Настройка транзита VPN-шлюзов для пиринга между виртуальными сетями

С помощью сведений, приведенных в этой статье, вы сможете настроить транзит шлюзов для пиринга между виртуальными сетями. Пиринг между виртуальными сетями соединяет две виртуальные сети Azure, объединяя их в одну в целях подключения. Транзит через шлюз — это свойство пиринга, которое позволяет одной виртуальной сети использовать VPN-шлюз в одноранговой виртуальной сети для подключений между локальными сетями или подключений "виртуальная сеть — виртуальная сеть".

На следующей схеме показано, как транзит шлюзов работает с пирингом между виртуальными сетями. На схеме транзит шлюзов позволяет одноранговым виртуальным сетям использовать VPN-шлюз Azure в концентраторе Resource Manager. Подключения к VPN-шлюзу, включая подключения S2S, P2S и "виртуальная сеть — виртуальная сеть", применяются ко всем трем виртуальным сетям.

Параметр транзита можно использовать со всеми VPN-шлюз номера SKU, кроме номера SKU "Базовый".

В сетевой архитектуре типа "звезда" транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети. Маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям передаются в таблицы маршрутизации для одноранговых виртуальных сетей с помощью транзита шлюза.

Вы можете отключить автоматическое распространение маршрута из VPN-шлюза. Создайте таблицу маршрутизации с параметром Отключить распространение маршрутов BGP и привяжите ее к подсетям, чтобы предотвратить распространение маршрута в этих подсетях. Дополнительные сведения см. в статье Create, change, or delete a route table (Создание, изменение или удаление таблицы маршрутизации).

Примечание.

Если вы внесли изменения в топологию сети и используете VPN-клиенты Windows, необходимо повторно скачать и установить пакет VPN-клиента для клиентов Windows, чтобы изменения были применены к клиентам.

Необходимые компоненты

В этой статье требуются следующие виртуальные сети и разрешения.

Виртуальные сети

Виртуальная сеть	Шаги настройки	Шлюз виртуальной сети
Hub-RM	Resource Manager	Да
Spoke-RM	Resource Manager	No

Разрешения

У учетных записей, используемых для создания пиринга между виртуальными сетями, должны быть необходимые роли или разрешения. В приведенном ниже примере при создании пиринга между двумя виртуальными сетями Hub-RM и Spoke-Classic вашей учетной записи должны быть назначены следующие роли или разрешения для каждой виртуальной сети:

Виртуальная сеть	Модель развертывания	Роль	Разрешения
Hub-RM	Resource Manager	Участник сети	Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM	Resource Manager	Участник сети	Microsoft.Network/virtualNetworks/peer

Подробнее о встроенных ролях и присвоении разрешений, определенных для настраиваемых ролей (только для Resource Manager).

Добавление пиринга и включение транзита

1. На портале Azure создайте или обновите пиринг между виртуальными сетями (от Hub-RM). Перейдите в виртуальную сеть Hub-RM . Выберите Пиринги, а затем — + Добавить, чтобы открыть страницу Добавить пиринг.

2. На странице "Добавление пиринга" настройте значения для сводки по удаленной виртуальной сети.

   • Имя пиринговой связи — присвойте связи имя. Пример: SpokeRMToHubRM
   • Модель развертывания виртуальной сети: Resource Manager
   • Я знаю идентификатор ресурса: оставьте пустым. Это необходимо выбрать, только если у вас нет доступа на чтение к виртуальной сети или подписке, с которой вы хотите выполнить пиринг.
   • Подписка: выберите подписку.
   • Виртуальная сеть: Spoke-RM.

3. На странице "Добавление пиринга" настройте значения для параметров пиринга удаленной виртуальной сети.

   • Разрешить "Spoke-RM" получить доступ к Hub-RM: оставьте значение по умолчанию выбранным.
   • Разрешить "Spoke-RM" получать переадресованный трафик из "Hub-RM": установите флажок.
   • Разрешить шлюзу или серверу маршрутизации в одноранговой виртуальной сети перенаправить трафик в Hub-RM. Оставьте значение по умолчанию не выбрано.
   • Включите "SpokeRM" для использования удаленного шлюза или сервера маршрутов Hub-RM: установите флажок.

   

4. На странице "Добавление пиринга" настройте значения для сводки по локальной виртуальной сети.

   • Имя пиринговой связи — присвойте связи имя. Пример: HubRMToSpokeRM.

5. На странице "Добавление пиринга" настройте значения для параметров пиринга локальной виртуальной сети.

   • Разрешить "Hub-RM" получить доступ к одноранговой виртуальной сети: оставьте значение по умолчанию выбранным.
   • Разрешить "Hub-RM" получать перенаправленный трафик из одноранговой виртуальной сети: установите флажок.
   • Разрешить шлюзу или серверу маршрутизации в Hub-RM перенаправить трафик в пиринговую виртуальную сеть: установите флажок.
   • Включите "Hub-RM" для использования удаленного шлюза или сервера маршрутизации одноранговой виртуальной сети. Оставьте значение по умолчанию не выбрано.

   

6. Для создания пиринга нажмите кнопку Добавить.

7. Убедитесь, что состояние пиринга для обеих виртуальных сетей следующее: Подключено.

Изменение имеющегося пиринга для транзита

Если у вас уже есть пиринг, можно изменить пиринг для транзита.

1. Перейдите в виртуальную сеть. Выберите Пиринги, а затем выберите пиринг, который требуется изменить. Например, в виртуальной сети "Периферийный RM" выберите пиринг SpokeRMtoHubRM.

2. Обновите пиринг между виртуальными сетями.

   Включите параметр "Spoke-RM" для использования удаленного шлюза концентратора RM или сервера маршрутов: установите флажок.

3. Сохраните параметры пиринга.

Пример для PowerShell

Вы также можете использовать PowerShell для создания или обновления пиринга. Замените переменные именами ваших виртуальных сетей и групп ресурсов.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Следующие шаги

• Прежде чем создавать пиринг между виртуальными сетями для рабочей среды, ознакомьтесь с разделами Requirements and constraints (Требования и ограничения) и Create a peering (Создание пиринга).
• Сведения о создании звездообразной топологии сети с пирингом между виртуальными сетями и транзитом шлюзов см. в этом разделе.
• Руководство. Подключение виртуальных сетей с помощью пиринга и портала Azure.
• Создание пиринга между виртуальными сетями с разными моделями развертывания.