Connectez un réseau virtuel à un circuit ExpressRoute à l’aide de PowerShell (classique)

• Azure portal
• PowerShell
• Azure CLI
• PowerShell (classique)

Cet article est conçu pour vous aider à lier des réseaux virtuels à des circuits Azure ExpressRoute à l’aide de PowerShell. Un réseau virtuel unique peut être lié à quatre circuits ExpressRoute maximum. Utilisez les étapes décrites dans cet article afin de créer un lien pour chaque circuit ExpressRoute auquel vous vous connectez. Les circuits ExpressRoute peuvent être dans le même abonnement, dans des abonnements différents ou dans une combinaison des deux. Cet article s’applique aux réseaux virtuels créés à l’aide du modèle de déploiement classique.

Vous pouvez lier jusqu’à 10 réseaux virtuels à un circuit ExpressRoute. Tous les réseaux virtuels doivent être situés dans la même région géopolitique. Si vous avez activé le module complémentaire Premium d’ExpressRoute, vous pouvez lier un plus grand nombre de réseaux virtuels à votre circuit ExpressRoute ou des réseaux virtuels situés dans d’autres régions géopolitiques. Pour plus d’informations sur le module complémentaire Premium, consultez le FAQ.

Important

Depuis le 1er mars 2017, vous ne pouvez pas créer de circuits ExpressRoute dans le modèle de déploiement classique.

• Vous pouvez déplacer un circuit ExpressRoute existant du modèle de déploiement classique vers le modèle de déploiement Resource Manager sans affecter la connectivité. Pour plus d’informations, consultez Déplacer un circuit existant.
• Vous pouvez vous connecter à des réseaux virtuels dans le modèle de déploiement classique en définissant allowClassicOperations sur TRUE.

Utilisez les liens suivants pour créer et gérer des circuits ExpressRoute dans le modèle de déploiement Resource Manager :

• Créer et gérer des circuits ExpressRoute
  
• Configurer le routage (peering) pour les circuits ExpressRoute

À propos des modèles de déploiement Azure

Actuellement, Azure utilise deux modèles de déploiement : Resource Manager et le déploiement classique. Les deux modèles ne sont pas entièrement compatibles entre eux. Avant de commencer, vous devez savoir dans quel modèle vous souhaitez travailler. Pour plus d'informations sur les modèles de déploiement, consultez Comprendre les modèles de déploiement Azure. Si vous êtes un nouvel utilisateur d’Azure, nous vous recommandons le modèle de déploiement Resource Manager.

Prérequis de configuration

• Avant de commencer la configuration, examinez les conditions préalables, la configuration requise pour le routage et les flux de travail.
• Vous devez disposer d’un circuit ExpressRoute actif.
  • Suivez les instructions pour créer un circuit ExpressRoute et faites-le activer par votre fournisseur de service de connectivité.
  • Vérifiez que le peering privé Azure est configuré pour votre circuit. Pour obtenir des instructions sur le routage, consultez l’article Configurer le routage .
  • Vérifiez que le peering privé Azure est configuré, et que le peering BGP entre votre réseau et Microsoft est opérationnel pour pouvoir activer la connectivité de bout en bout.
  • Vous devez disposer d'un réseau virtuel et d’une passerelle de réseau virtuel créés et totalement approvisionnés. Suivez les instructions pour configurer un réseau virtuel pour ExpressRoute.

Télécharger les dernières applets de commande PowerShell

Installez les dernières versions des modules PowerShell Azure Service Management (SM) et du module ExpressRoute. Vous ne pouvez pas utiliser l’environnement Azure CloudShell pour exécuter des modules SM.

1. Suivez les instructions de l’article Installation du module Service Management pour installer le module Azure Service Management. Si le module Az ou RM est déjà installé, assurez-vous d’utiliser « -AllowClobber ».

2. Importez les modules installés. Lorsque vous utilisez l’exemple suivant, ajustez le chemin pour refléter l’emplacement et la version de vos modules PowerShell installés.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. Pour vous connecter à votre compte Azure, ouvrez votre console PowerShell avec des droits élevés et connectez-vous à votre compte. Utilisez l’exemple suivant pour vous aider à vous connecter à l’aide du module Service Management :

   Add-AzureAccount
   

Connecter un réseau virtuel du même abonnement à un circuit

Vous pouvez lier un réseau virtuel à un circuit ExpressRoute à l’aide de l’applet de commande suivante. Assurez-vous que la passerelle de réseau virtuel est créée et prête pour la liaison avant d’exécuter l’applet de commande.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

Supprimer une liaison de réseau virtuel à un circuit

Vous pouvez supprimer une liaison de réseau virtuel à un circuit ExpressRoute avec l’applet de commande suivante. Assurez-vous que l’abonnement actuel est bien sélectionné pour le réseau virtuel donné.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Connecter un réseau virtuel d’un autre abonnement à un circuit

Vous pouvez partager un circuit ExpressRoute entre plusieurs abonnements. La figure suivante montre un schéma simple sur le fonctionnement du partage de circuits ExpressRoute entre plusieurs abonnements.

Chacun des petits clouds dans le cloud principal est utilisé pour représenter les abonnements appartenant à différents services au sein d’une organisation. Chacun des services au sein de l’organisation peut utiliser son propre abonnement pour déployer ses services, mais ils peuvent partager un même circuit ExpressRoute pour se connecter à votre réseau local. Un seul service (dans cet exemple : le service informatique) peut détenir le circuit ExpressRoute. D’autres abonnements au sein de l’organisation peuvent utiliser le circuit ExpressRoute.

Notes

Les frais de connectivité et de bande passante pour le circuit dédié s’appliquent au propriétaire du circuit ExpressRoute. Tous les réseaux virtuels partagent la même bande passante.

Administration

Le propriétaire du circuit est l’administrateur/coadministrateur de l’abonnement dans lequel le circuit ExpressRoute est créé. Le propriétaire du circuit peut autoriser les administrateurs/coadministrateurs d’autres abonnements (appelés utilisateurs du circuit) à utiliser le circuit dédié dont ils sont propriétaires. Une fois autorisés, les utilisateurs du circuit peuvent lier le réseau virtuel dans leur abonnement au circuit ExpressRoute de l’organisation.

Le propriétaire du circuit a le pouvoir de modifier et de révoquer les autorisations à tout moment. La révocation d’une autorisation entraîne la suppression de tous les liens de l’abonnement dont l’accès a été révoqué.

Notes

Le propriétaire du circuit n’est pas un rôle RBAC intégré ou défini sur la ressource ExpressRoute. La définition du propriétaire du circuit correspond aux rôles disposant de l’accès suivant :

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Cela inclut les rôles intégrés tels que Contributeur, Propriétaire et Contributeur réseau. Description détaillée des différents rôles intégrés.

Opérations du propriétaire du circuit

Création d’une autorisation

Le propriétaire du circuit autorise les administrateurs d’autres abonnements à utiliser le circuit spécifié. Dans l’exemple ci-dessous, l’administrateur du circuit (Service informatique de Contoso) permet à l’administrateur d’un autre abonnement (Dev-Test) de lier jusqu’à deux réseaux virtuels au circuit. L’administrateur informatique de Contoso l’autorise en spécifiant l’ID Microsoft de Dev-Test. L'applet de commande n'envoie pas de courrier électronique à l’ID Microsoft spécifié. Le propriétaire du circuit doit notifier explicitement au propriétaire de l’autre abonnement que l’autorisation a pris fin.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

Renvoie :

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Vérification des autorisations

Le propriétaire du circuit peut vérifier toutes les autorisations émises sur un circuit donné en exécutant l’applet de commande suivante :

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

Renvoie :

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Mise à jour des autorisations

Le propriétaire du circuit peut modifier les autorisations à l’aide de l’applet de commande suivante :

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

Renvoie :

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Suppression des autorisations

Le propriétaire du circuit peut révoquer/supprimer les autorisations accordées à l’utilisateur en exécutant l’applet de commande suivante :

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Opérations de l’utilisateur du circuit

Vérification des autorisations

L’utilisateur du circuit peut vérifier les autorisations à l’aide de l’applet de commande suivante :

Get-AzureAuthorizedDedicatedCircuit

Renvoie :

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Échange des autorisations de lien

L’utilisateur du circuit peut exécuter l’applet de commande suivante pour échanger une autorisation de lien :

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

Renvoie :

State VnetName
----- --------
Provisioned SalesVNET1

Exécutez cette commande dans l’abonnement qui vient d’être lié pour le réseau virtuel :

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Étapes suivantes

Pour plus d'informations sur ExpressRoute, consultez la FAQ sur ExpressRoute.