příklad: HubRMToSpokeRM

5. Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro nastavení partnerského vztahu místní virtuální sítě.

   • Povolit hub-RM přístup k partnerské virtuální síti: Ponechte výchozí hodnotu vybranou.
   • Povolit hub-RM přijímat přesměrovaný provoz z partnerské virtuální sítě: Zaškrtněte políčko.
   • Povolit bráně nebo směrovacímu serveru v Hub-RM předávat provoz do partnerské virtuální sítě: Zaškrtněte políčko.
   • Povolte hub-RM, aby používal vzdálenou bránu nebo směrovací server partnerské virtuální sítě: Ponechte výchozí hodnotu bez výběru.

   

6. Výběrem tlačítka Přidat vytvořte partnerský vztah.

7. Ověřte stav partnerského vztahu jako Připojený v obou virtuálních sítích.

Úprava existujícího partnerského vztahu pro průchod

Pokud už máte partnerský vztah, můžete změnit partnerský vztah pro průchod.

1. Přejděte do virtuální sítě. Vyberte Partnerské vztahy a vyberte partnerský vztah, který chcete upravit. Například ve virtuální síti Spoke-RM vyberte partnerský vztah SpokeRMtoHubRM.

2. Aktualizujte partnerský vztah virtuálních sítí.

   Pokud chcete použít vzdálenou bránu hub-RM nebo směrovací server, povolte "Spoke-RM": Zaškrtněte políčko.

3. Uložte nastavení partnerského vztahu.

Ukázka PowerShellu

K vytvoření nebo aktualizaci partnerského vztahu můžete použít také PowerShell. Nahraďte proměnné názvy virtuálních sítí a skupin prostředků.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Další kroky

• Než se pustíte do vytváření partnerského vztahu virtuální sítě pro použití v produkčním prostředí, přečtěte si další informace o omezeních a chování partnerského uzlu virtuální sítě a nastavení partnerského vztahu virtuální sítě.
• Přečtěte si, jak vytvořit topologii centrální a koncové sítě s partnerským vztahem virtuální sítě a průchodem bránou.
• Vytvořte partnerský vztah virtuálních sítí se stejným modelem nasazení.
• Vytvoření partnerského vztahu virtuálních sítí s různými modely nasazení