Připojení služby Azure Stack Hub k Azure s využitím Azure ExpressRoute
Tento článek popisuje, jak připojit virtuální síť Azure Stack Hub k virtuální síti Azure pomocí přímého připojení Microsoft Azure ExpressRoute .
Tento článek můžete použít jako kurz a použít příklady k nastavení stejného testovacího prostředí. Nebo si můžete přečíst článek jako návod, který vás provede nastavením vlastního prostředí ExpressRoute.
Přehled, předpoklady a požadavky
Azure ExpressRoute umožňuje rozšířit vaše místní sítě do cloudu Microsoftu přes privátní připojení poskytované poskytovatelem připojení. ExpressRoute není připojení VPN přes veřejný internet.
Další informace o Azure ExpressRoute najdete v tématu Přehled ExpressRoute.
Předpoklady
Tento článek předpokládá, že:
- Máte pracovní znalosti Azure.
- Máte základní znalosti o službě Azure Stack Hub.
- Máte základní znalosti o sítích.
Požadavky
Pokud chcete připojit Azure Stack Hub a Azure pomocí ExpressRoute, musíte splňovat následující požadavky:
- Zřízený okruh ExpressRoute prostřednictvím poskytovatele připojení.
- Předplatné Azure pro vytvoření okruhu ExpressRoute a virtuálních sítí v Azure.
- Směrovač, který musí:
- Podpora připojení site-to-site VPN mezi rozhraním LAN a víceklientovou bránou služby Azure Stack Hub
- Podpora vytváření více virtuálních virtuálních sítí (virtual routing and forwarding) v případě, že je ve vašem nasazení služby Azure Stack Hub více než jeden tenant.
- Směrovač, který má:
- Port WAN připojený k okruhu ExpressRoute.
- Port LAN připojený k víceklientskové bráně služby Azure Stack Hub.
Architektura sítě ExpressRoute
Následující obrázek znázorňuje prostředí Azure Stack Hub a Azure po dokončení nastavení ExpressRoute pomocí příkladů v tomto článku:
Následující obrázek znázorňuje, jak se několik tenantů připojuje z infrastruktury služby Azure Stack Hub prostřednictvím směrovače ExpressRoute k Azure:
Příklad v tomto článku používá stejnou architekturu s více tenanty, jak je znázorněno v tomto diagramu, k připojení služby Azure Stack Hub k Azure pomocí privátního partnerského vztahu ExpressRoute. Připojení se provádí pomocí připojení site-to-site VPN z brány virtuální sítě ve službě Azure Stack Hub ke směrovači ExpressRoute.
Kroky v tomto článku ukazují, jak vytvořit ucelené připojení mezi dvěma virtuálními sítěmi ze dvou různých tenantů ve službě Azure Stack Hub k odpovídajícím virtuálním sítím v Azure. Nastavení dvou tenantů je volitelné. Tento postup můžete použít také pro jednoho tenanta.
Konfigurace služby Azure Stack Hub
Pokud chcete nastavit prostředí Služby Azure Stack Hub pro prvního tenanta, použijte jako vodítko následující postup. Pokud nastavujete více než jednoho tenanta, opakujte tyto kroky:
Poznámka
Tyto kroky ukazují, jak vytvořit prostředky pomocí portálu Azure Stack Hub, ale můžete také použít PowerShell.
Než začnete
Než začnete s konfigurací služby Azure Stack Hub, potřebujete:
- Nasazení služby Azure Stack Hub.
- Nabídka ve službě Azure Stack Hub, kterou si uživatelé můžou předplatit. Další informace najdete v tématu Přehled služeb, plánů, nabídek a předplatného.
Vytváření síťových prostředků ve službě Azure Stack Hub
Následující postupy použijte k vytvoření požadovaných síťových prostředků ve službě Azure Stack Hub pro tenanta.
Vytvoření virtuální sítě a podsítě virtuálních počítačů
Přihlaste se k uživatelskému portálu služby Azure Stack Hub.
Na portálu vyberte + Vytvořit prostředek.
V části Azure Marketplace vyberte Sítě.
V části Doporučené vyberte Virtuální síť.
V části Vytvořit virtuální síť zadejte do příslušných polí hodnoty uvedené v následující tabulce:
Pole Hodnota Název Tenant1VNet1 Adresní prostor 10.1.0.0/16 Název podsítě Tenant1-Sub1 Rozsah adres podsítě 10.1.1.0/24 V poli Předplatné by se mělo zobrazit dříve vytvořené předplatné. Zbývající pole:
- V části Skupina prostředků vyberte Vytvořit novou a vytvořte novou skupinu prostředků. Pokud ji už máte, vyberte Použít existující.
- Ověřte výchozí umístění.
- Klikněte na Vytvořit.
- (Volitelné) Klikněte na Připnout na řídicí panel.
Vytvoření podsítě brány
- V části Virtuální síť vyberte Tenant1VNet1.
- V části NASTAVENÍ vyberte Podsítě.
- Vyberte + Podsíť brány a přidejte podsíť brány do virtuální sítě.
- Ve výchozím nastavení je název této podsítě nastavený na GatewaySubnet. Podsítě brány jsou zvláštním případem a musí tento název používat, aby správně fungovaly.
- Ověřte, že rozsah adres je 10.1.0.0/24.
- Kliknutím na OK vytvořte podsíť brány.
Vytvoření brány virtuální sítě
- Na uživatelském portálu Azure Stack Hub klikněte na + Vytvořit prostředek.
- V části Azure Marketplace vyberte Sítě.
- V seznamu síťových prostředků vyberte bránu virtuální sítě.
- Do pole Název zadejte GW1.
- Vyberte Virtuální síť.
- V rozevíracím seznamu vyberte Tenant1VNet1 .
- Vyberte Veřejná IP adresa, pak Zvolte veřejnou IP adresu a pak klikněte na Vytvořit novou.
- Do pole Název zadejte GW1-PiP a klikněte na OK.
- Jako Typ VPN by ve výchozím nastavení měla být vybraná možnost Založená na trasách. Toto nastavení zachovejte.
- Ověřte, že nastavení Předplatné a Umístění jsou správná. Klikněte na Vytvořit.
Vytvoření brány místní sítě
Prostředek brány místní sítě identifikuje vzdálenou bránu na druhém konci připojení VPN. V tomto příkladu je vzdáleným koncem připojení dílčí rozhraní LAN směrovače ExpressRoute. Pro tenanta 1 v předchozím diagramu je vzdálená adresa 10.60.3.255.
Přihlaste se k uživatelskému portálu služby Azure Stack Hub a vyberte + Vytvořit prostředek.
V části Azure Marketplace vyberte Sítě.
V seznamu prostředků vyberte bránu místní sítě.
Do pole Název zadejte ER-Router-GW.
Pole IP adresa najdete na předchozím obrázku. IP adresa dílčího rozhraní LAN směrovače ExpressRoute pro tenanta 1 je 10.60.3.255. Pro vlastní prostředí zadejte IP adresu odpovídajícího rozhraní vašeho směrovače.
Do pole Adresní prostor zadejte adresní prostor virtuálních sítí, ke kterým se chcete v Azure připojit. Podsítě pro tenanta 1 jsou následující:
- 192.168.2.0/24 je virtuální síť centra v Azure.
- 10.100.0.0/16 je paprsková virtuální síť v Azure.
Důležité
V tomto příkladu se předpokládá, že pro připojení VPN typu site-to-site mezi bránou služby Azure Stack Hub a směrovačem ExpressRoute používáte statické trasy.
Ověřte správnost předplatného, skupiny prostředků a umístění . Potom vyberte Vytvořit.
Vytvoření připojení
- Na portálu user portal služby Azure Stack Hub vyberte + Vytvořit prostředek.
- V části Azure Marketplace vyberte Sítě.
- V seznamu prostředků vyberte Připojení.
- V části Základy zvolte Typ připojenísite-to-site (IPSec).
- Vyberte Předplatné, Skupinu prostředků a Umístění. Klikněte na OK.
- V části Nastavení vyberte Brána virtuální sítě a pak vyberte GW1.
- Vyberte Brána místní sítě a pak vyberte ER Router GW.
- Do pole Název připojení zadejte ConnectToAzure.
- Do pole Sdílený klíč (PSK) zadejte abc123 a pak vyberte OK.
- V části Souhrn vyberte OK.
Získání veřejné IP adresy brány virtuální sítě
Po vytvoření brány virtuální sítě můžete získat veřejnou IP adresu brány. Poznamenejte si tuto adresu pro případ, že ji budete později potřebovat pro své nasazení. V závislosti na vašem nasazení se tato adresa používá jako interní IP adresa.
- Na uživatelském portálu služby Azure Stack Hub vyberte Všechny prostředky.
- V části Všechny prostředky vyberte bránu virtuální sítě, což je v příkladu GW1 .
- V části Brána virtuální sítě vyberte v seznamu prostředků Přehled . Případně můžete vybrat Vlastnosti.
- IP adresa, kterou chcete zaznamenat, je uvedená v části Veřejná IP adresa. Pro ukázkovou konfiguraci je tato adresa 192.68.102.1.
Vytvořit virtuální počítač
K testování datového provozu přes připojení VPN potřebujete virtuální počítače, které budou odesílat a přijímat data ve virtuální síti Služby Azure Stack Hub. Vytvořte virtuální počítač a nasaďte ho do podsítě virtuálního počítače pro vaši virtuální síť.
Na portálu user portal služby Azure Stack Hub vyberte + Vytvořit prostředek.
V části Azure Marketplace vyberte Compute.
V seznamu imagí virtuálních počítačů vyberte image Windows Server 2016 Datacenter Eval.
Poznámka
Pokud image použitá v tomto článku není dostupná, požádejte operátora služby Azure Stack Hub o poskytnutí jiné image Windows Serveru.
V části Vytvořit virtuální počítač vyberte Základy a jako název zadejte VM01.
Zadejte platné uživatelské jméno a heslo. Tento účet použijete k přihlášení k virtuálnímu počítači po jeho vytvoření.
Zadejte předplatné, skupinu prostředků a umístění. Vyberte OK.
V části Zvolit velikost vyberte velikost virtuálního počítače pro tuto instanci a pak vyberte Vybrat.
V části Nastavení potvrďte, že:
- Virtuální síť je Tenant1VNet1.
- Podsíť je nastavená na 10.1.1.0/24.
Použijte výchozí nastavení a klikněte na OK.
V části Souhrn zkontrolujte konfiguraci virtuálního počítače a klikněte na OK.
Pokud chcete přidat další tenanty, opakujte kroky, které jste provedli v těchto částech:
- Vytvoření virtuální sítě a podsítě virtuálních počítačů
- Vytvoření podsítě brány
- Vytvoření brány virtuální sítě
- Vytvoření brány místní sítě
- Vytvoření připojení
- Vytvoření virtuálního počítače
Pokud jako příklad používáte tenanta 2, nezapomeňte změnit IP adresy, aby nedocházelo k překrývání.
Konfigurace virtuálního počítače NAT pro procházení bránou
Důležité
Tato část je určená jenom pro nasazení SADY ASDK. Překlad adres (NAT) není potřeba pro nasazení s více uzly.
Sada ASDK je samostatná a izolovaná od sítě, ve které je nasazený fyzický hostitel. Síť VIP, ke které jsou brány připojené, není externí. je skrytý za směrovačem provádějícím překlad adres (NAT).
Směrovač je hostitel ASDK, na kterém běží role Služby směrování a vzdáleného přístupu (RRAS). Na hostiteli ASDK musíte nakonfigurovat překlad adres (NAT), aby se připojení site-to-site VPN umožnilo na obou stranách.
Konfigurace překladu adres (NAT)
Přihlaste se k hostitelskému počítači služby Azure Stack Hub pomocí účtu správce.
Spusťte skript v prostředí PowerShell ISE se zvýšenými oprávněními. Tento skript vrátí vaši externí adresu BGPNAT.
Get-NetNatExternalAddress
Pokud chcete nakonfigurovat překlad adres (NAT), zkopírujte a upravte následující skript PowerShellu. Upravte skript a nahraďte
External BGPNAT address
Internal IP address
následujícími ukázkovými hodnotami:- Pro externí adresu BGPNAT použijte 10.10.0.62.
- Pro interní IP adresu použijte 192.168.102.1
Z prostředí ISE PowerShellu se zvýšenými oprávněními spusťte následující skript:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Konfigurace Azure
Po dokončení konfigurace služby Azure Stack Hub můžete nasadit prostředky Azure. Následující obrázek znázorňuje příklad virtuální sítě tenanta v Azure. Pro virtuální síť v Azure můžete použít libovolný název a schéma adres. Rozsah adres virtuálních sítí v Azure a službě Azure Stack Hub však musí být jedinečný a nesmí se překrývat:
Prostředky, které nasadíte v Azure, se podobají prostředkům, které jste nasadili ve službě Azure Stack Hub. Nasadíte následující komponenty:
- Virtuální sítě a podsítě
- Podsíť brány
- Brána virtuální sítě
- Připojení
- Okruh ExpressRoute
Ukázková síťová infrastruktura Azure je nakonfigurovaná takto:
- Model virtuální sítě standard (192.168.2.0/24) a paprskový (10.100.0.0./16). Další informace o hvězdicové síťové topologii najdete v tématu Implementace hvězdicové síťové topologie v Azure.
- Úlohy se nasadí v paprskové virtuální síti a okruh ExpressRoute je připojený k virtuální síti centra.
- Tyto dvě virtuální sítě jsou propojené pomocí partnerského vztahu virtuálních sítí.
Konfigurace virtuálních sítí Azure
- Přihlaste se k Azure Portal pomocí svých přihlašovacích údajů Azure.
- Vytvořte virtuální síť centra pomocí rozsahu adres 192.168.2.0/24.
- Vytvořte podsíť pomocí rozsahu adres 192.168.2.0/25 a přidejte podsíť brány pomocí rozsahu adres 192.168.2.128/27.
- Vytvořte paprskovou virtuální síť a podsíť pomocí rozsahu adres 10.100.0.0/16.
Další informace o vytváření virtuálních sítí v Azure najdete v tématu Vytvoření virtuální sítě.
Konfigurace okruhu ExpressRoute
Projděte si požadavky na ExpressRoute v tématu Požadavky na ExpressRoute & kontrolním seznamu.
Postupujte podle kroků v tématu Vytvoření a úprava okruhu ExpressRoute a vytvořte okruh ExpressRoute pomocí předplatného Azure.
Poznámka
Předejte klíč služby pro váš okruh vaší službě, aby na své straně mohli nastavit váš okruh ExpressRoute.
Postupujte podle kroků v tématu Vytvoření a úprava partnerského vztahu pro okruh ExpressRoute a nakonfigurujte privátní partnerský vztah v okruhu ExpressRoute.
Vytvoření brány virtuální sítě
Postupujte podle kroků v tématu Konfigurace brány virtuální sítě pro ExpressRoute pomocí PowerShellu a vytvořte bránu virtuální sítě pro ExpressRoute ve virtuální síti centra.
Vytvoření připojení
Pokud chcete propojit okruh ExpressRoute s virtuální sítí centra, postupujte podle kroků v tématu Připojení virtuální sítě k okruhu ExpressRoute.
Vytvoření partnerského vztahu virtuálních sítí
Vytvořte partnerský vztah mezi hvězdicovými virtuálními sítěmi pomocí postupu v tématu Vytvoření partnerského vztahu virtuálních sítí pomocí Azure Portal. Při konfiguraci partnerského vztahu virtuálních sítí se ujistěte, že používáte následující možnosti:
- Z centra do paprsku povolte průchod bránou.
- Z paprsku do centra použijte vzdálenou bránu.
Vytvoření virtuálního počítače
Nasaďte virtuální počítače úloh do paprskové virtuální sítě.
Tento postup opakujte pro všechny další virtuální sítě tenantů, které chcete připojit v Azure prostřednictvím příslušných okruhů ExpressRoute.
Konfigurace směrovače
Jako vodítko ke konfiguraci směrovače ExpressRoute můžete použít následující diagram konfigurace směrovače ExpressRoute. Na tomto obrázku jsou dva tenanti (Tenant 1 a Tenant 2) s příslušnými okruhy ExpressRoute. Každý tenant je propojený se svým vlastním VRF (Virtual Routing and Forwarding) na straně lan a WAN směrovače ExpressRoute. Tato konfigurace zajišťuje kompletní izolaci mezi dvěma tenanty. Poznamenejte si IP adresy používané v rozhraních směrovačů podle příkladu konfigurace.
K ukončení připojení site-to-site VPN ze služby Azure Stack Hub můžete použít libovolný směrovač, který podporuje IKEv2 VPN a BGP. Stejný směrovač se používá pro připojení k Azure pomocí okruhu ExpressRoute.
Následující příklad konfigurace směrovače agregačních služeb Cisco ASR 1000 podporuje síťovou infrastrukturu zobrazenou v diagramu konfigurace směrovače ExpressRoute .
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Otestování připojení
Po navázání připojení typu site-to-site a okruhu ExpressRoute otestujte připojení.
Proveďte následující testy příkazem Ping:
- Přihlaste se k jednomu z virtuálních počítačů ve vaší virtuální síti Azure a otestujte příkaz ping na virtuální počítač, který jste vytvořili ve službě Azure Stack Hub.
- Přihlaste se k jednomu z virtuálních počítačů, které jste vytvořili ve službě Azure Stack Hub, a otestujte příkaz ping na virtuální počítač, který jste vytvořili ve virtuální síti Azure.
Poznámka
Abyste měli jistotu, že odesíláte provoz přes připojení typu site-to-site a ExpressRoute, musíte příkazem ping použít vyhrazenou IP adresu (DIP) virtuálního počítače na obou koncích, a ne virtuální IP adresu virtuálního počítače.
Povolit průchod protokolu ICMP přes bránu firewall
ve výchozím nastavení Windows Server 2016 nepovoluje příchozí pakety ICMP přes bránu firewall. Pro každý virtuální počítač, který používáte pro testy příkazem Ping, musíte povolit příchozí pakety ICMP. Pokud chcete vytvořit pravidlo brány firewall pro protokol ICMP, spusťte následující rutinu v okně PowerShellu se zvýšenými oprávněními:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Příkazem Ping na virtuální počítač Azure Stack Hub
Přihlaste se k uživatelskému portálu služby Azure Stack Hub.
Vyhledejte virtuální počítač, který jste vytvořili, a vyberte ho.
Vyberte Connect (Připojit).
Na příkazovém řádku Windows nebo PowerShellu se zvýšenými oprávněními zadejte ipconfig /all. Poznamenejte si adresu IPv4 vrácenou ve výstupu.
Otestujte příkazem Ping adresu IPv4 z virtuálního počítače ve virtuální síti Azure.
V ukázkovém prostředí je adresa IPv4 z podsítě 10.1.1.x/24. Ve vašem prostředí se adresa může lišit, ale měla by být v podsíti, kterou jste vytvořili pro podsíť virtuální sítě tenanta.
Zobrazení statistik přenosu dat
Pokud chcete zjistit, jaký objem provozu prochází vaším připojením, najdete tyto informace na uživatelském portálu služby Azure Stack Hub. Zobrazení statistik přenosu dat je také dobrým způsobem, jak zjistit, jestli testovací data ping prošla připojeními VPN a ExpressRoute:
- Přihlaste se k uživatelskému portálu služby Azure Stack Hub a vyberte Všechny prostředky.
- Přejděte do skupiny prostředků pro VPN Gateway a vyberte typ objektu Connection.
- V seznamu vyberte připojení ConnectToAzure .
- V části Přehled připojení> můžete zobrazit statistiky pro příchozí a odchozí data. Měly by se zobrazit některé nenulové hodnoty.