Udostępnij za pośrednictwem


Konfigurowanie tranzytu bramy sieci VPN na potrzeby wirtualnych sieci równorzędnych

Ten artykuł pomaga skonfigurować tranzyt bramy na potrzeby wirtualnych sieci równorzędnych. Wirtualne sieci równorzędne łączą bezproblemowo dwie sieci wirtualne platformy Azure, scalając je w jedną na potrzeby łączności. Tranzyt bramy to właściwość komunikacji równorzędnej, która umożliwia jednej sieci wirtualnej korzystanie z bramy sieci VPN w równorzędnej sieci wirtualnej na potrzeby łączności między lokalizacjami lub sieciami wirtualnymi.

Na poniższym diagramie przedstawiono sposób działania tranzytu bramy w wirtualnych sieciach równorzędnych. Na diagramie tranzyt bramy umożliwia równorzędnym sieciom wirtualnym użycie bramy sieci VPN platformy Azure w centralnej sieci wirtualnej korzystającej z modelu usługi RM (Hub-RM). Połączenia dostępne dla bramy sieci VPN, w tym połączenia typu lokacja-lokacja, punkt-lokacja i połączenia między sieciami wirtualnymi, mają zastosowanie we wszystkich trzech sieciach wirtualnych.

Diagram tranzytowy bramy.

Opcja tranzytowa może być używana ze wszystkimi jednostkami SKU bramy sieci VPN z wyjątkiem jednostki SKU w warstwie Podstawowa.

W architekturze sieciowej typu gwiazdy tranzyt bramy umożliwia ułożonym promieniście sieciom wirtualnym współużytkowanie bramy sieci VPN znajdującej się w centrum, zamiast wdrażać bramy sieci VPN w każdej promienistej sieci wirtualnej. Trasy do połączonych z bramą sieci wirtualnych lub sieci lokalnych są propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu tranzytu bramy.

Automatyczne propagowanie tras z bramy sieci VPN można wyłączyć. Utwórz tabelę routingu za pomocą opcji „Wyłącz propagację tras BGP” i skojarz tabelę routingu z podsieciami, aby zapobiec dystrybucji tras do tych podsieci. Aby uzyskać więcej informacji, zobacz Virtual network routing table (Tabela routingu sieci wirtualnej).

Uwaga

Jeśli wprowadzisz zmianę w topologii sieci i masz klientów sieci VPN z systemem Windows, pakiet klienta sieci VPN dla klientów z systemem Windows musi zostać pobrany i zainstalowany ponownie, aby zmiany zostały zastosowane do klienta.

Wymagania wstępne

Ten artykuł wymaga następujących sieci wirtualnych i uprawnień.

Sieci wirtualne

Sieć wirtualna Kroki w konfiguracji Brama sieci wirtualnej
Hub-RM Resource Manager Tak
Szprycha -RM Resource Manager Nie.

Uprawnienia

Konta używane do tworzenia wirtualnych sieci równorzędnych muszą mieć niezbędne role lub uprawnienia. W poniższym przykładzie w przypadku komunikacji równorzędnej dwóch sieci wirtualnych o nazwach Hub-RM i Spoke-Classic konto musi mieć następujące role lub uprawnienia dla każdej sieci wirtualnej:

Sieć wirtualna Model wdrażania Rola Uprawnienia
Hub-RM Resource Manager Współautor sieci Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Szprycha -RM Resource Manager Współautor sieci Microsoft.Network/virtualNetworks/peer

Dowiedz się więcej na temat wbudowanych ról i przypisywania określonych uprawnień do ról niestandardowych (tyko usługa Resource Manager).

Aby dodać komunikację równorzędną i włączyć tranzyt

  1. W witrynie Azure Portal utwórz lub zaktualizuj komunikację równorzędną sieci wirtualnych z poziomu usługi Hub-RM. Przejdź do sieci wirtualnej Hub-RM . Wybierz pozycję Komunikacje równorzędne, a następnie pozycję + Dodaj, aby otworzyć pozycję Dodaj komunikację równorzędną.

  2. Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości podsumowania zdalnej sieci wirtualnej.

    • Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: SpokeRMToHubRM
    • Model wdrażania sieci wirtualnej: Resource Manager
    • Wiem, że mój identyfikator zasobu: pozostaw puste. Musisz wybrać tę opcję tylko wtedy, gdy nie masz dostępu do odczytu do sieci wirtualnej lub subskrypcji, z którą chcesz pracować równorzędnie.
    • Subskrypcja: wybierz subskrypcję.
    • Sieć wirtualna: szprycha -RM
  3. Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości ustawień komunikacji równorzędnej zdalnej sieci wirtualnej.

    • Zezwól "Spoke-RM" na dostęp do "Hub-RM": pozostaw wartość domyślną wybranej.
    • Zezwól "Spoke-RM" na odbieranie przekazywanego ruchu z "Hub-RM": zaznacz pole wyboru.
    • Zezwalaj bramie lub serwerowi routingu w równorzędnej sieci wirtualnej na przekazywanie ruchu do "Hub-RM": pozostaw wartość domyślną niezaznaczonego.
    • Włącz funkcję "SpokeRM", aby użyć bramy zdalnej "Hub-RM" lub serwera tras: zaznacz pole wyboru.

    Zrzut ekranu przedstawiający dodawanie komunikacji równorzędnej.

  4. Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości podsumowania lokalnej sieci wirtualnej.

    • Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: HubRMToSpokeRM
  5. Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości ustawień lokalnej komunikacji równorzędnej sieci wirtualnych.

    • Zezwól usłudze "Hub-RM" na dostęp do równorzędnej sieci wirtualnej: pozostaw wartość domyślną wybranej.
    • Zezwól usłudze "Hub-RM" na odbieranie przekazywanego ruchu z równorzędnej sieci wirtualnej: zaznacz pole wyboru.
    • Zezwalaj na przekazywanie ruchu do równorzędnej sieci wirtualnej za pomocą bramy lub serwera tras w usłudze "Hub-RM": zaznacz pole wyboru.
    • Włącz opcję "Hub-RM", aby użyć bramy zdalnej sieci wirtualnej równorzędnej lub serwera routingu: pozostaw wartość domyślną niezaznaczonej.

    Zrzut ekranu przedstawia wartości zdalnej sieci wirtualnej.

  6. Wybierz pozycję Dodaj, aby utworzyć komunikację równorzędną.

  7. Sprawdź stan komunikacji równorzędnej jako Połączono w obu sieciach wirtualnych.

Aby zmodyfikować istniejącą komunikację równorzędną na potrzeby przesyłania

Jeśli masz już istniejącą komunikację równorzędną, możesz zmodyfikować komunikację równorzędną na potrzeby przesyłania.

  1. Przejdź do sieci wirtualnej. Wybierz pozycję Komunikacje równorzędne i wybierz komunikację równorzędną, którą chcesz zmodyfikować. Na przykład w sieci wirtualnej Szprycha-RM wybierz komunikację równorzędną SpokeRMtoHubRM.

  2. Zaktualizuj komunikację równorzędną sieci wirtualnych.

    Włącz opcję "Spoke-RM", aby użyć bramy zdalnej "Hub-RM" lub serwera tras: zaznacz pole wyboru.

  3. Zapisz ustawienia komunikacji równorzędnej.

Przykładowy skrypt programu PowerShell

Możesz również użyć programu PowerShell, aby utworzyć lub zaktualizować komunikację równorzędną. Zastąp zmienne nazwami swoich sieci wirtualnych i grup zasobów.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Następne kroki