Przygotowanie do połączenia usługi Azure Communications Gateway z własną siecią wirtualną (wersja zapoznawcza)

W tym artykule opisano kroki wymagane do połączenia bramy usługi Azure Communications Gateway z własną siecią wirtualną przy użyciu iniekcji sieci wirtualnej dla usługi Azure Communications Gateway (wersja zapoznawcza). Ta procedura jest wymagana do wdrożenia usługi Azure Communications Gateway w podsieci, którą kontrolujesz i która jest używana podczas łączenia sieci lokalnej z prywatną komunikacją równorzędną usługi ExpressRoute lub za pośrednictwem usługi Azure VPN Gateway. Usługa Azure Communications Gateway ma dwa regiony usługi z własną łącznością, co oznacza, że należy zapewnić sieci wirtualne i podsieci w każdym z tych regionów.

Na poniższym diagramie przedstawiono omówienie usługi Azure Communications Gateway wdrożonej za pomocą iniekcji sieci wirtualnej. Interfejsy sieciowe w usłudze Azure Communications Gateway połączone z siecią są wdrażane w podsieci, a interfejsy sieciowe połączone z usługami komunikacji zaplecza pozostają zarządzane przez firmę Microsoft.

Wymagania wstępne

• Uzyskaj subskrypcję platformy Azure włączoną dla usługi Azure Communications Gateway.
• Poinformuj zespół dołączania, że zamierzasz używać własnych sieci wirtualnych.
• Utwórz sieć wirtualną platformy Azure w każdym z regionów świadczenia usługi Azure, które mają być używane jako regiony usługi Azure Communications Gateway. Dowiedz się, jak utworzyć sieć wirtualną.
• Utwórz podsieć w każdej sieci wirtualnej platformy Azure na potrzeby wyłącznego użycia usługi Azure Communications Gateway. Te podsieci muszą mieć co najmniej 16 adresów IP (zakres /28 IPv4 lub większy). Nic innego nie musi używać tej podsieci. Dowiedz się, jak utworzyć podsieć.
• Upewnij się, że twoje konto platformy Azure ma rolę Współautor sieci lub rolę nadrzędną tej roli w sieciach wirtualnych.
• Wdróż wybrane rozwiązanie łączności (na przykład ExpressRoute) w ramach subskrypcji platformy Azure i upewnij się, że jest gotowe do użycia.

Napiwek

Wdrożenia laboratorium mają tylko jeden region usługi, dlatego podczas tej procedury trzeba skonfigurować tylko jeden region.

Delegowanie podsieci sieci wirtualnej

Aby używać sieci wirtualnej z usługą Azure Communications Gateway, należy delegować podsieci do usługi Azure Communications Gateway. Delegowanie podsieci zapewnia jawne uprawnienia do usługi Azure Communications Gateway w celu tworzenia zasobów specyficznych dla usługi, takich jak interfejsy sieciowe (NIC) w podsieciach.

Wykonaj następujące kroki, aby delegować podsieci do użycia z usługą Azure Communications Gateway:

1. Przejdź do sieci wirtualnych i wybierz sieć wirtualną do użycia w pierwszym regionie usługi dla usługi Azure Communications Gateway.

2. Wybierz pozycję Podsieci.

3. Wybierz podsieć, którą chcesz delegować do usługi Azure Communications Gateway.

   Ważne

   Używana podsieć musi być dedykowana dla usługi Azure Communications Gateway.

4. W obszarze Delegowanie podsieci do usługi wybierz pozycję Microsoft.AzureCommunicationsGateway/networkSettings, a następnie wybierz pozycję Zapisz.

5. Sprawdź, czy wartość Microsoft.AzureCommunicationsGateway/networkSettings jest wyświetlana w kolumnie Delegowane do podsieci.

6. Powtórz powyższe kroki dla sieci wirtualnej i podsieci w innym regionie usługi Azure Communications Gateway.

Konfigurowanie sieciowych grup zabezpieczeń

Po połączeniu bramy usługi Azure Communications Gateway z sieciami wirtualnymi należy skonfigurować sieciową grupę zabezpieczeń, aby zezwolić na ruch z sieci do bramy usługi Azure Communications Gateway. Sieciowa grupa zabezpieczeń zawiera reguły kontroli dostępu, które zezwalają na ruch lub go blokują w oparciu o kierunek ruchu, protokół, adres źródłowy i docelowy oraz port.

Reguły sieciowej grupy zabezpieczeń można zmienić w dowolnym momencie, a zmiany są stosowane do wszystkich skojarzonych wystąpień. Wprowadzenie zmian sieciowej grupy zabezpieczeń może potrwać do 10 minut.

Ważne

Jeśli nie skonfigurujesz sieciowej grupy zabezpieczeń, ruch nie będzie mógł uzyskać dostępu do interfejsów sieciowych usługi Azure Communication Gateway.

Konfiguracja sieciowej grupy zabezpieczeń składa się z dwóch kroków, które należy wykonać w każdym regionie usługi:

1. Utwórz sieciową grupę zabezpieczeń, która zezwala na żądany ruch.
2. Skojarz sieciowa grupa zabezpieczeń z podsieciami sieci wirtualnej.

Sieciowa grupa zabezpieczeń umożliwia sterowanie ruchem do co najmniej jednej maszyny wirtualnej, wystąpień ról, kart sieciowych lub podsieci w sieci wirtualnej. Sieciowa grupa zabezpieczeń zawiera reguły kontroli dostępu, które zezwalają na ruch lub go blokują w oparciu o kierunek ruchu, protokół, adres źródłowy i docelowy oraz port. Reguły sieciowej grupy zabezpieczeń można zmienić w dowolnym momencie, a zmiany są stosowane do wszystkich skojarzonych wystąpień.

Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, odwiedź stronę co to jest sieciowa grupa zabezpieczeń.

Tworzenie odpowiedniej sieciowej grupy zabezpieczeń

We współpracy z zespołem dołączania określ odpowiednią konfigurację sieciowej grupy zabezpieczeń dla sieci wirtualnych. Ta konfiguracja zależy od wybranej łączności (na przykład usługi ExpressRoute) i topologii sieci wirtualnej.

Konfiguracja sieciowej grupy zabezpieczeń musi zezwalać na ruch do niezbędnych zakresów portów używanych przez usługę Azure Communications Gateway.

Napiwek

Możesz użyć zaleceń dla sieciowych grup zabezpieczeń, aby zapewnić, że konfiguracja jest zgodna z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń.

Kojarzenie podsieci z siecią grupy zabezpieczeń

1. Przejdź do sieciowej grupy zabezpieczeń i wybierz pozycję Podsieci.
2. Wybierz pozycję + Skojarz na górnym pasku menu.
3. W obszarze Sieć wirtualna wybierz sieć wirtualną.
4. W polu Podsieć wybierz podsieć sieci wirtualnej.
5. Wybierz przycisk OK , aby skojarzyć podsieć sieci wirtualnej z siecią grupy zabezpieczeń.
6. Powtórz te kroki dla innego regionu usługi.

Następny krok

Przygotowanie do wdrożenia usługi Azure Communications Gateway