Partilhar via

Utilize o Azure ExpressRoute para ligar o Azure Stack Hub ao Azure

  • Artigo

Este artigo descreve como conectar uma rede virtual do Azure Stack Hub a uma rede virtual do Azure usando uma conexão direta do Microsoft Azure ExpressRoute .

Você pode usar este artigo como um tutorial e usar os exemplos para configurar o mesmo ambiente de teste. Ou, você pode ler o artigo como um passo a passo que o orienta na configuração de seu próprio ambiente de Rota Expressa.

Visão geral, pressupostos e pré-requisitos

O Azure ExpressRoute permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada fornecida por um provedor de conectividade. O ExpressRoute não é uma conexão VPN pela Internet pública.

Para obter mais informações sobre a Rota Expressa do Azure, consulte a Visão geral da Rota Expressa.

Suposições

Este artigo parte do princípio de que:

  • Você tem um conhecimento prático do Azure.
  • Você tem uma compreensão básica do Azure Stack Hub.
  • Você tem uma compreensão básica de networking.

Pré-requisitos

Para conectar o Azure Stack Hub e o Azure usando a Rota Expressa, você deve atender aos seguintes requisitos:

  • Um circuito de Rota Expressa provisionado por meio de um provedor de conectividade.
  • Uma assinatura do Azure para criar um circuito de Rota Expressa e redes virtuais no Azure.
  • Um roteador que deve:
    • Ofereça suporte a conexões VPN site a site entre sua interface LAN e o gateway multilocatário do Azure Stack Hub.
    • Ofereça suporte à criação de vários VRFs (Roteamento e Encaminhamento Virtual) se houver mais de um locatário em sua implantação do Azure Stack Hub.
  • Um router que tenha:
    • Uma porta WAN conectada ao circuito ExpressRoute.
    • Uma porta LAN conectada ao gateway multilocatário do Azure Stack Hub.

Arquitetura de rede ExpressRoute

A figura a seguir mostra os ambientes do Azure Stack Hub e do Azure depois que você concluir a configuração da Rota Expressa usando os exemplos neste artigo:

Rede ExpressRoute

A figura a seguir mostra como vários locatários se conectam da infraestrutura do Azure Stack Hub por meio do roteador ExpressRoute para o Azure:

Conexões multilocatárias com a Rota Expressa

O exemplo neste artigo usa a mesma arquitetura multilocatária mostrada neste diagrama para conectar o Azure Stack Hub ao Azure usando o emparelhamento privado da Rota Expressa. A conexão é feita usando uma conexão VPN site a site do gateway de rede virtual no Azure Stack Hub para um roteador ExpressRoute.

As etapas neste artigo mostram como criar uma conexão de ponta a ponta entre duas VNets de dois locatários diferentes no Azure Stack Hub para VNets correspondentes no Azure. A configuração de dois inquilinos é opcional; Você também pode usar essas etapas para um único locatário.

Configurar o Azure Stack Hub

Para configurar o ambiente do Azure Stack Hub para o primeiro locatário, use as etapas a seguir como um guia. Se estiver a configurar mais do que um inquilino, repita estes passos:

Nota

Estas etapas mostram como criar recursos usando o portal do Azure Stack Hub, mas você também pode usar o PowerShell.

Configuração de rede do Azure Stack Hub

Antes de começar

Antes de começar a configurar o Azure Stack Hub, você precisa:

  • Uma implantação do Azure Stack Hub.
  • Uma oferta no Azure Stack Hub que seus usuários podem assinar. Para obter mais informações, consulte Visão geral de serviço, plano, oferta, assinatura.

Criar recursos de rede no Azure Stack Hub

Use os procedimentos a seguir para criar os recursos de rede necessários no Azure Stack Hub para um locatário.

Criar a rede virtual e a sub-rede VM

  1. Entre no portal do usuário do Azure Stack Hub.

  2. No portal, selecione + Criar um recurso.

  3. Em Azure Marketplace, selecione Rede.

  4. Em Em Destaque, selecione Rede virtual.

  5. Em Criar rede virtual, insira os valores mostrados na tabela a seguir nos campos apropriados:

    Campo Valor
    Nome Inquilino1VNet1
    Espaço de endereços 10.1.0.0/16
    Nome da sub-rede Inquilino1-Sub1
    Intervalo de endereços da sub-rede 10.1.1.0/24

  6. Você verá a assinatura criada anteriormente preenchida no campo Assinatura . Para os restantes campos:

    • Em Grupo de recursos, selecione Criar novo para criar um novo grupo de recursos ou, se já tiver um, selecione Usar existente.
    • Verifique o local padrão.
    • Clique em Criar.
    • (Opcional) Clique em Fixar no painel.

Criar a sub-rede de gateway

  1. Em Rede virtual, selecione Tenant1VNet1.
  2. Em DEFINIÇÕES, selecione sub-redes.
  3. Selecione + Sub-rede de gateway para adicionar uma sub-rede de gateway à rede virtual.
  4. O nome da sub-rede está predefinido como GatewaySubnet. As sub-redes de gateway são um caso especial e devem usar esse nome para funcionar corretamente.
  5. Verifique se o intervalo de endereços é 10.1.0.0/24.
  6. Clique em OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

  1. No portal do usuário do Azure Stack Hub, clique em + Criar um recurso.
  2. Em Azure Marketplace, selecione Rede.
  3. Selecione Gateway de rede virtual na lista de recursos de rede.
  4. No campo Nome, insira GW1.
  5. Selecione Rede virtual.
  6. Selecione Tenant1VNet1 na lista suspensa.
  7. Selecione Endereço IP público, escolha endereço IP público e clique em Criar novo.
  8. No campo Nome, digite GW1-PiP e clique em OK.
  9. O Tipo de VPN deve ter a opção Baseado na rota selecionada por predefinição. Mantenha esta definição.
  10. Certifique-se de que a Subscrição e a Localização estão corretas. Clique em Criar.

Criar o gateway de rede local

O recurso de gateway de rede local identifica o gateway remoto na outra extremidade da conexão VPN. Neste exemplo, a extremidade remota da conexão é a subinterface LAN do roteador ExpressRoute. Para o Locatário 1 no diagrama anterior, o endereço remoto é 10.60.3.255.

  1. Entre no portal do usuário do Azure Stack Hub e selecione + Criar um recurso.

  2. Em Azure Marketplace, selecione Rede.

  3. Selecione Gateway de rede local na lista de recursos.

  4. No campo Nome, digite ER-Router-GW.

  5. Para o campo Endereço IP, consulte a figura anterior. O endereço IP da subinterface LAN do roteador ExpressRoute para o Locatário 1 é 10.60.3.255. Para o seu próprio ambiente, insira o endereço IP da interface correspondente do seu roteador.

  6. No campo Espaço de Endereço, insira o espaço de endereço das redes virtuais às quais você deseja se conectar no Azure. As sub-redes para o Locatário 1 são as seguintes:

    • 192.168.2.0/24 é a VNet de hub no Azure.
    • 10.100.0.0/16 é a VNet falada no Azure.

    Importante

    Este exemplo pressupõe que você esteja usando rotas estáticas para a conexão VPN site a site entre o gateway do Azure Stack Hub e o roteador ExpressRoute.

  7. Verifique se a Subscrição, o Grupo de Recursos e a Localização estão corretos. Depois, selecione Criar.

Criar a ligação

  1. No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.
  2. Em Azure Marketplace, selecione Rede.
  3. Selecione Ligação na lista de recursos.
  4. Em Noções básicas, escolha Site a site (IPSec) como o tipo de conexão.
  5. Selecione o grupo Assinatura, Recursos e Local. Clique em OK.
  6. Em Configurações, selecione Gateway de rede virtual e, em seguida, selecione GW1.
  7. Selecione Gateway de rede local e, em seguida, selecione GW do roteador ER.
  8. No campo Nome da conexão , digite ConnectToAzure.
  9. No campo Chave compartilhada (PSK), digite abc123 e selecione OK.
  10. Em Resumo, selecione OK.

Obter o endereço IP público do gateway de rede virtual

Depois de criar o gateway de rede virtual, você pode obter o endereço IP público do gateway. Anote esse endereço caso precise dele mais tarde para sua implantação. Dependendo da sua implantação, esse endereço é usado como o endereço IP interno.

  1. No portal do usuário do Azure Stack Hub, selecione Todos os recursos.
  2. Em Todos os recursos, selecione o gateway de rede virtual, que é GW1 no exemplo.
  3. Em Gateway de rede virtual, selecione Visão geral na lista de recursos. Como alternativa, você pode selecionar Propriedades.
  4. O endereço IP que você deseja observar está listado em Endereço IP público. Para a configuração de exemplo, esse endereço é 192.68.102.1.

Criar uma VM (máquina virtual)

Para testar o tráfego de dados pela conexão VPN, você precisa de VMs para enviar e receber dados na VNet do Azure Stack Hub. Crie uma VM e implante-a na sub-rede VM para sua rede virtual.

  1. No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.

  2. Em Azure Marketplace, selecione Computação.

  3. Na lista de imagens de VM, selecione a imagem Eval do Windows Server 2016 Datacenter.

    Nota

    Se a imagem usada para este artigo não estiver disponível, peça ao operador do Azure Stack Hub para fornecer uma imagem diferente do Windows Server.

  4. Em Criar máquina virtual, selecione Noções básicas e digite VM01 como o Nome.

  5. Introduza um nome de utilizador e palavra-passe válidos. Você usará essa conta para entrar na VM depois que ela for criada.

  6. Forneça uma Assinatura, um grupo de Recursos e um Local. Selecione OK.

  7. Em Escolha um tamanho, selecione um tamanho de VM para esta instância e, em seguida, selecione Selecionar.

  8. Em Configurações, confirme que:

    • A rede virtual é Tenant1VNet1.
    • A sub-rede está definida como 10.1.1.0/24.

    Use as configurações padrão e clique em OK.

  9. Em Resumo, revise a configuração da VM e clique em OK.

Para adicionar mais locatários, repita as etapas seguidas nestas seções:

Se você estiver usando o Locatário 2 como exemplo, lembre-se de alterar os endereços IP para evitar sobreposições.

Configurar a VM NAT para a travessia do gateway

Importante

Esta seção é apenas para implantações ASDK. O NAT não é necessário para implantações de vários nós.

O ASDK é autônomo e isolado da rede onde o host físico está implantado. A rede VIP à qual os gateways estão conectados não é externa; ele está escondido atrás de um roteador executando Network Address Translation (NAT).

O roteador é o host ASDK que executa a função RRAS (Serviços de Roteamento e Acesso Remoto). Você deve configurar o NAT no host ASDK para permitir que a conexão VPN site a site se conecte em ambas as extremidades.

Configurar o NAT

  1. Entre no computador host do Azure Stack Hub com sua conta de administrador.

  2. Execute o script em um ISE do PowerShell elevado. Esse script retorna seu endereço BGPNAT externo.

    Get-NetNatExternalAddress

  3. Para configurar o NAT, copie e edite o seguinte script do PowerShell. Edite o script para substituir o External BGPNAT address e Internal IP address com os seguintes valores de exemplo:

    • Para endereços BGPNAT externos, use 10.10.0.62
    • Para endereço IP interno, use 192.168.102.1

    Execute o seguinte script a partir de um ISE do PowerShell elevado:

    $ExtBgpNat = 'External BGPNAT address'
$IntBgpNat = 'Internal IP address'

# Designate the external NAT address for the ports that use the IKE authentication.
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 499 `
   -PortEnd 501
Add-NetNatExternalAddress `
   -NatName BGPNAT `
   -IPAddress $Using:ExtBgpNat `
   -PortStart 4499 `
   -PortEnd 4501
# Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 500 `
   -InternalPort 500
# Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
Add-NetNatStaticMapping `
   -NatName BGPNAT `
   -Protocol UDP `
   -ExternalIPAddress $Using:ExtBgpNat `
   -InternalIPAddress $Using:IntBgpNat `
   -ExternalPort 4500 `
   -InternalPort 4500

Configurar o Azure

Depois de concluir a configuração do Azure Stack Hub, você pode implantar os recursos do Azure. A figura a seguir mostra um exemplo de uma rede virtual de locatário no Azure. Você pode usar qualquer nome e esquema de endereçamento para sua rede virtual no Azure. No entanto, o intervalo de endereços das redes virtuais no Azure e no Azure Stack Hub deve ser exclusivo e não deve se sobrepor:

Azure VNets

Os recursos que você implanta no Azure são semelhantes aos recursos implantados no Azure Stack Hub. Você implanta os seguintes componentes:

  • Redes virtuais e sub-redes
  • Uma sub-rede de gateway
  • Um gateway de rede virtual
  • Uma conexão
  • Um circuito de Rota Expressa

O exemplo de infraestrutura de rede do Azure é configurado da seguinte maneira:

  • Um modelo VNet padrão de hub (192.168.2.0/24) e spoke (10.100.0.0./16). Para obter mais informações sobre topologia de rede hub-spoke, consulte Implementar uma topologia de rede hub-spoke no Azure.
  • As cargas de trabalho são implantadas na VNet spoke e o circuito ExpressRoute é conectado à VNet do hub.
  • As duas VNets são conectadas usando emparelhamento de VNet.

Configurar as redes virtuais do Azure

  1. Entre no portal do Azure com suas credenciais do Azure.
  2. Crie a VNet do hub usando o intervalo de endereços 192.168.2.0/24.
  3. Crie uma sub-rede usando o intervalo de endereços 192.168.2.0/25 e adicione uma sub-rede de gateway usando o intervalo de endereços 192.168.2.128/27.
  4. Crie a VNet spoke e a sub-rede usando o intervalo de endereços 10.100.0.0/16.

Para obter mais informações sobre como criar redes virtuais no Azure, consulte Criar uma rede virtual.

Configurar um circuito de Rota Expressa

  1. Analise os pré-requisitos da Rota Expressa na lista de pré-requisitos e lista de verificação da Rota Expressa.

  2. Siga as etapas em Criar e modificar um circuito de Rota Expressa para criar um circuito de Rota Expressa usando sua assinatura do Azure.

    Nota

    Forneça a chave de serviço do seu circuito ao seu serviço para que eles possam configurar o seu circuito de Rota Expressa no final.

  3. Siga as etapas em Criar e modificar emparelhamento para um circuito de Rota Expressa para configurar o emparelhamento privado no circuito de Rota Expressa.

Criar o gateway de rede virtual

Siga as etapas em Configurar um gateway de rede virtual para Rota Expressa usando o PowerShell para criar um gateway de rede virtual para Rota Expressa na VNet do hub.

Criar a ligação

Para vincular o circuito de Rota Expressa à rede virtual do hub, siga as etapas em Conectar uma rede virtual a um circuito de Rota Expressa.

Configurar o peering entre as VNets

Emparelhe as VNets de hub e spoke usando as etapas em Criar um emparelhamento de rede virtual usando o portal do Azure. Ao configurar o emparelhamento de VNet, certifique-se de usar as seguintes opções:

  • Do hub para o spoke, Permitir o trânsito do gateway.
  • Do spoke para o hub, use o gateway remoto.

Criar uma máquina virtual

Implante suas VMs de carga de trabalho na VNet falada.

Repita estas etapas para quaisquer VNets de locatário adicionais que você deseja conectar no Azure por meio de seus respetivos circuitos de Rota Expressa.

Configurar o roteador

Você pode usar o seguinte diagrama de configuração do roteador ExpressRoute como um guia para configurar seu roteador ExpressRoute. Esta figura mostra dois locatários (Locatário 1 e Locatário 2) com seus respetivos circuitos de Rota Expressa. Cada locatário está vinculado ao seu próprio VRF (Virtual Routing and Forwarding) no lado LAN e WAN do roteador ExpressRoute. Essa configuração garante o isolamento de ponta a ponta entre os dois locatários. Anote os endereços IP usados nas interfaces do roteador enquanto segue o exemplo de configuração.

Configuração do roteador ExpressRoute

Você pode usar qualquer roteador que ofereça suporte a VPN IKEv2 e BGP para encerrar a conexão VPN site a site do Azure Stack Hub. O mesmo roteador é usado para se conectar ao Azure usando um circuito de Rota Expressa.

O seguinte exemplo de configuração do Cisco ASR 1000 Series Aggregation Services Router suporta a infraestrutura de rede mostrada no diagrama de configuração do roteador ExpressRoute.

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testar a ligação

Teste sua conexão depois de estabelecer a conexão site a site e o circuito ExpressRoute.

Execute os seguintes testes de ping:

  • Entre em uma das VMs em sua VNet do Azure e execute ping na VM que você criou no Azure Stack Hub.
  • Entre em uma das VMs criadas no Hub de Pilha do Azure e execute ping na VM criada na VNet do Azure.

Nota

Para se certificar de que está a enviar tráfego através das ligações site a site e ExpressRoute, tem de efetuar ping no endereço IP dedicado (DIP) da VM em ambas as extremidades e não no endereço VIP da VM.

Permitir a entrada de ICMP através do firewall

Por padrão, o Windows Server 2016 não permite a entrada de pacotes ICMP através do firewall. Para cada VM que você usa para testes de ping, você deve permitir pacotes ICMP de entrada. Para criar uma regra de firewall para ICMP, execute o seguinte cmdlet em uma janela elevada do PowerShell:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Executar ping na VM do Azure Stack Hub

  1. Entre no portal do usuário do Azure Stack Hub.

  2. Localize a VM que você criou e selecione-a.

  3. Selecione Ligar.

  4. Em um prompt de comando do Windows ou PowerShell com privilégios elevados, digite ipconfig /all. Observe o endereço IPv4 retornado na saída.

  5. Execute ping no endereço IPv4 da VM na VNet do Azure.

    No ambiente de exemplo, o endereço IPv4 é da sub-rede 10.1.1.x/24. Em seu ambiente, o endereço pode ser diferente, mas deve estar na sub-rede que você criou para a sub-rede VNet do locatário.

Ver estatísticas de transferência de dados

Se quiser saber quanto tráfego está passando pela sua conexão, você pode encontrar essas informações no portal do usuário do Azure Stack Hub. Visualizar estatísticas de transferência de dados também é uma boa maneira de descobrir se seus dados de teste de ping passaram ou não pelas conexões VPN e ExpressRoute:

  1. Entre no portal do usuário do Azure Stack Hub e selecione Todos os recursos.
  2. Navegue até o grupo de recursos do seu Gateway VPN e selecione o tipo de objeto Conexão .
  3. Selecione a conexão ConnectToAzure na lista.
  4. Em Visão geral de conexões>, você pode ver as estatísticas de entrada e saída de dados. Você deve ver alguns valores diferentes de zero.

Próximos passos

Implantar aplicativos no Azure e no Azure Stack Hub