Mengonfigurasikan transit gateway VPN untuk peering jaringan virtual
Artikel ini membantu Anda mengonfigurasikan transit gateway untuk peering jaringan virtual. Peering jaringan virtual menghubungkan dua jaringan virtual Azure dengan mulus, menggabungkan dua jaringan virtual menjadi satu untuk tujuan konektivitas. Transit gateway adalah properti peering yang memungkinkan satu jaringan virtual menggunakan VPN gateway di jaringan virtual yang di-peering untuk konektivitas lintas tempat atau VNet-ke-VNet. Diagram berikut ini menunjukkan cara kerja transit gateway dengan peering jaringan virtual.
Pada diagram, transit gateway memungkinkan jaringan virtual yang di-peering untuk menggunakan VPN gateway Azure di Hub-RM. Konektivitas yang tersedia di VPN gateway, termasuk koneksi S2S, P2S, dan VNet-ke-VNet, berlaku untuk ketiga jaringan virtual. Opsi transit tersedia untuk peering antara model penyebaran yang sama, atau berbeda. Jika Anda mengonfigurasi transit antara model penyebaran yang berbeda, jaringan virtual hub dan gateway jaringan virtual harus berada dalam model penyebaran Resource Manager, bukan model penyebaran klasik.
Dalam arsitektur jaringan hub-and-spoke, transit gateway memungkinkan jaringan virtual spoke untuk berbagi VPN gateway di hub, alih-alih menyebarkan VPN gateway di setiap jaringan virtual spoke. Rute ke jaringan virtual yang tersambung ke gateway atau jaringan lokal akan propagasi ke tabel perutean untuk jaringan virtual yang di-peering menggunakan transit gateway. Anda dapat menonaktifkan propagasi rute otomatis dari VPN gateway. Buat tabel perutean dengan opsi “Nonaktifkan propagasi rute BGP”, lalu kaitkan tabel perutean ke subnet untuk mencegah distribusi rute ke subnet tersebut. Untuk informasi selengkapnya, lihat Tabel perutean jaringan virtual.
Ada dua skenario pada artikel ini:
- Model penyebaran yang sama: Kedua jaringan virtual dibuat dalam model penyebaran Resource Manager.
- Model penyebaran yang berbeda: Jaringan virtual spoke dibuat dalam model penyebaran klasik, dan jaringan virtual hub dan gateway berada dalam model penyebaran Resource Manager.
Catatan
Jika Anda membuat perubahan pada topologi jaringan Anda dan memiliki klien VPN Windows, paket klien VPN untuk klien Windows harus diunduh dan diinstal lagi agar perubahan diterapkan pada klien.
Prasyarat
Sebelum memulai, pastikan Anda memiliki izin dan jaringan virtual berikut ini:
Jaringan virtual
| VNet | Model penyebaran | Gateway jaringan virtual |
|---|---|---|
| Hub-RM | Resource Manager | Ya |
| Spoke-RM | Resource Manager | Tidak |
| Spoke-Classic | Klasik | Tidak |
Izin
Akun yang Anda gunakan untuk membuat peering jaringan virtual harus memiliki peran atau izin yang diperlukan. Pada contoh di bawah ini, jika Anda peering dua jaringan virtual bernama Hub-RM dan Spoke-Classic, akun Anda harus memiliki peran atau izin berikut untuk setiap jaringan virtual:
| VNet | Model penyebaran | Peran | Izin |
|---|---|---|---|
| Hub-RM | Resource Manager | Kontributor Jaringan | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klasik | Kontributor Jaringan Klasik | T/A | |
| Spoke-Classic | Resource Manager | Kontributor Jaringan | Microsoft.Network/virtualNetworks/peer |
| Klasik | Kontributor Jaringan Klasik | Microsoft.ClassicNetwork/virtualNetworks/peer |
Pelajari selengkapnya tentang peran bawaan dan menetapkan izin tertentu untuk peran kustom (hanya Resource Manager).
Model penyebaran sama
Pada skenario ini, jaringan virtual keduanya berada dalam model penyebaran Resource Manager. Gunakan langkah-langkah berikut untuk membuat atau memperbarui peering jaringan virtual untuk mengaktifkan transit gateway.
Untuk menambahkan peering dan mengaktifkan transit
Di portal Microsoft Azure, buat atau perbarui peering jaringan virtual dari Hub-RM. Arahkan ke jaringan virtual Hub-RM. Pilih Peering, lalu + Tambahkan untuk membuka Tambahkan peering.
Di halaman Tambahkan peering, konfigurasikan nilai untuk Jaringan virtual ini.
Nama tautan peering: Beri nama tautan. Contoh: HubRMToSpokeRM
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual ini
Di halaman yang sama, lanjutkan untuk mengonfigurasi nilai Jaringan virtual jarak jauh.
Nama tautan peering: Beri nama tautan. Example: SpokeRMtoHubRM
Model penyebaran: Resource Manager
Jaringan Virtual: Spoke-RM
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual jarak jauh
Pilihlah Tambahkan untuk membuat peering.
Pastikan status peering sebagai Tersambung pada kedua jaringan virtual.
Untuk mengubah peering yang sudah ada untuk transit
Jika peering sudah dibuat, Anda dapat memodifikasi peering untuk transit.
Arahkan ke jaringan virtual. Pilih Peering lalu pilih peering yang ingin Anda ubah.
Perbarui peering VNet.
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan ke jaringan virtual; Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual jarak jauh
Simpan pengaturan peering.
Sampel PowerShell
Anda juga dapat menggunakan PowerShell untuk membuat atau memperbarui peering dengan contoh di atas. Gantilah variabel dengan nama jaringan virtual dan grup sumber daya Anda.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Model penyebaran yang berbeda
Pada konfigurasi ini, spoke VNet Spoke-Classic berada dalam model penyebaran klasik dan Hub-RM hub VNet berada dalam model penyebaran Resource Manager. Saat mengonfigurasikan transit antar model penyebaran, gateway jaringan virtual harus dikonfigurasi untuk VNet Resource Manager, bukan VNet klasik.
Untuk konfigurasi ini, Anda hanya perlu mengonfigurasi jaringan virtual Hub-RM. Anda tidak perlu mengonfigurasi apa pun di VNet Spoke-Classic.
Di portal Microsoft Azure, arahkan ke jaringan virtual Hub-RM, pilih Peering, lalu pilih + Tambahkan.
Di halaman Tambahkan peering, konfigurasikan nilai berikut ini:
Nama tautan peering: Beri nama tautan. Contoh: HubRMToClassic
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual ini
Jaringan virtual jarak jauh: Klasik
Pastikan langganan sudah benar, lalu pilih jaringan virtual dari menu pilihan.
Pilihlah Tambahkan untuk menambah peering.
Pastikan status peering sebagai Tersambung di jaringan virtual Hub-RM.
Untuk konfigurasi ini, Anda tidak perlu mengonfigurasi apa pun di jaringan virtual Spoke-Classic . Setelah status menunjukkan Tersambung, jaringan virtual spoke dapat menggunakan konektivitas melalui VPN gateway di jaringan virtual hub.
Sampel PowerShell
Anda juga dapat menggunakan PowerShell untuk membuat atau memperbarui peering dengan contoh di atas. Gantilah variabel dan ID langganan dengan nilai jaringan virtual dan grup sumber daya Anda, serta langganan. Anda hanya perlu membuat peering jaringan virtual pada jaringan virtual hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Langkah berikutnya
- Pelajari lebih lanjut tentang batasan dan perilaku peering jaringan virtual serta pengaturan peering jaringan virtual sebelum membuat peering jaringan virtual untuk penggunaan produksi.
- Pelajari cara membuat topologi jaringan hub and spoke dengan peering jaringan virtual dan transit gateway.
- Membuat peering jaringan virtual dengan model penyebaran yang sama.
- Membuat peering jaringan virtual dengan model penyebaran yang berbeda.