تكوين عبور بوابة VPN لتناظر الشبكة الظاهرية

تساعدك هذه المقالة على تكوين نقل البوابة للربط بين الشبكات الظاهرية. يقوم تناظر الشبكة الافتراضية بتوصيل شبكتين افتراضيتين من Azure بسلاسة، مما يدمج الشبكتين الافتراضيتين في شبكة واحدة لأغراض الاتصال. نقل البوابة هي خاصية التناظر التي تسمح للشبكة الافتراضية باستخدام بوابة VPN في الشبكة الافتراضية النظيرة للاتصال من VNet-to-VNet.

يوضح الرسم التخطيطي التالي كيفية عمل نقل البوابة مع نظير الشبكة الظاهرية. في الرسم التخطيطي، يسمح نقل البوابة للشبكات الظاهرية النظيرة باستخدام بوابة Azure VPN في Hub-RM. ينطبق الاتصال المتاح على بوابة VPN، بما في ذلك اتصالات S2S وP2S وVNet-to-VNet، على جميع الشبكات الافتراضية الثلاث.

يتوفر خيار النقل للتناظر بين نفس نماذج النشر أو نماذج التوزيع المختلفة ويمكن استخدامه مع جميع وحدات SKU لبوابة VPN باستثناء SKU الأساسية. إذا كنت تقوم بتكوين النقل بين نماذج النشر المختلفة، يجب أن تكون الشبكة الظاهرية المركزية وبوابة الشبكة الظاهرية في نموذج توزيع Resource Manager، وليس نموذج التوزيع الكلاسيكي القديم.

في تصميم شبكة المركز المحوري، يسمح عبور البوابة للشبكات الظاهرية المحورية بمشاركة بوابة VPN في المركز، بدلاً من نشر بوابات VPN في كل شبكة ظاهرية محورية. تنتشر التوجيهات إلى الشبكات الظاهرية المتصلة بالبوابة أو الشبكات المحلية إلى جداول التوجيه للشبكات الظاهرية النظيرة باستخدام نقل البوابة.

يمكنك تعطيل انتشار المسار التلقائي من بوابة VPN. قم بإنشاء جدول توجيه باستخدام خيار "تعطيل نشر مسار BGP"، وقم بإقران جدول التوجيه بالشبكات الفرعية لمنع توزيع المسار إلى تلك الشبكات الفرعية. للحصول على المزيد من المعلومات، راجع جدول توجيه الشبكة الافتراضية.

هناك سيناريوهان في هذه المقالة. حدد السيناريو الذي ينطبق على البيئة الخاصة بك. يستخدم معظم الأشخاص نفس سيناريو نموذج التوزيع. إذا كنت لا تعمل مع نموذج توزيع كلاسيكي VNet (VNet قديم) موجود بالفعل في بيئتك، فلن تحتاج إلى العمل مع سيناريو نماذج التوزيع المختلفة.

• نفس نموذج النشر: يتم إنشاء كلتا الشبكتين الظاهريتين في نموذج نشر Resource Manager.
• نماذج نشر مختلفة: يتم إنشاء الشبكة الظاهرية المنطوقة في نموذج النشر الكلاسيكي، وتكون الشبكة الظاهرية المحورية والبوابة في نموذج النشر Resource Manager. هذا السيناريو مفيد عندما تحتاج إلى توصيل VNet قديمة موجودة بالفعل في نموذج التوزيع الكلاسيكي.

إشعار

إذا قمت بإجراء تغيير على طبولوجيا شبكتك ولديك عملاء Windows VPN، فيجب تنزيل حزمة عميل VPN لعملاء Windows وتثبيتها مرة أخرى حتى يتم تطبيق التغييرات على العميل.

المتطلبات الأساسية

تتطلب هذه المقالة الشبكات الظاهرية والأذونات التالية. إذا كنت لا تعمل مع سيناريو نموذج التوزيع المختلف، فلن تحتاج إلى إنشاء VNet الكلاسيكي.

الشبكات الظاهرية

الشبكة الظاهرية	خطوات التكوين	بوابة الشبكة الظاهرية
Hub-RM	Resource Manager	نعم
Spoke-RM	Resource Manager	لا
Spoke-Classic	كلاسيكي	لا

الأذونات

يجب أن تحتوي الحسابات التي تستخدمها لإنشاء نظير شبكة ظاهرية على الأدوار أو الأذونات اللازمة. في المثال أدناه، إذا كنت تقوم بإقران الشبكتين الظاهريتين المسماتين Hub-RMوSpoke-Classic، فيجب أن يكون لحسابك الأدوار أو الأذونات التالية لكل شبكة ظاهرية:

الشبكة الظاهرية	نموذج النشر	الدور	الأذونات
Hub-RM	Resource Manager	مساهم في الشبكة	Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
	كلاسيكي	مساهم الشبكة الكلاسيكي	‏‫غير متوفر‬
Spoke-Classic	Resource Manager	مساهم في الشبكة	Microsoft.Network/virtualNetworks/peer
	كلاسيكي	مساهم الشبكة الكلاسيكي	Microsoft.ClassicNetwork/virtualNetworks/peer

تعرف على المزيد حول الأدوار المضمنة وتعيين أذونات محددة للأدوار المخصصة (Resource Manager فقط).

نفس نموذج النشر

هذا هو السيناريو الأكثر شيوعا. في هذا السيناريو، الشبكات الظاهرية على حد سواء في نموذج نشر Resource Manager. اتبع الخطوات التالية لإنشاء نظيرات الشبكة الظاهرية أو تحديثها لتمكين نقل البوابة.

لإضافة نظير وتمكين النقل العام

1. في مدخل Microsoft Azure، قم بإنشاء أو تحديث الشبكة الظاهرية النظيرة من Hub-RM. انتقل إلى الشبكة الظاهرية Hub-RM . حدد النظراء، ثم +إضافة لفتح إضافة نظير.

2. في الصفحة إضافة نظير، قم بتكوين قيم هذه الشبكة الظاهرية.

   • اسم الرابط النظير: قم بتسمية الرابط. مثال: HubRMToSpokeRM

   • نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة: سماح

   • نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة: سماح

   • بوابة الشبكة الظاهرية: استخدم بوابة هذه الشبكة الظاهرية أو Route Server

     

3. في نفس الصفحة، تابع تكوين قيم الشبكة الظاهرية البعيدة.

   • اسم الرابط النظير: قم بتسمية الرابط. مثال: SpokeRMtoHubRM

   • نموذج نشر الشبكة الظاهرية: Resource Manager

   • أعرف معرف المورد الخاص بي: اتركه فارغا. تحتاج فقط إلى تحديد هذا إذا لم يكن لديك حق الوصول للقراءة إلى الشبكة الظاهرية أو الاشتراك الذي تريد التناظر معه.

   • الاشتراك: حدد الاشتراك.

   • الشبكة الافتراضية: Spoke-RM

   • نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة: سماح

   • نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة: سماح

   • بوابة الشبكة الظاهرية: استخدم بوابة الشبكة الظاهرية البعيدة أو Route Server

     

4. حدد إضافة لإنشاء النظير.

5. تحقق من حالة النظير على أنه متصل على كلتا الشبكتين الظاهريتين.

لتعديل نظير موجود للنقل

إذا كان لديك نظير موجود بالفعل، يمكنك تعديل النظير للنقل.

1. انتقل إلى الشبكة الظاهرية. حدد النظراء وحدد النظير الذي تريد تعديله. على سبيل المثال، في الشبكة الظاهرية Spoke-RM، حدد نظير SpokeRMtoHubRM.

2. تحديث نظير VNet.

   • نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة: سماح
   • نسبة استخدام الشبكة المعاد توجيهها إلى الشبكة الافتراضية؛ سماح
   • بوابة الشبكة الظاهرية أو Route Server: استخدم بوابة الشبكة الظاهرية البعيدة أو Route Server

3. احفظ إعدادات النظير.

نموذج PowerShell

يمكنك أيضا استخدام PowerShell لإنشاء التناظر أو تحديثه. استبدل المتغيرات بأسماء الشبكات الظاهرية ومجموعات الموارد.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

نماذج نشر مختلفة

في هذا التكوين، يكون VNet Spoke-Classic الناطق في نموذج النشر الكلاسيكي والموزع VNet Hub-RM في نموذج النشر Resource Manager. عند تكوين النقل بين نماذج النشر، يجب تكوين بوابة الشبكة الظاهرية Resource Manager VNet، وليس VNet الكلاسيكي.

لهذا التكوين، تحتاج فقط إلى تكوين شبكة Hub-RM الظاهرية. لست بحاجة إلى تكوين أي شيء على Spoke-Classic VNet.

1. في مدخل Microsoft Azure، انتقل إلى الشبكة الظاهرية Hub-RM ، وحدد Peerings، ثم حدد + Add.

2. في صفحة Tags، قم بتكوين القيم التالية.

   • اسم الرابط النظير: قم بتسمية الرابط. مثال: HubRMToClassic

   • نسبة استخدام الشبكة إلى الشبكة الظاهرية البعيدة: سماح

   • نسبة استخدام الشبكة التي أُعيد توجيهها من الشبكة الظاهرية البعيدة: سماح

   • بوابة الشبكة الظاهرية أو خادم التوجيه: استخدم بوابة هذه الشبكة الظاهرية أو Route Server

   • اسم ارتباط التناظر: تختفي هذه القيمة عند تحديد كلاسيكي لنموذج نشر الشبكة الظاهرية.

   • نموذج نشر الشبكة الظاهرية: كلاسيكي

   • أعرف معرف المورد الخاص بي: اتركه فارغا. تحتاج فقط إلى تحديد هذا إذا لم يكن لديك حق الوصول للقراءة إلى الشبكة الظاهرية أو الاشتراك الذي تريد التناظر معه.

     

3. تحقق من صحة الاشتراك، ثم حدد الشبكة الافتراضية من القائمة المنسدلة.

4. حدد إضافة لإضافة النظير.

5. تحقق من حالة النظير على أنه متصل على الشبكة الظاهرية Hub-RM.

لهذا التكوين، لا تحتاج إلى تكوين أي شيء على الشبكة الظاهرية Spoke-Classic . بمجرد أن تظهر الحالة متصل، يمكن للشبكة الافتراضية الناطقة استخدام الاتصال من خلال بوابة VPN في الشبكة الافتراضية المحورية.

نموذج PowerShell

يمكنك أيضا استخدام PowerShell لإنشاء التناظر أو تحديثه. استبدل المتغيرات ومعرف الاشتراك بقيم الشبكة الظاهرية ومجموعات الموارد والاشتراك. ما عليك سوى إنشاء نظير شبكة افتراضية على الشبكة الظاهرية المحورية.

$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name HubRMToClassic `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
  -AllowGatewayTransit

الخطوات التالية

• تعرف على المزيد حول قيود وسلوكيات نظير الشبكة الافتراضيةوإعدادات نظير الشبكة الافتراضية قبل إنشاء نظير شبكة افتراضية للاستخدام الإنتاجي.
• تعرّف على كيفية إنشاء مخطط شبكة محورية باستخدام تناظر الشبكة الظاهرية ونقل البوابة.
• إنشاء نظير شبكة افتراضية باستخدام نفس نموذج النشر.
• إنشاء نظير شبكة افتراضية باستخدام نموذج نشر مختلف.