Criar um peering de rede virtual - Resource Manager, subscrições e inquilinos diferentes do Microsoft Entra
Artigo
Neste tutorial, você aprenderá a criar um emparelhamento de rede virtual entre redes virtuais criadas por meio do Gerenciador de Recursos. As redes virtuais existem em diferentes assinaturas que podem pertencer a diferentes locatários do Microsoft Entra. O emparelhamento de duas redes virtuais permite que recursos em redes virtuais diferentes se comuniquem entre si com a mesma largura de banda e latência como se os recursos estivessem na mesma rede virtual. Saiba mais sobre o emparelhamento de rede virtual.
Dependendo se as redes virtuais estão na mesma ou em assinaturas diferentes, as etapas para criar um emparelhamento de rede virtual são diferentes. As etapas para peer networks criadas com o modelo de implantação clássico são diferentes. Para obter mais informações sobre modelos de implantação, consulte Modelo de implantação do Azure.
Saiba como criar um emparelhamento de rede virtual em outros cenários selecionando o cenário na tabela a seguir:
Um emparelhamento de rede virtual não pode ser criado entre duas redes virtuais implantadas por meio do modelo de implantação clássico. Se você precisar conectar redes virtuais que foram criadas por meio do modelo de implantação clássico, poderá usar um Gateway de VPN do Azure para conectar as redes virtuais.
Este tutorial emparelha redes virtuais na mesma região. Você também pode emparelhar redes virtuais em diferentes regiões suportadas. Familiarize-se com os requisitos e restrições de emparelhamento antes de emparelhar redes virtuais.
Uma conta do Azure com permissões em ambas as assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como convidado no locatário oposto e atribua-lhes a função de Colaborador de Rede à rede virtual. Este procedimento aplica-se se as redes virtuais estiverem em subscrições e inquilinos do Ative Directory diferentes.
Para estabelecer um emparelhamento de rede quando você não pretende separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, atribua-lhes a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede a partir de cada assinatura.
Uma conta do Azure com permissões em ambas as assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como convidado no locatário oposto e atribua-lhes a função de Colaborador de Rede à rede virtual. Este procedimento aplica-se se as redes virtuais estiverem em subscrições e inquilinos do Ative Directory diferentes.
Para estabelecer um emparelhamento de rede quando você não pretende separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, atribua-lhes a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede a partir de cada assinatura.
Cada utilizador tem de aceitar o convite de utilizador convidado do inquilino do Microsoft Entra oposto.
Azure PowerShell instalado localmente ou Azure Cloud Shell.
Entre no Azure PowerShell e selecione a assinatura com a qual você deseja usar esse recurso. Para obter mais informações, consulte Entrar com o Azure PowerShell.
Certifique-se de que o módulo Az.Network é 4.3.0 ou posterior. Para verificar o módulo instalado, use o comando Get-InstalledModule -Name "Az.Network". Se o módulo exigir uma atualização, use o comando Update-Module -Name Az.Network , se necessário.
Se optar por instalar e utilizar o PowerShell localmente, este artigo requer a versão 5.4.1 ou posterior do módulo Azure PowerShell. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure.
Uma conta do Azure com permissões em ambas as assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como convidado no locatário oposto e atribua-lhes a função de Colaborador de Rede à rede virtual. Este procedimento aplica-se se as redes virtuais estiverem em subscrições e inquilinos do Ative Directory diferentes.
Para estabelecer um emparelhamento de rede quando você não pretende separar o dever de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, atribua-lhes a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede a partir de cada assinatura.
Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.
Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.
Este artigo de instruções requer a versão 2.31.0 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.
Nas etapas a seguir, saiba como emparelhar redes virtuais em diferentes assinaturas e locatários do Microsoft Entra.
Você pode usar a mesma conta que tem permissões em ambas as assinaturas ou pode usar contas separadas para cada assinatura para configurar o emparelhamento. Uma conta com permissões em ambas as assinaturas pode concluir todas as etapas sem sair e entrar no portal e atribuir permissões.
Os seguintes recursos e exemplos de conta são usados nas etapas deste artigo:
Conta de utilizador
Grupo de recursos
Subscrição
Rede virtual
utilizador-1
teste-rg
assinatura-1
VNET-1
utilizador-2
teste-rg-2
subscrição-2
VNET-2
Criar rede virtual - vnet-1
Nota
Se estiver a utilizar uma única conta para concluir os passos, pode ignorar os passos para terminar sessão no portal e atribuir permissões a outro utilizador às redes virtuais.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-1 com Set-AzContext.
Set-AzContext -Subscription subscription-1
Criar um grupo de recursos - test-rg
Um grupo de recursos do Azure é um contêiner lógico onde os recursos do Azure são implantados e gerenciados.
O Azure implanta recursos em uma sub-rede dentro de uma rede virtual, portanto, você precisa criar uma sub-rede. Crie uma configuração de sub-rede chamada subnet-1 com Add-AzVirtualNetworkSubnetConfig:
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-1 com az account set.
az account set --subscription "subscription-1"
Criar um grupo de recursos - test-rg
Um grupo de recursos do Azure é um contêiner lógico onde os recursos do Azure são implantados e gerenciados.
Uma conta de usuário na outra assinatura que você deseja emparelhar deve ser adicionada à rede que você criou anteriormente. Se estiver a utilizar uma única conta para ambas as subscrições, pode ignorar esta secção.
Use Get-AzADUser para obter a ID do objeto para user-2.
user-2 é usado neste exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-2 que você deseja atribuir permissões para vnet-1. Pode ignorar este passo se estiver a utilizar a mesma conta para ambas as subscrições.
user-2 é usado neste exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-2 que você deseja atribuir permissões para vnet-1. Pode ignorar este passo se estiver a utilizar a mesma conta para ambas as subscrições.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-1.
Em Configurações, selecione Propriedades.
Copie as informações no campo ID do recurso e salve para as etapas posteriores. O ID do recurso é semelhante ao exemplo a seguir: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Saia do portal como usuário-1.
O ID de recurso de vnet-1 é necessário para configurar a conexão de emparelhamento de vnet-2 para vnet-1. Use Get-AzVirtualNetwork para obter a ID do recurso para vnet-1.
O ID de recurso de vnet-1 é necessário para configurar a conexão de emparelhamento de vnet-2 para vnet-1. Use az network vnet show para obter o ID do recurso para vnet-1.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Criar rede virtual - vnet-2
Nesta seção, você entra como usuário-2 e cria uma rede virtual para a conexão de emparelhamento com vnet-1.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-2 com Set-AzContext.
Set-AzContext -Subscription subscription-2
Criar um grupo de recursos - test-rg-2
Um grupo de recursos do Azure é um contêiner lógico onde os recursos do Azure são implantados e gerenciados.
O Azure implanta recursos em uma sub-rede dentro de uma rede virtual, portanto, você precisa criar uma sub-rede. Crie uma configuração de sub-rede chamada subnet-1 com Add-AzVirtualNetworkSubnetConfig:
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-2 com az account set.
az account set --subscription "subscription-2"
Criar um grupo de recursos - test-rg-2
Um grupo de recursos do Azure é um contêiner lógico onde os recursos do Azure são implantados e gerenciados.
Uma conta de usuário na outra assinatura que você deseja emparelhar deve ser adicionada à rede que você criou anteriormente. Se estiver a utilizar uma única conta para ambas as subscrições, pode ignorar esta secção.
Use Get-AzADUser para obter a ID do objeto para user-1.
user-1 é usado neste exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-1 que você deseja atribuir permissões ao vnet-2. Pode ignorar este passo se estiver a utilizar a mesma conta para ambas as subscrições.
user-1 é usado neste exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-1 que você deseja atribuir permissões ao vnet-2. Pode ignorar este passo se estiver a utilizar a mesma conta para ambas as subscrições.
Anote o ID do objeto do usuário-1 no id do campo. Neste exemplo, é bbbbbbbb-1111-2222-3333-cccccccccccc.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
--role "Network Contributor" \
--scope $vnetid
Obter ID de recurso do vnet-2
O ID de recurso de vnet-2 é necessário para configurar a conexão de emparelhamento de vnet-1 para vnet-2. Use as etapas a seguir para obter a ID do recurso vnet-2.
Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-2.
Em Configurações, selecione Propriedades.
Copie as informações no campo ID do recurso e salve para as etapas posteriores. O ID do recurso é semelhante ao exemplo a seguir: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Saia do portal como usuário-2.
O ID de recurso de vnet-2 é necessário para configurar a conexão de emparelhamento de vnet-1 para vnet-2. Use Get-AzVirtualNetwork para obter a ID do recurso para vnet-2.
O ID de recurso de vnet-2 é necessário para configurar a conexão de emparelhamento de vnet-1 para vnet-2. Use az network vnet show para obter o ID do recurso para vnet-2.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Criar conexão de emparelhamento - vnet-1 a vnet-2
Você precisa da ID de recurso para vnet-2 das etapas anteriores para configurar a conexão de emparelhamento.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-1 com Set-AzContext.
Set-AzContext -Subscription subscription-1
Iniciar sessão na subscrição-2
Autentique-se na assinatura-2 para que o emparelhamento possa ser configurado.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-1 com az account set.
az account set --subscription "subscription-1"
Iniciar sessão na subscrição-2
Autentique-se na assinatura-2 para que o emparelhamento possa ser configurado.
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
A conexão de emparelhamento é exibida em Emparelhamento em um estado Iniciado . Para completar o peer, uma conexão correspondente deve ser configurada no vnet-2.
Criar conexão de emparelhamento - vnet-2 para vnet-1
Você precisa das IDs de recurso para vnet-1 das etapas anteriores para configurar a conexão de emparelhamento.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-2 com Set-AzContext.
Set-AzContext -Subscription subscription-2
Iniciar sessão na subscrição-1
Autentique-se na assinatura-1 para que o emparelhamento possa ser configurado.
Se estiver a utilizar uma conta para ambas as subscrições, inicie sessão nessa conta e altere o contexto da subscrição para subscrição-2 com az account set.
az account set --subscription "subscription-2"
Iniciar sessão na subscrição-1
Autentique-se na assinatura-1 para que o emparelhamento possa ser configurado.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
O emparelhamento é estabelecido com êxito depois que você vê Conectado na coluna Status do emparelhamento para ambas as redes virtuais no emparelhamento. Todos os recursos do Azure criados em qualquer rede virtual agora podem se comunicar entre si por meio de seus endereços IP. Se você estiver usando a resolução de nomes do Azure para as redes virtuais, os recursos nas redes virtuais não poderão resolver nomes nas redes virtuais. Se quiser resolver nomes em redes virtuais em um emparelhamento, você deve criar seu próprio servidor DNS (Sistema de Nomes de Domínio) ou usar o DNS do Azure.
Familiarize-se completamente com restrições e comportamentos importantes de emparelhamento de rede virtual antes de criar um emparelhamento de rede virtual para uso em produção.
Saiba mais sobre todas as configurações de emparelhamento de rede virtual.
Saiba como criar uma topologia de rede hub and spoke com emparelhamento de rede virtual.