Łączenie sieci wirtualnej z obwodem usługi ExpressRoute przy użyciu interfejsu wiersza polecenia platformy Azure

W tym artykule pokazano, jak połączyć sieci wirtualne z obwodami usługi Azure ExpressRoute przy użyciu interfejsu wiersza polecenia platformy Azure. Aby połączyć się przy użyciu interfejsu wiersza polecenia platformy Azure, należy utworzyć sieci wirtualne przy użyciu modelu wdrażania usługi Resource Manager. Mogą znajdować się w tej samej subskrypcji lub w innej subskrypcji. Jeśli chcesz użyć innej metody, aby połączyć sieć wirtualną z obwodem usługi ExpressRoute, możesz wybrać artykuł z następującej listy:

• Witryna Azure Portal
• Program PowerShell
• Interfejs wiersza polecenia platformy Azure
• PowerShell (klasyczny)

Wymagania wstępne

• Potrzebna jest najnowsza wersja interfejsu wiersza polecenia (CLI). Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

• Przed rozpoczęciem konfiguracji zapoznaj się z wymaganiami wstępnymi, wymaganiami dotyczącymi routingu i przepływami pracy.

• Musisz mieć aktywny obwód usługi ExpressRoute.

  • Postępuj zgodnie z instrukcjami, aby utworzyć obwód usługi ExpressRoute i włączyć obwód przez dostawcę łączności.
  • Upewnij się, że masz skonfigurowaną prywatną komunikację równorzędną platformy Azure dla obwodu. Aby uzyskać instrukcje dotyczące routingu, zobacz artykuł dotyczący konfigurowania routingu.
  • Upewnij się, że skonfigurowano prywatną komunikację równorzędną platformy Azure. Należy ustanowić komunikację równorzędną BGP między siecią a firmą Microsoft, aby umożliwić kompleksową łączność.
  • Upewnij się, że masz sieć wirtualną i bramę sieci wirtualnej utworzoną i w pełni aprowizowaną. Postępuj zgodnie z instrukcjami, aby skonfigurować bramę sieci wirtualnej dla usługi ExpressRoute. Pamiętaj, aby użyć polecenia --gateway-type ExpressRoute.

• Do standardowego obwodu usługi ExpressRoute można połączyć maksymalnie 10 sieci wirtualnych. Wszystkie sieci wirtualne muszą znajdować się w tym samym regionie geopolitycznym w przypadku korzystania ze standardowego obwodu usługi ExpressRoute.

• Pojedynczą sieć wirtualną można połączyć z maksymalnie 16 obwodami usługi ExpressRoute. Użyj poniższego procesu, aby utworzyć nowy obiekt połączenia dla każdego obwodu usługi ExpressRoute, z którym nawiązujesz połączenie. Obwody usługi ExpressRoute mogą znajdować się w tej samej subskrypcji, różnych subskrypcjach lub kombinacji obu.

• Jeśli włączysz dodatek ExpressRoute Premium, możesz połączyć sieci wirtualne poza regionem geopolitycznym obwodu usługi ExpressRoute. Dodatek Premium umożliwia również łączenie ponad 10 sieci wirtualnych z obwodem usługi ExpressRoute w zależności od wybranej przepustowości. Zapoznaj się z często zadawanymi pytaniami , aby uzyskać więcej informacji na temat dodatku Premium.

• Aby utworzyć połączenie z obwodu usługi ExpressRoute do docelowej bramy sieci wirtualnej usługi ExpressRoute, liczba przestrzeni adresowych anonsowanych z lokalnych lub równorzędnych sieci wirtualnych musi być równa lub mniejsza niż 200. Po pomyślnym utworzeniu połączenia można dodać dodatkowe przestrzenie adresowe do 1000 do lokalnych lub równorzędnych sieci wirtualnych.

• Zapoznaj się ze wskazówkami dotyczącymi łączności między sieciami wirtualnymi za pośrednictwem usługi ExpressRoute.

Łączenie sieci wirtualnej w tej samej subskrypcji z obwodem

Bramę sieci wirtualnej można połączyć z obwodem usługi ExpressRoute, korzystając z przykładu. Przed uruchomieniem polecenia upewnij się, że brama sieci wirtualnej została utworzona i jest gotowa do łączenia.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Połączenie sieci wirtualnej w innej subskrypcji z obwodem

Obwód usługi ExpressRoute można udostępnić w wielu subskrypcjach. Na poniższej ilustracji przedstawiono prosty schemat działania udostępniania obwodów usługi ExpressRoute w wielu subskrypcjach.

Uwaga

Łączenie sieci wirtualnych między suwerennych chmurami platformy Azure i publiczną chmurą platformy Azure nie jest obsługiwane. Sieci wirtualne można łączyć tylko z różnych subskrypcji w tej samej chmurze.

Każda z mniejszych chmur w dużej chmurze jest używana do reprezentowania subskrypcji należących do różnych działów w organizacji. Każdy z działów w organizacji używa własnej subskrypcji do wdrażania swoich usług — ale może udostępnić jeden obwód usługi ExpressRoute, aby połączyć się z powrotem z siecią lokalną. Jeden dział (w tym przykładzie: DZIAŁ IT) może być właścicielem obwodu usługi ExpressRoute. Inne subskrypcje w organizacji mogą używać obwodu usługi ExpressRoute.

Uwaga

Opłaty za łączność i przepustowość dla obwodu dedykowanego zostaną zastosowane do właściciela obwodu usługi ExpressRoute. Wszystkie sieci wirtualne mają taką samą przepustowość.

Administracja — właściciele obwodów i użytkownicy obwodu

Właściciel obwodu jest autoryzowanym użytkownikiem zasilania zasobu obwodu usługi ExpressRoute. Właściciel obwodu może tworzyć autoryzacje, które mogą być zrealizowane przez użytkowników obwodu. Użytkownicy obwodu są właścicielami bram sieci wirtualnej, które nie należą do tej samej subskrypcji co obwód usługi ExpressRoute. Użytkownicy obwodu mogą zrealizować autoryzacje (jedna autoryzacja na sieć wirtualną).

Właściciel obwodu ma uprawnienia do modyfikowania i odwoływanie autoryzacji w dowolnym momencie. Po odwołaniu autoryzacji wszystkie połączenia linków są usuwane z subskrypcji, której dostęp został odwołany.

Uwaga

Właściciel obwodu nie jest wbudowaną rolą RBAC ani zdefiniowaną w zasobie usługi ExpressRoute. Definicja właściciela obwodu jest dowolną rolą z następującym dostępem:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Obejmuje to wbudowane role, takie jak Współautor, Właściciel i Współautor sieci. Szczegółowy opis różnych ról wbudowanych.

Operacje właściciela obwodu

Aby utworzyć autoryzację

Właściciel obwodu tworzy autoryzację, która tworzy klucz autoryzacji używany przez użytkownika obwodu w celu połączenia bram sieci wirtualnej z obwodem usługi ExpressRoute. Autoryzacja jest prawidłowa tylko dla jednego połączenia.

W poniższym przykładzie pokazano, jak utworzyć autoryzację:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

Odpowiedź zawiera klucz autoryzacji i stan:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

Aby przejrzeć autoryzacje

Właściciel obwodu może przejrzeć wszystkie autoryzacje wystawione w określonym obwodzie, uruchamiając następujący przykład:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

Aby utworzyć autoryzację

Właściciel obwodu może utworzyć autoryzację, korzystając z następującego przykładu:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Aby usunąć autoryzacje

Właściciel obwodu może odwołać/usunąć autoryzacje dla użytkownika, uruchamiając następujący przykład:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Operacje użytkownika obwodu

Użytkownik obwodu potrzebuje identyfikatora elementu równorzędnego i klucza autoryzacji od właściciela obwodu. Klucz autoryzacji jest identyfikatorem GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

Aby zrealizować autoryzację połączenia

Użytkownik obwodu może uruchomić następujący przykład, aby zrealizować autoryzację linku:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Aby zwolnić autoryzację połączenia

Autoryzację można zwolnić, usuwając połączenie łączące obwód usługi ExpressRoute z siecią wirtualną.

Modyfikowanie połączenia sieci wirtualnej

Niektóre właściwości połączenia sieci wirtualnej można zaktualizować.

Aby zaktualizować wagę połączenia

Sieć wirtualną można połączyć z wieloma obwodami usługi ExpressRoute. Możesz otrzymać ten sam prefiks z więcej niż jednego obwodu usługi ExpressRoute. Aby wybrać połączenie do wysyłania ruchu przeznaczonego dla tego prefiksu, możesz zmienić wartość RoutingWeight połączenia. Ruch zostanie wysłany w połączeniu z najwyższą wagą routingu.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

Zakres wartości RoutingWeight wynosi od 0 do 32000. Wartość domyślna to 0.

Konfigurowanie usługi ExpressRoute — FastPath

Możesz włączyć usługę ExpressRoute FastPath , jeśli brama sieci wirtualnej to Ultra Performance lub ErGw3AZ. FastPath poprawia wydajność ścieżki danych, takich jak pakiety na sekundę i połączenia na sekundę między siecią lokalną a siecią wirtualną.

Konfigurowanie programu FastPath w nowym połączeniu

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Aktualizowanie istniejącego połączenia w celu włączenia funkcji FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

Uwaga

Możesz użyć Monitor połączenia, aby sprawdzić, czy ruch dociera do miejsca docelowego przy użyciu funkcji FastPath.

Rejestrowanie w funkcjach usługi ExpressRoute FastPath (wersja zapoznawcza)

Obsługa funkcji FastPath dla komunikacji równorzędnej sieci wirtualnych jest teraz dostępna w publicznej wersji zapoznawczej. Rejestracja jest dostępna tylko za pośrednictwem programu Azure PowerShell. Aby uzyskać instrukcje dotyczące sposobu rejestrowania, zobacz Funkcje wersji zapoznawczej fastpath.

Uwaga

Wszystkie połączenia skonfigurowane dla programu FastPath w subskrypcji docelowej zostaną zarejestrowane w tej wersji zapoznawczej. Nie zalecamy włączania tej wersji zapoznawczej w subskrypcjach produkcyjnych. Jeśli masz już skonfigurowaną aplikację FastPath i chcesz zarejestrować się w funkcji w wersji zapoznawczej, należy wykonać następujące czynności:

1. Zarejestruj się w funkcji FastPath w wersji zapoznawczej za pomocą powyższego polecenia programu Azure PowerShell.
2. Wyłącz, a następnie ponownie włącz opcję FastPath w połączeniu docelowym.

Czyszczenie zasobów

Jeśli połączenie usługi ExpressRoute nie jest już potrzebne, z subskrypcji, w której znajduje się brama, użyj az network vpn-connection delete polecenia , aby usunąć połączenie między bramą a obwodem.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

Następne kroki

W tym samouczku przedstawiono sposób łączenia sieci wirtualnej z obwodem w tej samej subskrypcji i w innej subskrypcji. Aby uzyskać więcej informacji na temat bramy usługi ExpressRoute, zobacz: Bramy sieci wirtualnej usługi ExpressRoute.

Aby dowiedzieć się, jak skonfigurować filtry tras dla komunikacji równorzędnej firmy Microsoft przy użyciu interfejsu wiersza polecenia platformy Azure, przejdź do następnego samouczka.

Konfigurowanie filtrów tras dla komunikacji równorzędnej firmy Microsoft