Připojení virtuální sítě k okruhu ExpressRoute pomocí Azure CLI
V tomto článku se dozvíte, jak propojit virtuální sítě s okruhy Azure ExpressRoute pomocí Azure CLI. Pokud chcete vytvořit propojení pomocí Azure CLI, je potřeba vytvořit virtuální sítě pomocí modelu nasazení Resource Manager. Můžou být buď ve stejném předplatném, nebo v jiném předplatném. Pokud chcete pro připojení virtuální sítě k okruhu ExpressRoute použít jinou metodu, můžete vybrat článek z následujícího seznamu:
Požadavky
Potřebujete nejnovější verzi rozhraní příkazového řádku (CLI). Další informace najdete v tématu Instalace Azure CLI.
Než začnete s konfigurací, projděte si požadavky, požadavky na směrování a pracovní postupy.
Musí mít aktivní okruh ExpressRoute.
- Postupujte podle pokynů k vytvoření okruhu ExpressRoute a požádejte ho o povolení poskytovatele připojení.
- Ujistěte se, že máte pro okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku konfigurace směrování .
- Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure. Partnerský vztah protokolu BGP mezi vaší sítí a Microsoftem se musí navázat, abyste mohli povolit kompletní připojení.
- Ujistěte se, že máte vytvořenou a plně zřízenou bránu virtuální sítě a bránu virtuální sítě. Postupujte podle pokynů ke konfiguraci brány virtuální sítě pro ExpressRoute. Nezapomeňte použít
--gateway-type ExpressRoute.
Můžete propojit až 10 virtuálních sítí se standardním okruhem ExpressRoute. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.
Jednu virtuální síť je možné propojit s až 16 okruhy ExpressRoute. Pomocí následujícího postupu vytvořte nový objekt připojení pro každý okruh ExpressRoute, ke kterému se připojujete. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.
Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium vám také umožní připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech.
Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí roven nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.
Projděte si pokyny pro připojení mezi virtuálními sítěmi přes ExpressRoute.
Připojení virtuální sítě ve stejném předplatném k okruhu
Bránu virtuální sítě můžete připojit k okruhu ExpressRoute pomocí příkladu. Před spuštěním příkazu se ujistěte, že je brána virtuální sítě vytvořená a připravená k propojení.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Připojení virtuální sítě jiného předplatného k okruhu
Okruh ExpressRoute můžete sdílet mezi několika předplatnými. Následující obrázek ukazuje jednoduché schéma fungování sdílení pro okruhy ExpressRoute napříč několika předplatnými.
Poznámka:
Připojení virtuálních sítí mezi suverénními cloudy Azure a veřejným cloudem Azure se nepodporuje. Virtuální sítě můžete propojit pouze z různých předplatných ve stejném cloudu.
Každý z menších cloudů v rámci velkého cloudu slouží k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute pro připojení zpět k místní síti. Jedno oddělení (v tomto příkladu: IT) může vlastnit okruh ExpressRoute. Jiná předplatná v organizaci můžou používat okruh ExpressRoute.
Poznámka:
Poplatky za připojení a šířku pásma pro vyhrazený okruh se použijí pro vlastníka okruhu ExpressRoute. Všechny virtuální sítě sdílejí stejnou šířku pásma.
Správa – Vlastníci okruhů a uživatelé okruhu
Vlastník okruhu je autorizovaný uživatel okruhu ExpressRoute. Vlastník okruhu může vytvářet autorizace, které můžou uplatnit uživatelé okruhu. Uživatelé okruhu jsou vlastníci bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhu můžou uplatnit autorizace (jednu autorizaci na virtuální síť).
Vlastník okruhu může kdykoli změnit a odvolat autorizaci. Po odvolání autorizace se všechna připojení propojení odstraní z předplatného, jehož přístup byl odvolán.
Poznámka:
Vlastník okruhu není předdefinovaná role RBAC ani definovaná u prostředku ExpressRoute. Definice vlastníka okruhu je libovolná role s následujícím přístupem:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
To zahrnuje předdefinované role, jako je Přispěvatel, Vlastník a Přispěvatel sítě. Podrobný popis různých předdefinovaných rolí
Operace vlastníka okruhu
Vytvoření autorizace
Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který uživatel okruhu použije k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná pouze pro jedno připojení.
Následující příklad ukazuje, jak vytvořit autorizaci:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization
Odpověď obsahuje autorizační klíč a stav:
"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"
Kontrola autorizací
Vlastník okruhu může zkontrolovat všechny autorizace vydané v určitém okruhu spuštěním následujícího příkladu:
az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup
Přidání autorizací
Vlastník okruhu může přidat autorizaci pomocí následujícího příkladu:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Odstranění autorizací
Vlastník okruhu může uživateli odvolat nebo odstranit autorizaci spuštěním následujícího příkladu:
az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Operace uživatele okruhu
Uživatel okruhu potřebuje ID partnerského vztahu a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.
az network express-route show -n MyCircuit -g ExpressRouteResourceGroup
Uplatnění autorizace připojení
Uživatel okruhu může spustit následující příklad a uplatnit autorizaci propojení:
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Uvolnění autorizace připojení
Autorizaci můžete uvolnit odstraněním připojení, které propojuje okruh ExpressRoute s virtuální sítí.
Úprava připojení k virtuální síti
Můžete aktualizovat určité vlastnosti připojení k virtuální síti.
Aktualizace váhy připojení
Vaše virtuální síť se dá připojit k několika okruhům ExpressRoute. Stejnou předponu můžete obdržet z více než jednoho okruhu ExpressRoute. Pokud chcete zvolit, které připojení se má odesílat přenosy určené pro tuto předponu, můžete změnit routingWeight připojení. Provoz se odešle na připojení s nejvyšší váhou směrování.
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100
Rozsah RoutingWeight je 0 až 32000. Výchozí hodnota je 0.
Konfigurace ExpressRoute FastPath
ExpressRoute FastPath můžete povolit, pokud je brána virtuální sítě Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi vaší místní sítí a vaší virtuální sítí.
Konfigurace FastPathu pro nové připojení
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Aktualizace existujícího připojení pro povolení fastPathu
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true
Poznámka:
Pomocí Monitorování připojení můžete ověřit, že se provoz blíží cíli pomocí fastPathu.
Registrace do funkcí ExpressRoute FastPath (Preview)
Podpora peeringu virtuálních sítí fastPath je teď ve verzi Public Preview. Registrace je dostupná jenom prostřednictvím Azure PowerShellu. Pokyny k registraci najdete v tématu Funkce FastPath ve verzi Preview.
Poznámka:
Všechna připojení nakonfigurovaná pro FastPath v cílovém předplatném se zaregistrují v této verzi Preview. Nedoporučujeme povolit tuto verzi Preview v produkčních předplatných. Pokud jste už nakonfigurovali FastPath a chcete se zaregistrovat do funkce Preview, musíte udělat toto:
- Zaregistrujte se do funkce FastPath Preview pomocí výše uvedeného příkazu Azure PowerShellu.
- Zakažte a znovu povolte FastPath v cílovém připojení.
Vyčištění prostředků
Pokud už připojení ExpressRoute nepotřebujete, použijte az network vpn-connection delete z předplatného, ve kterém se brána nachází, příkazem odeberte propojení mezi bránou a okruhem.
az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup
Další kroky
V tomto kurzu jste zjistili, jak připojit virtuální síť k okruhu ve stejném předplatném a v jiném předplatném. Další informace o bráně ExpressRoute najdete v tématu: Brány virtuální sítě ExpressRoute.
Pokud chcete zjistit, jak nakonfigurovat filtry tras pro partnerský vztah Microsoftu pomocí Azure CLI, přejděte k dalšímu kurzu.