Virtuele netwerken tussen tenants verbinden met een Virtual WAN-hub - met Azure CLI

Dit artikel helpt u bij het gebruik van Azure Virtual WAN om een virtueel netwerk te verbinden met een virtuele hub in een andere tenant. Deze architectuur is handig als u clientworkloads hebt die moeten zijn verbonden met hetzelfde netwerk, maar zich in verschillende tenants bevinden. Zoals in het volgende diagram wordt weergegeven, kunt u bijvoorbeeld een niet-Contoso virtueel netwerk (de externe tenant) verbinden met een virtuele Contoso-hub (de bovenliggende tenant).

In dit artikel leert u het volgende:

• Voeg een andere tenant toe als inzender voor uw Azure-abonnement.
• Een virtueel netwerk tussen tenants verbinden met een virtuele hub.

De stappen voor deze configuratie maken gebruik van een combinatie van Azure Portal en Azure CLI. De functie zelf is echter alleen beschikbaar in PowerShell en de Azure CLI.

Notitie

U kunt virtuele netwerkverbindingen tussen tenants alleen beheren via PowerShell of de Azure CLI die op uw lokale computer is geïnstalleerd. Omdat Azure Portal geen ondersteuning biedt voor bewerkingen tussen tenants, kunt u geen virtuele netwerkverbindingen tussen tenants beheren via Azure Portal of Azure Portal CloudShell (zowel PowerShell als CLI).

Voordat u begint

Vereisten

Als u de stappen in dit artikel wilt gebruiken, moet u de volgende configuratie al hebben ingesteld in uw omgeving:

• Een virtuele WAN en virtuele hub in uw bovenliggende abonnement
• Een virtueel netwerk dat is geconfigureerd in een abonnement in een andere (externe) tenant
• Virtual WAN CLI-extensie, versie 0.3.0 of hoger. Ga naar Beschikbare Azure CLI-extensies voor meer informatie over de extensie.

Zorg ervoor dat de adresruimte van het virtuele netwerk in de externe tenant niet overlapt met andere adresruimte binnen andere virtuele netwerken die al zijn verbonden met de bovenliggende virtuele hub.

Werken met Azure CLI

In dit artikel worden Azure CLI-opdrachten gebruikt. Als u de opdrachten wilt uitvoeren, kunt u Azure Cloud Shell gebruiken. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.

Als u Cloud Shell wilt openen, selecteert u Cloudshell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar CloudShell te gaan. Selecteer in de vervolgkeuzelijst linksboven Bash in plaats van PowerShell.

Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer de Enter-toets om ze uit te voeren.

Machtigingen toewijzen

1. Voeg in het abonnement van het virtuele netwerk in de externe tenant de roltoewijzing Inzender toe aan de beheerder (de gebruiker die de virtuele hub beheert). Met inzendermachtigingen kan de beheerder de virtuele netwerken in de externe tenant wijzigen en openen.

   U kunt Azure CLI of Azure Portal gebruiken om deze rol toe te wijzen. Zie de volgende artikelen voor stappen:

   • Azure-rollen toewijzen met behulp van Azure CLI
   • Azure-rollen toewijzen met behulp van het Azure Portal

2. Voer de volgende opdracht uit om het externe tenantabonnement en het bovenliggende tenantabonnement toe te voegen aan de huidige sessie van de console. Als u bent aangemeld bij het bovenliggende item, moet u de opdracht alleen uitvoeren voor de externe tenant.

   az login --tenant "[tenant ID]"
   

3. Controleer of de roltoewijzing is geslaagd. Meld u aan bij De Azure CLI (als dit nog niet is gebeurd) met behulp van de bovenliggende referenties en voer de volgende opdracht uit:

   az account list -o table
   

   Als de machtigingen zijn doorgegeven aan het bovenliggende item en zijn toegevoegd aan de sessie, worden de abonnementen van de bovenliggende en de externe tenant beide weergegeven in de uitvoer van de opdracht.

Een virtueel netwerk verbinden met een hub

In de volgende stappen gebruikt u Azure CLI-opdrachten om een virtuele hub te koppelen aan een virtueel netwerk in een abonnement van een andere tenant. Vervang de voorbeeldwaarden om uw eigen omgeving weer te geven.

1. Zorg ervoor dat u zich in de context van uw virtuele hub-account bevindt:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Verbind het virtuele netwerk met de hub:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

U kunt de nieuwe verbinding bekijken in Azure CLI of Azure Portal:

• In de console worden de metagegevens van de zojuist gevormde verbinding weergegeven als de verbinding is gevormd.
• Ga in De Azure-portal naar de virtuele hub en selecteer Connectiviteit>van virtuele netwerkverbindingen. Vervolgens kunt u de aanwijzer naar de verbinding weergeven. Als u de werkelijke resource wilt zien, hebt u de juiste machtigingen nodig.

Problemen oplossen

• Controleer of de virtual wan-extensie 0.3.0 of hoger is met behulp van az --version.
• Controleer of de externe abonnementstoegang beschikbaar is via de cli az account list -o table.
• Zorg ervoor dat aanhalingstekens zijn opgenomen rond de namen van resourcegroepen of andere omgevingsspecifieke variabelen (bijvoorbeeld "VirtualHub1" of "VirtualNetwork1").

Volgende stappen

• Zie de veelgestelde vragen voor meer informatie over Virtual WAN.