Menyambungkan jaringan virtual ke sirkuit ExpressRoute menggunakan Azure PowerShell

• Portal Azure
• PowerShell
• Azure CLI
• PowerShell (klasik)

Tutorial ini menunjukkan kepada Anda cara menautkan jaringan virtual (VNets) ke sirkuit ExpressRoute dengan menggunakan model penyebaran Resource Manager dan CLI Azure. Mereka bisa berada di langganan yang sama, atau bagian dari langganan lain. Tutorial ini juga menunjukkan cara memperbarui link jaringan virtual.

Prasyarat

• Tinjau prasyarat, persyaratan perutean, dan alur kerja sebelum Anda memulai konfigurasi.

• Anda harus memiliki sirkuit ExpressRoute aktif.

  • Ikuti instruksi untuk membuat sirkuit ExpressRoute dan sirkuit diaktifkan oleh penyedia konektivitas Anda.
  • Pastikan Anda memiliki serekan privat yang dikonfigurasi untuk sirkuit Anda. Lihat artikel mengonfigurasi perutean untuk instruksi perutean.
  • Pastikan bahwa peering privat Azure dikonfigurasi dan menetapkan peering BGP antara jaringan Anda dan Microsoft untuk konektivitas end-to-end.
  • Pastikan Anda memiliki jaringan virtual dan gateway jaringan virtual yang dibuat dan disediakan sepenuhnya. Ikuti petunjuk untuk membuat gateway jaringan virtual untuk ExpressRoute. Gateway jaringan virtual untuk ExpressRoute menggunakan GatewayType ExpressRoute, bukan VPN.

• Anda dapat menautkan hingga 10 jaringan virtual ke sirkuit ExpressRoute standar. Semua jaringan virtual harus berada di wilayah geopolitik yang sama saat menggunakan sirkuit ExpressRoute standar.

• Satu jaringan virtual dapat ditautkan hingga 16 sirkuit ExpressRoute. Gunakan langkah-langkah di artikel ini untuk membuat objek koneksi baru untuk setiap sirkuit ExpressRoute yang sedang Anda sambungkan. Sirkuit ExpressRoute dapat berada dalam langganan yang sama, langganan yang berbeda, atau campuran keduanya.

• Jika Anda mengaktifkan add-on premium ExpressRoute, Anda dapat menautkan jaringan virtual di luar wilayah geopolitik sirkuit ExpressRoute. Add-on premium memungkinkan Anda untuk menghubungkan lebih dari 10 jaringan virtual ke sirkuit ExpressRoute Anda tergantung pada bandwidth yang dipilih. Periksa FAQ untuk detail lebih lanjut tentang add-on premium.

• Untuk membuat koneksi dari sirkuit ExpressRoute ke gateway virtual ExpressRoute target, jumlah ruang alamat yang diiklankan dari jaringan virtual lokal atau yang di-peering harus sama dengan atau kurang dari 200. Setelah koneksi berhasil dibuat, Anda dapat menambahkan lebih banyak ruang alamat, hingga 1.000, ke jaringan virtual lokal atau yang di-peering.

• Tinjau panduan untuk konektivitas antara jaringan virtual melalui ExpressRoute.

Bekerja dengan Azure PowerShell

Langkah-langkah dan contoh dalam artikel ini menggunakan modul Az Azure PowerShell. Untuk memasang modul Az secara lokal di komputer Anda, lihat Memasang Azure PowerShell. Untuk mempelajari selengkapnya tentang modul Az baru, lihat Memperkenalkan modul Az Azure PowerShell baru. Cmdlet PowerShell sering diperbarui. Jika Anda tidak menjalankan versi terbaru, nilai yang ditetapkan dalam instruksi mungkin gagal. Untuk menemukan versi PowerShell yang diinstal di sistem Anda, gunakan cmdlet Get-Module -ListAvailable Az.

Anda dapat menggunakan Azure Cloud Shell untuk menjalankan sebagian besar perintah cmdlet PowerShell dan CLI, ketimbang menginstal Azure PowerShell atau CLI secara lokal. Azure Cloud Shell adalah shell interaktif gratis yang memiliki alat Azure umum yang telah diinstal sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda. Untuk menjalankan segala kode yang terkandung dalam artikel ini di Azure Cloud Shell, buka sesi Cloud Shell, gunakan tombol Salin pada blok kode untuk menyalin kode, dan menempelkannya ke sesi Cloud Shell dengan Ctrl+Shift+V di Windows dan Linux, atau Cmd+Shift+V di macOS. Teks yang ditempelkan tidak dijalankan secara otomatis, tekan Enter untuk menjalankan kode.

Ada beberapa cara untuk membuka Cloud Shell:

Opsi	Tautan
Pilih Coba di sudut kanan atas blok kode.
Buka Cloud Shell di browser Anda.
Pilih tombol Cloud Shell pada menu pada bagian kanan atas di portal Microsoft Azure.

Menyambungkan jaringan virtual

Ketahanan Maksimum

Ketahanan maksimum (Disarankan): memberikan tingkat ketahanan tertinggi ke jaringan virtual Anda. Ini menyediakan dua koneksi redundan dari gateway jaringan virtual ke dua sirkuit ExpressRoute yang berbeda di lokasi ExpressRoute yang berbeda.

Mengkloning skrip

Untuk membuat koneksi ketahanan maksimum, kloning skrip penyiapan dari GitHub.

# Clone the setup script from GitHub.
git clone https://github.com/Azure-Samples/azure-docs-powershell-samples/ 
# Change to the directory where the script is located.
CD azure-docs-powershell-samples/expressroute/

Jalankan skrip New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 untuk membuat koneksi ketersediaan tinggi. Contoh berikut menunjukkan cara membuat dua koneksi baru ke dua sirkuit ExpressRoute.

$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$circuit2 = Get-AzExpressRouteCircuit -Name "MyCircuit2" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"

highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name1 "ERConnection1" -Name2 "ERConnection2" -Peer1 $circuit1.Peerings[0] -Peer2 $circuit2.Peerings[0] -RoutingWeight1 10 -RoutingWeight2 10 -VirtualNetworkGateway1 $gw

Jika Anda ingin membuat koneksi baru dan menggunakan koneksi yang sudah ada, Anda bisa menggunakan contoh berikut. Contoh ini membuat koneksi baru ke sirkuit ExpressRoute kedua dan menggunakan koneksi yang ada ke sirkuit ExpressRoute pertama.

$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = Get-AzVirtualNetworkGatewayConnection -Name "ERConnection1" -ResourceGroupName "MyRG"

highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name2 "ERConnection2" -Peer2 $circuit1.Peerings[0] -RoutingWeight2 10 -VirtualNetworkGateway1 $gw -ExistingVirtualNetworkGatewayConnection $connection

Ketahanan Standar/Tinggi

Ketahanan standar: menyediakan satu koneksi redundan dari gateway jaringan virtual ke satu sirkuit ExpressRoute. Anda dapat menyambungkan gateway jaringan virtual ke sirkuit ExpressRoute menggunakan cmdlet New-AzVirtualNetworkGatewayConnection . Pastikan bahwa gateway jaringan virtual dibuat dan siap untuk ditautkan sebelum Anda menjalankan cmdlet.

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute

Catatan

Untuk Ketahanan Tinggi, Anda harus terhubung ke sirkuit Metro alih-alih sirkuit Standar.

Sambungkan jaringan virtual ke sirkuit dalam langganan yang sama

Anda dapat berbagi sirkuit ExpressRoute antara beberapa langganan. Gambar berikut menunjukkan skema sederhana tentang cara berbagi pekerjaan untuk sirkuit ExpressRoute di beberapa langganan.

Catatan

Menghubungkan jaringan virtual antara sovereign cloud Azure dan cloud Publik Azure tidak didukung. Anda hanya dapat menautkan jaringan virtual dari langganan yang berbeda di cloud yang sama.

Setiap cloud yang lebih kecil dalam cloud besar digunakan untuk mewakili langganan milik departemen yang berbeda dalam organisasi. Setiap departemen dalam organisasi menggunakan langganannya sendiri untuk menerapkan layanannya - tetapi mereka dapat berbagi satu sirkuit ExpressRoute untuk terhubung kembali ke jaringan lokal Anda. Satu departemen (dalam contoh ini: TI) dapat memiliki sirkuit ExpressRoute. Langganan lain dalam organisasi dapat menggunakan sirkuit ExpressRoute.

Catatan

Biaya konektivitas dan bandwidth untuk sirkuit ExpressRoute akan diterapkan pada pemilik langganan. Semua jaringan virtual berbagi bandwidth yang sama.

Administrasi - pemilik sirkuit dan pengguna sirkuit

'Pemilik sirkuit' adalah Administrator resmi dari sumber daya sirkuit ExpressRoute. Pemilik sirkuit dapat membuat otorisasi yang dapat ditukarkan dengan 'pengguna sirkuit'. Pengguna sirkuit adalah pemilik gateway jaringan virtual yang tidak berada dalam langganan yang sama dengan sirkuit ExpressRoute. Pengguna sirkuit dapat menukarkan otorisasi (satu otorisasi per jaringan virtual).

Pemilik sirkuit berhak memodifikasi dan mencabut otorisasi kapan saja. Mencabut otorisasi dapat mengakibatkan semua koneksi tautan dihapus dari langganan yang aksesnya dicabut.

Catatan

Pemilik sirkuit bukan peran RBAC bawaan atau didefinisikan pada sumber daya ExpressRoute. Definisi pemilik sirkuit adalah peran apa pun dengan akses berikut:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Ini termasuk peran bawaan seperti Kontributor, Pemilik, dan Kontributor Jaringan. Deskripsi terperinci untuk berbagai peran bawaan.

Operasi pemilik sirkuit

Untuk membuat otorisasi

Pemilik sirkuit membuat otorisasi, yang membuat kunci otorisasi yang akan digunakan oleh pengguna sirkuit untuk menghubungkan gateway jaringan virtualnya ke sirkuit ExpressRoute. Otorisasi hanya berlaku untuk satu koneksi.

Cuplikan cmdlet berikut menunjukkan cara membuat otorisasi:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"

Respons terhadap perintah sebelumnya berisi kunci dan status otorisasi:

Name                   : MyAuthorization1
Id                     : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag                   : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 
AuthorizationKey       : ####################################
AuthorizationUseStatus : Available
ProvisioningState      : Succeeded

Untuk meninjau otorisasi

Pemilik sirkuit dapat meninjau semua otorisasi yang dikeluarkan pada sirkuit tertentu dengan menjalankan contoh berikut:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Untuk menambahkan otorisasi

Pemilik sirkuit dapat menambahkan otorisasi dengan menggunakan cmdlet berikut:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Untuk menghapus otorisasi

Pemilik sirkuit dapat mencabut/menghapus otorisasi ke pengguna dengan menjalankan cmdlet berikut:

Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

Operasi pengguna sirkuit

Pengguna sirkuit memerlukan ID serekan dan kunci otorisasi dari pemilik sirkuit. Kunci otorisasi adalah GUID.

ID rekan dapat diperiksa dari perintah berikut:

Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"

Untuk menukar otorisasi koneksi

Pengguna sirkuit dapat menjalankan cmdlet berikut untuk menukarkan otorisasi tautan:

$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"    
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Untuk menukar otorisasi koneksi

Anda dapat merilis otorisasi dengan menghapus koneksi yang menautkan sirkuit ExpressRoute ke jaringan virtual.

Memodifikasi koneksi jaringan virtual

Anda bisa memperbarui properti tertentu dari sambungan jaringan maya.

Untuk memperbarui berat koneksi

Jaringan virtual Anda dapat dihubungkan ke beberapa sirkuit ExpressRoute. Anda mungkin menerima awalan yang sama dari lebih dari satu sirkuit ExpressRoute. Untuk memilih koneksi mana yang akan mengirim lalu lintas yang ditakdirkan untuk prefiks ini, Anda dapat mengubah RoutingWeight koneksi. Lalu lintas dikirim pada koneksi dengan RoutingWeight tertinggi.

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Rentang RoutingWeight adalah 0 hingga 32000. Nilai default adalah 0.

Mengonfigurasi FastPath ExpressRoute

Anda dapat mengaktifkan FastPath ExpressRoute jika gateway jaringan virtual Anda adalah Ultra Performance atau ErGw3AZ. FastPath meningkatkan kinerja jalur data seperti paket per detik dan koneksi per detik antara jaringan lokal Anda dan jaringan virtual Anda.

Mengonfigurasi FastPath pada koneksi baru

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG" 
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG" 
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation" 

Memperbarui koneksi yang ada untuk mengaktifkan FastPath

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" 
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Dukungan FastPath Virtual Network Peering, User-Defined-Routes (UDR) dan Private Link untuk Koneksi Langsung ExpressRoute

Dengan dukungan Virtual Network Peering dan UDR, FastPath akan mengirim lalu lintas langsung ke VM yang disebarkan di Virtual Network "spoke" (terhubung melalui Virtual Network Peering) dan menghormati UDR apa pun yang dikonfigurasi di GatewaySubnet. Kemampuan ini sekarang tersedia secara umum (GA).

Dengan FastPath dan Private Link, lalu lintas Link Privat yang dikirim melalui ExpressRoute melewati gateway jaringan virtual ExpressRoute di jalur data. Dengan kedua fitur ini diaktifkan, FastPath akan langsung mengirim lalu lintas ke Titik Akhir Privat yang disebarkan dalam Virtual Network "spoke".

Skenario ini Umumnya Tersedia untuk skenario terbatas dengan koneksi yang terkait dengan sirkuit ExpressRoute Direct 10 Gbps dan 100 Gbps. Untuk mengaktifkan, ikuti panduan di bawah ini:

1. Lengkapi Formulir Microsoft ini untuk meminta mendaftarkan langganan Anda. Permintaan mungkin memerlukan waktu hingga 4 minggu untuk diselesaikan, jadi rencanakan penyebaran yang sesuai.
2. Setelah Anda menerima konfirmasi dari Langkah 1, jalankan perintah Azure PowerShell berikut di langganan Azure target.

$connection = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <resource-group> -ResourceName <connection-name>
$connection.ExpressRouteGatewayBypass = $true
$connection.EnablePrivateLinkFastPath = $true
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Catatan

Anda dapat menggunakan Monitor Koneksi untuk memverifikasi bahwa lalu lintas Anda mencapai tujuan menggunakan FastPath.

Catatan

Mengaktifkan dukungan FastPath Private Link untuk skenario GA terbatas mungkin memerlukan waktu hingga 4 minggu untuk diselesaikan. Silakan rencanakan penyebaran Anda terlebih dahulu.

Dukungan FastPath untuk peering jaringan virtual dan UDR hanya tersedia untuk koneksi ExpressRoute Direct.

Catatan

Jika Anda sudah memiliki FastPath yang dikonfigurasi dan ingin mendaftar di fitur GA terbatas, Anda perlu melakukan hal berikut:

1. Daftar di salah satu fitur FastPath dengan perintah Azure PowerShell.
2. Menonaktifkan lalu mengaktifkan kembali FastPath pada koneksi target.
3. Untuk beralih di antara fitur GA terbatas, daftarkan langganan dengan perintah PowerShell pratinjau target, lalu nonaktifkan dan aktifkan kembali FastPath pada koneksi.

Membersihkan sumber daya

Jika Anda tidak lagi memerlukan koneksi ExpressRoute, dari langganan tempat gateway berada, gunakan perintah Remove-AzVirtualNetworkGatewayConnection untuk menghapus tautan antara gateway dan sirkuit.

Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara menghubungkan jaringan virtual ke sirkuit dalam langganan yang sama dan dalam langganan yang berbeda. Untuk informasi selengkapnya tentang gateway ExpressRoute, lihat: Gateway jaringan virtual ExpressRoute.

Untuk mempelajari cara mengonfigurasi, filter rute untuk peering Microsoft menggunakan PowerShell, lanjutkan ke tutorial berikutnya.

Mengonfigurasi filter rute untuk peering Microsoft