Поделиться через

Подготовка к подключению шлюза коммуникаций Azure к собственной виртуальной сети (предварительная версия)

  • Статья

В этой статье описаны действия, необходимые для подключения шлюза коммуникаций Azure к собственной виртуальной сети с помощью внедрения виртуальной сети для шлюза коммуникаций Azure (предварительная версия). Эта процедура необходима для развертывания шлюза коммуникаций Azure в подсети, которую вы управляете и используете при подключении локальной сети с помощью частного пиринга ExpressRoute или через VPN-шлюз Azure. Шлюз коммуникаций Azure имеет два региона службы с собственным подключением, что означает, что необходимо предоставить виртуальные сети и подсети в каждом из этих регионов.

На следующей схеме показан обзор шлюза коммуникаций Azure, развернутого с внедрением виртуальной сети. Сетевые интерфейсы шлюза коммуникаций Azure, стоящих перед сетью, развертываются в подсети, а сетевые интерфейсы, перед которыми сталкиваются серверные службы коммуникации, остаются управляемыми корпорацией Майкрософт.

Схема сети, показывающая шлюз коммуникаций Azure, развернутый в двух регионах Azure. Ресурс шлюза коммуникации Azure в каждом регионе подключается к виртуальной сети оператора с управляемыми IP-адресами оператора.

Необходимые компоненты

  • Получите подписку Azure, включенную для шлюза коммуникаций Azure.
  • Сообщите группе по подключению, что планируется использовать собственные виртуальные сети.
  • Создайте виртуальную сеть Azure в каждом из регионов Azure, которые будут использоваться в качестве регионов службы шлюза коммуникации Azure. Узнайте, как создать виртуальную сеть.
  • Создайте подсеть в каждой виртуальной сети Azure для эксклюзивного использования шлюза коммуникаций Azure. Эти подсети должны иметь по крайней мере 16 IP-адресов (диапазон /28 IPv4 или больше). Ничего другого не должно использовать эту подсеть. Узнайте, как создать подсеть.
  • Убедитесь, что у учетной записи Azure есть роль участника сети или родитель этой роли в виртуальных сетях.
  • Разверните выбранное решение для подключения (например, ExpressRoute) в подписке Azure и убедитесь, что он готов к использованию.

Совет

Развертывания лабораторий имеют только один регион службы, поэтому вам нужно настроить только один регион во время этой процедуры.

Делегировать подсети виртуальной сети

Чтобы использовать виртуальную сеть с шлюзом коммуникаций Azure, необходимо делегировать подсети шлюзу коммуникаций Azure. Делегирование подсети предоставляет явные разрешения шлюзу коммуникаций Azure для создания ресурсов, относящихся к службе, таких как сетевые интерфейсы (СЕТЕВЫе адаптеры) в подсетях.

Выполните следующие действия, чтобы делегировать подсети для использования с шлюзом коммуникаций Azure:

  1. Перейдите к виртуальным сетям и выберите виртуальную сеть, используемую в первом регионе службы для шлюза коммуникаций Azure.

  2. Выберите подсети.

  3. Выберите подсеть, которую вы хотите делегировать шлюзу коммуникаций Azure.

    Внимание

    Используемая подсеть должна быть выделена шлюзу коммуникаций Azure.

  4. В подсети делегата в службу выберите Microsoft.AzureCommunicationsGateway/networkSettings и нажмите кнопку "Сохранить".

  5. Убедитесь, что Microsoft.AzureCommunicationsGateway/networkSettings отображается в столбце "Делегировано" для подсети.

  6. Повторите описанные выше действия для виртуальной сети и подсети в другом регионе службы шлюза коммуникации Azure.

Настройка групп безопасности сети

При подключении шлюза коммуникаций Azure к виртуальным сетям необходимо настроить группу безопасности сети (NSG), чтобы разрешить трафик из сети для доступа к шлюзу коммуникаций Azure. Группа безопасности сети содержит правила контроля доступа, которые разрешают или запрещают трафик в зависимости от направления трафика, протокола, исходного и целевого адреса и порта.

Эти правила можно изменять в любое время, при этом изменения применяются ко всем связанным экземплярам. Чтобы изменения группы безопасности сети были эффективными, может потребоваться до 10 минут.

Внимание

Если вы не настроите группу безопасности сети, трафик не сможет получить доступ к сетевым интерфейсам шлюза коммуникации Azure.

Конфигурация группы безопасности сети состоит из двух шагов, которые необходимо выполнить в каждом регионе службы:

  1. Создайте группу безопасности сети, которая позволяет требуемому трафику.
  2. Свяжите группу безопасности сети с подсетями виртуальной сети.

С помощью группы безопасности сети вы можете контролировать входящий трафик одной или нескольких виртуальных машин, экземпляров роли, сетевых карт или подсетей в своей виртуальной сети. Группа безопасности сети содержит правила контроля доступа, которые разрешают или запрещают трафик в зависимости от направления трафика, протокола, исходного и целевого адреса и порта. Эти правила можно изменять в любое время, при этом изменения применяются ко всем связанным экземплярам.

Дополнительные сведения о группах безопасности сети см. в этой статье.

Создание соответствующей группы безопасности сети

Обратитесь к группе подключения, чтобы определить правильную конфигурацию группы безопасности сети для виртуальных сетей. Эта конфигурация зависит от выбранного варианта подключения (например, ExpressRoute) и топологии виртуальной сети.

Конфигурация группы безопасности сети должна разрешать трафик к необходимым диапазонам портов, используемым шлюзом коммуникаций Azure.

Совет

Вы можете использовать рекомендации для групп безопасности сети, чтобы обеспечить соответствие конфигурации рекомендациям по обеспечению безопасности.

Связывание подсети с группой безопасности сети

  1. Перейдите в группу безопасности сети и выберите подсети.
  2. Выберите +Связать в верхней строке меню.
  3. Для параметра Виртуальная сеть выберите свою виртуальную сеть.
  4. Для подсети выберите подсеть виртуальной сети.
  5. Нажмите кнопку "ОК ", чтобы связать подсеть виртуальной сети с группой безопасности сети.
  6. Повторите эти действия для другого региона службы.

Следующий шаг

Подготовка к развертыванию шлюза коммуникаций Azure