你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

准备将 Azure 通信网关连接到自己的虚拟网络(预览)

本文介绍使用适用于 Azure 通信网关的 VNet 注入将 Azure 通信网关连接到自己的虚拟网络所需的步骤(预览版)。 此过程需要将 Azure 通信网关部署到你控制的子网中,并在使用 ExpressRoute 专用对等互连或通过 Azure VPN 网关连接本地网络时使用。 Azure 通信网关具有两个具有自身连接的服务区域,这意味着需要在其中每个区域提供虚拟网络和子网。

下图概述了使用 VNet 注入部署的 Azure 通信网关。 面向网络的 Azure 通信网关上的网络接口将部署到子网中,而面向后端通信服务的网络接口将仍由 Microsoft 管理。

显示部署到两个 Azure 区域的 Azure 通信网关的网络图。每个区域中的 Azure 通信网关资源使用操作员控制的 IP 连接到操作员虚拟网络。

先决条件

  • 为 Azure 通信网关启用 Azure 订阅。
  • 通知加入团队你打算使用自己的虚拟网络。
  • 在每个 Azure 区域中创建一个 Azure 虚拟网络,用作 Azure 通信网关服务区域。 了解如何创建虚拟网络
  • 在每个 Azure 虚拟网络中创建一个子网供 Azure 通信网关专用。 这些子网必须至少有 16 个 IP 地址(一个/28 IPv4 范围或更大)。 任何其他服务都不得使用此子网。 了解如何创建子网
  • 确保 Azure 帐户在虚拟网络上具有网络参与者角色或此角色的父级。
  • 将所选连接解决方案(例如 ExpressRoute)部署到 Azure 订阅中,并确保其可供使用。

提示

实验室部署只有一个服务区域,因此只需在此过程期间设置单个区域。

委托虚拟网络子网

若要将虚拟网络与 Azure 通信网关配合使用,需要将子网委托给 Azure 通信网关。 子网委派为 Azure 通信网关提供显式权限,以在子网中创建特定于服务的资源,例如网络接口 (NIC)。

按照以下步骤委托子网,以便与 Azure 通信网关一起使用:

  1. 转到 虚拟网络 ,选择要在 Azure 通信网关的第一个服务区域中使用的虚拟网络。

  2. 选择“子网”。

  3. 选择要委托给 Azure 通信网关的子网。

    重要

    使用的子网必须专用于 Azure 通信网关。

  4. 在“将子网委托给服务”中,选择 Microsoft.AzureCommunicationsGateway/networkSettings,然后选择“保存”。

  5. 验证 Microsoft.AzureCommunicationsGateway/networkSettings 是否显示在子网的“委托给 ”列中。

  6. 对其他 Azure 通信网关服务区域中的虚拟网络和子网重复上述步骤。

配置网络安全组

将 Azure 通信网关连接到虚拟网络时,需要配置网络安全组 (NSG),以允许来自网络的流量访问 Azure 通信网关。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。

可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。 NSG 更改可能需要长达 10 分钟才能生效。

重要

如果未配置网络安全组,则流量将无法访问 Azure 通信网关网络接口。

网络安全组配置由两个步骤组成,可在每个服务区域中执行:

  1. 创建允许所需流量的网络安全组。
  2. 将网络安全组与虚拟网络子网相关联。

可以在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。 可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。

有关 NSG 的详细信息,请访问什么是 NSG

创建相关的网络安全组

请与加入团队协作,确定虚拟网络的正确网络安全组配置。 此配置取决于连接选择(例如 ExpressRoute)和虚拟网络拓扑。

网络安全组配置必须允许流量进入 Azure 通信网关使用的必要端口范围

提示

可以使用网络安全组的建议来帮助确保配置与安全性的最佳做法相匹配。

将子网与网络安全组相关联

  1. 转到网络安全组,然后选择“子网”。
  2. 从顶部菜单栏中选择“+ 关联”。
  3. 对于“虚拟网络”,请选择虚拟网络。
  4. 对于“子网”,请选择虚拟网络子网。
  5. 选择“确定”将虚拟网络子网与网络安全组相关联。
  6. 对其他服务区域重复这些步骤。

下一步