Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью сведений, приведенных в этой статье, вы сможете настроить транзит шлюзов для пиринга между виртуальными сетями. Пиринг между виртуальными сетями соединяет две виртуальные сети Azure, объединяя их в одну в целях подключения. Транзит через шлюз — это функция пиринга, которая позволяет виртуальной сети использовать VPN-шлюз в одноранговой виртуальной сети для межсетевых подключений или соединений "виртуальная сеть – виртуальная сеть".
На следующей схеме показано, как транзит шлюзов работает с пирингом между виртуальными сетями. На схеме шлюзовой транзит позволяет одноранговым виртуальным сетям использовать VPN-шлюз Azure в концентраторе Hub-RM. Подключения на VPN-шлюзе, включая S2S, P2S и VNet-в-VNet, распространяются на все три виртуальные сети.
Опцию транзита можно использовать со всеми VPN-шлюзами SKU, кроме SKU "Базовый".
В сетевой архитектуре типа "звезда-спица" транзит через шлюз позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе, вместо того, чтобы развёртывать VPN-шлюзы в каждой периферийной виртуальной сети. Маршруты к виртуальным сетям, подключенным к шлюзу, или локальным сетям передаются в таблицы маршрутизации одноранговых виртуальных сетей посредством трансита через шлюз.
Вы можете отключить автоматическое распространение маршрута из VPN-шлюза. Создайте таблицу маршрутизации с параметром Отключить распространение маршрутов BGP и привяжите ее к подсетям, чтобы предотвратить распространение маршрута в этих подсетях. Дополнительные сведения см. в статье Create, change, or delete a route table (Создание, изменение или удаление таблицы маршрутизации).
Примечание.
Если вы внесли изменения в топологию сети и используете VPN-клиенты Windows, необходимо повторно скачать и установить пакет VPN-клиента для клиентов Windows, чтобы изменения были применены к клиентам.
Предварительные условия
Для этой статьи необходимы следующие виртуальные сети и разрешения.
Виртуальные сети
| VNet | Шаги настройки | Шлюз виртуальной сети |
|---|---|---|
| Hub-RM | Resource Manager | Да |
| Spoke-RM | Resource Manager | Нет |
Разрешения
У учетных записей, используемых для создания пиринга между виртуальными сетями, должны быть необходимые роли или разрешения. В приведенном ниже примере, если вы выполняете пиринг между двумя виртуальными сетями Hub-RM и Spoke-Classic, у вашей учетной записи должны быть следующие роли или разрешения для каждой виртуальной сети:
| VNet (Виртуальная сеть) | Модель развертывания | Роль | Разрешения |
|---|---|---|---|
| Hub-RM | Менеджер ресурсов | Участник сети | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write (запись) |
| Spoke-RM | Менеджер ресурсов | Участник сети | Microsoft.Network/virtualNetworks/peer |
Подробнее о встроенных ролях и присвоении разрешений, определенных для настраиваемых ролей (только для Resource Manager).
Добавление пиринга и включение транзита
На портале Azure создайте или обновите пиринг между виртуальными сетями (от Hub-RM). Перейдите в виртуальную сеть Hub-RM . Выберите Пиринги и затем нажмите + Добавить, чтобы открыть Добавить пиринг.
На странице "Добавление пиринга" настройте значения для сводки по удаленной виртуальной сети.
- Имя пиринговой связи — присвойте связи имя. Пример: SpokeRMToHubRM
- Модель развертывания виртуальной сети: Resource Manager
- Я знаю идентификатор ресурса: оставьте пустым. Это необходимо выбрать, только если у вас нет доступа на чтение к виртуальной сети или подписке, с которой вы хотите выполнить пиринг.
- Подписка: выберите подписку.
- Виртуальная сеть: Spoke-RM.
На странице "Добавление пиринга" настройте значения для параметров пиринга удаленной виртуальной сети.
- Разрешить "Spoke-RM" получить доступ к Hub-RM: оставьте значение по умолчанию выбранным.
- Разрешить "Spoke-RM" получать переадресованный трафик из "Hub-RM": установите флажок.
- Разрешить шлюзу или серверу маршрутизации в одноранговой виртуальной сети передавать трафик в Hub-RM: Оставьте по умолчанию невыбранным.
- Включите "SpokeRM" для использования удаленного шлюза или сервера маршрутов Hub-RM: установите флажок.
На странице "Добавить пиринг" настройте значения для Локальная виртуальная сеть — сводка.
- Имя пиринговой связи — присвойте связи имя. Пример: HubRMToSpokeRM.
На странице "Добавление пиринга" настройте значения для параметров пиринга локальной виртуальной сети.
- Разрешить "Hub-RM" получить доступ к одноранговой виртуальной сети: оставьте значение по умолчанию выбранным.
- Разрешить "Hub-RM" получать перенаправленный трафик из одноранговой виртуальной сети: установите флажок.
- Разрешить шлюзу или серверу маршрутизации в Hub-RM перенаправить трафик в пиринговую виртуальную сеть: установите флажок.
- Включите "Hub-RM", чтобы разрешить использование удаленного шлюза или сервера маршрутизации сопряженной виртуальной сети. Оставьте настройку по умолчанию как невыбранную.
Чтобы создать пиринг, выберите Добавить.
Убедитесь, что состояние пиринга для обеих виртуальных сетей следующее: Подключено.
Чтобы изменить имеющийся пиринг для транзита
Если у вас уже есть пиринг, можно изменить пиринг для транзита.
Перейдите в виртуальную сеть. Выберите Пиринги, а затем выберите пиринг, который требуется изменить. Например, в периферийной сети VNet RM выберите пиринг для SpokeRMtoHubRM.
Обновите пиринг виртуальной сети.
Включите параметр "Spoke-RM" для использования удаленного шлюза концентратора RM или сервера маршрутов: установите флажок.
Сохраните параметры пиринга.
Пример для PowerShell
Вы также можете использовать PowerShell для создания или обновления пиринга. Замените переменные именами ваших виртуальных сетей и групп ресурсов.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Следующие шаги
- Прежде чем создавать пиринг между виртуальными сетями для рабочей среды, ознакомьтесь с ограничениями и поведением при пиринге виртуальных сетей и настройками пиринга виртуальных сетей.
- Узнайте, как создать звездообразную топологию сети с пирингом между виртуальными сетями и транзитом шлюзов.
- Создать пиринг виртуальной сети с той же моделью развертывания.
- Создайте пиринг виртуальных сетей с различными моделями развертывания.