Oktatóanyag: Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz Azure PowerShell

  • Cikk

Ez az oktatóanyag segít összekapcsolni a virtuális hálózatokat (VNeteket) az Azure ExpressRoute-kapcsolatcsoportokhoz a Resource Manager üzembehelyezési modell és a PowerShell használatával. A virtuális hálózatok ugyanabban az előfizetésben vagy egy másik előfizetésben lehetnek. Ez az oktatóanyag azt is bemutatja, hogyan frissíthet virtuális hálózati kapcsolatot.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Az ugyanabban az előfizetésben lévő virtuális hálózat csatlakoztatása egy kapcsolatcsoporthoz
  • Egy másik előfizetéshez tartozó virtuális hálózat bevonása egy kapcsolatcsoportba
  • Virtuális hálózati kapcsolat módosítása
  • Az ExpressRoute FastPath konfigurálása

Előfeltételek

  • A konfiguráció megkezdése előtt tekintse át az előfeltételeket, az útválasztási követelményeket és a munkafolyamatokat .

  • Egy aktív ExpressRoute-kapcsolatcsoportra lesz szüksége.

    • Kövesse az utasításokat egy ExpressRoute-kapcsolatcsoport létrehozásához , és engedélyezze a kapcsolatcsoportot a kapcsolatszolgáltató számára.
    • Győződjön meg arról, hogy az Azure-beli privát társviszony-létesítés konfigurálva van a kapcsolatcsoporthoz. Az útválasztási utasításokért tekintse meg az útválasztás konfigurálását ismertető cikket.
    • Győződjön meg arról, hogy az Azure-beli privát társviszony-létesítés konfigurálva van, és BGP-társviszonyt létesít a hálózat és a Microsoft között a végpontok közötti kapcsolat érdekében.
    • Győződjön meg arról, hogy virtuális hálózata és virtuális hálózati átjárója van létrehozva és teljes mértékben ki van építve. Az utasításokat követve hozzon létre egy virtuális hálózati átjárót az ExpressRoute-hoz. Az ExpressRoute virtuális hálózati átjárója az "ExpressRoute" GatewayType típust használja, nem a VPN-t.

  • Akár 10 virtuális hálózatot is összekapcsolhat egy standard ExpressRoute-kapcsolatcsoporttal. Standard ExpressRoute-kapcsolatcsoport használatakor minden virtuális hálózatnak ugyanabban a geopolitikai régióban kell lennie.

  • Egyetlen virtuális hálózat legfeljebb 16 ExpressRoute-kapcsolatcsoporthoz kapcsolható. A cikk lépéseit követve hozzon létre egy új kapcsolatobjektumot minden egyes ExpressRoute-kapcsolatcsoporthoz, amelyhez csatlakozik. Az ExpressRoute-kapcsolatcsoportok ugyanabban az előfizetésben, különböző előfizetésekben vagy mindkettő kombinációjában lehetnek.

  • Ha engedélyezi az ExpressRoute prémium szintű bővítményét, összekapcsolhatja a virtuális hálózatokat az ExpressRoute-kapcsolatcsoport geopolitikai régióján kívül. A prémium szintű bővítmény lehetővé teszi, hogy a kiválasztott sávszélességtől függően több mint 10 virtuális hálózatot csatlakozzon az ExpressRoute-kapcsolatcsoporthoz. A prémium bővítményrel kapcsolatos további részletekért tekintse meg a gyakori kérdéseket .

  • Az ExpressRoute-kapcsolatcsoport és a cél ExpressRoute virtuális hálózati átjáró közötti kapcsolat létrehozásához a helyi vagy társhálózati virtuális hálózatokról meghirdetett címterek számának legalább 200-nak kell lennie. A kapcsolat sikeres létrehozása után további, akár 1000 címteret is hozzáadhat a helyi vagy társviszonyban lévő virtuális hálózatokhoz.

  • Tekintse át az ExpressRoute-on keresztüli virtuális hálózatok közötti kapcsolatra vonatkozó útmutatót.

A Azure PowerShell használata

A cikkben szereplő lépések és példák Azure PowerShell Az modulokat használják. Ha helyileg szeretné telepíteni az Az-modulokat a számítógépre, olvassa el a Telepítés Azure PowerShell című témakört. Az új Az modulról további információt az Új Azure PowerShell Az modul bemutatása című témakörben talál. A PowerShell-parancsmagok gyakran frissülnek. Ha nem a legújabb verziót futtatja, az utasításokban megadott értékek meghiúsulhatnak. A PowerShell telepített verzióinak megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot.

Az Azure Cloud Shell használatával a legtöbb PowerShell-parancsmagot és parancssori felületi parancsot futtathatja ahelyett, hogy helyileg telepíti Azure PowerShell vagy parancssori felületét. Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amely előre telepített általános Azure-eszközökkel rendelkezik, és a fiókjával való használatra van konfigurálva. A cikkben szereplő kódok Azure Cloud Shell való futtatásához nyisson meg egy Cloud Shell munkamenetet, másolja a kódot egy kódblokk Másolás gombjára, és illessze be a Cloud Shell munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V billentyűkombinációval, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval. A beillesztett szöveg nem lesz automatikusan végrehajtva, a kód futtatásához nyomja le az Enter billentyűt .

Néhány módszer a Cloud Shell indításához:

Beállítás Hivatkozás
Kattintson a Try It (Kipróbálás) lehetőségre a kódblokk jobb felső sarkában. A Cloud Shell ebben a cikkben
Nyissa meg a Cloud Shellt a böngészőben. https://shell.azure.com/powershell
Kattintson a Azure Portal jobb felső sarkában lévő menü Cloud Shell gombjára. A Cloud Shell a portálon

Az ugyanabban az előfizetésben lévő virtuális hálózat csatlakoztatása egy kapcsolatcsoporthoz

A következő parancsmaggal csatlakoztathat egy virtuális hálózati átjárót egy ExpressRoute-kapcsolatcsoporthoz. A parancsmag futtatása előtt győződjön meg arról, hogy a virtuális hálózati átjáró létrejött, és készen áll a csatolásra:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute

Egy másik előfizetéshez tartozó virtuális hálózat bevonása egy kapcsolatcsoportba

ExpressRoute-kapcsolatcsoportot több előfizetésben is megoszthat. Az alábbi ábra egy egyszerű sémát mutat be arról, hogyan működik a megosztás az ExpressRoute-kapcsolatcsoportokhoz több előfizetésben.

Megjegyzés

A virtuális hálózatok Azure szuverén felhők és nyilvános Azure-felhők közötti csatlakoztatása nem támogatott. A virtuális hálózatokat csak ugyanazon a felhőben lévő különböző előfizetésekből kapcsolhatja be.

A nagy felhőben lévő kisebb felhők mindegyike olyan előfizetések megjelenítésére szolgál, amelyek a szervezet különböző részlegeihez tartoznak. A szervezeten belüli részlegek mindegyike saját előfizetést használ a szolgáltatásaik üzembe helyezéséhez , de egyetlen ExpressRoute-kapcsolatcsoportot is megoszthatnak a helyszíni hálózathoz való csatlakozáshoz. Egyetlen részleg (ebben a példában: IT) rendelkezhet az ExpressRoute-kapcsolatcsoporttal. A szervezet más előfizetései használhatják az ExpressRoute-kapcsolatcsoportot.

Megjegyzés

Az ExpressRoute-kapcsolatcsoport csatlakozási és sávszélességi díjait a rendszer az előfizetés tulajdonosára alkalmazza. Minden virtuális hálózat ugyanazt a sávszélességet használja.

Előfizetések közötti kapcsolat

Felügyelet – kapcsolatcsoportok tulajdonosai és kapcsolatcsoport-felhasználók

A "kapcsolatcsoport tulajdonosa" az ExpressRoute-kapcsolatcsoport erőforrásának jogosult power userje. A kapcsolatcsoport tulajdonosa létrehozhat olyan engedélyeket, amelyeket a "kapcsolatcsoport felhasználói" beválthatnak. A kapcsolatcsoport felhasználói olyan virtuális hálózati átjárók tulajdonosai, amelyek nem ugyanabban az előfizetésben találhatók, mint az ExpressRoute-kapcsolatcsoport. A kapcsolatcsoport felhasználói beválthatják az engedélyeket (virtuális hálózatonként egy engedélyezést).

A kapcsolatcsoport tulajdonosa bármikor módosíthatja és visszavonhatja az engedélyeket. Az engedélyezés visszavonása azt eredményezi, hogy az összes olyan kapcsolatkapcsolat törlődik az előfizetésből, amelynek a hozzáférését visszavonták.

Megjegyzés

A kapcsolatcsoport tulajdonosa nem egy beépített RBAC-szerepkör, vagy az ExpressRoute-erőforráson van definiálva. A kapcsolatcsoport-tulajdonos definíciója bármely olyan szerepkör, amely a következő hozzáféréssel rendelkezik:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Ide tartoznak a beépített szerepkörök, például a Közreműködő, a Tulajdonos és a Hálózati közreműködő. A különböző beépített szerepkörök részletes leírása.

Kapcsolatcsoport-tulajdonosi műveletek

Engedélyezés létrehozása

A kapcsolatcsoport tulajdonosa létrehoz egy engedélyezést, amely létrehoz egy engedélyezési kulcsot, amellyel a kapcsolatcsoport felhasználója csatlakoztathatja a virtuális hálózati átjárókat az ExpressRoute-kapcsolatcsoporthoz. Az engedélyezés csak egy kapcsolatra érvényes.

Az alábbi parancsmag-kódrészlet bemutatja, hogyan hozhat létre engedélyezést:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"

Az előző parancsra adott válasz tartalmazza az engedélyezési kulcsot és az állapotot:

Name                   : MyAuthorization1
Id                     : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag                   : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 
AuthorizationKey       : ####################################
AuthorizationUseStatus : Available
ProvisioningState      : Succeeded

Az engedélyek áttekintése

A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával áttekintheti az adott kapcsolatcsoporton kiadott összes engedélyt:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Engedélyek hozzáadása

A kapcsolatcsoport tulajdonosa az alábbi parancsmaggal adhat hozzá engedélyeket:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Engedélyek törlése

A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával vonhatja vissza/törölheti a felhasználónak az engedélyeket:

Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

Kapcsolatcsoport felhasználói műveletei

A kapcsolatcsoport felhasználójának szüksége van a társazonosítóra és egy engedélyezési kulcsra a kapcsolatcsoport tulajdonosától. Az engedélyezési kulcs egy GUID.

A társazonosító a következő paranccsal ellenőrizhető:

Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"

Kapcsolati engedélyezés beváltása

A kapcsolatcsoport felhasználója a következő parancsmagot futtathatja a hivatkozás-engedélyezés beváltásához:

$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"    
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Kapcsolatengedélyezési engedély kiadása

Az engedély kiadásához törölje az ExpressRoute-kapcsolatcsoportot a virtuális hálózathoz összekötő kapcsolatot.

Virtuális hálózati kapcsolat módosítása

A virtuális hálózati kapcsolatok bizonyos tulajdonságait frissítheti.

A kapcsolat súlyának frissítése

A virtuális hálózat több ExpressRoute-kapcsolatcsoporthoz is csatlakoztatható. Ugyanazt az előtagot több ExpressRoute-kapcsolatcsoporttól is megkaphatja. Az előtaghoz tartozó forgalom küldéséhez használt kapcsolat kiválasztásához módosíthatja a kapcsolat útválasztási súlyát . A forgalom a legmagasabb útválasztási súlyú kapcsolaton lesz elküldve.

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

A RoutingWeight tartománya 0 és 32000 között van. Az alapértelmezett érték a 0.

Az ExpressRoute FastPath konfigurálása

Az ExpressRoute FastPath akkor engedélyezhető, ha a virtuális hálózati átjáró ultrateljesítményű vagy ErGw3AZ. A FastPath javítja az adatelérési út teljesítményét, például a másodpercenkénti csomagokat és a helyszíni hálózat és a virtuális hálózat közötti másodpercenkénti kapcsolatokat.

FastPath konfigurálása új kapcsolaton

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG" 
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG" 
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"

Meglévő kapcsolat frissítése a FastPath engedélyezéséhez

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" 
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

A FastPath és a Private Link Private Link ExpressRoute-on keresztül küldött forgalom áthalad az ExpressRoute virtuális hálózati átjáróján az adatelérési útvonalon. Ez általánosan elérhető a 100 Gb-os ExpressRoute Direct-kapcsolatcsoportokhoz társított kapcsolatokhoz. Ennek engedélyezéséhez kövesse az alábbi útmutatást:

  1. Küldjön egy e-mailt a ERFastPathPL@microsoft.comcímre, amely a következő információkat tartalmazza:
  • Azure-előfizetés azonosítója
  • Virtual Network (VNet) erőforrás-azonosítója
  • Azure-régió, ahol a privát végpont/Private Link szolgáltatás üzembe van helyezve
  1. Miután megkapta az 1. lépés megerősítését, futtassa a következő Azure PowerShell parancsot a cél Azure-előfizetésben.
Register-AzProviderFeature -FeatureName ExpressRoutePrivateEndpointGatewayBypass -ProviderNamespace Microsoft.Network
  1. Tiltsa le és engedélyezze a FastPath szolgáltatást a célkapcsolat(ok)on a módosítások engedélyezéséhez. A lépés befejezése után. Az ExpressRoute-on keresztüli 100 Gb Private Link forgalom megkerüli az ExpressRoute Virtual Network-átjárót az adatútvonalon.

Megjegyzés

A kapcsolatfigyelő használatával ellenőrizheti, hogy a forgalom eléri-e a célhelyet a FastPath használatával.

Megjegyzés

A FastPath és Private Link funkció előkészítéséhez a kérés után engedélyezni kell az időt. A kérés befejezéséig körülbelül két hét késés várható, ezért javasoljuk, hogy ezeket az idősorokat figyelembe véve előre tervezze meg az üzembe helyezést.

Regisztráció az ExpressRoute FastPath szolgáltatásaiban (előzetes verzió)

FastPath virtuális hálózatok közötti társviszony-létesítés és felhasználó által megadott útvonalak (UDR-ek).

A FastPath és a virtuális hálózatok közötti társviszony-létesítéssel engedélyezheti az ExpressRoute-kapcsolatot közvetlenül egy helyi vagy társhálózati virtuális hálózat virtuális gépeivel, megkerülve az ExpressRoute virtuális hálózati átjáróját az adatútvonalon.

A FastPath és az UDR használatával konfigurálhat egy UDR-t a GatewaySubneten úgy, hogy az ExpressRoute-forgalmat egy Azure Firewall vagy harmadik féltől származó NVA-hoz irányítsa. A FastPath tiszteletben tartja az UDR-t, és közvetlenül a cél Azure Firewall vagy NVA-ba küldi a forgalmat, megkerülve az ExpressRoute virtuális hálózati átjárót az adatútvonalon.

Az előzetes verzióra való regisztrációhoz küldjön egy e-mailt exrpm@microsoft.coma címre, amely a következő információkat tartalmazza:

  • Azure-előfizetés azonosítója
  • Virtual Network (VNet) erőforrás-azonosítója
  • ExpressRoute-kapcsolatcsoport erőforrás-azonosítója

A FastPath-támogatás virtuális hálózatok közötti társviszony-létesítéshez és UDR-ekhez csak ExpressRoute Direct-kapcsolatokhoz érhető el.

A FastPath és a Private Link Private Link ExpressRoute-on keresztül küldött forgalom áthalad az ExpressRoute virtuális hálózati átjáróján az adatelérési útvonalon. Ez az előzetes verzió támogatja a 10 Gb/s-os ExpressRoute Direct-kapcsolatcsoportokhoz társított kapcsolatokat. Ez az előzetes verzió nem támogatja az ExpressRoute-partner által felügyelt ExpressRoute-kapcsolatcsoportokat.

Az előzetes verzióra való regisztrációhoz futtassa a következő Azure PowerShell parancsot a cél Azure-előfizetésben:

Register-AzProviderFeature -FeatureName ExpressRoutePrivateEndpointGatewayBypass -ProviderNamespace Microsoft.Network

Megjegyzés

A célelőfizetésben a FastPath-hoz konfigurált kapcsolatok a kiválasztott előzetes verzióban lesznek regisztrálva. Nem javasoljuk, hogy engedélyezze ezeket az előzetes verziókat éles előfizetésekben. Ha már konfigurálta a FastPath-t, és regisztrálni szeretne az előzetes verziójú szolgáltatásban, tegye a következőket:

  1. Regisztrálja a FastPath előzetes verziójának egyik funkcióját a fenti Azure PowerShell parancsokkal.
  2. Tiltsa le, majd engedélyezze újra a FastPath szolgáltatást a célkapcsolaton.
  3. Az előzetes verziójú funkciók közötti váltáshoz regisztrálja az előfizetést a célelőnézet PowerShell-parancsával, majd tiltsa le és engedélyezze újra a FastPathot a kapcsolaton.

Az erőforrások eltávolítása

Ha már nincs szüksége az ExpressRoute-kapcsolatra, az átjárót tartalmazó előfizetésből a Remove-AzVirtualNetworkGatewayConnection paranccsal távolítsa el az átjáró és a kapcsolatcsoport közötti kapcsolatot.

Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan csatlakoztathat virtuális hálózatot egy kapcsolatcsoporthoz ugyanabban az előfizetésben és egy másik előfizetésben. Az ExpressRoute-átjárókkal kapcsolatos további információkért lásd: ExpressRoute virtuális hálózati átjárók.

Ha meg szeretné tudni, hogyan konfigurálhatja a Microsoft társviszony-létesítés útvonalszűrőit a PowerShell használatával, folytassa a következő oktatóanyagtal.

Microsoft társviszony-létesítés útvonalszűrőinek konfigurálása