使用 Azure CLI 將跨租用戶虛擬網路連線至 Virtual WAN 中樞
本文可協助您使用 Azure 虛擬 WAN 將虛擬網路連線至不同租用戶中的虛擬中樞。 如果您必須連線的用戶端工作負載位於相同的網路,但是位於不同的租用戶上,則此架構會很有用。 例如,如下圖所示,您可以將非 Contoso 虛擬網路 (遠端租用戶) 連線至 Contoso 虛擬中樞 (父系租用戶)。
在本文中,您將學會如何:
- 在 Azure 訂用帳戶上新增另一個租用戶作為參與者。
- 將跨租用戶虛擬網路連線至虛擬中樞。
此設定的步驟使用 Azure 入口網站和 Azure CLI 的組合。 不過,此功能本身僅適用於 PowerShell 和 Azure CLI。
注意
您只能透過 PowerShell 或安裝在您本機電腦上的 Azure CLI 管理跨租用戶虛擬網路連線。 由於 Azure 入口網站不支援跨租用戶作業,因此您無法透過 Azure 入口網站或 Azure 入口網站 CloudShell (PowerShell 和 CLI) 管理跨租使用者虛擬網路連線。
開始之前
必要條件
若要使用本文中的步驟,您必須已在環境中設定下列設定:
- 父系訂閱中的虛擬 WAN 和虛擬中樞
- 在不同 (遠端) 租用戶的訂閱中設定的虛擬網路
- Virtual WAN CLI 延伸模組 0.3.0 以上版本。 如需延伸模組的詳細資訊,請移至可用的 Azure CLI 延伸模組。
請確定遠端租用戶中的虛擬網路位址空間不會與其他任何虛擬網路中已連線至父系虛擬中樞的其他任何位址空間重疊。
使用 Azure CLI
本文使用 Azure CLI 命令。 若要執行命令,您可以使用 Azure Cloud Shell。 Cloud Shell 是免費的互動式殼層,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。
若要開啟 Cloud Shell,只要選取程式碼區塊右上角的 [開啟 Cloudshell] 即可。 您也可以移至 CloudShell,在另一個瀏覽器索引標籤開啟 Cloud Shell。 在左上方下拉式功能表中,選取 [Bash] 而不是 [PowerShell]。
選取 [複製] 以複製程式碼區塊、將它們貼上到 Cloud Shell 中,然後選取 Enter 鍵以執行它們。
指派權限
在遠端租用戶內的虛擬網路訂閱中,新增參與者角色指派給系統管理員 (管理虛擬中樞的使用者)。 參與者權限可讓系統管理員修改和存取遠端租用戶中的虛擬網路。
您可以使用 Azure CLI 或 Azure 入口網站指派此角色。 如需步驟,請參閱下列文章:
執行以下命令,將遠端租用戶訂用帳戶和父系租用戶訂用帳戶新增至目前的主控台工作階段。 如果您已登入父系帳戶,則只需要執行遠端租用戶的命令。
az login --tenant "[tenant ID]"
確認角色指派是否成功。 使用父系認證登入 Azure CLI (如果尚未登入),然後執行下列命令:
az account list -o table
如果權限已成功傳播至父系帳戶,並且已新增至工作階段,則父系和遠端租用戶擁有的訂閱都會出現在命令的輸出中。
將虛擬網路連線至中樞
在下列步驟中,您將使用 Azure CLI 命令,從不同的租用戶將虛擬中樞連結至訂用帳戶中的虛擬網路。 請取代範例值以反映您自己的環境。
請確定您位於虛擬中樞帳戶的內容中:
az account set --subscriptionId "[virtual hub subscription]"
將虛擬網路連線到中樞:
az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
您可以在 Azure CLI 或 Azure 入口網站中檢視新的連線:
- 在主控台中,如果已成功形成連線,則會顯示來自新形成連線的中繼資料。
- 在 Azure 入口網站中,前往虛擬中樞並選取 [連線]>[虛擬網路連線] 您可以接著檢視連線的指標。 若要查看實際資源,您需要適當的權限。
疑難排解
- 使用
az --version
確認 Virtual Wan 延伸模組的版本為 0.3.0 以上。 - 確認可從 cli
az account list -o table
取得遠端訂用帳戶存取權。 - 確認資源群組或其他任何環境特定變數的名稱包含引號 (例如
"VirtualHub1"
或"VirtualNetwork1"
)。
下一步
- 如需虛擬 WAN 的詳細資訊,請參閱常見問題集。