Conectar redes virtuais entre locatários a um hub WAN Virtual - com a CLI do Azure

Este artigo ajuda você a usar a WAN Virtual do Azure para conectar uma rede virtual a um hub virtual em um locatário diferente. Essa arquitetura é útil se você tiver cargas de trabalho de cliente que devem estar conectadas para serem a mesma rede, mas estão em locatários diferentes. Por exemplo, conforme mostrado no diagrama a seguir, você pode conectar uma rede virtual que não seja da Contoso (o locatário remoto) a um hub virtual da Contoso (o locatário pai).

Neste artigo, vai aprender a:

• Adicione outro locatário como Colaborador em sua assinatura do Azure.
• Conecte uma rede virtual entre locatários a um hub virtual.

As etapas para essa configuração usam uma combinação do portal do Azure e da CLI do Azure. No entanto, o recurso em si está disponível apenas no PowerShell e na CLI do Azure.

Nota

Só pode gerir ligações de rede virtual entre inquilinos através do PowerShell ou do Azure CLI instalado no seu computador local. Como o Portal do Azure não oferece suporte a operações entre locatários, você não pode gerenciar conexões de rede virtual entre locatários por meio do portal do Azure ou do portal do Azure CloudShell (PowerShell e CLI).

Antes de começar

Pré-requisitos

Para usar as etapas neste artigo, você deve ter a seguinte configuração já configurada em seu ambiente:

• Uma WAN virtual e um hub virtual na sua subscrição principal
• Uma rede virtual configurada em uma assinatura em um locatário (remoto) diferente
• Extensão CLI da WAN virtual, versão 0.3.0 ou superior. Para obter mais detalhes sobre a extensão, vá para Extensões disponíveis da CLI do Azure.

Certifique-se de que o espaço de endereço de rede virtual no locatário remoto não se sobreponha a nenhum outro espaço de endereço em qualquer outra rede virtual já conectada ao hub virtual pai.

Trabalhando com a CLI do Azure

Este artigo usa comandos da CLI do Azure. Para executar os comandos, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.

Para abrir o Cloud Shell, basta selecionar Abrir Cloudshell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador acessando o CloudShell. No menu suspenso superior esquerdo, selecione Bash em vez de PowerShell.

Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

Atribuir permissões

1. Na assinatura da rede virtual no locatário remoto, adicione a atribuição de função de Colaborador ao administrador (o usuário que administra o hub virtual). As permissões de colaborador permitirão que o administrador modifique e acesse as redes virtuais no locatário remoto.

   Você pode usar a CLI do Azure ou o portal do Azure para atribuir essa função. Consulte os seguintes artigos para obter as etapas:

   • Atribuir funções do Azure usando a CLI do Azure
   • Atribuir funções do Azure com o portal do Azure

2. Execute o comando a seguir para adicionar a assinatura de locatário remoto e a assinatura de locatário pai à sessão atual do console. Se você estiver conectado ao pai, precisará executar o comando apenas para o locatário remoto.

   az login --tenant "[tenant ID]"
   

3. Verifique se a atribuição de função foi bem-sucedida. Entre na CLI do Azure (se ainda não houver) usando as credenciais pai e execute o seguinte comando:

   az account list -o table
   

   Se as permissões tiverem sido propagadas com êxito para o pai e tiverem sido adicionadas à sessão, as assinaturas de propriedade do pai e do locatário remoto aparecerão na saída do comando.

Conectar uma rede virtual a um hub

Nas etapas a seguir, você usará os comandos da CLI do Azure para vincular um hub virtual a uma rede virtual em uma assinatura de um locatário diferente. Substitua os valores de exemplo para refletir seu próprio ambiente.

1. Certifique-se de que está no contexto da sua conta de hub virtual:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Conecte a rede virtual ao hub:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

Você pode exibir a nova conexão na CLI do Azure ou no portal do Azure:

• No console, os metadados da conexão recém-formada aparecem se a conexão foi formada com êxito.
• No portal do Azure, vá para o hub virtual e selecione Conexões de Rede Virtual de Conectividade>. Em seguida, você pode visualizar o ponteiro para a conexão. Para ver o recurso real, você precisará das permissões adequadas.

Resolver problemas

• Verifique se a extensão wan virtual é 0.3.0 ou superior usando az --version.
• Verifique se o acesso à assinatura remota está disponível na cli az account list -o table.
• Certifique-se de que as aspas estão incluídas em torno dos nomes de grupos de recursos ou quaisquer outras variáveis específicas do ambiente (por exemplo, "VirtualHub1" ou "VirtualNetwork1").

Próximos passos

• Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes.