الاتصال شبكة ظاهرية إلى دائرة ExpressRoute باستخدام Azure CLI

توضح هذه المقالة كيفية ربط الشبكات الظاهرية (VNets) بدوائر Azure ExpressRoute باستخدام Azure CLI. لربط باستخدام Azure CLI، يجب إنشاء الشبكات الظاهرية باستخدام نموذج توزيع Resource Manager. ويمكن أن تكون إما في نفس الاشتراك أو جزءًا من اشتراك آخر. إذا كنت ترغب في استخدام أسلوب مختلف لتوصيل VNet إلى دائرة ExpressRoute يمكنك تحديد مقالة من القائمة التالية:

• مدخل Microsoft Azure
• بوويرشيل
• Azure CLI
• PowerShell (كلاسيكي)

المتطلبات الأساسية

• تحتاج إلى أحدث إصدار من واجهة سطر الأوامر (CLI). لمزيد من المعلومات، اطلع على تثبيت Azure CLI.

• تأكد من مراجعة prerequisites، وrouting requirementsوصفحات workflows قبل بدء التكوين.

• يجب أن تكون لديك دائرة ExpressRoute نشطة.

  • اتبع الإرشادات أنشئ دائرة ExpressRoute وفعّلها عبر إمكانية اتصالك التي يوفرها المزود.
  • تأكد من تكوين إقران Azure الخاص للدائرة لديك. راجع مقالة تكوين التوجيه لتوجيه الإرشادات.
  • تأكد من تكوين التناظر الخاص بـ Azure. يجب تأسيس تناظر BGP بين شبكة الاتصال وMicrosoft بحيث يمكنك تمكين الاتصال من طرف إلى طرف.
  • تأكد من أن لديك شبكة ظاهرية وبوابة شبكة ظاهرية تم إنشاؤها وتوفيرها بالكامل. اتبع الإرشادات لتكوين بوابة شبكة ظاهرية ل ExpressRoute. تأكد من استخدام --gateway-type ExpressRoute.

• يمكنك ربط ما يصل إلى 10 شبكات ظاهرية بدائرة ExpressRoute قياسية. يجب أن تكون جميع الشبكات الظاهرية في المنطقة الجيوسياسية نفسها عند استخدام دائرة ExpressRoute قياسية.

• يمكن ربط شبكة ظاهرية واحدة بما يصل إلى 16 دائرة ExpressRoute. استخدم العملية التالية لإنشاء كائن اتصال جديد لكل دائرة ExpressRoute تتصل بها. يمكن أن تكون دوائر ExpressRoute في الاشتراك نفسه، أو اشتراكات مختلفة، أو مزيج من الاثنين معاً.

• إذا مكّنت الوظيفة الإضافية ExpressRoute premium، يمكنك ربط الشبكات الظاهرية خارج المنطقة الجيوسياسية لدائرة ExpressRoute. كما ستسمح لك الوظيفة الإضافية المميزة بتوصيل أكثر من 10 شبكات ظاهرية بدائرة ExpressRoute الخاصة بك اعتماداً على النطاق الترددي الذي تم اختياره. تحقق من الأسئلة الشائعة للحصول على مزيد من التفاصيل حول الإضافة المميزة.

• لإنشاء اتصال من دائرة ExpressRoute إلى بوابة الشبكة الافتراضية ExpressRoute المستهدفة، فإن عدد مساحات العناوين المعلن عنها من الشبكات الظاهرية المحلية أو النظيرة يجب أن يكون مساويًا أو أقل من 200. بمجرد إنشاء الاتصال بنجاح، يمكنك إضافة مساحات عناوين إضافية، تصل إلى 1,000، إلى الشبكات الظاهرية المحلية أو المقرنة.

• راجع الدليل لـ الاتصال بين الشبكات الظاهرية عبر ExpressRoute.

الاتصال بشبكة افتراضية في نفس الاشتراك في الدائرة

يمكنك توصيل بوابة شبكة ظاهرية إلى دائرة ExpressRoute باستخدام المثال. تأكد من إنشاء بوابة شبكة الاتصال الظاهرية وأنها جاهزة للربط قبل تشغيل الأمر.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

الاتصال بشبكة ظاهرية إلى دائرة في اشتراك مختلف

يمكنك مشاركة دائرة ExpressRoute عبر اشتراكات متعددة. يظهر الشكل التالي تخطيطاً بسيطاً لكيفية عمل المشاركة لدوائر ExpressRoute عبر اشتراكات متعددة.

إشعار

توصيل الشبكات الظاهرية بين سحابات Azure السيادية وسحابة Azure العامة غير مدعوم. يمكنك فقط ربط الشبكات الظاهرية من اشتراكات مختلفة في السحابة نفسها.

يتم استخدام كل من السحب الصغيرة داخل السحابة الكبيرة لتمثيل الاشتراكات التي تنتمي إلى أقسام مختلفة داخل المؤسسة. يستخدم كل قسم من الأقسام داخل المؤسسة اشتراكه الخاص لنشر خدماته - ولكن يمكنه مشاركة دائرة ExpressRoute واحدة للاتصال بالشبكة المحلية. يمكن لقسم واحد (في هذا المثال: IT) امتلاك دائرة ExpressRoute. قد تستخدم الاشتراكات الأخرى داخل المؤسسة دائرة ExpressRoute.

إشعار

سيتم تطبيق رسوم الاتصال وعرض النطاق الترددي للدائرة المخصصة على مالك دائرة ExpressRoute. تشترك جميع الشبكات الظاهرية في نفس النطاق الترددي.

الإدارة - ملاك الدوائر ومستخدمو الدوائر

يعتبر "مالك الدائرة" مستخدمًا معتمدًا لطاقة مورد دائرة ExpressRoute. يمكن لمالك الدائرة إنشاء تفويضات يمكن استردادها بواسطة "مستخدمي الدائرة". مستخدمو الدوائر هم أصحاب بوابات الشبكة الظاهرية التي ليست ضمن نفس اشتراك دائرة ExpressRoute. يمكن لمستخدمي الدائرة استرداد التفويضات (تفويض واحد لكل شبكة ظاهرية).

يتمتع مالك الدائرة بصلاحية تعديل التفويضات وإبطالها في أي وقت. عندما يتم إبطال تفويض، يتم حذف جميع اتصالات الارتباط من الاشتراك الذي تم إبطال وصوله.

إشعار

مالك الدائرة ليس دور RBAC مضمنا أو معرفا على مورد ExpressRoute. تعريف مالك الدائرة هو أي دور مع الوصول التالي:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

يتضمن ذلك الأدوار المضمنة مثل المساهم والمالك والمساهم في الشبكة. وصف مفصل للأدوار المضمنة المختلفة.

خيارات مالك الدائرة

لإنشاء تفويض

ينشئ مالك الدائرة تفويضاً، والذي يقوم بإنشاء مفتاح تفويض ليستخدمه مستخدم الدائرة لتوصيل بوابات شبكته الظاهرية بدائرة ExpressRoute. التفويض صالح لاتصال واحد فقط.

يوضح المثال التالي كيفية إنشاء تفويض:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

تحتوي الاستجابة على مفتاح التخويل وحالته:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

لمراجعة التفويضات

يمكن لمالك الدائرة مراجعة جميع التفويضات التي يتم إصدارها على دائرة معينة عن طريق تشغيل المثال التالي:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

لإضافة التفويضات

يمكن لمالك الدائرة إضافة التفويضات باستخدام المثال التالي:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

حذف مفتاح التفويض

يمكن لمالك الدائرة إبطال/حذف التفويضات للمستخدم عن طريق تشغيل المثال التالي:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

عمليات مستخدم الدائرة

يحتاج مستخدم الدائرة إلى معرّف النظير ومفتاح التخويل من مالك الدائرة. مفتاح التفويض هو GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

لاسترداد تخويل اتصال

يمكن لمستخدم دائرة تشغيل المثال التالي استرداد تفويض ارتباط:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

لتحرير تفويض اتصال

يمكنك تحرير تفويض عن طريق حذف الاتصال الذي يربط الدائرة ExpressRoute بالشبكة الظاهرية.

تعديل اتصال شبكة الاتصال الظاهرية

يمكنك تحديث خصائص معينة من اتصال شبكة اتصال ظاهرية.

لتحديث وزن الاتصال

يمكن توصيل الشبكة الظاهرية بدوائر ExpressRoute متعددة. قد تتلقى نفس البادئة من أكثر من دائرة ExpressRoute. لاختيار أي اتصال لإرسال حركة المرور الموجهة لهذه البادئة، يمكنك تغيير توجيه وزن الاتصال. سيتم إرسال حركة المرور على الاتصال مع أعلى توجيه وزن.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

نطاق توجيه الوزن هو 0 إلى 32000. القيمة الافتراضية هي 0.

تكوين ExpressRoute FastPath

يمكنك تمكين ExpressRoute FastPath إذا كانت بوابة الشبكة الظاهرية هي Ultra Performance أو ErGw3AZ. يعمل FastPath على تحسين أداء مسار البيانات مثل الحزم في الثانية والاتصالات في الثانية بين الشبكة المحلية والشبكة الظاهرية.

تكوين FastPath على اتصال جديد

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

تحديث اتصال موجود لتمكين FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

إشعار

يمكنك استخدام Connection Monitor للتحقق من وصول حركة المرور إلى الوجهة باستخدام FastPath.

التسجيل في ميزات ExpressRoute FastPath (معاينة)

دعم FastPath تناظر الشبكة الظاهرية الآن في المعاينة العامة. التسجيل متوفر فقط من خلال Azure PowerShell. للحصول على إرشادات حول كيفية التسجيل، راجع ميزات معاينة FastPath.

إشعار

سيتم تسجيل أي اتصالات تم تكوينها لـ FastPath في الاشتراك الهدف في هذه المعاينة. لا ننصح بتمكين هذه المعاينة في اشتراكات الإنتاج. إذا قمت بالفعل بتكوين FastPath وتريد التسجيل في ميزة المعاينة، فأنت بحاجة إلى القيام بما يلي:

1. التسجيل في ميزة معاينة FastPath مع الأمر Azure PowerShell أعلاه.
2. تعطيل ثم إعادة تمكين FastPath على الاتصال المستهدف.

تنظيف الموارد

إذا لم تعد بحاجة إلى اتصال ExpressRoute، من الاشتراك حيث توجد البوابة استخدم الأمر az network vpn-connection delete لإزالة الارتباط بين البوابة والدائرة.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

الخطوات التالية

في هذا البرنامج التعليمي، تعلمت كيفية توصيل شبكة افتراضية بدائرة في نفس الاشتراك وباشتراك مختلف. لمزيدٍ من المعلومات عن بوابات ExpressRoute، راجع بوابات الشبكة الظاهرية ExpressRoute.

لمعرفة كيفية تكوين عوامل تصفية التوجيه لنظير Microsoft باستخدام Azure CLI، انتقل إلى البرنامج التعليمي التالي.

تكوين عوامل التصفية لمسار تناظر Microsoft