Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz az Azure PowerShell használatával

• Azure Portalra
• PowerShell
• Azure CLI
• PowerShell (klasszikus)

Ez a cikk segít összekapcsolni a virtuális hálózatokat (VNeteket) az Azure ExpressRoute-kapcsolatcsoportokhoz a Resource Manager-alapú üzemi modell és a PowerShell használatával. A virtuális hálózatok lehetnek ugyanabban az előfizetésben vagy egy másik előfizetésben. Ez az oktatóanyag azt is bemutatja, hogyan frissíthet virtuális hálózati kapcsolatot.

Előfeltételek

• A konfiguráció megkezdése előtt tekintse át az előfeltételeket, az útválasztási követelményeket és a munkafolyamatokat.

• Egy aktív ExpressRoute-kapcsolatcsoportra lesz szüksége.

  • Az utasításokat követve hozzon létre egy ExpressRoute-kapcsolatcsoportot , és engedélyezze a kapcsolatcsoportot a kapcsolatszolgáltatónál.
  • Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van a kapcsolatcsoporthoz. Az útválasztási utasításokhoz tekintse meg az útválasztás konfigurálását ismertető cikket.
  • Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van, és BGP-társviszonyt létesít a hálózat és a Microsoft között a teljes körű kapcsolat érdekében.
  • Győződjön meg arról, hogy rendelkezik egy virtuális hálózat és egy virtuális hálózati átjáró létrehozásával és teljes kiépítésével. Az utasításokat követve hozzon létre egy virtuális hálózati átjárót az ExpressRoute-hoz. Az ExpressRoute virtuális hálózati átjárója a GatewayType-t ExpressRoutehasználja, nem a VPN-t.

• Legfeljebb 10 virtuális hálózatot csatolhat egy szabványos ExpressRoute-kapcsolatcsoporthoz. Standard ExpressRoute-kapcsolatcsoport használatakor minden virtuális hálózatnak ugyanabban a geopolitikai régióban kell lennie.

• Egyetlen virtuális hálózat legfeljebb 16 ExpressRoute-kapcsolatcsoporthoz kapcsolható. A cikkben ismertetett lépésekkel hozzon létre egy új kapcsolatobjektumot minden egyes ExpressRoute-kapcsolatcsoporthoz, amelyhez csatlakozik. Az ExpressRoute-kapcsolatcsoportok lehetnek ugyanabban az előfizetésben, különböző előfizetésekben vagy a kettő kombinációjában.

• Ha engedélyezi az ExpressRoute prémium szintű bővítményt, összekapcsolhatja az ExpressRoute-kapcsolatcsoport geopolitikai régióján kívüli virtuális hálózatokat. A prémium szintű bővítmény lehetővé teszi, hogy a kiválasztott sávszélességtől függően több mint 10 virtuális hálózatot csatlakozzon az ExpressRoute-kapcsolatcsoporthoz. A prémium szintű bővítmény további részleteiért tekintse meg a gyakori kérdéseket.

• Az ExpressRoute-kapcsolatcsoport és a cél ExpressRoute virtuális hálózati átjáró közötti kapcsolat létrehozásához a helyi vagy társhálózati virtuális hálózatokról meghirdetett címterek számának legalább 200-nak kell lennie. A kapcsolat sikeres létrehozása után több címteret is hozzáadhat, akár 1000-et is a helyi vagy társhálózati virtuális hálózatokhoz.

• Tekintse át az ExpressRoute-on keresztüli virtuális hálózatok közötti kapcsolatra vonatkozó útmutatást.

Az Azure PowerShell használata

A cikkben szereplő lépések és példák az Azure PowerShell Az-modulokat használják. Az Az-modulok helyi telepítéséhez tekintse meg az Azure PowerShell telepítését. Az új Az modulról az új Azure PowerShell Az modul bemutatása című témakörben olvashat bővebben. A PowerShell-parancsmagok gyakran frissülnek. Ha nem a legújabb verziót futtatja, az utasításokban megadott értékek sikertelenek lehetnek. A PowerShell telepített verzióinak megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot.

Az Azure Cloud Shell használatával a legtöbb PowerShell-parancsmagot és CLI-parancsot futtathatja az Azure PowerShell vagy a CLI helyi telepítése helyett. Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amely előre telepítve van a közös Azure-eszközökkel, és a fiókjával való használatra van konfigurálva. A cikkben szereplő kód Azure Cloud Shellen való futtatásához nyisson meg egy Cloud Shell-munkamenetet, másolja a kódot a kódblokk Másolás gombjára, és illessze be a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V billentyűkombinációval, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval. A beillesztett szöveg nem lesz automatikusan végrehajtva, a kód futtatásához nyomja le az Enter billentyűt .

Néhány módszer a Cloud Shell indításához:

Lehetőség	Hivatkozás
Kattintson a Try It (Kipróbálás) lehetőségre a kódblokk jobb felső sarkában.
Nyissa meg a Cloud Shellt a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Az ugyanabban az előfizetésben lévő virtuális hálózat csatlakoztatása egy kapcsolatcsoporthoz

A következő parancsmaggal csatlakoztathat egy virtuális hálózati átjárót egy ExpressRoute-kapcsolatcsoporthoz. A parancsmag futtatása előtt győződjön meg arról, hogy a virtuális hálózati átjáró létrejött, és készen áll a csatolásra:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute

Egy másik előfizetéshez tartozó virtuális hálózat bevonása egy kapcsolatcsoportba

Az ExpressRoute-kapcsolatcsoportokat több előfizetésben is megoszthatja. Az alábbi ábra egy egyszerű sémát mutat be arról, hogyan működik a megosztás az ExpressRoute-kapcsolatcsoportokban több előfizetés között.

Feljegyzés

A virtuális hálózatok azure-beli szuverén felhők és nyilvános Azure-felhők közötti csatlakoztatása nem támogatott. A virtuális hálózatokat csak ugyanazon a felhőben lévő különböző előfizetésekből kapcsolhatja össze.

A nagy felhőben lévő kisebb felhők mindegyike a szervezet különböző részlegeihez tartozó előfizetéseket jelöli. A szervezet minden részlege saját előfizetést használ a szolgáltatásaik üzembe helyezéséhez , de egyetlen ExpressRoute-kapcsolatcsoportot is használhatnak a helyszíni hálózathoz való csatlakozáshoz. Egyetlen részleg (ebben a példában: IT) rendelkezhet az ExpressRoute-kapcsolatcsoporttal. A szervezet más előfizetései használhatják az ExpressRoute-kapcsolatcsoportot.

Feljegyzés

Az ExpressRoute-kapcsolatcsoport csatlakozási és sávszélességi díjait a rendszer az előfizetés tulajdonosára alkalmazza. Minden virtuális hálózat ugyanazt a sávszélességet használja.

Felügyelet – kapcsolatcsoportok tulajdonosai és kapcsolatcsoport-felhasználók

A "kapcsolatcsoport tulajdonosa" az ExpressRoute-kapcsolatcsoport erőforrásának jogosult Power Userje. A kapcsolatcsoport tulajdonosa létrehozhat olyan engedélyeket, amelyeket a "kapcsolatcsoport felhasználói" beválthatnak. A kapcsolatcsoport felhasználói olyan virtuális hálózati átjárók tulajdonosai, amelyek nem ugyanabban az előfizetésben találhatók, mint az ExpressRoute-kapcsolatcsoport. A kapcsolatcsoport felhasználói beválthatják az engedélyeket (virtuális hálózatonként egy engedélyezést).

A kapcsolatcsoport tulajdonosa bármikor módosíthatja és visszavonhatja az engedélyeket. Az engedélyezés visszavonása azt eredményezi, hogy az összes kapcsolatkapcsolat törlődik abból az előfizetésből, amelynek hozzáférését visszavonták.

Feljegyzés

A kapcsolatcsoport tulajdonosa nem egy beépített RBAC-szerepkör, vagy az ExpressRoute-erőforráson van definiálva. A kapcsolatcsoport tulajdonosának definíciója bármely olyan szerepkör, amely a következő hozzáféréssel rendelkezik:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Ide tartoznak a beépített szerepkörök, például a Közreműködő, a Tulajdonos és a Hálózati közreműködő. A különböző beépített szerepkörök részletes leírása.

Kapcsolatcsoport-tulajdonosi műveletek

Engedélyezés létrehozása

A kapcsolatcsoport tulajdonosa létrehoz egy engedélyezést, amely létrehoz egy engedélyezési kulcsot, amellyel a kapcsolatcsoport felhasználója csatlakoztathatja a virtuális hálózati átjárókat az ExpressRoute-kapcsolatcsoporthoz. Az engedélyezés csak egy kapcsolatra érvényes.

Az alábbi parancsmagrészlet bemutatja, hogyan hozhat létre engedélyezést:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"

Az előző parancsra adott válasz tartalmazza az engedélyezési kulcsot és az állapotot:

Name                   : MyAuthorization1
Id                     : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag                   : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 
AuthorizationKey       : ####################################
AuthorizationUseStatus : Available
ProvisioningState      : Succeeded

Engedélyezések áttekintése

A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával áttekintheti az adott kapcsolatcsoporton kiadott összes engedélyt:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Engedélyek hozzáadása

A kapcsolatcsoport tulajdonosa az alábbi parancsmaggal adhat hozzá engedélyeket:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Engedélyek törlése

A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával visszavonhatja/törölheti a felhasználónak adott engedélyeket:

Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

Kapcsolatcsoport felhasználói műveletei

A kapcsolatcsoport-felhasználónak szüksége van a társazonosítóra és a kapcsolatcsoport tulajdonosának engedélyezési kulcsára. Az engedélyezési kulcs egy GUID.

A társazonosító a következő paranccsal ellenőrizhető:

Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"

Kapcsolati engedélyezés beváltása

A kapcsolatcsoport felhasználója a következő parancsmagot futtathatja a hivatkozás-engedélyezés beváltásához:

$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"    
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Kapcsolatengedélyezési engedély kiadása

Az engedélyezést az ExpressRoute-kapcsolatcsoportot a virtuális hálózathoz összekötő kapcsolat törlésével oldhatja fel.

Virtuális hálózati kapcsolat módosítása

A virtuális hálózati kapcsolatok bizonyos tulajdonságait frissítheti.

A kapcsolat súlyának frissítése

A virtuális hálózat több ExpressRoute-kapcsolatcsoporthoz is csatlakoztatható. Ugyanazt az előtagot több ExpressRoute-kapcsolatcsoporttól is megkaphatja. Ha meg szeretné adni, hogy az előtagra irányuló forgalmat melyik kapcsolat küldi el, módosíthatja a kapcsolat útválasztási súlyát . A forgalom a legmagasabb útválasztási súlyú kapcsolaton lesz elküldve.

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Az Útválasztási súly tartománya 0 és 32000 között van. Az alapértelmezett érték 0.

ExpressRoute FastPath konfigurálása

Az ExpressRoute FastPath akkor engedélyezhető, ha a virtuális hálózati átjáró ultrateljesítményű vagy ErGw3AZ. A FastPath javítja az adatelérési utak teljesítményét, például a másodpercenkénti csomagokat és a helyszíni hálózat és a virtuális hálózat közötti másodpercenkénti kapcsolatokat.

FastPath konfigurálása új kapcsolaton

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG" 
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG" 
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation" 

Meglévő kapcsolat frissítése a FastPath engedélyezéséhez

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" 
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

FastPath virtuális hálózatok közötti társviszony-létesítés, felhasználó által definiált útvonalak (UDR-ek) és privát kapcsolat támogatása az ExpressRoute közvetlen kapcsolataihoz

A virtuális hálózatok közötti társviszony-létesítés és az UDR támogatásával a FastPath közvetlenül küld forgalmat a küllős virtuális hálózatokban üzembe helyezett virtuális gépekre (virtuális hálózatok közötti társviszony-létesítésen keresztül csatlakozva), és tiszteletben tartja a GatewaySubneten konfigurált UDR-eket. Ez a képesség már általánosan elérhető (GA).

A FastPath és a Private Link használatával az ExpressRoute-on keresztül küldött privát kapcsolati forgalom áthalad az ExpressRoute virtuális hálózati átjáróján az adatútvonalon. Ha mindkét funkció engedélyezve van, a FastPath közvetlenül küld forgalmat egy "küllős" virtuális hálózaton üzembe helyezett privát végpontra.

Ezek a forgatókönyvek általánosan elérhetők a 10 Gb/s-os és 100 Gb/s-os ExpressRoute Direct-kapcsolatcsoportokhoz társított kapcsolatokkal rendelkező korlátozott forgatókönyvekhez. Az engedélyezéshez kövesse az alábbi útmutatást:

1. Töltse ki ezt a Microsoft-űrlapot az előfizetés regisztrálásának igényléséhez. A kérések végrehajtása akár 4 hetet is igénybe vehet, ezért ennek megfelelően tervezze meg az üzembe helyezéseket.
2. Miután megerősítést kapott az 1. lépéstől, futtassa a következő Azure PowerShell-parancsot a cél Azure-előfizetésben.

$connection = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <resource-group> -ResourceName <connection-name>
$connection.ExpressRouteGatewayBypass = $true
$connection.EnablePrivateLinkFastPath = $true
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Feljegyzés

A kapcsolatfigyelő használatával ellenőrizheti, hogy a forgalom eléri-e a célhelyet a FastPath használatával.

Feljegyzés

A FastPath Private Link támogatásának engedélyezése korlátozott ga-forgatókönyvek esetén akár 4 hétig is eltarthat. Kérjük, előre tervezze meg az üzembe helyezés(ek)et.

A FastPath támogatása a virtuális hálózatok közötti társviszony-létesítéshez és az UDR-ekhez csak az ExpressRoute Direct-kapcsolatokhoz érhető el.

Feljegyzés

Ha már konfigurálta a FastPath szolgáltatást, és regisztrálni szeretne a korlátozott ga-szolgáltatásokra, a következőket kell tennie:

1. Regisztrálja a FastPath egyik funkcióját az Azure PowerShell-parancsokkal.
2. Tiltsa le, majd engedélyezze újra a FastPathot a célkapcsolaton.
3. A korlátozott ga-funkció közötti váltáshoz regisztrálja az előfizetést a célelőnézet PowerShell-parancsával, majd tiltsa le és engedélyezze újra a FastPathot a kapcsolaton.

Az erőforrások eltávolítása

Ha már nincs szüksége az ExpressRoute-kapcsolatra, az átjárót tartalmazó előfizetésből távolítsa el az Remove-AzVirtualNetworkGatewayConnection átjáró és a kapcsolatcsoport közötti kapcsolatot a paranccsal.

Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan csatlakoztathat virtuális hálózatot egy kapcsolatcsoporthoz ugyanabban az előfizetésben és egy másik előfizetésben. Az ExpressRoute-átjárókkal kapcsolatos további információkért lásd: ExpressRoute virtuális hálózati átjárók.

Ha szeretné megtudni, hogyan konfigurálhatja a Microsoft társviszony-létesítés szűrőit a PowerShell használatával, lépjen tovább a következő oktatóanyagra.

Microsoft társviszony-létesítés útvonalszűrőinek konfigurálása