Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke
In diesem Artikel erfahren Sie mehr zum Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke. Ein Peering virtueller Netzwerke verbindet nahtlos zwei virtuelle Azure-Netzwerke, indem es die beiden virtuellen Netzwerke für Konnektivitätszwecke zu einem zusammenführt. Gatewaytransit ist eine Peeringeigenschaft, die es einem virtuellen Netzwerk ermöglicht, das VPN-Gateway im Peer-VNET für standortübergreifende oder VNET-zu-VNET-Konnektivität zu nutzen.
Die folgende Abbildung zeigt, wie der Gatewaytransit mit einem Peering virtueller Netzwerke funktioniert. Im Diagramm ermöglicht der Gatewaytransit dem virtuellen Netzwerk mit Peeringbeziehung die Nutzung des Azure-VPN-Gateways in „Hub-RM“. Die im VPN-Gateway verfügbare Konnektivität, einschließlich S2S-, P2S- und VNET-zu-VNET-Verbindungen, gilt für alle drei virtuellen Netzwerke.
Die Transitoption ist für Peering zwischen demselben oder verschiedenen Bereitstellungsmodellen verfügbar und kann mit allen VPN Gateway SKUs außer der Basic SKU verwendet werden. Wenn Sie den Transit zwischen verschiedenen Bereitstellungsmodellen konfigurieren, müssen das virtuelle Hubnetzwerk und das Gateway des virtuellen Netzwerks das Resource Manager-Bereitstellungsmodell verwenden, nicht das klassische Bereitstellungsmodell.
In der Hub-Spoke-Netzwerkarchitektur ermöglicht der Gatewaytransit die gemeinsame Nutzung des VPN-Gateways im Hub, anstatt VPN-Gateways in jedem virtuellen Spoke-Netzwerk bereitzustellen. Routen zu den mit dem Gateway verbundenen virtuellen Netzwerken oder lokalen Netzwerken werden über den Gatewaytransit an die Routingtabellen für die virtuellen Netzwerke mit Peeringbeziehung verteilt.
Sie können die automatische Routenverteilung im VPN-Gateway deaktivieren. Erstellen Sie eine Routingtabelle mit der Option BGP-Routenverteilung deaktivieren, und ordnen Sie die Routingtabelle den Subnetzen zu, um die Verteilung der Route an diese Subnetze zu verhindern. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer Routingtabelle.
In diesem Artikel gibt es zwei Szenarien. Wählen Sie das Szenario aus, das für Ihre Umgebung gilt. In den meisten Fällen kommt das Szenario mit gleichem Bereitstellungsmodell zum Tragen. Wenn Sie nicht mit einem VNet mit klassischem Bereitstellungsmodell arbeiten (Legacy-VNet), das bereits in Ihrer Umgebung vorhanden ist, benötigen Sie das Szenario mit unterschiedlichen Bereitstellungsmodellen nicht.
- Gleiches Bereitstellungsmodell: Beide virtuellen Netzwerke wurden mit dem Resource Manager-Bereitstellungsmodell erstellt.
- Unterschiedliche Bereitstellungsmodelle: Das Spoke-VNET wurde mit dem klassischen Bereitstellungsmodell erstellt, und das Hub-VNET sowie das Gateway nutzen das Resource Manager-Bereitstellungsmodell. Dieses Szenario ist nützlich, wenn Sie eine Verbindung mit einem Legacy-VNet herstellen müssen, das bereits im klassischen Bereitstellungsmodell vorhanden ist.
Hinweis
Wenn Sie eine Änderung an der Topologie Ihres Netzwerks vornehmen und Windows-VPN-Clients verwenden, muss das VPN-Clientpaket für Windows-Clients heruntergeladen und erneut installiert werden, damit die Änderungen auf den Client angewendet werden.
Voraussetzungen
Für diesen Artikel sind die folgenden VNets und Berechtigungen erforderlich. Wenn Sie nicht mit dem Szenario mit unterschiedlichen Bereitstellungsmodellen arbeiten, müssen Sie kein klassisches VNet erstellen.
Virtuelle Netzwerke
| VNet | Konfigurationsschritte | Gateway des virtuellen Netzwerks |
|---|---|---|
| Hub-RM | Ressourcen-Manager | Ja |
| Spoke-RM | Ressourcen-Manager | Nein |
| Spoke-Classic | Klassisch | Nein |
Berechtigungen
Die Konten, mit denen Sie das Peering virtueller Netzwerke erstellen, müssen die erforderliche Rolle oder die erforderlichen Berechtigungen haben. Wenn Sie im folgenden Beispiel ein Peering zweier virtueller Netzwerke mit den Namen Hub-RM und Spoke-Classic einrichten, benötigt Ihr Konto für jedes virtuelle Netzwerk die folgenden Rollen oder Berechtigungen:
| VNet | Bereitstellungsmodell | Role | Berechtigungen |
|---|---|---|---|
| Hub-RM | Ressourcen-Manager | Mitwirkender von virtuellem Netzwerk | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klassisch | Mitwirkender von klassischem Netzwerk | – | |
| Spoke-Classic | Ressourcen-Manager | Mitwirkender von virtuellem Netzwerk | Microsoft.Network/virtualNetworks/peer |
| Klassisch | Mitwirkender von klassischem Netzwerk | Microsoft.ClassicNetwork/virtualNetworks/peer |
Erfahren Sie mehr über integrierte Rollen und das Zuweisen bestimmter Berechtigungen zu benutzerdefinierten Rollen (nur für Resource Manager).
Gleiches Bereitstellungsmodell
Dies ist das gängigere Szenario. In diesem Szenario wurden die beiden virtuellen Netzwerke mit dem Resource Manager-Bereitstellungsmodell erstellt. Führen Sie die folgenden Schritte zum Erstellen oder Aktualisieren des Peerings virtueller Netzwerke aus, um den Gatewaytransit zu aktivieren.
So fügen Sie Peering hinzu und aktivieren den Transit
Erstellen oder aktualisieren Sie das Peering virtueller Netzwerke von „Hub-RM“ im Azure-Portal. Wechseln Sie zum virtuellen Netzwerk Hub-RM. Wählen Sie Peerings und dann + Hinzufügen aus, um Peering hinzufügen zu öffnen.
Konfigurieren Sie auf der Seite Peering hinzufügen die Werte für dieses virtuelle Netzwerk.
Name des Peeringlinks: Benennen Sie den Link. Beispiel: HubRMToSpokeRM
Traffic to remote virtual network (Datenverkehr zum virtuellen Remotenetzwerk): Zulassen
Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr): Zulassen
Gateway des virtuellen Netzwerks: Gateway oder Routenserver dieses virtuellen Netzwerks verwenden
Fahren Sie auf derselben Seite mit der Konfiguration der Werte für das virtuelle Remotenetzwerk fort.
Name des Peeringlinks: Benennen Sie den Link. Beispiel: SpokeRMtoHubRM
Bereitstellungsmodell für virtuelle Netzwerke: Resource Manager
Ich kenne meine Ressourcen-ID: Lassen Sie das Feld leer. Sie müssen diese Option nur auswählen, wenn Sie keinen Lesezugriff auf das virtuelle Netzwerk oder das Abonnement haben, mit dem Sie eine Peeringverbindung herstellen möchten.
Abonnement: Wählen Sie das Abonnement aus.
Virtuelles Netzwerk: Spoke-RM
Traffic to remote virtual network (Datenverkehr zum virtuellen Remotenetzwerk): Zulassen
Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr): Zulassen
Gateway des virtuellen Netzwerks: Gateway oder Routenserver des virtuellen Remotenetzwerks verwenden
Wählen Sie Hinzufügen aus, um das Peering zu erstellen.
Überprüfen Sie, ob der Peeringstatus für beide virtuellen Netzwerke Verbunden ist.
So ändern Sie ein vorhandenes Peering für den Transit
Wenn bereits ein Peering vorhanden ist, können Sie dieses für den Transit ändern.
Wechseln Sie zum virtuellen Netzwerk. Wählen Sie Peerings aus und dann das Peering, das Sie ändern möchten. Wählen Sie beispielsweise im Spoke-RM-VNet das SpokeRMtoHubRM-Peering aus.
Aktualisieren Sie das VNET-Peering.
- Traffic to remote virtual network (Datenverkehr zum virtuellen Remotenetzwerk): Zulassen
- Traffic forwarded to virtual network (Zum virtuellen Netzwerk weitergeleiteter Datenverkehr): Zulassen
- Gateway oder Routenserver des virtuellen Netzwerks: Gateway oder Routenserver des virtuellen Remotenetzwerks verwenden
Speichern Sie die Peeringeinstellungen.
PowerShell-Beispiel
Sie können auch PowerShell verwenden, um das Peering zu erstellen oder zu aktualisieren. Ersetzen Sie die Variablen durch die Namen Ihrer virtuellen Netzwerke und Ressourcengruppen.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Unterschiedliche Bereitstellungsmodelle
In dieser Konfiguration wird das Spoke-VNET Spoke-Classic im klassischen Bereitstellungsmodell und das Hub-VNET Hub-RM im Resource Manager-Bereitstellungsmodell bereitgestellt. Beim Konfigurieren des Transits zwischen Bereitstellungsmodellen muss das Gateway des virtuellen Netzwerks für das Resource Manager-VNET und nicht für das klassische VNET konfiguriert werden.
Sie müssen bei dieser Konfiguration also nur das virtuelle Netzwerk Hub-RM konfigurieren. Im VNET Spoke-Classic müssen Sie nichts konfigurieren.
Wechseln Sie im Azure-Portal zum virtuellen Netzwerk Hub-RM, und wählen Sie Peerings und dann + Hinzufügen aus.
Konfigurieren Sie auf der Seite Peering hinzufügen die folgenden Werte:
Name des Peeringlinks: Benennen Sie den Link. Beispiel: HubRMToClassic
Traffic to remote virtual network (Datenverkehr zum virtuellen Remotenetzwerk): Zulassen
Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr): Zulassen
Gateway oder Routenserver des virtuellen Netzwerks: Gateway oder Routenserver dieses virtuellen Netzwerks verwenden
Name des Peeringlinks: Dieser Wert wird ausgeblendet, wenn Sie das klassische Bereitstellungsmodell für das virtuelle Netzwerk auswählen.
Bereitstellungsmodell für das virtuelle Netzwerk: Klassisch
Ich kenne meine Ressourcen-ID: Lassen Sie das Feld leer. Sie müssen diese Option nur auswählen, wenn Sie keinen Lesezugriff auf das virtuelle Netzwerk oder das Abonnement haben, mit dem Sie eine Peeringverbindung herstellen möchten.
Vergewissern Sie sich, dass das Abonnement stimmt, und wählen Sie dann das virtuelle Netzwerk in der Dropdownliste aus.
Wählen Sie Hinzufügen aus, um das Peering hinzuzufügen.
Überprüfen Sie, ob der Peeringstatus für das virtuelle Netzwerk „Hub-RM“ Verbunden ist.
Bei dieser Konfiguration ist es nicht erforderlich, eine Konfiguration im klassischen virtuellen Netzwerk Spoke-Classic vorzunehmen. Sobald der Status Verbunden angezeigt wird, kann das virtuelle Spoke-Netzwerk die Konnektivität über das VPN-Gateway im virtuellen Hub-Netzwerk nutzen.
PowerShell-Beispiel
Sie können auch PowerShell verwenden, um das Peering zu erstellen oder zu aktualisieren. Ersetzen Sie die Variablen und Abonnement-ID durch die Werte Ihres virtuellen Netzwerks, Ihrer Ressourcengruppen und Ihres Abonnements. Sie müssen lediglich ein Peering virtueller Netzwerke im virtuellen Netzwerk des Hubs erstellen.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Nächste Schritte
- Erfahren Sie mehr über Einschränkungen und Verhalten eines Peerings virtueller Netzwerke und Einstellungen für ein Peering virtueller Netzwerke, bevor Sie ein Peering virtueller Netzwerker für den Produktionseinsatz erstellen.
- Erfahren Sie, wie Sie eine Hub-Spoke-Netzwerktopologie mit einem Peering virtueller Netzwerke und Gatewaytransit erstellen.
- Erstellen eines Peerings virtueller Netzwerke mit dem gleichen Bereitstellungsmodell
- Erstellen eines Peerings virtueller Netzwerke mit unterschiedlichen Bereitstellungsmodellen