Kurz: Připojení virtuální sítě k okruhu ExpressRoute pomocí Azure PowerShell
Tento kurz vám pomůže propojit virtuální sítě s okruhy Azure ExpressRoute pomocí modelu nasazení Resource Manager a PowerShellu. Virtuální sítě můžou být buď ve stejném předplatném, nebo součástí jiného předplatného. V tomto kurzu se také dozvíte, jak aktualizovat propojení virtuální sítě.
V tomto kurzu se naučíte:
- Připojení virtuální sítě ve stejném předplatném k okruhu
- Připojení virtuální sítě jiného předplatného k okruhu
- Úprava připojení k virtuální síti
- Konfigurace ExpressRoute FastPath
Požadavky
Než začnete s konfigurací, projděte si požadavky na směrování a pracovní postupy.
Musí mít aktivní okruh ExpressRoute.
- Postupujte podle pokynů k vytvoření okruhu ExpressRoute a nechte ho povolit vaším poskytovatelem připojení.
- Ujistěte se, že máte pro váš okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku o konfiguraci směrování .
- Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure a že mezi vaší sítí a Microsoftem naváže partnerský vztah protokolu BGP pro komplexní připojení.
- Ujistěte se, že máte vytvořenou a plně zřízenou virtuální síť a bránu virtuální sítě. Postupujte podle pokynů k vytvoření brány virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá typ brány ExpressRoute, nikoli síť VPN.
Ke standardnímu okruhu ExpressRoute můžete propojit až 10 virtuálních sítí. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.
Jedna virtuální síť může být propojená až s 16 okruhy ExpressRoute. Postup v tomto článku slouží k vytvoření nového objektu připojení pro každý okruh ExpressRoute, ke kterému se připojujete. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.
Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium vám také umožní připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech .
Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí stejný nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.
Projděte si doprovodné materiály týkající se připojení mezi virtuálními sítěmi přes ExpressRoute.
Práce s Azure PowerShell
Kroky a příklady v tomto článku používají Azure PowerShell moduly Az. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShell. Další informace o novém modulu Az najdete v tématu Představení nového modulu Azure PowerShell Az. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, hodnoty zadané v pokynech můžou selhat. Pokud chcete najít nainstalované verze PowerShellu ve vašem systému, použijte rutinu Get-Module -ListAvailable Az .
Azure Cloud Shell můžete použít ke spouštění většiny rutin PowerShellu a příkazů rozhraní příkazového řádku místo místní instalace Azure PowerShell nebo rozhraní příkazového řádku. Azure Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované běžné nástroje Azure a je nakonfigurované pro použití s vaším účtem. Pokud chcete spustit jakýkoli kód obsažený v tomto článku v Azure Cloud Shell, otevřete relaci Cloud Shell, pomocí tlačítka Kopírovat na bloku kódu kód zkopírujte a vložte ho do relace Cloud Shell pomocí Kombinace kláves Ctrl+Shift+V ve Windows a Linuxu nebo Cmd+Shift+V v systému macOS. Vložený text se nespustí automaticky. Kód spustíte stisknutím klávesy Enter .
Existuje několik způsobů, jak Cloud Shell spustit:
| Možnost | Odkaz |
|---|---|
| Klikněte na Vyzkoušet v pravém horním rohu bloku kódu. |  |
| Otevřete Cloud Shell ve vašem prohlížeči. |  |
| Klikněte na tlačítko Cloud Shell v nabídce v pravém horním rohu Azure Portal. |  |
Připojení virtuální sítě ve stejném předplatném k okruhu
Bránu virtuální sítě můžete připojit k okruhu ExpressRoute pomocí následující rutiny. Před spuštěním rutiny se ujistěte, že je brána virtuální sítě vytvořená a připravená k propojení:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
Připojení virtuální sítě jiného předplatného k okruhu
Okruh ExpressRoute můžete sdílet mezi více předplatnými. Následující obrázek znázorňuje jednoduché schéma fungování sdílení okruhů ExpressRoute napříč několika předplatnými.
Poznámka
Propojení virtuálních sítí mezi suverénními cloudy Azure a veřejným cloudem Azure se nepodporuje. Virtuální sítě můžete propojit jenom z různých předplatných ve stejném cloudu.
Každý z menších cloudů v rámci velkého cloudu se používá k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute, aby se mohl znovu připojit k místní síti. Okruh ExpressRoute může vlastnit jedno oddělení (v tomto příkladu IT). Okruh ExpressRoute můžou používat jiná předplatná v rámci organizace.
Poznámka
Na vlastníka předplatného se budou účtovat poplatky za připojení a šířku pásma pro okruh ExpressRoute. Všechny virtuální sítě mají stejnou šířku pásma.
Správa – vlastníci okruhů a uživatelé okruhů
Vlastník okruhu je autorizovaný uživatel power-user prostředku okruhu ExpressRoute. Vlastník okruhu může vytvářet autorizace, které mohou uplatnit "uživatelé okruhu". Uživatelé okruhu jsou vlastníky bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhu můžou uplatnit autorizaci (jednu autorizaci na virtuální síť).
Vlastník okruhu může autorizaci kdykoli upravit a odvolat. Odvolání autorizace způsobí odstranění všech propojení z předplatného, jehož přístup byl odvolán.
Poznámka
Vlastník okruhu není předdefinovaná role RBAC ani definovaná v prostředku ExpressRoute. Definice vlastníka okruhu je jakákoli role s následujícím přístupem:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
To zahrnuje předdefinované role, jako jsou Přispěvatel, Vlastník a Přispěvatel sítě. Podrobný popis různých předdefinovaných rolí
Operace vlastníka okruhu
Vytvoření autorizace
Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který uživatel okruhu použije k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná pouze pro jedno připojení.
Následující fragment kódu rutiny ukazuje, jak vytvořit autorizaci:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Odpověď na předchozí příkazy bude obsahovat autorizační klíč a stav:
Name : MyAuthorization1
Id : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
AuthorizationKey : ####################################
AuthorizationUseStatus : Available
ProvisioningState : Succeeded
Kontrola autorizací
Vlastník okruhu může zkontrolovat všechny autorizace vydané pro konkrétní okruh spuštěním následující rutiny:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Přidání autorizací
Vlastník okruhu může přidávat autorizace pomocí následující rutiny:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Odstranění autorizací
Vlastník okruhu může odvolat nebo odstranit autorizaci pro uživatele spuštěním následující rutiny:
Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
Operace uživatele okruhu
Uživatel okruhu potřebuje ID partnerského vztahu a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.
ID partnerského vztahu je možné zkontrolovat pomocí následujícího příkazu:
Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Uplatnění autorizace připojení
Uživatel okruhu může spuštěním následující rutiny uplatnit autorizaci propojení:
$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Uvolnění autorizace připojení
Autorizaci můžete uvolnit odstraněním připojení, které propojuje okruh ExpressRoute s virtuální sítí.
Úprava připojení k virtuální síti
Můžete aktualizovat určité vlastnosti připojení k virtuální síti.
Aktualizace váhy připojení
Virtuální síť je možné připojit k několika okruhům ExpressRoute. Stejnou předponu můžete obdržet z více než jednoho okruhu ExpressRoute. Pokud chcete zvolit, které připojení se má odesílat přenosy určené pro tuto předponu, můžete u připojení změnit váhu směrování . Provoz se bude odesílat na připojení s nejvyšší váhu směrování.
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Rozsah hodnoty RoutingWeight je 0 až 32000. Výchozí hodnota je 0.
Konfigurace ExpressRoute FastPath
ExpressRoute FastPath můžete povolit, pokud je vaše brána virtuální sítě Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi místní sítí a virtuální sítí.
Konfigurace FastPath pro nové připojení
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"
Aktualizace existujícího připojení za účelem povolení fastPath
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG"
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
FastPath a Private Link pro ExpressRoute Direct s rychlostí 100 Gb/s
S fastPath a Private Link Private Link provoz odeslaný přes ExpressRoute obchází bránu virtuální sítě ExpressRoute v cestě k datům. Tato možnost je obecně dostupná pro připojení přidružená k okruhům ExpressRoute Direct o velikosti 100 Gb. Pokud to chcete povolit, postupujte podle následujících pokynů:
- Odešlete e-mail na adresu ERFastPathPL@microsoft.coma uveďte následující informace:
- Azure Subscription ID
- ID prostředku Virtual Network (VNet)
- Oblast Azure, ve které je nasazený privátní koncový bod nebo služba Private Link
- Jakmile obdržíte potvrzení z kroku 1, spusťte v cílovém předplatném Azure následující příkaz Azure PowerShell.
Register-AzProviderFeature -FeatureName ExpressRoutePrivateEndpointGatewayBypass -ProviderNamespace Microsoft.Network
- Pokud chcete povolit změny, zakažte a povolte FastPath u cílových připojení. Po dokončení tohoto kroku. 100 Gb provozu Private Link přes ExpressRoute v cestě k datům vynechá bránu Virtual Network ExpressRoute.
Poznámka
Pomocí Monitorování připojení můžete pomocí nástroje FastPath ověřit, že váš provoz dosahuje cíle.
Registrace ve funkcích ExpressRoute FastPath (Preview)
Partnerský vztah virtuálních sítí FastPath a trasy definované uživatelem
Pomocí nástroje FastPath a partnerského vztahu virtuálních sítí můžete povolit připojení ExpressRoute přímo k virtuálním počítačům v místní nebo partnerské virtuální síti a obejít bránu virtuální sítě ExpressRoute v cestě k datům.
Pomocí fastPath a trasy definované uživatelem můžete nakonfigurovat trasu definovanou uživatelem v podsíti brány tak, aby směrovat provoz ExpressRoute do Azure Firewall nebo síťového virtuálního zařízení třetí strany. FastPath bude respektovat trasu definovanou uživatelem a odesílat provoz přímo do cílového Azure Firewall nebo síťového virtuálního zařízení, přičemž v cestě k datům obchází bránu virtuální sítě ExpressRoute.
Pokud se chcete zaregistrovat do verze Preview, pošlete e-mail na adresu exrpm@microsoft.com, kde najdete následující informace:
- Azure Subscription ID
- ID prostředku Virtual Network (VNet)
- ID prostředku okruhu ExpressRoute
Podpora FastPath pro peering virtuálních sítí a trasy definované uživatelem je dostupná jenom pro připojení ExpressRoute Direct.
FastPath a Private Link pro ExpressRoute Direct s rychlostí 10 Gb/s
S fastPath a Private Link Private Link provoz odeslaný přes ExpressRoute obchází bránu virtuální sítě ExpressRoute v cestě k datům. Tato verze Preview podporuje připojení přidružená k okruhům ExpressRoute Direct s rychlostí 10 Gb/s. Tato verze Preview nepodporuje okruhy ExpressRoute spravované partnerem ExpressRoute.
Pokud se chcete zaregistrovat v této verzi Preview, spusťte následující příkaz Azure PowerShell v cílovém předplatném Azure:
Register-AzProviderFeature -FeatureName ExpressRoutePrivateEndpointGatewayBypass -ProviderNamespace Microsoft.Network
Poznámka
Všechna připojení nakonfigurovaná pro FastPath v cílovém předplatném se zaregistrují ve vybrané verzi Preview. Nedoporučujeme povolovat tyto verze Preview v produkčních předplatných. Pokud už máte fastPath nakonfigurovaný a chcete se zaregistrovat do funkce Preview, musíte udělat toto:
- Zaregistrujte se do některé z funkcí FastPath Preview pomocí výše uvedených příkazů Azure PowerShell.
- V cílovém připojení zakažte a znovu povolte FastPath.
- Pokud chcete přepínat mezi funkcemi verze Preview, zaregistrujte předplatné pomocí cílového příkazu PowerShellu ve verzi Preview a pak v připojení zakažte a znovu povolte FastPath.
Vyčištění prostředků
Pokud už připojení ExpressRoute nepotřebujete, z předplatného, ve kterém se brána nachází, pomocí Remove-AzVirtualNetworkGatewayConnection příkazu odeberte propojení mezi bránou a okruhem.
Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"
Další kroky
V tomto kurzu jste zjistili, jak připojit virtuální síť k okruhu ve stejném předplatném a v jiném předplatném. Další informace o branách ExpressRoute najdete v tématu Brány virtuální sítě ExpressRoute.
Pokud chcete zjistit, jak nakonfigurovat filtry tras pro partnerský vztah Microsoftu pomocí PowerShellu, přejděte k dalšímu kurzu.