Koneksi jaringan virtual ke sirkuit ExpressRoute menggunakan Azure PowerShell
Tutorial ini menunjukkan kepada Anda cara menautkan jaringan virtual (VNets) ke sirkuit ExpressRoute dengan menggunakan model penyebaran Resource Manager dan CLI Azure. Mereka bisa berada di langganan yang sama, atau bagian dari langganan lain. Tutorial ini juga menunjukkan cara memperbarui link jaringan virtual.
Prasyarat
Tinjau prasyarat, persyaratan perutean, dan alur kerja sebelum Anda memulai konfigurasi.
Anda harus memiliki sirkuit ExpressRoute aktif.
- Ikuti instruksi untuk membuat sirkuit ExpressRoute dan sirkuit diaktifkan oleh penyedia konektivitas Anda.
- Pastikan Anda memiliki serekan privat yang dikonfigurasi untuk sirkuit Anda. Lihat artikel mengonfigurasi perutean untuk instruksi perutean.
- Pastikan bahwa peering privat Azure dikonfigurasi dan menetapkan peering BGP antara jaringan Anda dan Microsoft untuk konektivitas end-to-end.
- Pastikan Anda memiliki jaringan virtual dan gateway jaringan virtual yang dibuat dan disediakan sepenuhnya. Ikuti petunjuk untuk membuat gateway jaringan virtual untuk ExpressRoute. Gateway jaringan virtual untuk ExpressRoute menggunakan GatewayType
ExpressRoute, bukan VPN.
Anda dapat menautkan hingga 10 jaringan virtual ke sirkuit ExpressRoute standar. Semua jaringan virtual harus berada di wilayah geopolitik yang sama saat menggunakan sirkuit ExpressRoute standar.
Satu jaringan virtual dapat ditautkan hingga 16 sirkuit ExpressRoute. Gunakan langkah-langkah di artikel ini untuk membuat objek koneksi baru untuk setiap sirkuit ExpressRoute yang sedang Anda sambungkan. Sirkuit ExpressRoute dapat berada dalam langganan yang sama, langganan yang berbeda, atau campuran keduanya.
Jika Anda mengaktifkan add-on premium ExpressRoute, Anda dapat menautkan jaringan virtual di luar wilayah geopolitik sirkuit ExpressRoute. Add-on premium memungkinkan Anda untuk menghubungkan lebih dari 10 jaringan virtual ke sirkuit ExpressRoute Anda tergantung pada bandwidth yang dipilih. Periksa FAQ untuk detail lebih lanjut tentang add-on premium.
Untuk membuat koneksi dari sirkuit ExpressRoute ke gateway virtual ExpressRoute target, jumlah ruang alamat yang diiklankan dari jaringan virtual lokal atau yang di-peering harus sama dengan atau kurang dari 200. Setelah koneksi berhasil dibuat, Anda dapat menambahkan lebih banyak ruang alamat, hingga 1.000, ke jaringan virtual lokal atau yang di-peering.
Tinjau panduan untuk konektivitas antara jaringan virtual melalui ExpressRoute.
Bekerja dengan Azure PowerShell
Langkah-langkah dan contoh dalam artikel ini menggunakan modul Az Azure PowerShell. Untuk memasang modul Az secara lokal di komputer Anda, lihat Memasang Azure PowerShell. Untuk mempelajari selengkapnya tentang modul Az baru, lihat Memperkenalkan modul Az Azure PowerShell baru. Cmdlet PowerShell sering diperbarui. Jika Anda tidak menjalankan versi terbaru, nilai yang ditetapkan dalam instruksi mungkin gagal. Untuk menemukan versi PowerShell yang diinstal di sistem Anda, gunakan cmdlet Get-Module -ListAvailable Az.
Anda dapat menggunakan Azure Cloud Shell untuk menjalankan sebagian besar perintah cmdlet PowerShell dan CLI, ketimbang menginstal Azure PowerShell atau CLI secara lokal. Azure Cloud Shell adalah shell interaktif gratis yang memiliki alat Azure umum yang telah diinstal sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda. Untuk menjalankan segala kode yang terkandung dalam artikel ini di Azure Cloud Shell, buka sesi Cloud Shell, gunakan tombol Salin pada blok kode untuk menyalin kode, dan menempelkannya ke sesi Cloud Shell dengan Ctrl+Shift+V di Windows dan Linux, atau Cmd+Shift+V di macOS. Teks yang ditempelkan tidak dijalankan secara otomatis, tekan Enter untuk menjalankan kode.
Ada beberapa cara untuk membuka Cloud Shell:
| Opsi | Tautan |
|---|---|
| Pilih Coba di sudut kanan atas blok kode. |  |
| Buka Cloud Shell di browser Anda. |  |
| Pilih tombol Cloud Shell pada menu pada bagian kanan atas di portal Microsoft Azure. |  |
Sambungkan jaringan virtual ke sirkuit dalam langganan yang sama
Anda dapat menyambungkan gateway jaringan virtual ke sirkuit ExpressRoute dengan menggunakan cmdlet berikut. Pastikan bahwa gateway jaringan virtual dibuat dan siap untuk ditautkan sebelum Anda menjalankan cmdlet:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
Sambungkan jaringan virtual ke sirkuit dalam langganan yang sama
Anda dapat berbagi sirkuit ExpressRoute antara beberapa langganan. Gambar berikut menunjukkan skema sederhana tentang cara berbagi pekerjaan untuk sirkuit ExpressRoute di beberapa langganan.
Catatan
Menghubungkan jaringan virtual antara sovereign cloud Azure dan cloud Publik Azure tidak didukung. Anda hanya dapat menautkan jaringan virtual dari langganan yang berbeda di cloud yang sama.
Setiap cloud yang lebih kecil dalam cloud besar digunakan untuk mewakili langganan milik departemen yang berbeda dalam organisasi. Setiap departemen dalam organisasi menggunakan langganannya sendiri untuk menerapkan layanannya - tetapi mereka dapat berbagi satu sirkuit ExpressRoute untuk terhubung kembali ke jaringan lokal Anda. Satu departemen (dalam contoh ini: TI) dapat memiliki sirkuit ExpressRoute. Langganan lain dalam organisasi dapat menggunakan sirkuit ExpressRoute.
Catatan
Biaya konektivitas dan bandwidth untuk sirkuit ExpressRoute akan diterapkan pada pemilik langganan. Semua jaringan virtual berbagi bandwidth yang sama.
Administrasi - pemilik sirkuit dan pengguna sirkuit
'Pemilik sirkuit' adalah Administrator resmi dari sumber daya sirkuit ExpressRoute. Pemilik sirkuit dapat membuat otorisasi yang dapat ditukarkan dengan 'pengguna sirkuit'. Pengguna sirkuit adalah pemilik gateway jaringan virtual yang tidak berada dalam langganan yang sama dengan sirkuit ExpressRoute. Pengguna sirkuit dapat menukarkan otorisasi (satu otorisasi per jaringan virtual).
Pemilik sirkuit berhak memodifikasi dan mencabut otorisasi kapan saja. Mencabut otorisasi dapat mengakibatkan semua koneksi tautan dihapus dari langganan yang aksesnya dicabut.
Catatan
Pemilik sirkuit bukan peran RBAC bawaan atau didefinisikan pada sumber daya ExpressRoute. Definisi pemilik sirkuit adalah peran apa pun dengan akses berikut:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
Ini termasuk peran bawaan seperti Kontributor, Pemilik, dan Kontributor Jaringan. Deskripsi terperinci untuk berbagai peran bawaan.
Operasi pemilik sirkuit
Untuk membuat otorisasi
Pemilik sirkuit membuat otorisasi, yang membuat kunci otorisasi yang akan digunakan oleh pengguna sirkuit untuk menghubungkan gateway jaringan virtualnya ke sirkuit ExpressRoute. Otorisasi hanya berlaku untuk satu koneksi.
Cuplikan cmdlet berikut menunjukkan cara membuat otorisasi:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Respons terhadap perintah sebelumnya berisi kunci dan status otorisasi:
Name : MyAuthorization1
Id : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
AuthorizationKey : ####################################
AuthorizationUseStatus : Available
ProvisioningState : Succeeded
Untuk meninjau otorisasi
Pemilik sirkuit dapat meninjau semua otorisasi yang dikeluarkan pada sirkuit tertentu dengan menjalankan contoh berikut:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Untuk menambahkan otorisasi
Pemilik sirkuit dapat menambahkan otorisasi dengan menggunakan cmdlet berikut:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Untuk menghapus otorisasi
Pemilik sirkuit dapat mencabut/menghapus otorisasi ke pengguna dengan menjalankan cmdlet berikut:
Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
Operasi pengguna sirkuit
Pengguna sirkuit memerlukan ID serekan dan kunci otorisasi dari pemilik sirkuit. Kunci otorisasi adalah GUID.
ID rekan dapat diperiksa dari perintah berikut:
Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Untuk menukar otorisasi koneksi
Pengguna sirkuit dapat menjalankan cmdlet berikut untuk menukarkan otorisasi tautan:
$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Untuk menukar otorisasi koneksi
Anda dapat merilis otorisasi dengan menghapus koneksi yang menautkan sirkuit ExpressRoute ke jaringan virtual.
Memodifikasi koneksi jaringan virtual
Anda bisa memperbarui properti tertentu dari sambungan jaringan maya.
Untuk memperbarui berat koneksi
Jaringan virtual Anda dapat dihubungkan ke beberapa sirkuit ExpressRoute. Anda mungkin menerima awalan yang sama dari lebih dari satu sirkuit ExpressRoute. Untuk memilih koneksi mana yang akan mengirim lalu lintas yang ditakdirkan untuk prefiks ini, Anda dapat mengubah RoutingWeight koneksi. Lalu lintas dikirim pada koneksi dengan RoutingWeight tertinggi.
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Rentang RoutingWeight adalah 0 hingga 32000. Nilai default adalah 0.
Mengonfigurasi FastPath ExpressRoute
Anda dapat mengaktifkan FastPath ExpressRoute jika gateway jaringan virtual Anda adalah Ultra Performance atau ErGw3AZ. FastPath meningkatkan kinerja jalur data seperti paket per detik dan koneksi per detik antara jaringan lokal Anda dan jaringan virtual Anda.
Mengonfigurasi FastPath pada koneksi baru
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"
Memperbarui koneksi yang ada untuk mengaktifkan FastPath
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG"
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Dukungan FastPath Virtual Network Peering, User-Defined-Routes (UDR) dan Private Link untuk expressRoute Direct Koneksi ions
Dengan dukungan Virtual Network Peering dan UDR, FastPath akan mengirim lalu lintas langsung ke VM yang disebarkan di Virtual Network "spoke" (terhubung melalui Virtual Network Peering) dan menghormati UDR apa pun yang dikonfigurasi di GatewaySubnet. Dengan FastPath dan Private Link, lalu lintas Link Privat yang dikirim melalui ExpressRoute melewati gateway jaringan virtual ExpressRoute di jalur data. Dengan kedua fitur ini diaktifkan, FastPath akan langsung mengirim lalu lintas ke Titik Akhir Privat yang disebarkan dalam Virtual Network "spoke".
Skenario ini Umumnya Tersedia untuk skenario terbatas dengan koneksi yang terkait dengan sirkuit ExpressRoute Direct 100 Gb. Untuk mengaktifkan, ikuti panduan di bawah ini:
- Lengkapi Formulir Microsoft ini untuk meminta mendaftarkan langganan Anda.
- Setelah Anda menerima konfirmasi dari Langkah 1, jalankan perintah Azure PowerShell berikut di langganan Azure target.
$connection = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <resource-group> -ResourceName <connection-name>
$connection.ExpressRouteGatewayBypass = $true
$connection.EnablePrivateLinkFastPath = $true
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Catatan
Anda dapat menggunakan Monitor Koneksi untuk memverifikasi bahwa lalu lintas Anda mencapai tujuan menggunakan FastPath.
Catatan
Mengaktifkan dukungan FastPath Private Link untuk skenario GA terbatas mungkin memakan waktu hingga 2 minggu untuk diselesaikan. Silakan rencanakan penyebaran Anda terlebih dahulu.
Dukungan FastPath untuk peering jaringan virtual dan UDR hanya tersedia untuk koneksi ExpressRoute Direct.
Catatan
Setiap koneksi yang dikonfigurasi untuk FastPath dalam langganan target akan terdaftar dalam pratinjau yang dipilih. Kami tidak menyarankan untuk mengaktifkan pratinjau ini dalam langganan produksi. Jika Anda sudah mengonfigurasi FastPath dan ingin mendaftar di fitur pratinjau, Anda perlu melakukan hal berikut:
- Daftar di salah satu fitur pratinjau FastPath dengan perintah Azure PowerShell.
- Menonaktifkan lalu mengaktifkan kembali FastPath pada koneksi target.
- Untuk beralih antar fitur pratinjau, daftarkan langganan dengan perintah PowerShell pratinjau target, lalu nonaktifkan dan aktifkan kembali FastPath pada koneksi.
Membersihkan sumber daya
Jika Anda tidak lagi memerlukan koneksi ExpressRoute, dari langganan tempat gateway berada, gunakan perintah Remove-AzVirtualNetworkGatewayConnection untuk menghapus tautan antara gateway dan sirkuit.
Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"
Langkah berikutnya
Dalam tutorial ini, Anda mempelajari cara menghubungkan jaringan virtual ke sirkuit dalam langganan yang sama dan dalam langganan yang berbeda. Untuk informasi selengkapnya tentang gateway ExpressRoute, lihat: Gateway jaringan virtual ExpressRoute.
Untuk mempelajari cara mengonfigurasi, filter rute untuk peering Microsoft menggunakan PowerShell, lanjutkan ke tutorial berikutnya.