Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz a PowerShell használatával (klasszikus)
Ez a cikk segít összekapcsolni a virtuális hálózatokat (VNeteket) az Azure ExpressRoute-kapcsolatcsoportokhoz a PowerShell használatával. Egyetlen virtuális hálózat legfeljebb négy ExpressRoute-kapcsolatcsoporthoz kapcsolható. A cikk lépéseit követve hozzon létre egy új hivatkozást az egyes ExpressRoute-kapcsolatcsoportokhoz, amelyhez csatlakozik. Az ExpressRoute-kapcsolatcsoportok lehetnek ugyanabban az előfizetésben, különböző előfizetésekben vagy mindkettő kombinációjában. Ez a cikk a klasszikus üzemi modellel létrehozott virtuális hálózatokra vonatkozik.
Legfeljebb 10 virtuális hálózatot csatolhat ExpressRoute-kapcsolatcsoporthoz. Minden virtuális hálózatnak ugyanabban a geopolitikai régióban kell lennie. Ha engedélyezi az ExpressRoute prémium bővítményt, nagyobb számú virtuális hálózatot csatolhat az ExpressRoute-kapcsolatcsoporthoz, vagy összekapcsolhatja a más geopolitikai régiókban található virtuális hálózatokat. A prémium bővítmény további részleteiért tekintse meg a gyakori kérdéseket .
Fontos
2017. március 1. után nem hozhat létre új ExpressRoute-kapcsolatcsoportot a klasszikus üzemi modellben.
- Meglévő ExpressRoute-kapcsolatcsoportot a kapcsolat megszakadása nélkül helyezhet át a klasszikus üzemi modellből a Resource Manager-alapú üzemi modellbe. További információ: Meglévő kapcsolatcsoport áthelyezése.
- A klasszikus üzemi modellben az allowClassicOperations TRUE értékűre állításával kapcsolódhat virtuális hálózatokhoz.
Ha a Resource Manager-alapú üzemi modellben szeretne létrehozni és kezelni ExpressRoute-kapcsolatcsoportokat, kövesse az alábbi hivatkozásokat:
Tudnivalók az Azure üzembehelyezési modellekről
Az Azure jelenleg két üzemi modellt használ: a Resource Manager-alapú és a klasszikus modellt. A két modell nem teljesen kompatibilis egymással. Mielőtt belekezdene, tudnia kell, hogy melyik modellben kíván dolgozni. További információt az üzembehelyezési modellekről az üzembehelyezési modellek ismertetésében talál. Ha még nem ismeri az Azure-t, javasoljuk, hogy használja a Resource Manager-alapú üzemi modellt.
Konfigurációs előfeltételek
- A konfigurálás megkezdése előtt tekintse át az előfeltételeket, az útválasztási követelményeket és a munkafolyamatokat .
- Egy aktív ExpressRoute-kapcsolatcsoportra lesz szüksége.
- Kövesse az utasításokat egy ExpressRoute-kapcsolatcsoport létrehozásához , és kérje meg a kapcsolatszolgáltatót, hogy engedélyezze a kapcsolatcsoportot.
- Győződjön meg arról, hogy konfigurálva van az Azure privát társviszony-létesítés a kapcsolatcsoporthoz. Az útválasztási utasításokért tekintse meg az útválasztás konfigurálását ismertető cikket.
- Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van, és a hálózat és a Microsoft közötti BGP-társviszony működik, hogy lehetővé tegye a végpontok közötti kapcsolatot.
- Létre kell hoznia egy virtuális hálózatot és egy virtuális hálózati átjárót, és teljes mértékben ki kell építenie. Kövesse az utasításokat a virtuális hálózat ExpressRoute-hoz való konfigurálásához.
A legújabb PowerShell-parancsmagok letöltése
Telepítse az Azure Service Management (SM) PowerShell-modulok és az ExpressRoute-modul legújabb verzióit. Az Azure CloudShell-környezet nem használható SM-modulok futtatására.
Az Azure Service Management modul telepítéséhez kövesse a Szolgáltatáskezelés modul telepítése című cikk utasításait. Ha már telepítve van az Az vagy RM modul, mindenképpen használja az "-AllowClobber" modult.
Importálja a telepített modulokat. Az alábbi példa használata esetén módosítsa az elérési utat a telepített PowerShell-modulok helyének és verziójának megfelelően.
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1' Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
Az Azure-fiókba való bejelentkezéshez nyissa meg emelt szintű jogosultságokkal rendelkező PowerShell-konzolját, és csatlakozzon a fiókjához. Az alábbi példával csatlakozhat a Service Management modullal:
Add-AzureAccount
Az ugyanabban az előfizetésben lévő virtuális hálózat csatlakoztatása egy kapcsolatcsoporthoz
A virtuális hálózatot az alábbi parancsmaggal kapcsolhatja össze egy ExpressRoute-kapcsolatcsoporttal. A parancsmag futtatása előtt győződjön meg arról, hogy a virtuális hálózati átjáró létrejött, és készen áll a csatolásra.
New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned
Kapcsolatcsoport virtuális hálózati kapcsolatának eltávolítása
Az ExpressRoute-kapcsolatcsoporthoz való virtuális hálózati kapcsolatot az alábbi parancsmaggal távolíthatja el. Győződjön meg arról, hogy az aktuális előfizetés van kiválasztva az adott virtuális hálózathoz.
Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Egy másik előfizetéshez tartozó virtuális hálózat bevonása egy kapcsolatcsoportba
Az ExpressRoute-kapcsolatcsoportokat több előfizetésben is megoszthatja. Az alábbi ábra egy egyszerű sémát mutat be arról, hogyan működik a megosztás az ExpressRoute-kapcsolatcsoportok esetében több előfizetés között.
A nagy felhőben található kisebb felhők mindegyike a szervezet különböző részlegeihez tartozó előfizetések jelölésére szolgál. A szervezet minden részlege használhatja a saját előfizetését a szolgáltatások üzembe helyezéséhez, de a részlegek egyetlen ExpressRoute-kapcsolatcsoportot is használhatnak a helyszíni hálózathoz való csatlakozáshoz. Egyetlen részleg (ebben a példában: IT) rendelkezhet az ExpressRoute-kapcsolatcsoporttal. A szervezet más előfizetései használhatják az ExpressRoute-kapcsolatcsoportot.
Megjegyzés
A dedikált kapcsolatcsoport csatlakozási és sávszélességi díjai az ExpressRoute-kapcsolatcsoport tulajdonosára lesznek alkalmazva. Minden virtuális hálózat ugyanazt a sávszélességet használja.
Felügyelet
A kapcsolatcsoport tulajdonosa annak az előfizetésnek a rendszergazdája/társadminisztrátora, amelyben az ExpressRoute-kapcsolatcsoport létrejön. A kapcsolatcsoport tulajdonosa engedélyezheti más előfizetések rendszergazdáinak/társadminisztrátorainak, más néven a kapcsolatcsoport felhasználóinak, hogy a tulajdonában lévő dedikált kapcsolatcsoportot használják. Azok a kapcsolatcsoportok felhasználói, akik jogosultak a szervezet ExpressRoute-kapcsolatcsoportjának használatára, az engedélyezésük után összekapcsolhatják az előfizetésben lévő virtuális hálózatot az ExpressRoute-kapcsolatcsoporttal.
A kapcsolatcsoport tulajdonosa bármikor módosíthatja és visszavonhatja az engedélyeket. Az engedélyezés visszavonása esetén az összes hivatkozás törlődik abból az előfizetésből, amelynek a hozzáférése visszavonva lett.
Megjegyzés
A kapcsolatcsoport tulajdonosa nem egy beépített RBAC-szerepkör, és nem definiálható az ExpressRoute-erőforráson. A kapcsolatcsoport tulajdonosának definíciója bármely olyan szerepkör, amely a következő hozzáféréssel rendelkezik:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
Ide tartoznak a beépített szerepkörök, például a Közreműködő, a Tulajdonos és a Hálózati közreműködő. A különböző beépített szerepkörök részletes leírása.
Kapcsolatcsoport tulajdonosának műveletei
Engedélyezés létrehozása
A kapcsolatcsoport tulajdonosa engedélyezi más előfizetések rendszergazdáinak, hogy a megadott kapcsolatcsoportot használják. A következő példában a kapcsolatcsoport rendszergazdája (Contoso IT) lehetővé teszi egy másik előfizetés (Dev-Test) rendszergazdájának, hogy két virtuális hálózatot csatoljon a kapcsolatcsoporthoz. A Contoso informatikai rendszergazdája a Microsoft-azonosító Dev-Test megadásával engedélyezi ezt az engedélyezést. A parancsmag nem küld e-mailt a megadott Microsoft-azonosítónak. A kapcsolatcsoport tulajdonosának explicit módon értesítenie kell a másik előfizetés tulajdonosát az engedélyezés befejezéséről.
New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'
Eredményük a következő:
Description : Dev-Test Links
Limit : 2
LinkAuthorizationId : **********************************
MicrosoftIds : devtest@contoso.com
Used : 0
Engedélyek áttekintése
A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával áttekintheti az adott kapcsolatcsoporton kiadott összes engedélyt:
Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"
Eredményük a következő:
Description : EngineeringTeam
Limit : 3
LinkAuthorizationId : ####################################
MicrosoftIds : engadmin@contoso.com
Used : 1
Description : MarketingTeam
Limit : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds : marketingadmin@contoso.com
Used : 0
Description : Dev-Test Links
Limit : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds : salesadmin@contoso.com
Used : 2
Engedélyek frissítése
A kapcsolatcsoport tulajdonosa az alábbi parancsmaggal módosíthatja az engedélyeket:
Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5
Eredményük a következő:
Description : Dev-Test Links
Limit : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds : devtest@contoso.com
Used : 0
Engedélyek törlése
A kapcsolatcsoport tulajdonosa az alábbi parancsmag futtatásával visszavonhatja/törölheti a felhasználónak az engedélyeket:
Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"
Kapcsolatcsoport felhasználói műveletei
Engedélyek áttekintése
A kapcsolatcsoport felhasználója az alábbi parancsmaggal tekintheti át az engedélyeket:
Get-AzureAuthorizedDedicatedCircuit
Eredményük a következő:
Bandwidth : 200
CircuitName : ContosoIT
Location : Washington DC
MaximumAllowedLinks : 2
ServiceKey : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName : equinix
ServiceProviderProvisioningState : Provisioned
Status : Enabled
UsedLinks : 0
Hivatkozásengedélyek beváltása
A kapcsolatcsoport felhasználója a következő parancsmagot futtathatja a hivatkozás-engedélyezés beváltásához:
New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'
Eredményük a következő:
State VnetName
----- --------
Provisioned SalesVNET1
Futtassa ezt a parancsot a virtuális hálózat újonnan csatolt előfizetésében:
New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Következő lépések
Az ExpressRoute-ról további információt az ExpressRoute gyakori kérdéseiben talál.