Поделиться через


Подключение виртуальной сети к каналу ExpressRoute с помощью PowerShell (классическая модель)

Эта статья поможет вам связать виртуальные сети с каналами Azure ExpressRoute с помощью PowerShell. Отдельную виртуальную сеть можно связать не более чем с четырьмя каналами ExpressRoute. Выполните действия, описанные в этой статье, чтобы создать новую ссылку на каждый канал ExpressRoute, к которому вы подключаетесь. Каналы ExpressRoute могут быть размещены в той же подписке, в других подписках или и там, и там. Эта статья относится к виртуальным сетям, созданным с помощью классической модели развертывания.

Вы можете связать с каналом ExpressRoute до 10 виртуальных сетей включительно. Все виртуальные машины должны находиться в одном геополитическом регионе. При использовании надстройки Premium вы сможете связать больше виртуальных сетей с каналом ExpressRoute или связать виртуальные сети, которые находятся в других геополитических регионах. Дополнительную информацию о надстройке Premium см. в разделе Вопросы и ответы.

Важно!

Начиная с 1 марта 2017 года вы не сможете создавать каналы ExpressRoute в классической модели развертывания.

Используйте следующие ссылки для создания каналов ExpressRoute и управления ими в модели развертывания Resource Manager.

О моделях развертывания Azure

Сейчас Azure поддерживает две модели развертывания: классическую и с использованием Resource Manager. Две модели не являются полностью совместимыми друг с другом. Прежде чем начать, необходимо выяснить, в какой модели вам нужно работать. Дополнительную информацию о моделях развертывания см. в статье о моделях развертывания Azure. Если вы новичок в Azure, мы советуем использовать модель развертывания Resource Manager.

Предварительные требования для настройки

Скачивание последних версий командлетов PowerShell

Установите последние версии модулей PowerShell управления службами Azure (SM) и модуля ExpressRoute. В среде Azure CloudShell нельзя запускать модули SM.

  1. Воспользуйтесь инструкциями по установке модуля управления службами Azure. Если модуль Az или RM уже установлен, обязательно используйте "-AllowClobber".

  2. Импортируйте установленные модули. При использовании приведенного ниже примера измените путь в соответствии с расположением и версией установленных модулей PowerShell.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
    
  3. Чтобы войти в свою учетную запись Azure, откройте консоль PowerShell с повышенными правами и подключитесь к учетной записи. Следующий пример позволяет установить подключение с помощью модуля управления службами:

    Add-AzureAccount
    

Подключение к каналу виртуальной сети в той же подписке

Вы можете связать виртуальную сеть с каналом ExpressRoute, используя следующий командлет. Убедитесь в наличии шлюза виртуальной сети и его готовности к связыванию, прежде чем запускать командлет.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

Вы можете удалить связь виртуальной сети с каналом ExpressRoute, используя командлет ниже. Для данной виртуальной сети выберите текущую подписку.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Подключение к каналу виртуальной сети в другой подписке

Канал ExpressRoute может совместно использоваться несколькими подписками. На рисунке ниже схематично показан способ совместного использования каналов ExpressRoute несколькими подписками.

Каждое маленькое облако внутри большого облака представляет подписки, принадлежащие различным подразделениям одной организации. Любое подразделение в организации может использовать свою собственную подписку для развертывания своих служб. Кроме того, подразделения могут совместно использовать один выделенный канал ExpressRoute для подключения к корпоративной сети. Владельцем канала ExpressRoute может выступать одно подразделение (в данном примере — ИТ-подразделение). Другие подписки в организации могут использовать канал ExpressRoute.

Примечание

Плата за подключение выделенного канала ExpressRoute и использование полосы пропускания будет взиматься с владельца выделенного канала. Полоса пропускания распределяется между всеми виртуальными сетями.

Подключение между подписками

Администрирование

Владелец канала — это администратор или соадминистратор подписки, в которой создан канал ExpressRoute. Владелец канала может разрешить использовать свой выделенный канал администраторам и соадминистраторам других подписок (на схеме рабочего процесса они называются пользователями канала). Пользователи канала, которым разрешено использовать канал ExpressRoute организации, могут связать виртуальную сеть в своей подписке с каналом ExpressRoute после авторизации.

Владелец канала имеет право изменить или отменить авторизацию в любое время. Отзыв авторизации приводит к удалению всех ссылок из подписки, доступ к которой был отозван.

Примечание

Владелец канала не является встроенной ролью RBAC или не определен в ресурсе ExpressRoute. Определение владельца канала — это любая роль со следующим доступом:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Сюда входят встроенные роли, такие как участник, владелец и участник сети. Подробное описание различных встроенных ролей.

Действия владельца канала

Создание разрешения

Владелец канала разрешает администраторам других подписок использовать указанный канал. В приведенном ниже примере администратор канала (Contoso IT) разрешает администратору другой подписки (Dev-Test) привязать к этому каналу две виртуальные сети. ИТ-администратор Contoso включает эту авторизацию, указывая Dev-Test идентификатор Майкрософт. Командлет не отправляет по электронной почте указанный идентификатор Майкрософт. Владелец канала должен сам уведомить владельца другой подписки о том, что авторизация завершена.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

Выходные данные:

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Просмотр разрешений

Владелец канала может просмотреть все разрешения, выданные для определенного канала, выполнив следующий командлет.

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

Выходные данные:

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Изменение разрешений

Владелец канала может изменять разрешения с помощью следующего командлета.

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

Выходные данные:

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Удаление разрешений

Владелец канала может отзывать (удалять) разрешения, выданные пользователю, с помощью следующего командлета.

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Действия пользователя канала

Просмотр разрешений

Пользователь канала может просматривать разрешения с помощью следующего командлета.

Get-AzureAuthorizedDedicatedCircuit

Выходные данные:

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Активация разрешений на связь

Пользователь канала может активировать разрешение на связь, выполнив следующий командлет.

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

Выходные данные:

State VnetName
----- --------
Provisioned SalesVNET1

Выполните следующую команду в только что связанной подписке для виртуальной сети:

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Дальнейшие действия

Дополнительные сведения об ExpressRoute см. в статье Вопросы и ответы по ExpressRoute.