Mengonfigurasikan transit gateway VPN untuk peering jaringan virtual
Artikel ini membantu Anda mengonfigurasikan transit gateway untuk peering jaringan virtual. Peering jaringan virtual menghubungkan dua jaringan virtual Azure dengan mulus, menggabungkan dua jaringan virtual menjadi satu untuk tujuan konektivitas. Transit gateway adalah properti peering yang memungkinkan satu jaringan virtual menggunakan VPN gateway di jaringan virtual yang di-peering untuk konektivitas lintas tempat atau VNet-ke-VNet.
Diagram berikut ini menunjukkan cara kerja transit gateway dengan peering jaringan virtual. Pada diagram, transit gateway memungkinkan jaringan virtual yang di-peering untuk menggunakan VPN gateway Azure di Hub-RM. Konektivitas yang tersedia di VPN gateway, termasuk koneksi S2S, P2S, dan VNet-ke-VNet, berlaku untuk ketiga jaringan virtual.
Opsi transit tersedia untuk peering antara model penyebaran yang sama atau berbeda dan dapat digunakan dengan semua SKU VPN Gateway kecuali SKU Dasar. Jika Anda mengonfigurasi transit antara model penyebaran yang berbeda, jaringan virtual hub dan gateway jaringan virtual harus berada dalam model penyebaran Resource Manager, bukan model penyebaran klasik lama.
Dalam arsitektur jaringan hub-and-spoke, transit gateway memungkinkan jaringan virtual spoke untuk berbagi VPN gateway di hub, alih-alih menyebarkan VPN gateway di setiap jaringan virtual spoke. Rute ke jaringan virtual yang terhubung gateway atau jaringan lokal disebarluaskan ke tabel perutean untuk jaringan virtual yang di-peering menggunakan transit gateway.
Anda dapat menonaktifkan propagasi rute otomatis dari VPN gateway. Buat tabel perutean dengan opsi “Nonaktifkan propagasi rute BGP”, lalu kaitkan tabel perutean ke subnet untuk mencegah distribusi rute ke subnet tersebut. Untuk informasi selengkapnya, lihat Tabel perutean jaringan virtual.
Ada dua skenario dalam artikel ini. Pilih skenario yang berlaku untuk lingkungan Anda. Sebagian besar orang menggunakan skenario Model penyebaran yang sama. Jika Anda tidak bekerja dengan model penyebaran klasik VNet (VNet warisan) yang sudah ada di lingkungan Anda, Anda tidak perlu bekerja dengan skenario Model penyebaran yang berbeda.
- Model penyebaran yang sama: Kedua jaringan virtual dibuat dalam model penyebaran Resource Manager.
- Model penyebaran yang berbeda: Jaringan virtual spoke dibuat dalam model penyebaran klasik, dan jaringan virtual hub dan gateway berada dalam model penyebaran Resource Manager. Skenario ini berguna ketika Anda perlu menyambungkan VNet warisan yang sudah ada dalam model penyebaran klasik.
Catatan
Jika Anda membuat perubahan pada topologi jaringan Anda dan memiliki klien VPN Windows, paket klien VPN untuk klien Windows harus diunduh dan diinstal lagi agar perubahannya diterapkan pada klien.
Prasyarat
Artikel ini memerlukan VNet dan izin berikut. Jika Anda tidak bekerja dengan skenario model penyebaran yang berbeda, Anda tidak perlu membuat VNet klasik.
Jaringan virtual
| VNet | Langkah-langkah konfigurasi | Gateway jaringan virtual |
|---|---|---|
| Hub-RM | Resource Manager | Ya |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Klasik | No |
Izin
Akun yang Anda gunakan untuk membuat peering jaringan virtual harus memiliki peran atau izin yang diperlukan. Pada contoh di bawah ini, jika Anda peering dua jaringan virtual bernama Hub-RM dan Spoke-Classic, akun Anda harus memiliki peran atau izin berikut untuk setiap jaringan virtual:
| VNet | Model Penyebaran | Peran | Izin |
|---|---|---|---|
| Hub-RM | Manajer Sumber Daya | Kontributor Jaringan | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klasik | Kontributor Jaringan Klasik | T/A | |
| Spoke-Classic | Manajer Sumber Daya | Kontributor Jaringan | Microsoft.Network/virtualNetworks/peer |
| Klasik | Kontributor Jaringan Klasik | Microsoft.ClassicNetwork/virtualNetworks/peer |
Pelajari selengkapnya tentang peran bawaan dan menetapkan izin tertentu untuk peran kustom (hanya Resource Manager).
Model penyebaran yang sama
Ini adalah skenario yang lebih umum. Pada skenario ini, jaringan virtual keduanya berada dalam model penyebaran Resource Manager. Gunakan langkah-langkah berikut untuk membuat atau memperbarui peering jaringan virtual untuk mengaktifkan transit gateway.
Untuk menambahkan peering dan mengaktifkan transit
Di portal Microsoft Azure, buat atau perbarui peering jaringan virtual dari Hub-RM. Buka jaringan virtual Hub-RM. Pilih Peering, lalu + Tambahkan untuk membuka Tambahkan peering.
Di halaman Tambahkan peering, konfigurasikan nilai untuk Jaringan virtual ini.
Nama tautan peering: Beri nama tautan. Contoh: HubRMToSpokeRM
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual ini atau Route Server
Di halaman yang sama, lanjutkan untuk mengonfigurasi nilai Jaringan virtual jarak jauh.
Nama tautan peering: Beri nama tautan. Example: SpokeRMtoHubRM
Model penyebaran jaringan virtual: Resource Manager
Saya tahu ID sumber daya saya: Biarkan kosong. Anda hanya perlu memilih ini jika Anda tidak memiliki akses baca ke jaringan virtual atau langganan yang ingin Anda rekan.
Langganan: Pilih langganan.
Jaringan Virtual: Spoke-RM
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual: Gunakan gateway jaringan virtual jarak jauh atau Route Server
Pilihlah Tambahkan untuk membuat peering.
Pastikan status peering sebagai Tersambung pada kedua jaringan virtual.
Untuk mengubah peering yang sudah ada untuk transit
Jika Anda memiliki peering yang sudah ada, Anda dapat memodifikasi peering untuk transit.
Buka jaringan virtual. Pilih Peering lalu pilih peering yang ingin Anda ubah. Misalnya, pada Spoke-RM VNet, pilih peering SpokeRMtoHubRM.
Perbarui peering VNet.
- Lalu lintas ke jaringan virtual jarak jauh: Izinkan
- Lalu lintas yang diteruskan ke jaringan virtual; Izinkan
- Gateway jaringan virtual atau Route Server: Gunakan gateway jaringan virtual jarak jauh atau Route Server
Simpan pengaturan peering.
Sampel PowerShell
Anda juga dapat menggunakan PowerShell untuk membuat atau memperbarui peering. Gantilah variabel dengan nama jaringan virtual dan grup sumber daya Anda.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Beragam model penyebaran
Pada konfigurasi ini, spoke VNet Spoke-Classic berada dalam model penyebaran klasik dan Hub-RM hub VNet berada dalam model penyebaran Resource Manager. Saat mengonfigurasikan transit antar model penyebaran, gateway jaringan virtual harus dikonfigurasi untuk VNet Resource Manager, bukan VNet klasik.
Untuk konfigurasi ini, Anda hanya perlu mengonfigurasi jaringan virtual Hub-RM. Anda tidak perlu mengonfigurasi apa pun di VNet Spoke-Classic.
Di portal Azure, buka jaringan virtual Hub-RM, pilih Peering, lalu pilih + Tambahkan.
Di halaman Tambahkan peering, konfigurasikan nilai berikut ini:
Nama tautan peering: Beri nama tautan. Contoh: HubRMToClassic
Lalu lintas ke jaringan virtual jarak jauh: Izinkan
Lalu lintas yang diteruskan dari jaringan virtual jarak jauh: Izinkan
Gateway jaringan virtual atau Route Server: Gunakan gateway jaringan virtual ini atau Route Server
Nama tautan peering: Nilai ini hilang saat Anda memilih Klasik untuk model penyebaran jaringan virtual.
Model penyebaran jaringan virtual: Klasik
Saya tahu ID sumber daya saya: Biarkan kosong. Anda hanya perlu memilih ini jika Anda tidak memiliki akses baca ke jaringan virtual atau langganan yang ingin Anda rekan.
Pastikan langganan sudah benar, lalu pilih jaringan virtual dari menu pilihan.
Pilihlah Tambahkan untuk menambah peering.
Pastikan status peering sebagai Tersambung di jaringan virtual Hub-RM.
Untuk konfigurasi ini, Anda tidak perlu mengonfigurasi apa pun di jaringan virtual Spoke-Classic . Setelah status menunjukkan Tersambung, jaringan virtual spoke dapat menggunakan konektivitas melalui VPN gateway di jaringan virtual hub.
Sampel PowerShell
Anda juga dapat menggunakan PowerShell untuk membuat atau memperbarui peering. Gantilah variabel dan ID langganan dengan nilai jaringan virtual dan grup sumber daya Anda, serta langganan. Anda hanya perlu membuat peering jaringan virtual pada jaringan virtual hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Langkah berikutnya
- Pelajari lebih lanjut tentang batasan dan perilaku peering jaringan virtual serta pengaturan peering jaringan virtual sebelum membuat peering jaringan virtual untuk penggunaan produksi.
- Pelajari cara membuat topologi jaringan hub and spoke dengan peering jaringan virtual dan transit gateway.
- Membuat peering jaringan virtual dengan model penyebaran yang sama.
- Membuat peering jaringan virtual dengan model penyebaran yang berbeda.