Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz az Azure CLI használatával
Ez a cikk bemutatja, hogyan kapcsolhatja össze a virtuális hálózatokat (VNeteket) az Azure ExpressRoute-kapcsolatcsoportokkal az Azure CLI használatával. Az Azure CLI-vel való összekapcsoláshoz a virtuális hálózatokat a Resource Manager üzemi modelljével kell létrehozni. Lehetnek ugyanabban az előfizetésben, vagy egy másik előfizetésben. Ha más módszerrel szeretné csatlakoztatni a virtuális hálózatot egy ExpressRoute-kapcsolatcsoporthoz, az alábbi listából választhat egy cikket:
Előfeltételek
A parancssori felület (CLI) legújabb verziójára van szüksége. További információ: Az Azure CLI telepítése.
A konfiguráció megkezdése előtt tekintse át az előfeltételeket, az útválasztási követelményeket és a munkafolyamatokat.
Egy aktív ExpressRoute-kapcsolatcsoportra lesz szüksége.
- Az utasításokat követve hozzon létre egy ExpressRoute-kapcsolatcsoportot , és engedélyezze a kapcsolatcsoportot a kapcsolatszolgáltatónál.
- Győződjön meg arról, hogy az Azure privát társviszony-létesítés konfigurálva van a kapcsolatcsoporthoz. Az útválasztási utasításokhoz tekintse meg az útválasztás konfigurálását ismertető cikket.
- Győződjön meg arról, hogy az Azure-beli privát társviszony-létesítés konfigurálva van. A teljes körű kapcsolat engedélyezéséhez létre kell hozni a BGP-társviszonyt a hálózat és a Microsoft között.
- Győződjön meg arról, hogy rendelkezik egy virtuális hálózat és egy virtuális hálózati átjáró létrehozásával és teljes kiépítésével. Kövesse az utasításokat az ExpressRoute virtuális hálózati átjárójának konfigurálásához. Mindenképpen használja a következőt
--gateway-type ExpressRoute: .
Legfeljebb 10 virtuális hálózatot csatolhat egy szabványos ExpressRoute-kapcsolatcsoporthoz. Standard ExpressRoute-kapcsolatcsoport használatakor minden virtuális hálózatnak ugyanabban a geopolitikai régióban kell lennie.
Egyetlen virtuális hálózat legfeljebb 16 ExpressRoute-kapcsolatcsoporthoz csatolható. Az alábbi eljárással hozzon létre egy új kapcsolatobjektumot minden egyes ExpressRoute-kapcsolatcsoporthoz, amelyhez csatlakozik. Az ExpressRoute-kapcsolatcsoportok lehetnek ugyanabban az előfizetésben, különböző előfizetésekben vagy a kettő kombinációjában.
Ha engedélyezi az ExpressRoute prémium szintű bővítményt, összekapcsolhatja az ExpressRoute-kapcsolatcsoport geopolitikai régióján kívüli virtuális hálózatokat. A prémium szintű bővítmény lehetővé teszi, hogy a kiválasztott sávszélességtől függően több mint 10 virtuális hálózatot csatlakozzon az ExpressRoute-kapcsolatcsoporthoz. A prémium szintű bővítmény további részleteiért tekintse meg a gyakori kérdéseket.
Az ExpressRoute-kapcsolatcsoport és a cél ExpressRoute virtuális hálózati átjáró közötti kapcsolat létrehozásához a helyi vagy társhálózati virtuális hálózatokról meghirdetett címterek számának legalább 200-nak kell lennie. A kapcsolat sikeres létrehozása után további, legfeljebb 1000 címteret adhat hozzá a helyi vagy társhálózati virtuális hálózatokhoz.
Tekintse át az ExpressRoute-on keresztüli virtuális hálózatok közötti kapcsolatra vonatkozó útmutatást.
Az ugyanabban az előfizetésben lévő virtuális hálózat csatlakoztatása egy kapcsolatcsoporthoz
A példa használatával virtuális hálózati átjárót csatlakoztathat egy ExpressRoute-kapcsolatcsoporthoz. A parancs futtatása előtt győződjön meg arról, hogy a virtuális hálózati átjáró létrejött, és készen áll a csatolásra.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Egy másik előfizetéshez tartozó virtuális hálózat bevonása egy kapcsolatcsoportba
Az ExpressRoute-kapcsolatcsoportokat több előfizetésben is megoszthatja. Az alábbi ábra egy egyszerű sémát mutat be arról, hogyan működik a megosztás az ExpressRoute-kapcsolatcsoportokban több előfizetés között.
Feljegyzés
A virtuális hálózatok azure-beli szuverén felhők és nyilvános Azure-felhők közötti csatlakoztatása nem támogatott. A virtuális hálózatokat csak ugyanazon a felhőben lévő különböző előfizetésekből kapcsolhatja össze.
A nagy felhőben lévő kisebb felhők mindegyike a szervezet különböző részlegeihez tartozó előfizetéseket jelöli. A szervezet minden részlege saját előfizetést használ a szolgáltatásaik üzembe helyezéséhez , de egyetlen ExpressRoute-kapcsolatcsoportot is használhatnak a helyszíni hálózathoz való csatlakozáshoz. Egyetlen részleg (ebben a példában: IT) rendelkezhet az ExpressRoute-kapcsolatcsoporttal. A szervezet más előfizetései használhatják az ExpressRoute-kapcsolatcsoportot.
Feljegyzés
A dedikált kapcsolatcsoport csatlakozási és sávszélességi díjai az ExpressRoute-kapcsolatcsoport tulajdonosára lesznek alkalmazva. Minden virtuális hálózat ugyanazt a sávszélességet használja.
Felügyelet – Kapcsolatcsoport-tulajdonosok és kapcsolatcsoportok felhasználói
A "Kapcsolatcsoport tulajdonosa" az ExpressRoute-kapcsolatcsoport erőforrásának jogosult Power Userje. A kapcsolatcsoport tulajdonosa létrehozhat olyan engedélyeket, amelyeket a "Kapcsolatcsoport felhasználói" beválthatnak. A kapcsolatcsoport felhasználói olyan virtuális hálózati átjárók tulajdonosai, amelyek nem ugyanabban az előfizetésben találhatók, mint az ExpressRoute-kapcsolatcsoport. A kapcsolatcsoport felhasználói beválthatják az engedélyeket (virtuális hálózatonként egy engedélyezés).
A kapcsolatcsoport tulajdonosa bármikor módosíthatja és visszavonhatja az engedélyeket. Az engedélyezés visszavonása után minden kapcsolatkapcsolat törlődik abból az előfizetésből, amelynek hozzáférését visszavonták.
Feljegyzés
A kapcsolatcsoport tulajdonosa nem egy beépített RBAC-szerepkör, vagy az ExpressRoute-erőforráson van definiálva. A kapcsolatcsoport tulajdonosának definíciója bármely olyan szerepkör, amely a következő hozzáféréssel rendelkezik:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
Ide tartoznak a beépített szerepkörök, például a Közreműködő, a Tulajdonos és a Hálózati közreműködő. A különböző beépített szerepkörök részletes leírása.
Kapcsolatcsoport-tulajdonosi műveletek
Engedélyezés létrehozása
A kapcsolatcsoport tulajdonosa létrehoz egy engedélyezést, amely létrehoz egy engedélyezési kulcsot, amellyel a kapcsolatcsoport felhasználója csatlakoztathatja a virtuális hálózati átjárókat az ExpressRoute-kapcsolatcsoporthoz. Az engedélyezés csak egy kapcsolatra érvényes.
Az alábbi példa bemutatja, hogyan hozhat létre engedélyezést:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization
A válasz tartalmazza az engedélyezési kulcsot és az állapotot:
"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"
Engedélyezések áttekintése
A kapcsolatcsoport tulajdonosa az alábbi példa futtatásával áttekintheti az adott kapcsolatcsoporton kiadott összes engedélyt:
az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup
Engedélyezés létrehozása
A kapcsolatcsoport tulajdonosa az alábbi példával hozhat létre engedélyezést:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Engedélyek törlése
A kapcsolatcsoport tulajdonosa az alábbi példa futtatásával visszavonhatja/törölheti a felhasználónak adott engedélyeket:
az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Kapcsolatcsoport felhasználói műveletei
A kapcsolatcsoport-felhasználónak szüksége van a társazonosítóra és egy engedélyezési kulcsra a kapcsolatcsoport tulajdonosától. Az engedélyezési kulcs egy GUID.
az network express-route show -n MyCircuit -g ExpressRouteResourceGroup
Kapcsolati engedélyezés beváltása
A kapcsolatcsoport-felhasználó a következő példát futtatva beválthatja a hivatkozásengedélyezési műveletet:
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Kapcsolatengedélyezési engedély kiadása
Az engedélyezést az ExpressRoute-kapcsolatcsoportot a virtuális hálózathoz összekötő kapcsolat törlésével oldhatja fel.
Virtuális hálózati kapcsolat módosítása
A virtuális hálózati kapcsolatok bizonyos tulajdonságait frissítheti.
A kapcsolat súlyának frissítése
A virtuális hálózat több ExpressRoute-kapcsolatcsoporthoz is csatlakoztatható. Ugyanazt az előtagot több ExpressRoute-kapcsolatcsoporttól is megkaphatja. Ha meg szeretné adni, hogy az előtagra irányuló forgalmat melyik kapcsolat küldi el, módosíthatja a kapcsolat útválasztási súlyát . A forgalom a legmagasabb útválasztási súlyú kapcsolaton lesz elküldve.
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100
Az Útválasztási súly tartománya 0 és 32000 között van. Az alapértelmezett érték 0.
ExpressRoute FastPath konfigurálása
Az ExpressRoute FastPath akkor engedélyezhető, ha a virtuális hálózati átjáró ultrateljesítményű vagy ErGw3AZ. A FastPath javítja az adatelérési utak teljesítményét, például a másodpercenkénti csomagokat és a helyszíni hálózat és a virtuális hálózat közötti másodpercenkénti kapcsolatokat.
FastPath konfigurálása új kapcsolaton
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Meglévő kapcsolat frissítése a FastPath engedélyezéséhez
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true
Feljegyzés
A kapcsolatfigyelő használatával ellenőrizheti, hogy a forgalom eléri-e a célhelyet a FastPath használatával.
Regisztráció az ExpressRoute FastPath szolgáltatásaiban (előzetes verzió)
A Virtuális hálózatok közötti társviszony-létesítés FastPath-támogatása nyilvános előzetes verzióban érhető el. A regisztráció csak az Azure PowerShellen keresztül érhető el. A regisztrációval kapcsolatos utasításokért tekintse meg a FastPath előzetes verziójú funkcióit.
Feljegyzés
A célelőfizetésben a FastPath-hoz konfigurált összes kapcsolat regisztrálva lesz ebben az előzetes verzióban. Nem javasoljuk az előzetes verzió engedélyezését éles előfizetésekben. Ha már konfigurálta a FastPath szolgáltatást, és regisztrálni szeretne az előzetes verziójú szolgáltatásban, a következőket kell tennie:
- Regisztrálja a FastPath előzetes verziójú funkcióját a fenti Azure PowerShell-paranccsal.
- Tiltsa le, majd engedélyezze újra a FastPathot a célkapcsolaton.
Az erőforrások eltávolítása
Ha már nincs szüksége az ExpressRoute-kapcsolatra, az átjárót tartalmazó előfizetésből távolítsa el az az network vpn-connection delete átjáró és a kapcsolatcsoport közötti kapcsolatot a paranccsal.
az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan csatlakoztathat virtuális hálózatot egy kapcsolatcsoporthoz ugyanabban az előfizetésben és egy másik előfizetésben. Az ExpressRoute-átjáróval kapcsolatos további információkért lásd: ExpressRoute virtuális hálózati átjárók.
Ha szeretné megtudni, hogyan konfigurálhat útvonalszűrőket a Microsoft-társviszony-létesítéshez az Azure CLI használatával, folytassa a következő oktatóanyagtal.