Подключение виртуальных сетей между клиентами к центру Виртуальная глобальная сеть с помощью Azure CLI

В этой статье подробно описано, как с помощью Виртуальной глобальной сети Azure подключить виртуальную сеть к виртуальному концентратору в другом клиенте. Эта архитектура полезна, если у вас есть клиентские рабочие нагрузки, которые должны быть подключены к одной и той же сети, но находятся на разных клиентах. Например, как показано на следующей схеме, можно подключить виртуальную сеть, отличную от Contoso, (удаленный клиент) к виртуальному концентратору Contoso (родительский клиент).

Вы узнаете, как выполнять следующие задачи:

• Добавление дополнительного клиента в качестве участника в подписке Azure.
• Подключение виртуальной сети для нескольких клиентов к виртуальному концентратору.

Действия для этой конфигурации используют сочетание портал Azure и Azure CLI. Однако сама функция доступна только в PowerShell и интерфейсе командной строки Azure.

Примечание.

Вы можете управлять подключениями к виртуальным сетям для нескольких клиентов только с помощью PowerShell или интерфейса командной строки Azure CLI на локальном компьютере. Так как портал Azure не поддерживает операции между клиентами, вы не можете управлять подключениями между клиентами через портал Azure или портал Azure CloudShell (как PowerShell, так и CLI).

Подготовка к работе

Необходимые компоненты

Чтобы выполнить действия, описанные в этой статье, необходимо, чтобы в вашей среде уже была настроена указанная ниже конфигурация.

• Виртуальная глобальная сеть и виртуальный концентратор в родительской подписке
• Виртуальная сеть, настроенная в подписке в другом (удаленном) клиенте
• Виртуальная глобальная сеть расширение CLI версии 0.3.0 или более поздней. Дополнительные сведения о расширении см. в разделе "Доступные расширения Azure CLI".

Убедитесь, что адресное пространство виртуальной сети в удаленном клиенте не перекрывается с любым другим адресным пространством в других виртуальных сетях, уже подключенных к родительскому виртуальному концентратору.

Работа с Azure CLI

В этой статье используются команды Azure CLI. Для выполнения команд можно использовать Azure Cloud Shell. Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью.

Чтобы открыть Cloud Shell, просто выберите Open Cloudshell в правом верхнем углу блока кода. Вы также можете открыть Cloud Shell на отдельной вкладке браузера, перейдя в CloudShell. В раскрывающемся меню в верхнем левом углу выберите Bash вместо PowerShell.

Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте их в Cloud Shell и нажмите клавишу ВВОД, чтобы выполнить код.

Назначение разрешений

1. В подписке виртуальной сети в удаленном клиенте добавьте назначение роли участника администратору (пользователю, который администрирует виртуальный концентратор). Разрешения участника позволят администратору изменять и получать доступ к виртуальным сетям в удаленном клиенте.

   Для назначения этой роли можно использовать Azure CLI или портал Azure. Инструкции см. в следующих статьях:

   • Назначение ролей Azure с помощью Azure CLI
   • Назначение ролей Azure с помощью портала Azure

2. Выполните следующую команду, чтобы добавить удаленную подписку клиента и родительскую подписку клиента в текущий сеанс консоли. Если вы вошли в родительский элемент, необходимо выполнить команду только для удаленного клиента.

   az login --tenant "[tenant ID]"
   

3. Убедитесь, что назначение роли выполнено успешно. Войдите в Azure CLI (если это еще не так) с помощью родительских учетных данных и выполните следующую команду:

   az account list -o table
   

   Если разрешения успешно распространены на родительский элемент и добавлены в сеанс, то в выходных данных команды отобразятся подписки, принадлежащие родительскому элементу и удаленному клиенту.

Подключение виртуальной сети к концентратору

В следующих шагах вы будете использовать команды Azure CLI для связывания виртуального концентратора с виртуальной сетью в подписке из другого клиента. Измените значения примера в соответствии со своим окружением.

1. Убедитесь, что вы находитесь в контексте учетной записи виртуального концентратора:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Подключите виртуальную сеть к концентратору:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

Вы можете просмотреть новое подключение в Azure CLI или портал Azure:

• В консоли метаданные из только что сформированного подключения отображаются, если соединение было успешно сформировано.
• На портале Azure: перейдите в виртуальный концентратор и выберите Подключение>Подключения виртуальных сетей. Затем можно просмотреть указатель на подключение. Чтобы просмотреть фактический ресурс, вам понадобятся соответствующие разрешения.

Устранение неполадок

• Убедитесь, что расширение виртуальной глобальной сети — 0.3.0 или более поздней версии.az --version
• Убедитесь, что доступ к удаленной подписке доступен из интерфейса командной строки az account list -o table.
• Заключите в кавычки имена групп ресурсов или любых других переменных окружения (например, "VirtualHub1" или "VirtualNetwork1").

Следующие шаги

• Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.