Párhuzamos ExpressRoute- és párhuzamos helyek közötti kapcsolatok konfigurálása (klasszikus)

• PowerShell – Resource Manager
• PowerShell – Klasszikus

Ez a cikk segít konfigurálni az ExpressRoute- és helyek közötti VPN-kapcsolatokat, amelyek együtt élnek. A helyek közötti VPN és az ExpressRoute konfigurálásának lehetősége több előnnyel jár. A helyek közötti VPN-t konfigurálhatja biztonságos feladatátvételi útvonalként az ExpressRoute-hoz, vagy helyek közötti VPN-ek használatával csatlakozhat olyan helyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak. A cikkben mindkét forgatókönyv lépéseit ismertetjük. Ez a cikk a klasszikus üzembehelyezési modellre vonatkozik. Ez a konfiguráció nem érhető el a portálon.

Fontos

2017. március 1. után nem hozhat létre új ExpressRoute-kapcsolatcsoportot a klasszikus üzemi modellben.

• Meglévő ExpressRoute-kapcsolatcsoportot a kapcsolat megszakadása nélkül helyezhet át a klasszikus üzemi modellből a Resource Manager-alapú üzemi modellbe. További információ: Meglévő kapcsolatcsoport áthelyezése.
• A klasszikus üzemi modellben az allowClassicOperations TRUE értékűre állításával kapcsolódhat virtuális hálózatokhoz.

Ha a Resource Manager-alapú üzemi modellben szeretne létrehozni és kezelni ExpressRoute-kapcsolatcsoportokat, kövesse az alábbi hivatkozásokat:

• ExpressRoute-kapcsolatcsoportok létrehozása és kezelése
  
• Útválasztás (társviszony-létesítés) konfigurálása ExpressRoute-kapcsolatcsoportok számára

Tudnivalók az Azure üzembehelyezési modellekről

Az Azure jelenleg két üzemi modellt használ: a Resource Manager-alapú és a klasszikus modellt. A két modell nem teljesen kompatibilis egymással. Mielőtt belekezdene, tudnia kell, hogy melyik modellben kíván dolgozni. További információt az üzembehelyezési modellekről az üzembehelyezési modellek ismertetésében talál. Ha még nem ismeri az Azure-t, javasoljuk, hogy használja a Resource Manager-alapú üzemi modellt.

Fontos

Az ExpressRoute-kapcsolatcsoportokat előre konfigurálni kell, mielőtt követené az ebben a cikkben ismertetett utasításokat. Mielőtt továbblép, győződjön meg arról, hogy követte az útmutatókat egy ExpressRoute-kapcsolatcsoport létrehozásához és az útválasztás konfigurálásához .

Korlátok és korlátozások

• A tranzit útválasztás nem támogatott. Nem irányítható (az Azure-on keresztül) a helyek közötti VPN-en keresztül csatlakoztatott helyi hálózat és az ExpressRoute-on keresztül csatlakoztatott helyi hálózat között.
• A pont–hely kapcsolat nem támogatott. Pont–hely típusú VPN-kapcsolatok nem engedélyezhetők az ExpressRoute-hoz csatlakozó VNet felé. A pont–hely VPN és az ExpressRoute nem lehet egyidejűleg ugyanazon a virtuális hálózaton.
• A kényszerített bújtatás nem engedélyezhető a helyek közötti VPN-átjárón. Az internetes forgalmat csak a helyszíni hálózatra „kényszerítheti” az ExpressRoute-on keresztül.
• Az alapszintű termékváltozat átjárója nem támogatott. Nem Basic SKU-átjárót kell használnia ExpressRoute- és VPN-átjáróként.
• Kizárólag az útvonalalapú VPN-átjáró támogatott. Útvonalalapú VPN-átjárót kell használnia.
• A VPN-átjáróhoz statikus útvonalat kell konfigurálni. Ha a helyi hálózat az ExpressRoute-hoz és a helyek közötti VPN-hez is csatlakozik, konfigurálnia kell egy statikus útvonalat a helyi hálózaton a helyek közötti VPN-kapcsolat a nyilvános internetre történő átirányításához.

Konfigurációs tervek

Helyek közötti VPN konfigurálása feladatátvételi útvonalként az ExpressRoute számára

Konfigurálhat egy helyek közötti VPN-kapcsolatot tartalékként az ExpressRoute számára. Ez a beállítás csak az Azure privát társviszony-létesítési útvonalához kapcsolódó virtuális hálózatokra vonatkozik. Nincs VPN-alapú feladatátvételi megoldás az Azure-beli nyilvános és Microsoft-társviszony-létesítéseken keresztül elérhető szolgáltatásokhoz. Minden esetben az ExpressRoute-kapcsolatcsoport az elsődleges kapcsolat. A helyek közötti VPN-útvonalon keresztüli adatfolyam csak akkor, ha az ExpressRoute-kapcsolatcsoport meghibásodik.

Megjegyzés

Bár a rendszer az ExpressRoute-kapcsolatcsoportot részesíti előnyben a helyek közötti VPN helyett, ha az útvonalak megegyeznek, az Azure a leghosszabb előtag-megfeleltetéssel választja ki a célcsomag útvonalát.

Helyek közötti VPN konfigurálása az ExpressRoute használatával nem csatlakozó helyekhez

A hálózatát konfigurálhatja úgy is, hogy egyes helyek közvetlenül az Azure-hoz kapcsolódnak helyek közötti VPN-en keresztül, míg más helyek az ExpressRoute használatával kapcsolódnak.

Megjegyzés

Virtuális hálózatot nem konfigurálhat tranzit útválasztóként.

A használni kívánt lépések kiválasztása

Két különböző eljáráscsoport közül választhat az egyidejűleg használható kapcsolatok konfigurálásához. A konfigurálás választott módja attól függ, hogy rendelkezik-e meglévő virtuális hálózattal, amelyhez csatlakozni szeretne, vagy egy új virtuális hálózatot szeretne létrehozni.

• Nem rendelkezem VNettel, és létre kell hoznom egyet.

  Ha még nem rendelkezik virtuális hálózattal, ez az eljárás végigvezeti egy új virtuális hálózat létrehozásán a klasszikus üzemi modellel, valamint új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásával. A konfiguráláshoz kövesse a cikk az Új virtuális hálózat és egyidejű kapcsolatok létrehozása szakaszában foglalt lépéseket.

• Már rendelkezem egy klasszikus üzembehelyezési modell szerinti VNettel.

  Előfordulhat, hogy már rendelkezik üzemelő virtuális hálózattal egy létező helyek közötti VPN- vagy ExpressRoute-kapcsolattal. A meglévő virtuális hálózatok párhuzamos kapcsolatainak konfigurálásához című cikk végigvezeti az átjáró törlésén, majd az új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásán. Új kapcsolatok létrehozásakor a lépéseket egy adott sorrendben kell elvégezni. Az átjárók és kapcsolatok létrehozására ne használja más cikkek utasításait.

  Ebben az eljárásban az egyidejű kapcsolatok létrehozásához törölnie kell az átjárót, majd új átjárókat kell konfigurálnia. A helyszíni kapcsolatok leállását tapasztalja az átjáró és a kapcsolatok törlése és újbóli létrehozása során, de egyik virtuális gépet vagy szolgáltatást sem kell áttelepítenie egy új virtuális hálózatra. A virtuális gépek és szolgáltatások továbbra is kommunikálhatnak a terheléselosztón keresztül, miközben konfigurálja az átjárót, ha erre vannak konfigurálva.

PowerShell-parancsmagok telepítése

Telepítse az Azure Service Management (SM) PowerShell-modulok és az ExpressRoute-modul legújabb verzióit. Az Azure CloudShell-környezet nem használható SM-modulok futtatására.

1. Az Azure Service Management modul telepítéséhez használja a Szolgáltatáskezelés modul telepítése című cikkben található utasításokat. Ha már telepítve van az Az vagy RM modul, mindenképpen használja az "-AllowClobber" modult.

2. Importálja a telepített modulokat. Az alábbi példa használatakor módosítsa az elérési utat a telepített PowerShell-modulok helyének és verziójának megfelelően.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. Az Azure-fiókba való bejelentkezéshez nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal, és csatlakozzon a fiókjához. Az alábbi példával kapcsolódhat a Service Management modullal:

   Add-AzureAccount
   

Új virtuális hálózat és egyidejű kapcsolatok létrehozása

Ez az eljárás végigvezeti egy virtuális hálózat létrehozásán, és helyek közötti és ExpressRoute-kapcsolatokat hoz létre, amelyek együtt élnek.

1. Telepítenie kell a Azure PowerShell parancsmagok legújabb verzióját. Az ehhez a konfigurációhoz használt parancsmagok eltérőek lehetnek az Ön által már ismertektől. Ügyeljen arra, hogy az ebben az útmutatóban meghatározott parancsmagokat használja.

2. Hozzon létre egy sémát a virtuális hálózat számára. Az új konfigurációs sémával kapcsolatos információkért lásd: Azure Virtual Network konfigurációs séma.

   Amikor létrehozza a sémát, mindenképp a következő értékeket használja:

   • A virtuális hálózat átjáró-alhálózata /27 vagy egy rövidebb előtag kell legyen (például /26 vagy /25).
   • Az átjáró kapcsolattípusa dedikált.

   <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
     <AddressSpace>
       <AddressPrefix>10.17.159.192/26</AddressPrefix>
     </AddressSpace>
     <Subnets>
       <Subnet name="Subnet-1">
         <AddressPrefix>10.17.159.192/27</AddressPrefix>
       </Subnet>
       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
         /Subnet>
     </Subnets>
     <Gateway>
       <ConnectionsToLocalNetwork>
         <LocalNetworkSiteRef name="MyLocalNetwork">
           <Connection type="Dedicated" />
         </LocalNetworkSiteRef>
       </ConnectionsToLocalNetwork>
     </Gateway>
   </VirtualNetworkSite>
   

3. Az XML-sémafájl létrehozása és konfigurálása után töltse fel a fájlt a virtuális hálózat létrehozásához.

   A fájl feltöltéséhez használja a következő parancsmagot, és cserélje le az értéket saját értékre.

   Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
   

4. Hozzon létre egy ExpressRoute-átjárót. Ne felejtse megadni a GatewaySKU paraméterben a Standard, a HighPerformance vagy az UltraPerformance értéket, a GatewayType paraméterben pedig a DynamicRouting értéket.

   Használja a következő mintát, és cserélje le az értékeket saját értékekre.

   New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
   

5. Csatlakoztassa az ExpressRoute-átjárót az ExpressRoute-kapcsolatcsoporthoz. A lépés végrehajtásával létrejön a kapcsolat a helyszíni hálózat és az Azure között az ExpressRoute-on keresztül.

   New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
   

6. Ezután hozza létre a helyek közötti VPN-átjárót. A GatewaySKU paraméterben a Standard, a HighPerformance vagy az UltraPerformance értéket, a GatewayType paraméterben pedig a DynamicRouting értéket kell megadnia.

   New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
   

   A virtuális hálózati átjáró beállításainak, köztük az átjáróazonosítónak és a nyilvános IP-címnek a lekéréséhez használja a Get-AzureVirtualNetworkGateway parancsmagot.

   Get-AzureVirtualNetworkGateway
   
   GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
   GatewayName          : S2SVPN
   LastEventData        :
   GatewayType          : DynamicRouting
   LastEventTimeStamp   : 5/29/2015 4:41:41 PM
   LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
   LastEventID          : 23002
   State                : Provisioned
   VIPAddress           : 104.43.x.y
   DefaultSite          :
   GatewaySKU           : HighPerformance
   Location             :
   VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
   SubnetId             :
   EnableBgp            : False
   OperationDescription : Get-AzureVirtualNetworkGateway
   OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
   OperationStatus      : Succeeded
   

7. Hozzon létre egy helyi VPN-átjáró entitást. Ez a parancs nem konfigurálja a helyszíni VPN-átjárót. Ehelyett a helyi átjáró beállításai, például a nyilvános IP-cím és a helyszíni címtér megadására szolgál, hogy az Azure VPN-átjáró kapcsolódhasson hozzá.

   Fontos

   A netcfg nem határozza meg a helyek közötti VPN helyi helyét. Ez a parancsmag a helyi hely paramétereinek meghatározására szolgál. Ez egyik portálon és a netcfg-fájlon keresztül sem határozható meg.

   Használja a következő mintát, és cserélje le az értékeket saját értékekre.

   New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
   

   Megjegyzés

   Ha a helyi hálózat több útvonalat is tartalmaz, tömbként egyszerre mindet megadhatja. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

   A virtuális hálózati átjáró beállításainak, köztük az átjáróazonosítónak és a nyilvános IP-címnek a lekéréséhez használja a Get-AzureVirtualNetworkGateway parancsmagot. Tekintse meg a következő példát.

   Get-AzureLocalNetworkGateway
   
   GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
   GatewayName          : MyLocalNetwork
   IpAddress            : 23.39.x.y
   AddressSpace         : {10.1.2.0/24}
   OperationDescription : Get-AzureLocalNetworkGateway
   OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
   OperationStatus      : Succeeded
   

8. Konfigurálja helyi VPN-eszközét, hogy az új átjáróhoz csatlakozzon. A VPN-eszköz konfigurálása során használja a 6. lépésben lekért információkat. A VPN-eszköz konfigurálásával kapcsolatos további információkért lásd: VPN-eszköz konfigurálása.

9. Csatlakoztassa az Azure-on a helyek közötti VPN-átjárót a helyi átjáróhoz.

   Ebben a példában a connectedEntityId a helyi átjáró, amely a Get-AzureLocalNetworkGateway futtatásával azonosítható. A virtualNetworkGatewayId a Get-AzureVirtualNetworkGateway parancsmag használatával azonosítható. A lépés után létrejön a kapcsolat a helyszíni hálózat és az Azure között a helyek közötti VPN-kapcsolaton keresztül.

   New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
   

Egyidejű kapcsolatok konfigurálása meglévő VNet számára

Ha már rendelkezik meglévő virtuális hálózattal, ellenőrizze az átjáró-alhálózat méretét. Ha az átjáró-alhálózat /28 vagy /29, először törölnie kell a virtuális hálózati átjárót, és növelnie kell az átjáró-alhálózat méretét. A jelen szakaszban ismertetett lépések bemutatják, mindez hogyan valósítható meg.

Ha az átjáró alhálózata /27 vagy nagyobb, és a virtuális hálózat ExpressRoute-on keresztül csatlakozik, kihagyhatja ezeket a lépéseket, és továbbléphet a "6. lépés – Helyek közötti VPN-átjáró létrehozása" című szakaszra az előző szakaszban.

Megjegyzés

Amikor törli a meglévő átjárót, megszakad a helyi helyszínek kapcsolata a virtuális hálózattal, amíg ezen a konfiguráción dolgozik.

1. Telepítenie kell az Azure Resource Manager PowerShell-parancsmagok legújabb verzióját. Az ehhez a konfigurációhoz használt parancsmagok eltérőek lehetnek az Ön által már ismertektől. Ügyeljen arra, hogy az ebben az útmutatóban meghatározott parancsmagokat használja.

2. Törölje a meglévő ExpressRoute- vagy helyek közötti VPN-átjárót. Használja a következő parancsmagot, és cserélje le az értékeket saját értékekre.

   Remove-AzureVNetGateway –VnetName MyAzureVNET
   

3. Exportálja a virtuális hálózati sémát. Használja a következő PowerShell-parancsmagot, és cserélje le az értékeket saját értékekre.

   Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
   

4. Szerkessze a hálózat konfigurációs sémáját, hogy az átjáró-alhálózat /27 vagy egy rövidebb előtag legyen (például /26 vagy /25). Tekintse meg a következő példát.

   Megjegyzés

   Ha már nincs elegendő IP-cím a virtuális hálózaton az átjáró-alhálózat méretének növeléséhez, további IP-címtereket kell hozzáadnia. Az új konfigurációs sémával kapcsolatos információkért lásd: Azure Virtual Network konfigurációs séma.

   <Subnet name="GatewaySubnet">
     <AddressPrefix>10.17.159.224/27</AddressPrefix>
   </Subnet>
   

5. Ha az előző átjáró helyek közötti VPN volt, a kapcsolat típusát is át kell állítania Dedicated értékre.

   <Gateway>
     <ConnectionsToLocalNetwork>
       <LocalNetworkSiteRef name="MyLocalNetwork">
         <Connection type="Dedicated" />
       </LocalNetworkSiteRef>
     </ConnectionsToLocalNetwork>
   </Gateway>
   

6. Ezen a ponton egy átjáró nélküli VNettel rendelkezik. Új átjárók létrehozásához és a kapcsolatok véglegesítéséhez folytathatja az előző lépéssorban foglalt 4. lépés – ExpressRoute-átjáró létrehozása lépéssel.

Következő lépések

További információ az ExpressRoute-tal kapcsolatban: ExpressRoute – Gyakori kérdések.