Verbinden mandantenübergreifender virtueller Netzwerke mit einem Virtual WAN-Hub: Azure CLI
Dieser Artikel unterstützt Sie bei der Verwendung von Azure Virtual WAN, um eine Verbindung zwischen einem virtuellen Netzwerk und einem virtuellen Hub in einem anderen Mandanten herzustellen. Diese Architektur ist nützlich, wenn Sie über Clientworkloads verfügen, die mit dem gleichen Netzwerk verbunden sein müssen, sich jedoch auf unterschiedlichen Mandanten befinden. So können Sie z. B. wie im folgenden Diagramm gezeigt eine Verbindung zwischen einem virtuellen Nicht-Contoso-Netzwerk (dem Remotemandanten) und einem virtuellen Contoso-Hub (dem übergeordneten Mandanten) herstellen.
In diesem Artikel werden folgende Vorgehensweisen behandelt:
- Hinzufügen eines weiteren Mandanten als Mitwirkender in Ihrem Azure-Abonnement.
- Verbinden Sie ein mandantenübergreifendes virtuelles Netzwerk mit einem virtuellen Hub.
Bei den Schritten für diese Konfiguration werden sowohl das Azure-Portal als auch die Azure CLI verwendet. Die Funktion selbst ist jedoch nur in PowerShell und der Azure CLI verfügbar.
Hinweis
Sie können mandantenübergreifende VNet-Verbindungen nur über PowerShell oder die auf Ihrem lokalen Computer installierte Azure CLI verwalten. Da das Azure-Portal mandantenübergreifende Vorgänge nicht unterstützt, können Sie keine mandantenübergreifenden virtuellen Netzwerkverbindungen über das Azure-Portal oder die Azure-Portal-CloudShell (PowerShell wie auch CLI) verwalten.
Voraussetzungen
Voraussetzungen
Damit Sie die Schritte in diesem Artikel ausführen können, müssen Sie die folgende Konfiguration bereits in Ihrer Umgebung eingerichtet haben:
- Ein virtuelles WAN und ein virtueller Hub in ihrem übergeordneten Abonnement
- Ein virtuelles Netzwerk, das in einem anderen Mandanten (Remotemandant) in einem Abonnement konfiguriert ist
- Virtual WAN-CLI-Erweiterung, Version 0.3.0 oder höher. Weitere Informationen zur Erweiterung finden Sie unter Verfügbare Azure CLI-Erweiterungen.
Stellen Sie sicher, dass sich der Adressraum des virtuellen Netzwerks im Remotemandanten nicht mit einem anderen Adressraum in anderen virtuellen Netzwerken überschneidet, die bereits mit dem übergeordneten virtuellen Hub verbunden sind.
Arbeiten mit der Azure CLI
In diesem Artikel werden Azure CLI-Befehle verwendet. Um die Befehle auszuführen, können Sie Azure Cloud Shell verwenden. Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.
Wählen Sie in der oberen rechten Ecke eines Codeblocks einfach die Option Cloud Shell öffnen aus, um Cloud Shell zu öffnen. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu CloudShell navigieren. Wählen Sie im Dropdownmenü oben links Bash anstelle von PowerShell aus.
Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um sie auszuführen.
Zuweisen von Berechtigungen
Fügen Sie im Abonnement des virtuellen Netzwerks im Remotemandanten die Rollenzuweisung „Mitwirkender“ zum Administrator hinzu (der Benutzer, der den virtuellen Hub verwaltet). Berechtigungen vom Typ „Mitwirkender“ ermöglichen es dem Administrator, die virtuellen Netzwerke im Remotemandanten zu ändern und darauf zuzugreifen.
Sie können zum Zuweisen dieser Rolle entweder die Azure CLI oder das Azure-Portal verwenden. Informationen zu den entsprechenden Schritten finden Sie in den folgenden Artikeln:
Führen Sie den folgenden Befehl aus, um das Remotemandantenabonnement und das übergeordnete Mandantenabonnement der aktuellen Konsolensitzung hinzuzufügen. Wenn Sie beim übergeordneten Mandanten angemeldet sind, müssen Sie den Befehl nur für den Remotemandanten ausführen.
az login --tenant "[tenant ID]"
Stellen Sie sicher, dass die Rollenzuweisung erfolgreich ist. Melden Sie sich, sofern Sie noch nicht angemeldet sind, mit den übergeordneten Anmeldeinformationen bei der Azure CLI an, und führen Sie den folgenden Befehl aus:
az account list -o table
Wenn die Berechtigungen erfolgreich an den übergeordneten Mandanten weitergegeben und der Sitzung hinzugefügt wurden, werden die im Besitz des übergeordneten Mandanten und des Remotemandanten befindlichen Abonnements in der Ausgabe des Befehls angezeigt.
Verbinden eines virtuellen Netzwerks mit einem Hub
In den folgenden Schritten verwenden Sie Azure CLI-Befehle, um einen virtuellen Hub mit einem virtuellen Netzwerk in einem Abonnement eines anderen Mandanten zu verbinden. Ersetzen Sie die Beispielwerte Ihrer Umgebung entsprechend.
Vergewissern Sie sich, dass Sie sich im Kontext Ihres Kontos für den virtuellen Hub befinden:
az account set --subscriptionId "[virtual hub subscription]"
Verbinden Sie das virtuelle Netzwerk mit dem Hub:
az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
Sie können die neue Verbindung entweder in der Azure CLI oder im Azure-Portal anzeigen:
- Die Metadaten der neuen Verbindung werden in der Konsole angezeigt, wenn die Verbindung erfolgreich hergestellt wurde.
- Navigieren Sie im Azure-Portal zum virtuellen Hub, und wählen Sie Konnektivität>VNET-Verbindungen aus. Sie können dann den Zeiger auf die Verbindung anzeigen. Um die tatsächliche Ressource anzuzeigen, benötigen Sie die richtigen Berechtigungen.
Problembehandlung
- Überprüfen Sie mithilfe
az --version
von, ob die Virtual WAN-Erweiterung 0.3.0 oder höher ist. - Führen Sie den CLI-Befehl
az account list -o table
aus, um sicherzustellen, dass der Remoteabonnementzugriff verfügbar ist. - Stellen Sie sicher, dass die Namen von Ressourcengruppen oder anderen umgebungsspezifischen Variablen in Anführungszeichen eingeschlossen werden (z. B.
"VirtualHub1"
oder"VirtualNetwork1"
).
Nächste Schritte
- Weitere Informationen zu Virtual WAN finden Sie unter Häufig gestellte Fragen.