Vytvoření partnerského vztahu virtuálních sítí mezi různými předplatnými a tenanty Microsoft Entra

Propojení virtuálních sítí umožňuje propojit virtuální sítě Azure napříč různými předplatnými a tenanty Microsoft Entra. V tomto kurzu se naučíte, jak vytvořit peering virtuálních sítí mezi virtuálními sítěmi vytvořenými prostřednictvím Správce prostředků, které existují v různých předplatných. Peering dvou virtuálních sítí umožňuje prostředkům v různých virtuálních sítích vzájemně komunikovat se stejnou šířkou pásma a latencí, jako kdyby byly prostředky ve stejné virtuální síti. Další informace o propojování virtuálních sítí.

V závislosti na tom, zda jsou virtuální sítě ve stejném nebo jiném předplatném, se postup vytvoření partnerského vztahu virtuálních sítí liší. Kroky k vytvoření rovnocenných sítí pomocí modelu klasického nasazení se liší. Další informace o modelech nasazení najdete v tématu Model nasazení Azure.

Zjistěte, jak vytvořit spojení virtuálních sítí v jiných scénářích, když vyberete scénář z následující tabulky:

Model nasazení Azure	Předplatné Azure
Oba správci prostředků	Same
Jeden Resource Manager, jeden klasický	Same
Jeden Resource Manager, jeden klasický	Different

Partnerské propojení virtuální sítě nelze vytvořit mezi dvěma virtuálními sítěmi nasazenými prostřednictvím klasického modelu nasazení. Pokud potřebujete propojit virtuální sítě vytvořené prostřednictvím modelu nasazení Classic, můžete k propojení virtuálních sítí použít azure VPN Gateway .

Tento tutoriál propojuje virtuální sítě ve stejné oblasti. Můžete také propojit virtuální sítě v různých podporovaných oblastech. Seznamte se s požadavky a omezeními propojování virtuálních sítí před propojováním těchto sítí.

Prerequisites

Portal

• Účet Azure nebo účty se dvěma aktivními předplatnými. Vytvoření účtu zdarma

• Jeden účet Azure s oprávněními v obou předplatných, nebo jeden účet v každém předplatném s příslušnými oprávněními pro vytvoření propojení virtuálních sítí. Seznam oprávnění najdete v tématu Oprávnění partnerského vztahu virtuálních sítí.

  • Pokud chcete oddělit povinnost spravovat síť patřící každému tenantovi, přidejte uživatele z každého tenanta jako hosta v opačném tenantovi a přiřaďte mu roli Přispěvatel sítě k virtuální síti. Tento postup platí, pokud jsou virtuální sítě v různých předplatných a klientech služby Active Directory.

  • Pokud chcete vytvořit partnerskou síť a nemáte v úmyslu oddělit správu sítě patřící každému tenantovi, přidejte uživatele z tenanta A jako hosta v druhém tenantovi. Pak jim přiřaďte roli Přispěvatele k síti, aby zahájili a připojili propojení sítí pro každé předplatné. S těmito oprávněními může uživatel z každého předplatného vytvořit síťové propojení.

  • Další informace o uživatelích typu host najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

  • Každý uživatel musí přijmout pozvánku uživatele typu host z opačného tenanta Microsoft Entra.

• Přihlaste se k webu Azure Portal.

PowerShell

• Účet Azure nebo účty se dvěma aktivními předplatnými. Vytvoření účtu zdarma

• Jeden účet Azure s oprávněními v obou předplatných, nebo jeden účet v každém předplatném s příslušnými oprávněními pro vytvoření propojení virtuálních sítí. Seznam oprávnění najdete v tématu Oprávnění partnerského vztahu virtuálních sítí.

  • Pokud chcete oddělit povinnost spravovat síť patřící každému tenantovi, přidejte uživatele z každého tenanta jako hosta v opačném tenantovi a přiřaďte mu roli Přispěvatel sítě k virtuální síti. Tento postup platí, pokud jsou virtuální sítě v různých předplatných a klientech služby Active Directory.

  • Pokud chcete vytvořit partnerskou síť a nemáte v úmyslu oddělit správu sítě patřící každému tenantovi, přidejte uživatele z tenanta A jako hosta v druhém tenantovi. Pak jim přiřaďte roli Přispěvatele k síti, aby zahájili a připojili propojení sítí pro každé předplatné. S těmito oprávněními může uživatel z každého předplatného vytvořit síťové propojení.

  • Další informace o uživatelích typu host najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

  • Každý uživatel musí přijmout pozvánku uživatele typu host z opačného tenanta Microsoft Entra.

• Azure PowerShell nainstalovaný místně nebo Azure Cloud Shell.

• Přihlaste se k Azure PowerShellu a vyberte předplatné, se kterým chcete tuto funkci použít. Další informace najdete v tématu Přihlášení pomocí Azure PowerShellu.

• Ujistěte se, že je modul Az.Network 4.3.0 nebo novější. K ověření nainstalovaného modulu použijte příkaz Get-InstalledModule -Name "Az.Network". Pokud modul vyžaduje aktualizaci, použijte v případě potřeby příkaz Update-Module -Name Az.Network .

Pokud se rozhodnete nainstalovat a používat PowerShell místně, musíte použít modul Azure PowerShell verze 5.4.1 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Azure CLI

• Účet Azure nebo účty se dvěma aktivními předplatnými. Vytvoření účtu zdarma

• Jeden účet Azure s oprávněními v obou předplatných, nebo jeden účet v každém předplatném s příslušnými oprávněními pro vytvoření propojení virtuálních sítí. Seznam oprávnění najdete v tématu Oprávnění partnerského vztahu virtuálních sítí.

  • Pokud chcete oddělit povinnost spravovat síť patřící každému tenantovi, přidejte uživatele z každého tenanta jako hosta v opačném tenantovi a přiřaďte mu roli Přispěvatel sítě k virtuální síti. Tento postup platí, pokud jsou virtuální sítě v různých předplatných a klientech služby Active Directory.

  • Pokud chcete vytvořit partnerskou síť a nemáte v úmyslu oddělit správu sítě patřící každému tenantovi, přidejte uživatele z tenanta A jako hosta v druhém tenantovi. Pak jim přiřaďte roli Přispěvatele k síti, aby zahájili a připojili propojení sítí pro každé předplatné. S těmito oprávněními může uživatel z každého předplatného vytvořit síťové propojení.

  • Další informace o uživatelích typu host najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

  • Každý uživatel musí přijmout pozvánku uživatele typu host z opačného tenanta Microsoft Entra.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Tento článek s postupy vyžaduje verzi 2.31.0 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

V následujících krocích se naučíme, jak propojit virtuální sítě v různých předplatných a Microsoft Entra nájemcích.

Můžete použít stejný účet, který má oprávnění v obou předplatných, nebo můžete pro každé předplatné použít samostatné účty k nastavení peerování. Účet s oprávněními v obou předplatných může provádět všechny kroky bez odhlášení a přihlášení k portálu a přiřazování oprávnění.

Následující zdroje informací a příklady účtů se používají v krocích v tomto článku:

Uživatelský účet	Skupina zdrojů	Subscription	Virtuální síť
user-1	test-rg	subscription-1	vnet-1
user-2	test-rg-2	subscription-2	vnet-2

Vytvoření virtuální sítě – vnet-1

Note

Pokud k dokončení kroků používáte jeden účet, můžete přeskočit kroky pro odhlášení z portálu a přiřazení oprávnění jiného uživatele k virtuálním sítím.

Portal

Následující postup vytvoří virtuální síť s vyhrazenou podsítí.

1. Na portálu vyhledejte a vyberte Virtuální sítě.

2. Na stránce Virtuální sítě vyberte + Vytvořit.

3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

   Setting	Value
   Podrobnosti projektu
   Subscription	Vyberte své předplatné.
   Skupina zdrojů	Vyberte Vytvořit nový. Do pole Název zadejte test-rg . Vyberte OK.
   Podrobnosti o instanci
   Name	Zadejte vnet-1.
   Region	Vyberte USA – východ 2.

   

4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

5. Výběrem možnosti Další přejděte na kartu IP adresy.

6. V poli adresního prostoru v podsítích vyberte výchozí podsíť.

7. V části Upravit podsíť zadejte nebo vyberte následující informace:

   Setting	Value
   Účel podsítě	Nechte výchozí výchozí.
   Name	Zadejte subnet-1.

8. Zbývající nastavení ponechte ve výchozím nastavení. Vyberte Uložit.

   

9. Vyberte Uložit.

10. Vyberte Zkontrolovat a vytvořit v dolní části obrazovky a po ověření vyberte Vytvořit.

PowerShell

Přihlášení k předplatnému 1

K přihlášení k předplatnému 1 použijte Connect-AzAccount.

Connect-AzAccount

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na subscription-1 pomocí set-AzContext.

Set-AzContext -Subscription subscription-1

Vytvoření skupiny prostředků – test-rg

Skupina prostředků Azure je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.

Vytvořte skupinu prostředků pomocí příkazu New-AzResourceGroup:

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Vytvoření virtuální sítě

Vytvořte virtuální síť pomocí cmdletu New-AzVirtualNetwork. Tento příklad vytvoří virtuální síť podsítě subnet-1 s názvem vnet-1 v lokalitě West US 3:

$vnet = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Přidání podsítě

Azure nasadí prostředky do podsítě v rámci virtuální sítě, takže potřebujete vytvořit podsíť. Vytvořte konfiguraci sítě s názvem subnet-1 pomocí Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Přidružení podsítě k virtuální síti

Konfiguraci podsítě můžete napsat do virtuální sítě pomocí Set-AzVirtualNetwork. Tento příkaz vytvoří podsíť:

$virtualNetwork | Set-AzVirtualNetwork

Azure CLI

Přihlášení k předplatnému 1

Pomocí az sign-in se přihlaste k subscription-1.

az login

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na předplatné 1 pomocí příkazu az account set.

az account set --subscription "subscription-1"

Vytvoření skupiny prostředků – test-rg

Skupina prostředků Azure je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.

Vytvořte skupinu prostředků pomocí příkazu az group create:

az group create \
    --name test-rg \
    --location eastus2

Vytvoření virtuální sítě

Vytvořte virtuální síť a podsíť pomocí příkazu az network vnet create. Tento příklad vytvoří virtuální síť s názvem vnet-1 v lokalitě Západ USA 3.

az network vnet create \
    --resource-group test-rg\
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Přiřazení oprávnění pro uživatele-2

Uživatelský účet v druhém předplatném, se kterým chcete vytvořit partnerský vztah, musí být přidán do sítě, kterou jste vytvořili dříve. Pokud pro obě předplatná používáte jeden účet, můžete tuto část přeskočit.

Portal

1. Zůstaňte přihlášeni k portálu jako uživatel-1.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-1.

4. Vyberte Řízení přístupu (IAM) .

5. Vyberte + Přidat - >Přidat přiřazení role.

6. V sekci Přidat přiřazení role na kartě Role vyberte Přispěvatel sítě.

7. Vyberte Další.

8. Na kartě Členové vyberte + Vybrat členy.

9. Do vyhledávacího pole Vyberte členy zadejte user-2.

10. Vyberte Vybrat.

11. Vyberte Zkontrolovat + přiřadit.

12. Vyberte Zkontrolovat + přiřadit.

PowerShell

K získání ID prostředku pro virtuální síť vnet-1 použijte rutinu Get-AzVirtualNetwork. Přiřaďte uživatele-2 z předplatného-2 do vnet-1 s New-AzRoleAssignment.

Pomocí rutiny Get-AzADUser získejte ID objektu pro uživatele-2.

uživatel-2 se používá v tomto příkladu pro uživatelský účet. Tuto hodnotu nahraďte zobrazovaným jménem uživatele z předplatného 2 , které chcete přiřadit oprávnění k virtuální síti vnet-1. Tento krok můžete přeskočit, pokud pro obě předplatná používáte stejný účet.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-2'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure CLI

Pomocí příkazu az network vnet show získejte ID prostředku pro vnet-1. Přiřaďte uživatele-2 z předplatného-2 k vnet-1 pomocí az role assignment create.

Pomocí az ad user list získáte ID objektu pro uživatele-2.

uživatel-2 se používá v tomto příkladu pro uživatelský účet. Tuto hodnotu nahraďte zobrazovaným jménem uživatele z předplatného 2 , které chcete přiřadit oprávnění k virtuální síti vnet-1. Tento krok můžete přeskočit, pokud pro obě předplatná používáte stejný účet.

az ad user list --display-name user-2

[
  {
    "businessPhones": [],
    "displayName": "user-2",
    "givenName": null,
    "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
    "jobTitle": null,
    "mail": "user-2@fabrikam.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-2_fabrikam.com#EXT#@contoso.onmicrosoft.com"
  }
]

Poznamenejte si ID objektu user-2 v poli id. V tomto příkladu je to aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.

vnetid=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

az role assignment create \
      --assignee aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb \
      --role "Network Contributor" \
      --scope $vnetid

Nahraďte příklad guid --assignee skutečným ID objektu pro user-2.

Získejte ID prostředku virtuální sítě vnet-1

Portal

1. Zůstaňte přihlášeni k portálu jako uživatel-1.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-1.

4. V Nastavení vyberte Vlastnosti.

5. Zkopírujte informace v poli ID zdroje a uložte je pro pozdější kroky. ID prostředku je podobné následujícímu příkladu: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.

6. Odhlaste se z portálu jako uživatel-1.

PowerShell

K nastavení připojení peeringu z vnet-2 k vnet-1 se vyžaduje ID prostředku vnet-1. K získání ID prostředku pro virtuální síť vnet-1 použijte rutinu Get-AzVirtualNetwork.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @id

$vnetA.id

Azure CLI

K nastavení připojení peeringu z vnet-2 k vnet-1 se vyžaduje ID prostředku vnet-1. Pomocí příkazu az network vnet show získejte ID prostředku pro vnet-1.

vnetidA=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

echo $vnetidA

Vytvoření virtuální sítě – vnet-2

V této části se přihlásíte jako user-2 a vytvoříte virtuální síť pro připojení peeringu k vnet-1.

Portal

Vytvořte druhou virtuální síť s následujícími hodnotami opakováním kroků v předchozí části.

Setting	Value
Subscription	subscription-2
Skupina zdrojů	test-rg-2
Name	vnet-2
Adresní prostor	10.1.0.0/16
Název podsítě	subnet-1
Rozsah adres podsítě	10.1.0.0/24

PowerShell

Přihlášení k předplatnému 2

K přihlášení k předplatnému 2 použijte Connect-AzAccount.

Connect-AzAccount

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na subscription-2 pomocí set-AzContext.

Set-AzContext -Subscription subscription-2

Vytvořte skupinu prostředků – test-rg-2

Skupina prostředků Azure je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.

Vytvořte skupinu prostředků pomocí příkazu New-AzResourceGroup:

$rsg = @{
    Name = 'test-rg-2'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Vytvoření virtuální sítě

Vytvořte virtuální síť pomocí cmdletu New-AzVirtualNetwork. Tento příklad vytvoří virtuální síť s názvem vnet-2 v podsíti 1 v oblasti Západ USA 3:

$vnet = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
    Location = 'eastus2'
    AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Přidání podsítě

Azure nasadí prostředky do podsítě v rámci virtuální sítě, takže potřebujete vytvořit podsíť. Vytvořte konfiguraci sítě s názvem subnet-1 pomocí Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Přidružení podsítě k virtuální síti

Konfiguraci podsítě můžete napsat do virtuální sítě pomocí Set-AzVirtualNetwork. Tento příkaz vytvoří podsíť:

$virtualNetwork | Set-AzVirtualNetwork

Azure CLI

Přihlášení k předplatnému 2

Pomocí az sign-in se přihlaste k subscription-2.

az login

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na předplatné 2 pomocí příkazu az account set.

az account set --subscription "subscription-2"

Vytvořte skupinu prostředků – test-rg-2

Skupina prostředků Azure je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.

Vytvořte skupinu prostředků pomocí příkazu az group create:

az group create \
    --name test-rg-2 \
    --location eastus2

Vytvoření virtuální sítě

Vytvořte virtuální síť a podsíť pomocí příkazu az network vnet create. Tento příklad vytvoří virtuální síť s podsítí s názvem vnet-2 v umístění USA – západ 3.

az network vnet create \
    --resource-group test-rg-2\
    --location eastus2 \
    --name vnet-2 \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.1.0.0/24

Přiřazení oprávnění pro uživatele-1

Uživatelský účet v druhém předplatném, se kterým chcete vytvořit partnerský vztah, musí být přidán do sítě, kterou jste vytvořili dříve. Pokud pro obě předplatná používáte jeden účet, můžete tuto část přeskočit.

Portal

1. Zůstaňte přihlášení k portálu jako uživatel-2.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-2.

4. Vyberte Řízení přístupu (IAM) .

5. Vyberte + Přidat - >Přidat přiřazení role.

6. V sekci Přidat přiřazení role na kartě Role vyberte Přispěvatel sítě.

7. Vyberte Další.

8. Na kartě Členové vyberte + Vybrat členy.

9. Do vyhledávacího pole Vyberte členy zadejte user-1.

10. Vyberte Vybrat.

11. Vyberte Zkontrolovat + přiřadit.

12. Vyberte Zkontrolovat + přiřadit.

PowerShell

Chcete-li získat ID prostředku pro vnet-2, použijte rutinu Get-AzVirtualNetwork. Přiřaďte uživatele-1 z předplatného-1 k vnet-2 pomocí New-AzRoleAssignment.

Pomocí rutiny Get-AzADUser získejte ID objektu pro uživatele-1.

uživatel-1 se používá v tomto příkladu pro uživatelský účet. Tuto hodnotu nahraďte zobrazovaným názvem uživatele ze subscription-1, kterému chcete přiřadit oprávnění k vnet-2. Tento krok můžete přeskočit, pokud pro obě předplatná používáte stejný účet.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-1'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure CLI

Pomocí az network vnet show získejte ID prostředku pro vnet-2. Přidělte uživatele-1 z předplatného-1 k vnet-2 pomocí az role assignment create.

Pomocí az ad user list získejte ID objektu pro uživatele-1.

uživatel-1 se používá v tomto příkladu pro uživatelský účet. Tuto hodnotu nahraďte zobrazovaným názvem uživatele ze subscription-1, kterému chcete přiřadit oprávnění k vnet-2. Tento krok můžete přeskočit, pokud pro obě předplatná používáte stejný účet.

az ad user list --display-name user-1

[
  {
    "businessPhones": [],
    "displayName": "user-1",
    "givenName": null,
    "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
    "jobTitle": null,
    "mail": "user-1@contoso.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-1_contoso.com#EXT#@fabrikam.onmicrosoft.com"
  }
]

Poznamenejte si ID objektu uživatele-1 v poli id. V tomto příkladu je bbbbbbbb-1111-2222-3333-cccccccccccc.

vnetid=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

az role assignment create \
      --assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
      --role "Network Contributor" \
      --scope $vnetid

Získání ID prostředku vnet-2

K nastavení připojení peeringu z vnet-1 do vnet-2 je vyžadováno ID prostředku vnet-2. Pomocí následujícího postupu získejte ID prostředku vnet-2.

Portal

1. Zůstaňte přihlášení k portálu jako uživatel-2.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-2.

4. V Nastavení vyberte Vlastnosti.

5. Zkopírujte informace v poli ID zdroje a uložte je pro pozdější kroky. ID prostředku je podobné následujícímu příkladu: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.

6. Odhlaste se z portálu jako uživatel-2.

PowerShell

K nastavení připojení peeringu z vnet-1 do vnet-2 je vyžadováno ID prostředku vnet-2. Chcete-li získat ID prostředku pro vnet-2, použijte rutinu Get-AzVirtualNetwork.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @id

$vnetB.id

Azure CLI

K nastavení připojení peeringu z vnet-1 do vnet-2 je vyžadováno ID prostředku vnet-2. Pomocí az network vnet show získejte ID prostředku pro vnet-2.

vnetidB=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

echo $vnetidB

Vytvoření připojení peeringu – vnet-1 do vnet-2

K nastavení připojení peeringu potřebujete ID prostředku pro virtuální síť vnet-2 z předchozích kroků.

Portal

1. Přihlaste se k webu Azure Portal jako uživatel-1. Pokud pro obě předplatná používáte jeden účet, na portálu přejděte na předplatné-1 .

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-1.

4. Vyberte Partnerské vztahy.

5. Vyberte + Přidat.

6. Zadejte nebo vyberte následující informace v Přidat propojení:

   Setting	Value
   Souhrn vzdálených virtuálních sítí
   Název odkazu peeringu	vnet-2-to-vnet-1
   Model nasazení virtuální sítě	Resource Manager
   Znám identifikační číslo prostředku	Výběr pole
   ID zdroje	Zadejte ID prostředku pro vnet-2
   Directory	Vyberte adresář MICROSOFT Entra ID, který odpovídá virtuální síti 2 a user-2, ale ověřte se pomocí user-1.
   Nastavení propojení vzdálené virtuální sítě
   Umožnit partnerské virtuální síti přístup do virtuální sítě vnet-1	Ponechte výchozí hodnotu Enabled (Povoleno).
   Povolit partnerské virtuální síti přijímat přesměrovaný provoz z virtuální sítě vnet-1	Výběr pole
   Souhrn místních virtuálních sítí
   Název odkazu peeringu	vnet-1-to-vnet-2
   Nastavení propojení místních virtuálních sítí
   Povolit 'vnet-1' přístup k partnerské virtuální síti	Ponechte výchozí hodnotu Enabled (Povoleno).
   Povolit virtuální síti vnet-1 přijímat přesměrovaný provoz z partnerské virtuální sítě	Výběr pole

7. Vyberte Přidat.

   

8. Odhlaste se z portálu jako uživatel-1.

PowerShell

Přihlášení k předplatnému 1

K přihlášení k předplatnému 1 použijte Connect-AzAccount.

Connect-AzAccount

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na subscription-1 pomocí set-AzContext.

Set-AzContext -Subscription subscription-1

Přihlášení k předplatnému 2

Ověřte se do předplatného-2, aby bylo možné propojení nastavit.

K přihlášení k předplatnému 2 použijte Connect-AzAccount.

Connect-AzAccount

Změna na předplatné-1 (volitelné)

Možná budete muset přejít zpět na předplatné-1 , abyste mohli pokračovat s akcemi v předplatném 1.

Změňte kontext na předplatné 1.

Set-AzContext -Subscription subscription-1

Vytvořit peeringové připojení

Pomocí Add-AzVirtualNetworkPeering vytvořte peeringové připojení mezi vnet-1 a vnet-2.

$netA = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @netA

$peer = @{
    Name = 'vnet-1-to-vnet-2'
    VirtualNetwork = $vnetA
    RemoteVirtualNetworkId = '/subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2'
}
Add-AzVirtualNetworkPeering @peer

Pomocí rutiny Get-AzVirtualNetworkPeering získejte stav připojení peeringu z vnet-1 k vnet-2.

$status = @{
    ResourceGroupName =  'test-rg'
    VirtualNetworkName = 'vnet-1'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-1            Initiated

Azure CLI

Přihlášení k předplatnému 1

Pomocí az sign-in se přihlaste k subscription-1.

az login

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na předplatné 1 pomocí příkazu az account set.

az account set --subscription "subscription-1"

Přihlášení k předplatnému 2

Ověřte se do předplatného-2, aby bylo možné propojení nastavit.

Pomocí az sign-in se přihlaste k subscription-2.

az login

Změna na předplatné-1 (volitelné)

Možná budete muset přejít zpět na předplatné-1 , abyste mohli pokračovat s akcemi v předplatném 1.

Změňte kontext na předplatné 1.

az account set --subscription "subscription-1"

Vytvořit peeringové připojení

Pomocí příkazu az network vnet peering create vytvořte připojení peeringu mezi vnet-1 a vnet-2.

az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --remote-vnet /subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/VirtualNetworks/vnet-2 \
    --allow-vnet-access

Pomocí příkazu az network vnet peering list získejte stav peeringových připojení z vnet-1 do vnet-2.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --output table

Připojení peeringu se zobrazuje v peeringových připojeních ve stavu Inicializováno. K dokončení partnerského připojení musí být v síti vnet-2 nastaveno odpovídající připojení.

Vytvoření připojení peeringu – vnet-2 k vnet-1

K nastavení peeringového připojení potřebujete ID prostředků pro vnet-1 z předchozích kroků.

Portal

1. Přihlaste se k webu Azure Portal jako uživatel-2. Pokud pro obě předplatná používáte jeden účet, v portálu změňte na předplatné-2.

2. Do vyhledávacího pole v horní části portálu zadejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

3. Vyberte vnet-2.

4. Vyberte Partnerské vztahy.

5. Vyberte + Přidat.

6. Zadejte nebo vyberte následující informace v Přidat propojení:

   Setting	Value
   Souhrn vzdálených virtuálních sítí
   Název odkazu peeringu	vnet-1-to-vnet-2
   Model nasazení virtuální sítě	Resource Manager
   Znám identifikační číslo prostředku	Výběr pole
   ID zdroje	Zadejte ID prostředku pro vnet-1
   Directory	Vyberte adresář ID Microsoft Entra, který odpovídá virtuální síti 1 a user-1, ale ověřte se pomocí user-2.
   Nastavení propojení vzdálené virtuální sítě
   Umožnit partnerské virtuální síti přístup do virtuální sítě vnet-1	Ponechte výchozí hodnotu Enabled (Povoleno).
   Povolit partnerské virtuální síti přijímat přesměrovaný provoz z virtuální sítě vnet-1	Výběr pole
   Souhrn místních virtuálních sítí
   Název odkazu peeringu	vnet-1-to-vnet-2
   Nastavení propojení místních virtuálních sítí
   Povolit 'vnet-1' přístup k partnerské virtuální síti	Ponechte výchozí hodnotu Enabled (Povoleno).
   Povolit virtuální síti vnet-1 přijímat přesměrovaný provoz z partnerské virtuální sítě	Výběr pole

7. Vyberte Přidat.

8. V rozevíracím seznamu vyberte adresář, který odpovídá vnet-1 a user-1.

9. Vyberte Ověřit.

   

10. Vyberte Přidat.

PowerShell

Přihlášení k předplatnému 2

K přihlášení k předplatnému 2 použijte Connect-AzAccount.

Connect-AzAccount

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na subscription-2 pomocí set-AzContext.

Set-AzContext -Subscription subscription-2

Přihlášení k předplatnému 1

Ověřte se u předplatného 1, aby bylo možné nastavit peering.

K přihlášení k předplatnému 1 použijte Connect-AzAccount.

Connect-AzAccount

Změna na předplatné-2 (volitelné)

Možná budete muset přejít zpět na předplatné 2 , abyste mohli pokračovat s akcemi v předplatném 2.

Změňte kontext na předplatné 2.

Set-AzContext -Subscription subscription-2

Vytvořit peeringové připojení

Pomocí rutiny Add-AzVirtualNetworkPeering vytvořte připojení peeringu mezi vnet-2 a vnet-1.

$netB = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @netB

$peer = @{
    Name = 'vnet-2-to-vnet-1'
    VirtualNetwork = $vnetB
    RemoteVirtualNetworkId = '/subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1'
}
Add-AzVirtualNetworkPeering @peer

Pomocí Get-AzVirtualNetworkPeering získáte stav peeringových připojení z vnet-2 do vnet-1.

$status = @{
    ResourceGroupName =  'test-rg-2'
    VirtualNetworkName = 'vnet-2'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-2            Connected

Azure CLI

Přihlášení k předplatnému 2

Pomocí az sign-in se přihlaste k subscription-2.

az login

Pokud pro obě předplatná používáte jeden účet, přihlaste se k ho a změňte kontext předplatného na předplatné 2 pomocí příkazu az account set.

az account set --subscription "subscription-2"

Přihlášení k předplatnému 1

Ověřte se u předplatného 1, aby bylo možné nastavit peering.

Pomocí az sign-in se přihlaste k subscription-1.

az login

Změna na předplatné-2 (volitelné)

Možná budete muset přejít zpět na předplatné 2 , abyste mohli pokračovat s akcemi v předplatném 2.

Změňte kontext na předplatné 2.

az account set --subscription "subscription-2"

Vytvořit peeringové připojení

Pomocí příkazu az network vnet peering create vytvořte připojení peeringu mezi vnet-2 a vnet-1.

az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --remote-vnet /subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/VirtualNetworks/vnet-1 \
    --allow-vnet-access

Pomocí az network vnet peering list získejte stav připojení peeringu z vnet-2 k vnet-1.

az network vnet peering list \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --output table

Partnerský vztah je úspěšně navázán, jakmile se ve sloupci Stav spárování zobrazí Připojeno pro obě virtuální sítě v partnerském vztahu. Všechny prostředky Azure, které vytvoříte v obou virtuálních sítích, teď můžou vzájemně komunikovat prostřednictvím jejich IP adres. Pokud pro virtuální sítě používáte překlad názvů Azure, prostředky ve virtuálních sítích nemůžou překládat názvy napříč virtuálními sítěmi. Pokud chcete řešit názvy napříč virtuálními sítěmi při peeringu, musíte vytvořit vlastní server DNS (Domain Name System) nebo použít Azure DNS.

Important

Pokud aktualizujete adresní prostor v jednom ze členů partnerského uzlu, musíte připojení znovu synchronizovat, aby odráželo změny adresního prostoru. Další informace najdete v tématu Aktualizace adresního prostoru pro partnerskou virtuální síť pomocí portálu Azure.

Další informace o použití vlastního DNS pro překlad názvů najdete v tématu Překlad názvů pomocí vlastního serveru DNS.

Další informace o Azure DNS najdete v tématu Co je Azure DNS?

Další kroky

• Důkladně se seznamte s důležitými omezeními a charakteristikami propojení virtuálních sítí před vytvořením propojení virtuálních sítí pro použití v produkčním prostředí.

• Přečtěte si o všech nastaveních propojování virtuálních sítí.

• Zjistěte, jak vytvořit hvězdicovou topologii s centrálním uzlem s využitím partnerského vztahu virtuálních sítí.