Configurar o trânsito do gateway de VPN para peering de rede virtual
Este artigo ajuda-o a configurar o trânsito do gateway para peering de rede virtual. O Peering de rede virtual liga facilmente duas redes virtuais do Azure, ao intercalar as duas redes virtuais numa só para fins de conectividade. O trânsito de gateway é uma propriedade de emparelhamento que permite que uma rede virtual use o gateway VPN na rede virtual emparelhada para conectividade entre locais ou VNet-to-VNet.
O diagrama seguinte mostra como funciona o trânsito do gateway com peering de rede virtual. No diagrama, o trânsito do gateway permite que as redes virtuais em modo de peering utilizem o gateway de VPN do Azure no Hub-RM. A conectividade disponível no gateway de VPN, incluindo ligações S2S, P2S e VNet a VNet, aplica-se às três redes virtuais.
A opção de trânsito pode ser usada com todas as SKUs do Gateway VPN, exceto a SKU Básica.
Na arquitetura de rede hub-and-spoke, o trânsito do gateway permite que as redes virtuais spoke partilhem o gateway de VPN no hub, em vez de implementar gateways de VPN em todas as redes virtuais spoke. As rotas para as redes virtuais conectadas ao gateway ou redes locais se propagam para as tabelas de roteamento para as redes virtuais emparelhadas usando o trânsito de gateway.
Pode desativar a propagação automática da rota do gateway de VPN. Crie uma tabela de encaminhamento com a opção “Desativar propagação de rotas BGP” e associe a tabela de encaminhamento às sub-redes para impedir a distribuição de rotas para essas sub-redes. Para obter mais informações, veja Tabela de encaminhamento da rede virtual.
Nota
Se você fizer uma alteração na topologia da sua rede e tiver clientes VPN do Windows, o pacote do cliente VPN para clientes Windows deverá ser baixado e instalado novamente para que as alterações sejam aplicadas ao cliente.
Pré-requisitos
Este artigo requer as seguintes VNets e permissões.
Redes virtuais
| VNet | Passos de configuração | Gateway de rede virtual |
|---|---|---|
| Hub-RM | Resource Manager | Sim |
| Spoke-RM | Resource Manager | Não |
Permissões
As contas que utiliza para criar um peering de rede virtual têm de ter as funções ou permissões necessárias. No exemplo abaixo, se você estiver emparelhando as duas redes virtuais chamadas Hub-RM e Spoke-Classic, sua conta deverá ter as seguintes funções ou permissões para cada rede virtual:
| VNet | Modelo de implementação | Role | Permissões |
|---|---|---|---|
| Hub-RM | Gestor de Recursos | Contribuidor de Rede | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Spoke-RM | Gestor de Recursos | Contribuidor de Rede | Microsoft.Network/virtualNetworks/peer |
Saiba mais sobre funções incorporadas e a atribuição de permissões específicas para funções personalizadas (apenas Resource Manager).
Para adicionar um emparelhamento e habilitar o trânsito
No portal do Azure, crie ou atualize o emparelhamento de rede virtual a partir do Hub-RM. Vá para a rede virtual Hub-RM . Selecione Emparelhamento e, em seguida , + Adicionar para abrir Adicionar emparelhamento.
Na página Adicionar emparelhamento, configure os valores para Resumo da rede virtual remota.
- Nome do link de emparelhamento: nomeie o link. Exemplo: SpokeRMToHubRM
- Modelo de implantação de rede virtual: Resource Manager
- Sei o meu ID de recurso: Deixar em branco. Você só precisa selecionar isso se não tiver acesso de leitura à rede virtual ou assinatura com a qual deseja emparelhar.
- Assinatura: Selecione a assinatura.
- Rede Virtual: Spoke-RM
Na página Adicionar emparelhamento, configure os valores para Configurações de emparelhamento de rede virtual remota.
- Permitir que 'Spoke-RM' acesse 'Hub-RM': Deixe o padrão de selecionado.
- Permitir que 'Spoke-RM' receba tráfego encaminhado de 'Hub-RM': Marque a caixa de seleção.
- Permitir que o gateway ou o servidor de rotas na rede virtual emparelhada encaminhe o tráfego para 'Hub-RM': deixe o padrão de desmarcado.
- Habilite o 'SpokeRM' para usar o gateway remoto ou o servidor de rotas do 'Hub-RM's: marque a caixa de seleção.
Na página Adicionar emparelhamento, configure os valores para Resumo da rede virtual local.
- Nome do link de emparelhamento: nomeie o link. Exemplo: HubRMToSpokeRM
Na página Adicionar emparelhamento, configure os valores para Configurações de emparelhamento de rede virtual local.
- Permitir que 'Hub-RM' acesse a rede virtual emparelhada: deixe o padrão de selecionado.
- Permitir que o 'Hub-RM' receba tráfego encaminhado da rede virtual emparelhada: marque a caixa de seleção.
- Permitir que o gateway ou o servidor de rotas em 'Hub-RM' encaminhe o tráfego para a rede virtual emparelhada: marque a caixa de seleção.
- Habilite o 'Hub-RM' para usar o gateway remoto ou o servidor de rota da rede virtual emparelhada: deixe o padrão de desmarcado.
Selecione Adicionar para criar o peering.
Verifique o status de emparelhamento como Conectado em ambas as redes virtuais.
Para modificar um emparelhamento existente para trânsito
Se você já tiver um emparelhamento existente, poderá modificar o emparelhamento para trânsito.
Vá para a rede virtual. Selecione Emparelhamento e selecione o emparelhamento que você deseja modificar. Por exemplo, na VNet Spoke-RM, selecione o emparelhamento SpokeRMtoHubRM.
Atualize o emparelhamento de VNet.
Habilite o 'Spoke-RM' para usar o gateway remoto ou o servidor de rota do 'Hub-RM's: marque a caixa de seleção.
Salve as configurações de emparelhamento.
Exemplo do PowerShell
Você também pode usar o PowerShell para criar ou atualizar o emparelhamento. Substitua as variáveis pelos nomes dos grupos de recursos e das redes virtuais.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Próximos passos
- Saiba mais acerca das restrições e comportamentos do peering de rede virtual e das definições do peering de rede virtual antes de criar um peering de rede virtual para a utilização de produção.
- Saiba como criar uma topologia hub-and-spoke com peering de rede virtual e trânsito do gateway.
- Crie emparelhamento de rede virtual com o mesmo modelo de implantação.
- Crie emparelhamento de rede virtual com diferentes modelos de implantação.