Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke

In diesem Artikel erfahren Sie mehr zum Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke. Ein Peering virtueller Netzwerke verbindet nahtlos zwei virtuelle Azure-Netzwerke, indem es die beiden virtuellen Netzwerke für Konnektivitätszwecke zu einem zusammenführt. Gatewaytransit ist eine Peeringeigenschaft, die es einem virtuellen Netzwerk ermöglicht, das VPN-Gateway im Peer-VNET für standortübergreifende oder VNET-zu-VNET-Konnektivität zu nutzen.

Die folgende Abbildung zeigt, wie der Gatewaytransit mit einem Peering virtueller Netzwerke funktioniert. Im Diagramm ermöglicht der Gatewaytransit dem virtuellen Netzwerk mit Peeringbeziehung die Nutzung des Azure-VPN-Gateways in „Hub-RM“. Die im VPN-Gateway verfügbare Konnektivität, einschließlich S2S-, P2S- und VNET-zu-VNET-Verbindungen, gilt für alle drei virtuellen Netzwerke.

Die Transitoption kann mit allen VPN-Gateway-SKUs außer der Standard-SKU verwendet werden.

In der Hub-Spoke-Netzwerkarchitektur ermöglicht der Gatewaytransit die gemeinsame Nutzung des VPN-Gateways im Hub, anstatt VPN-Gateways in jedem virtuellen Spoke-Netzwerk bereitzustellen. Routen zu den mit dem Gateway verbundenen virtuellen Netzwerken oder lokalen Netzwerken werden über den Gatewaytransit an die Routingtabellen für die virtuellen Netzwerke mit Peeringbeziehung verteilt.

Sie können die automatische Routenverteilung im VPN-Gateway deaktivieren. Erstellen Sie eine Routingtabelle mit der Option BGP-Routenverteilung deaktivieren, und ordnen Sie die Routingtabelle den Subnetzen zu, um die Verteilung der Route an diese Subnetze zu verhindern. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer Routingtabelle.

Hinweis

Wenn Sie eine Änderung an der Topologie Ihres Netzwerks vornehmen und Windows-VPN-Clients verwenden, muss das VPN-Clientpaket für Windows-Clients heruntergeladen und erneut installiert werden, damit die Änderungen auf den Client angewendet werden.

Voraussetzungen

Für diesen Artikel sind die folgenden VNets und Berechtigungen erforderlich.

Virtuelle Netzwerke

VNet	Konfigurationsschritte	Gateway des virtuellen Netzwerks
Hub-RM	Ressourcen-Manager	Ja
Spoke-RM	Ressourcen-Manager	No

Berechtigungen

Die Konten, mit denen Sie das Peering virtueller Netzwerke erstellen, müssen die erforderliche Rolle oder die erforderlichen Berechtigungen haben. Wenn Sie im folgenden Beispiel ein Peering zweier virtueller Netzwerke mit den Namen Hub-RM und Spoke-Classic einrichten, benötigt Ihr Konto für jedes virtuelle Netzwerk die folgenden Rollen oder Berechtigungen:

VNet	Bereitstellungsmodell	Role	Berechtigungen
Hub-RM	Ressourcen-Manager	Mitwirkender von virtuellem Netzwerk	Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM	Ressourcen-Manager	Mitwirkender von virtuellem Netzwerk	Microsoft.Network/virtualNetworks/peer

Erfahren Sie mehr über integrierte Rollen und das Zuweisen bestimmter Berechtigungen zu benutzerdefinierten Rollen (nur für Resource Manager).

So fügen Sie Peering hinzu und aktivieren den Transit

1. Erstellen oder aktualisieren Sie das Peering virtueller Netzwerke von „Hub-RM“ im Azure-Portal. Wechseln Sie zum virtuellen Netzwerk Hub-RM. Wählen Sie Peerings und dann + Hinzufügen aus, um Peering hinzufügen zu öffnen.

2. Konfigurieren Sie auf der Seite Peering hinzufügen die Werte für Zusammenfassung für Remote virtuelles Netzwerk.

   • Name des Peeringlinks: Benennen Sie den Link. Beispiel: SpokeRMtoHubRM
   • Bereitstellungsmodell für virtuelle Netzwerke: Resource Manager
   • Ich kenne meine Ressourcen-ID: Lassen Sie das Feld leer. Sie müssen diese Option nur auswählen, wenn Sie keinen Lesezugriff auf das virtuelle Netzwerk oder das Abonnement haben, mit dem Sie eine Peeringverbindung herstellen möchten.
   • Abonnement: Wählen Sie das Abonnement aus.
   • Virtuelles Netzwerk: Spoke-RM

3. Konfigurieren Sie auf der Seite Peering hinzufügen die Werte für Peering-Einstellungen für Remote virtuelles Netzwerk.

   • Zulassen, dass 'Spoke-RM' auf 'Hub-RM' zugreifen kann: Lassen Sie die Standardeinstellung ausgewählt.
   • Zulassen, dass "Spoke-RM" weitergeleiteten Datenverkehr von "Hub-RM" empfangen kann: Aktivieren Sie das Kontrollkästchen.
   • Zulassen, dass Gateway oder Routingserver im virtuellen Peernetzwerk Datenverkehr an "Hub-RM" weiterleiten kann: Lassen Sie die Standardeinstellung auf "Nicht ausgewählt".
   • Aktivieren Sie "SpokeRM", um das Remotegateway oder den Routenserver von "Hub-RM" zu verwenden: Aktivieren Sie das Kontrollkästchen.

   

4. Konfigurieren Sie auf der Seite Peering hinzufügen die Werte für Zusammenfassung für lokales virtuelles Netzwerk.

   • Name des Peeringlinks: Benennen Sie den Link. Beispiel: HubRMToSpokeRM

5. Konfigurieren Sie auf der Seite "Peering hinzufügen" die Werte für Einstellungen für Peering-Einstellungen für lokales virtuelles Netzwerk.

   • Zulassen, dass "Hub-RM" auf das virtuelle Peer-Netzwerk zugreifen kann: Lassen Sie die Standardeinstellung ausgewählt.
   • Zulassen, dass "Hub-RM" weitergeleiteten Datenverkehr aus dem virtuellen Peer-Netzwerk empfängt: Aktivieren Sie das Kontrollkästchen.
   • Zulassen, dass Gateway oder Routingserver in "Hub-RM" Datenverkehr an das virtuelle Peer-Netzwerk weiterleiten: Aktivieren Sie das Kontrollkästchen.
   • Aktivieren Sie "Hub-RM", um das Remotegateway oder den Routenserver des virtuellen Peer-Netzwerks zu verwenden: Lassen Sie die Standardeinstellung auf "Nicht ausgewählt".

   

6. Wählen Sie Hinzufügen aus, um das Peering zu erstellen.

7. Überprüfen Sie, ob der Peeringstatus für beide virtuellen Netzwerke Verbunden ist.

So ändern Sie ein vorhandenes Peering für den Transit

Wenn bereits ein Peering vorhanden ist, können Sie dieses für den Transit ändern.

1. Wechseln Sie zum virtuellen Netzwerk. Wählen Sie Peerings aus und dann das Peering, das Sie ändern möchten. Wählen Sie beispielsweise im Spoke-RM-VNet das SpokeRMtoHubRM-Peering aus.

2. Aktualisieren Sie das VNET-Peering.

   Aktivieren Sie "Spoke-RM", um das Remotegateway oder den Routenserver von "Hub-RM" zu verwenden: Aktivieren Sie das Kontrollkästchen.

3. Speichern Sie die Peeringeinstellungen.

PowerShell-Beispiel

Sie können auch PowerShell verwenden, um das Peering zu erstellen oder zu aktualisieren. Ersetzen Sie die Variablen durch die Namen Ihrer virtuellen Netzwerke und Ressourcengruppen.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Nächste Schritte

• Erfahren Sie mehr über Einschränkungen und Verhalten eines Peerings virtueller Netzwerke und Einstellungen für ein Peering virtueller Netzwerke, bevor Sie ein Peering virtueller Netzwerker für den Produktionseinsatz erstellen.
• Erfahren Sie, wie Sie eine Hub-Spoke-Netzwerktopologie mit einem Peering virtueller Netzwerke und Gatewaytransit erstellen.
• Erstellen eines Peerings virtueller Netzwerke mit dem gleichen Bereitstellungsmodell
• Erstellen eines Peerings virtueller Netzwerke mit unterschiedlichen Bereitstellungsmodellen