Sdílet prostřednictvím

Připojení virtuální sítě k okruhu ExpressRoute pomocí Azure PowerShellu

Tento článek vám pomůže propojit virtuální sítě s okruhy Azure ExpressRoute pomocí modelu nasazení Resource Manager a PowerShellu. Virtuální sítě můžou být buď ve stejném předplatném, nebo v jiné části předplatného. V tomto kurzu se také dozvíte, jak aktualizovat propojení virtuální sítě.

Diagram znázorňující virtuální síť propojenou s okruhem ExpressRoute

Požadavky

  • Než začnete s konfigurací, projděte si požadavky, požadavky na směrování a pracovní postupy.

  • Musíte mít aktivní okruh ExpressRoute.

    • Postupujte podle pokynů k vytvoření okruhu ExpressRoute a požádejte ho o povolení poskytovatele připojení.
    • Ujistěte se, že máte pro okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku konfigurace směrování .
    • Ujistěte se, že je nakonfigurované privátní připojení Azure a vytvoří se BGP peering mezi vaší sítí a Microsoftem pro kompletní konektivitu.
    • Ujistěte se, že máte vytvořenou a plně zřízenou bránu virtuální sítě a bránu virtuální sítě. Podle pokynů vytvořte bránu virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá gatewayType ExpressRoute, nikoli VPN.

  • Můžete propojit až 10 virtuálních sítí se standardním okruhem ExpressRoute. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.

  • Jednu virtuální síť je možné propojit s až 16 okruhy ExpressRoute. Pomocí kroků v tomto článku vytvořte nový objekt připojení pro každý okruh ExpressRoute, ke kterému se připojujete. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.

  • Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium umožňuje připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech.

  • Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí roven nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.

  • Projděte si pokyny pro připojení mezi virtuálními sítěmi přes ExpressRoute.

Práce s Azure PowerShellem

Kroky a příklady v tomto článku používají moduly Az Azure PowerShellu. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShellu. Další informace o novém modulu Az najdete v tématu Představení nového modulu Az Azure PowerShellu. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, může dojít k selhání hodnot zadaných v pokynech. K vyhledání nainstalovaných verzí PowerShellu ve vašem systému použijte rutinu Get-Module -ListAvailable Az .

Azure Cloud Shell můžete použít ke spuštění většiny rutin PowerShellu a příkazů rozhraní příkazového řádku místo místní instalace Azure PowerShellu nebo rozhraní příkazového řádku. Azure Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované běžné nástroje Azure a je nakonfigurované pro použití s vaším účtem. Pokud chcete spustit jakýkoli kód obsažený v tomto článku v Azure Cloud Shellu, otevřete relaci Cloud Shellu, pomocí tlačítka Kopírovat v bloku kódu kód zkopírujte a vložte ho do relace Cloud Shellu pomocí Ctrl+Shift+V ve Windows a Linuxu nebo Cmd+Shift+V v macOS. Vložený text se nespustí automaticky, stisknutím klávesy Enter spusťte kód.

Existuje několik způsobů, jak Cloud Shell spustit:

Možnost Odkaz
Klikněte na Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell v tomto článku
Otevřete Cloud Shell ve vašem prohlížeči. https://shell.azure.com/powershell
Klikněte na tlačítko Cloud Shell v nabídce v pravé horní části webu Azure Portal. Cloud Shell na portálu

Připojení virtuální sítě

Maximální odolnost (doporučeno): poskytuje nejvyšší úroveň odolnosti vůči vaší virtuální síti. Poskytuje dvě redundantní připojení z brány virtuální sítě ke dvěma různým okruhům ExpressRoute v různých umístěních ExpressRoute.

Klonování skriptu

Pokud chcete vytvořit maximální odolnost připojení, naklonujte instalační skript z GitHubu.

# Clone the setup script from GitHub.
git clone https://github.com/Azure-Samples/azure-docs-powershell-samples/ 
# Change to the directory where the script is located.
CD azure-docs-powershell-samples/expressroute/

Spuštěním skriptu New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 vytvořte připojení s vysokou dostupností. Následující příklad ukazuje, jak vytvořit dvě nová připojení ke dvěma okruhům ExpressRoute.

$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$circuit2 = Get-AzExpressRouteCircuit -Name "MyCircuit2" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"

highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name1 "ERConnection1" -Name2 "ERConnection2" -Peer1 $circuit1.Peerings[0] -Peer2 $circuit2.Peerings[0] -RoutingWeight1 10 -RoutingWeight2 10 -VirtualNetworkGateway1 $gw

Pokud chcete vytvořit nové připojení a použít existující připojení, můžete použít následující příklad. Tento příklad vytvoří nové připojení k druhému okruhu ExpressRoute a použije existující připojení k prvnímu okruhu ExpressRoute.

$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = Get-AzVirtualNetworkGatewayConnection -Name "ERConnection1" -ResourceGroupName "MyRG"

highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name2 "ERConnection2" -Peer2 $circuit1.Peerings[0] -RoutingWeight2 10 -VirtualNetworkGateway1 $gw -ExistingVirtualNetworkGatewayConnection $connection

Konfigurace monitorování připojení

Po vytvoření připojení ExpressRoute můžete nakonfigurovat monitorování připojení ke sledování stavu a výkonu připojení. Monitor připojení nepřetržitě testuje síťové cesty mezi místními koncovými body a koncovými body Azure pomocí syntetického provozu.

Pokud chcete nakonfigurovat monitorování připojení pro existující připojení pomocí webu Azure Portal, přečtěte si téma Konfigurace monitorování připojení. Prostředí portálu poskytuje pracovní postup s asistencí pro výběr koncových bodů a konfiguraci nastavení testu.

Návod

Při vytváření nového připojení prostřednictvím webu Azure Portal můžete monitorování připojení nakonfigurovat přímo na kartě Monitorování během procesu vytváření připojení.

Připojte virtuální síť z jiného předplatného k okruhu

Okruh ExpressRoute můžete sdílet mezi několika předplatnými. Následující obrázek ukazuje jednoduché schéma fungování sdílení pro okruhy ExpressRoute napříč několika předplatnými.

Poznámka:

Připojení virtuálních sítí mezi suverénními cloudy Azure a veřejným cloudem Azure se nepodporuje. Virtuální sítě můžete propojit pouze z různých předplatných ve stejném cloudu.

Každý z menších cloudů v rámci velkého cloudu slouží k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute pro připojení zpět k místní síti. Jedno oddělení (v tomto příkladu: IT) může vlastnit okruh ExpressRoute. Jiná předplatná v organizaci můžou používat okruh ExpressRoute.

Poznámka:

Poplatky za připojení a šířku pásma okruhu ExpressRoute se použijí pro vlastníka předplatného. Všechny virtuální sítě sdílejí stejnou šířku pásma.

Připojení mezi předplatnými

Správa – vlastníci okruhů a uživatelé okruhu

Vlastník okruhu je autorizovaný uživatel okruhu ExpressRoute. Vlastník okruhu může vytvářet autorizace, které můžou uplatnit uživatelé okruhu. Uživatelé okruhu jsou vlastníci bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhu můžou uplatnit povolení (jedno povolení na virtuální síť).

Vlastník okruhu může kdykoli změnit a odvolat autorizaci. Odvolání autorizace způsobí odstranění všech připojení z předplatného, kterému byl zrušen přístup.

Poznámka:

Vlastník okruhu není předdefinovaná role RBAC ani definovaná u prostředku ExpressRoute. Definice vlastníka okruhu je libovolná role s následujícím přístupem:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

To zahrnuje předdefinované role, jako je Přispěvatel, Vlastník a Přispěvatel sítě. Podrobný popis různých předdefinovaných rolí

Operace vlastníka okruhu

Vytvoření autorizace

Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který uživatel okruhu použije k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná pouze pro jedno připojení.

Následující fragment kódu rutiny ukazuje, jak vytvořit autorizaci:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"

Odpověď na předchozí příkazy obsahuje autorizační klíč a stav:

Name                   : MyAuthorization1
Id                     : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag                   : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 
AuthorizationKey       : ####################################
AuthorizationUseStatus : Available
ProvisioningState      : Succeeded

Kontrola autorizací

Vlastník okruhu může zkontrolovat všechna oprávnění vydaná na konkrétním okruhu spuštěním následujícího příkazu:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Přidání autorizací

Vlastník okruhu může přidat autorizace pomocí následujícího cmdletu:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Odstranění autorizací

Vlastník okruhu může uživateli odvolat nebo odstranit autorizaci spuštěním následující rutiny:

Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

Operace uživatele obvodu

Uživatel okruhu potřebuje peer ID a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.

ID partnerského uzlu je možné zkontrolovat pomocí následujícího příkazu:

Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"

Uplatnění autorizace připojení

Uživatel okruhu může spustit následující cmdlet k autorizaci odkazu:

$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"    
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Uvolnění autorizace připojení

Autorizaci můžete uvolnit odstraněním připojení, které propojuje okruh ExpressRoute s virtuální sítí.

Úprava připojení k virtuální síti

Můžete aktualizovat určité vlastnosti připojení k virtuální síti.

Aktualizace váhy připojení

Vaše virtuální síť se dá připojit k několika okruhům ExpressRoute. Stejnou předponu můžete obdržet z více než jednoho okruhu ExpressRoute. Chcete-li zvolit, které připojení má odesílat přenosy určené pro tuto předponu, můžete změnit RoutingWeight daného připojení. Provoz se odesílá na připojení s nejvyšší směrovací váhou.

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Rozsah RoutingWeight je 0 až 32000. Výchozí hodnota je 0.

Konfigurace ExpressRoute FastPath

Můžete povolit ExpressRoute FastPath, pokud je vaše virtuální síťová brána Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi vaší místní sítí a vaší virtuální sítí.

Poznámka:

Když povolíte FastPath na nových nebo existujících připojeních, obejití brány se povolí poté, co je navázáno připojení do ExpressRoute Gateway a okruhu. Tím se krátce přesměruje interní provoz přes bránu.

Konfigurace FastPathu pro nové připojení

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG" 
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG" 
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"

Aktualizace existujícího připojení pro povolení fastPathu

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" 
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

S podporou peeringu virtuálních sítí a tras definovanou uživatelem bude FastPath odesílat provoz přímo do virtuálních počítačů nasazených v paprskových virtuálních sítích (připojených přes partnerský vztah virtuálních sítí) a respektovat všechny trasy definované uživatelem nakonfigurovanými v podsítě GatewaySubnet. Tato funkce je teď obecně dostupná (GA). Pro zákazníky, kteří si přejí povolit tyto funkce GA na stávajícím připojení, vypněte a poté znovu povolte FastPath na připojení.

Díky službě FastPath a Private Link provoz Private Link odesílaný přes ExpressRoute obchází bránu virtuální sítě ExpressRoute v cestě k datům. Když jsou obě tyto funkce povolené, FastPath bude přímo odesílat provoz do soukromého koncového bodu nasazeného ve virtuální síti větve.

Tento scénář je obecně dostupný pro omezené scénáře s připojeními přidruženými k 10 Gb/s a okruhům ExpressRoute Direct 100 Gb/s. Pokud chcete povolit, postupujte podle následujících pokynů:

  1. Vyplňte tento formulář Microsoftu a požádejte ho o registraci předplatného. Dokončení požadavků může trvat až 4 týdny, proto naplánujte nasazení odpovídajícím způsobem.
  2. Jakmile obdržíte potvrzení z kroku 1, spusťte v cílovém předplatném Azure následující příkaz Azure PowerShellu.
$connection = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <resource-group> -ResourceName <connection-name>
$connection.ExpressRouteGatewayBypass = $true
$connection.EnablePrivateLinkFastPath = $true
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Poznámka:

Pomocí Monitorování připojení můžete ověřit, že váš provoz dosahuje cíle pomocí FastPath.

Poznámka:

Povolení podpory služby Private Link FastPath pro omezené scénáře GA může trvat až 4 týdny. Naplánujte nasazení předem.

Podpora FastPath pro propojování virtuálních sítí a trasy definované uživatelem (UDR) je dostupná jen pro připojení ExpressRoute Direct.

Poznámka:

Pokud jste už nakonfigurovali FastPath a chcete se zaregistrovat do omezených funkcí GA, musíte udělat toto:

  1. Zaregistrujte se do některé z funkcí FastPath pomocí příkazů Azure PowerShellu.
  2. Zakažte a znovu povolte FastPath v cílovém připojení.
  3. Pokud chcete přepnout mezi omezenou funkcí GA, zaregistrujte předplatné pomocí cílového příkazu PowerShell ve verzi Preview a potom v připojení zakázat a znovu povolit FastPath.

Vyčištění prostředků

Pokud už připojení ExpressRoute nepotřebujete, z předplatného, ve kterém se nachází brána, použijte příkaz Remove-AzVirtualNetworkGatewayConnection k odebrání propojení mezi bránou a okruhem.

Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"

Další kroky

V tomto článku jste zjistili, jak připojit virtuální síť k okruhu ve stejném předplatném a v jiném předplatném. Další informace o branách ExpressRoute najdete v tématu Brány virtuální sítě ExpressRoute.

Po připojení virtuální sítě k okruhu ExpressRoute můžete nastavit monitorování pro sledování stavu a výkonu připojení. Další informace najdete v tématu Přehled monitorování připojení, Konfigurace monitorování připojení a Konfigurace výstrah.

  • Last updated on