Kurz: Připojení virtuální sítě k okruhu ExpressRoute pomocí Azure CLI
V tomto kurzu se dozvíte, jak propojit virtuální sítě s okruhy Azure ExpressRoute pomocí Azure CLI. Pokud chcete propojit pomocí Azure CLI, musí se virtuální sítě vytvořit pomocí modelu nasazení Resource Manager. Mohou být buď ve stejném předplatném, nebo součástí jiného předplatného. Pokud chcete k připojení virtuální sítě k okruhu ExpressRoute použít jinou metodu, můžete vybrat článek z následujícího seznamu:
V tomto kurzu se naučíte:
- Připojení virtuální sítě ve stejném předplatném k okruhu
- Připojení virtuální sítě jiného předplatného k okruhu
- Úprava připojení k virtuální síti
- Konfigurace ExpressRoute FastPath
Požadavky
Potřebujete nejnovější verzi rozhraní příkazového řádku (CLI). Další informace najdete v tématu Instalace Azure CLI.
Než začnete s konfigurací, projděte si požadavky na směrování a pracovní postupy.
Musí mít aktivní okruh ExpressRoute.
- Postupujte podle pokynů k vytvoření okruhu ExpressRoute a nechte ho povolit vaším poskytovatelem připojení.
- Ujistěte se, že máte pro váš okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku o konfiguraci směrování .
- Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure. Partnerský vztah protokolu BGP mezi vaší sítí a Microsoftem musí být vytvořený, abyste mohli povolit komplexní připojení.
- Ujistěte se, že máte vytvořenou a plně zřízenou virtuální síť a bránu virtuální sítě. Postupujte podle pokynů ke konfiguraci brány virtuální sítě pro ExpressRoute. Nezapomeňte použít
--gateway-type ExpressRoute.
Ke standardnímu okruhu ExpressRoute můžete propojit až 10 virtuálních sítí. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.
Jedna virtuální síť může být propojená až s 16 okruhy ExpressRoute. Pomocí následujícího postupu vytvořte nový objekt připojení pro každý okruh ExpressRoute, ke kterému se připojujete. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.
Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium vám také umožní připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech .
Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí stejný nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.
Projděte si doprovodné materiály týkající se připojení mezi virtuálními sítěmi přes ExpressRoute.
Připojení virtuální sítě ve stejném předplatném k okruhu
Bránu virtuální sítě můžete připojit k okruhu ExpressRoute pomocí příkladu. Před spuštěním příkazu se ujistěte, že je brána virtuální sítě vytvořená a připravená na propojení.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Připojení virtuální sítě jiného předplatného k okruhu
Okruh ExpressRoute můžete sdílet mezi více předplatnými. Následující obrázek znázorňuje jednoduché schéma fungování sdílení okruhů ExpressRoute napříč několika předplatnými.
Poznámka
Propojení virtuálních sítí mezi suverénními cloudy Azure a veřejným cloudem Azure se nepodporuje. Virtuální sítě můžete propojit jenom z různých předplatných ve stejném cloudu.
Každý z menších cloudů v rámci velkého cloudu se používá k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute, aby se mohl znovu připojit k místní síti. Okruh ExpressRoute může vlastnit jedno oddělení (v tomto příkladu IT). Okruh ExpressRoute můžou používat jiná předplatná v rámci organizace.
Poznámka
Na vlastníka okruhu ExpressRoute se budou účtovat poplatky za připojení a šířku pásma vyhrazeného okruhu. Všechny virtuální sítě mají stejnou šířku pásma.
Správa – Vlastníci okruhů a uživatelé okruhů
Vlastník okruhu je autorizovaný uživatel výkonu prostředku okruhu ExpressRoute. Vlastník okruhu může vytvářet autorizace, které mohou být uplatněny uživatelem okruhu. Uživatelé okruhu jsou vlastníky bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhu můžou uplatnit autorizaci (jednu autorizaci na virtuální síť).
Vlastník okruhu může autorizaci kdykoli upravit a odvolat. Po odvolání autorizace se z předplatného, jehož přístup byl odvolán, odstraní všechna propojení připojení.
Poznámka
Vlastník okruhu není předdefinovaná role RBAC ani definovaná v prostředku ExpressRoute. Definice vlastníka okruhu je jakákoli role s následujícím přístupem:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
To zahrnuje předdefinované role, jako jsou Přispěvatel, Vlastník a Přispěvatel sítě. Podrobný popis různých předdefinovaných rolí
Operace vlastníka okruhu
Vytvoření autorizace
Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který uživatel okruhu použije k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná pouze pro jedno připojení.
Následující příklad ukazuje, jak vytvořit autorizaci:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization
Odpověď obsahuje autorizační klíč a stav:
"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"
Kontrola autorizací
Vlastník okruhu může zkontrolovat všechny autorizace vydané pro konkrétní okruh spuštěním následujícího příkladu:
az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup
Přidání autorizací
Vlastník okruhu může přidat autorizaci pomocí následujícího příkladu:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Odstranění autorizací
Vlastník okruhu může odvolat nebo odstranit autorizaci pro uživatele spuštěním následujícího příkladu:
az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Operace uživatele okruhu
Uživatel okruhu potřebuje ID partnerského vztahu a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.
az network express-route show -n MyCircuit -g ExpressRouteResourceGroup
Uplatnění autorizace připojení
Uživatel okruhu může spuštěním následujícího příkladu uplatnit autorizaci odkazu:
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Uvolnění autorizace připojení
Autorizaci můžete uvolnit odstraněním připojení, které propojuje okruh ExpressRoute s virtuální sítí.
Úprava připojení k virtuální síti
Můžete aktualizovat určité vlastnosti připojení k virtuální síti.
Aktualizace váhy připojení
Virtuální síť je možné připojit k několika okruhům ExpressRoute. Stejnou předponu můžete obdržet z více než jednoho okruhu ExpressRoute. Pokud chcete zvolit, které připojení se má odesílat přenosy určené pro tuto předponu, můžete u připojení změnit váhu směrování . Provoz se bude odesílat na připojení s nejvyšší váhu směrování.
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100
Rozsah hodnoty RoutingWeight je 0 až 32000. Výchozí hodnota je 0.
Konfigurace ExpressRoute FastPath
ExpressRoute FastPath můžete povolit, pokud je vaše brána virtuální sítě Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi místní sítí a virtuální sítí.
Konfigurace FastPath pro nové připojení
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Aktualizace existujícího připojení za účelem povolení fastPath
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true
Poznámka
Pomocí Monitorování připojení můžete pomocí FastPath ověřit, že provoz dosahuje cíle.
Registrace funkcí ExpressRoute FastPath (Preview)
Podpora FastPath pro peering virtuálních sítí je teď ve verzi Public Preview. Registrace je k dispozici pouze prostřednictvím Azure PowerShell. Pokyny k registraci najdete v tématu Funkce FastPath Preview.
Poznámka
Všechna připojení nakonfigurovaná pro FastPath v cílovém předplatném se zaregistrují v této verzi Preview. Nedoporučujeme povolovat tuto verzi Preview v produkčních předplatných. Pokud už máte fastPath nakonfigurovaný a chcete se zaregistrovat do funkce Preview, musíte udělat toto:
- Zaregistrujte se do funkce FastPath Preview pomocí výše uvedeného příkazu Azure PowerShell.
- Zakažte a znovu povolte FastPath u cílového připojení.
Vyčištění prostředků
Pokud už připojení ExpressRoute nepotřebujete, z předplatného, ve kterém se brána nachází, pomocí az network vpn-connection delete příkazu odeberte propojení mezi bránou a okruhem.
az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup
Další kroky
V tomto kurzu jste zjistili, jak připojit virtuální síť k okruhu ve stejném předplatném a v jiném předplatném. Další informace o bráně ExpressRoute najdete v tématu Brány virtuální sítě ExpressRoute.
Pokud chcete zjistit, jak nakonfigurovat filtry tras pro partnerský vztah Microsoftu pomocí Azure CLI, přejděte k dalšímu kurzu.