VPN-gatewayoverdracht configureren voor peering voor virtuele netwerken
Dit artikel helpt u bij het configureren van gatewayoverdracht voor peering voor virtuele netwerken. Peering voor virtuele netwerken maakt naadloos een verbinding tussen twee virtuele Azure-netwerken, waarbij de twee virtuele netwerken worden samengevoegd tot één netwerk voor connectiviteitsdoeleinden. Gatewayoverdracht is een peering-eigenschap waarmee één virtueel netwerk de VPN-gateway in het gekoppelde virtuele netwerk kan gebruiken voor cross-premises of VNet-naar-VNet-connectiviteit.
Het volgende diagram toont hoe gatewayoverdracht werkt met peering voor virtuele netwerken. In het diagram zorgt gatewayoverdracht dat de als peer ingestelde virtuele netwerken de Azure VPN-gateway kunnen gebruiken in Hub-RM. De connectiviteit beschikbaar op de VPN-gateway, met inbegrip van de S2S-, P2S- en VNet-naar-VNet-verbindingen, geldt voor alle drie de virtuele netwerken.
De transitoptie is beschikbaar voor peering tussen hetzelfde of verschillende implementatiemodellen en kan worden gebruikt met alle VPN Gateway-SKU's behalve de Basic-SKU. Als u de overdracht tussen verschillende implementatiemodellen configureert, moeten het virtuele hubnetwerk en de gateway van het virtuele netwerk zich in het Resource Manager-implementatiemodel bevinden, niet het verouderde klassieke implementatiemodel.
In de hub en spoke-netwerkarchitectuur zorgt gatewayoverdracht dat spoke virtuele netwerken de VPN-gateway in de hub kunnen delen, in plaats van VPN-gateways in elk spoke virtueel netwerk te moeten implementeren. Routes naar de met de gateway verbonden virtuele netwerken of on-premises netwerken worden doorgegeven aan de routeringstabellen voor de gekoppelde virtuele netwerken met behulp van gatewayoverdracht.
U kunt de automatische routedoorgifte van de VPN-gateway uitschakelen. Maak een routeringstabel met de optie Doorgifte van BGP-route uitschakelen en koppel de routeringstabel met de subnets om de routedistributie naar die subnetten te voorkomen. Zie Tabel voor routering van virtuele netwerken voor meer informatie.
Dit artikel bevat twee scenario's. Selecteer het scenario dat van toepassing is op uw omgeving. De meeste mensen gebruiken hetzelfde implementatiemodelscenario . Als u niet werkt met een klassiek implementatiemodel VNet (verouderd VNet) dat al in uw omgeving bestaat, hoeft u niet te werken met het scenario verschillende implementatiemodellen .
- Hetzelfde implementatiemodel: beide virtuele netwerken worden gemaakt in het Resource Manager-implementatiemodel.
- Verschillende implementatiemodellen: het virtuele spoke-netwerk wordt gemaakt in het klassieke implementatiemodel en het virtuele hubnetwerk en de gateway bevinden zich in het Resource Manager-implementatiemodel. Dit scenario is handig wanneer u verbinding moet maken met een verouderd VNet dat al bestaat in het klassieke implementatiemodel.
Notitie
Als u een wijziging aanbrengt in de topologie van uw netwerk en Windows VPN-clients hebt, moet het VPN-clientpakket voor Windows-clients worden gedownload en opnieuw geïnstalleerd om de wijzigingen op de client toe te passen.
Vereisten
Voor dit artikel zijn de volgende VNets en machtigingen vereist. Als u niet met het verschillende implementatiemodelscenario werkt, hoeft u het klassieke VNet niet te maken.
Virtuele netwerken
| VNet | Configuratiestappen | Gateway voor een virtueel netwerk |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Spoke-RM | Resource Manager | Nee |
| Spoke-Classic | Klassiek | Nee |
Bevoegdheden
De accounts die u gebruikt voor het maken van peering voor virtuele netwerken, moeten de benodigde rollen of machtigingen hebben. Als u in het onderstaande voorbeeld de twee virtuele netwerken met de naam Hub-RM en Spoke-Classic peeringt, moet uw account de volgende rollen of machtigingen hebben voor elk virtueel netwerk:
| VNet | Implementatiemodel | Rol | Machtigingen |
|---|---|---|---|
| Hub-RM | Resourcebeheer | Inzender voor netwerken | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klassiek | Inzender voor klassieke netwerken | N.v.t. | |
| Spoke-Classic | Resourcebeheer | Inzender voor netwerken | Microsoft.Network/virtualNetworks/peer |
| Klassiek | Inzender voor klassieke netwerken | Microsoft.ClassicNetwork/virtualNetworks/peer |
Meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen voor aangepaste rollen (alleen Resource Manager).
Hetzelfde implementatiemodel
Dit is het meest voorkomende scenario. In dit scenario bevinden de virtuele netwerken zich beide in het Resource Manager-implementatiemodel. Gebruik de volgende stappen om peerings voor virtuele netwerken te maken of bij te werken om gatewaydoorvoer in te schakelen.
Een peering toevoegen en transit inschakelen
Maak of werk in Azure Portal de peering van het virtuele netwerk vanuit hub-RM bij. Ga naar het virtuele Hub-RM-netwerk . Selecteer Peerings en vervolgens + Toevoegen om peering toevoegen te openen.
Configureer op de pagina Peering toevoegen de waarden voor dit virtuele netwerk.
Naam van peeringkoppeling: geef de koppeling een naam. Voorbeeld: HubRMToSpokeRM
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat is doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway: de gateway of routeserver van dit virtuele netwerk gebruiken
Ga op dezelfde pagina verder met het configureren van de waarden voor het externe virtuele netwerk.
Naam van peeringkoppeling: geef de koppeling een naam. Voorbeeld: SpokeRMtoHubRM
Implementatiemodel voor virtueel netwerk: Resource Manager
Ik weet mijn resource-id: Laat leeg. U hoeft dit alleen te selecteren als u geen leestoegang hebt tot het virtuele netwerk of abonnement waarmee u wilt peeren.
Abonnement: selecteer het abonnement.
Virtueel netwerk: Spoke-RM
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat is doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway: de gateway of routeserver van het externe virtuele netwerk gebruiken
Selecteer Toevoegen om de peering te maken.
Controleer de peeringstatus als Verbinding maken op beide virtuele netwerken.
Een bestaande peering voor transit wijzigen
Als u al een bestaande peering hebt, kunt u de peering wijzigen voor overdracht.
Ga naar het virtuele netwerk. Selecteer Peerings en selecteer de peering die u wilt wijzigen. Selecteer bijvoorbeeld op het Spoke-RM-VNet de SpokeRMtoHubRM-peering.
Werk de VNet-peering bij.
- Verkeer naar extern virtueel netwerk: Toestaan
- Verkeer doorgestuurd naar virtueel netwerk; Toestaan
- Virtuele netwerkgateway of routeserver: de gateway of routeserver van het externe virtuele netwerk gebruiken
Sla de peering-instellingen op .
Voorbeeld van PowerShell
U kunt Ook PowerShell gebruiken om de peering te maken of bij te werken. Vervang de variabelen door de namen van uw virtuele netwerken en resourcegroepen.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Verschillende implementatiemodellen
In deze configuratie bevindt de spoke-VNet Spoke-Classic zich in het klassieke implementatiemodel en bevindt de hub VNet Hub-RM zich in het Resource Manager-implementatiemodel. Bij het configureren van transit tussen implementatiemodellen moet de gateway van het virtuele netwerk worden geconfigureerd voor het Resource Manager-VNet, niet voor het klassieke VNet.
Voor deze configuratie hoeft u alleen het virtuele Hub-RM-netwerk te configureren. U hoeft niets te configureren in het klassieke spoke-VNet.
Ga in Azure Portal naar het virtuele Hub-RM-netwerk , selecteer Peerings en selecteer vervolgens + Toevoegen.
Configureer op de pagina Peering toevoegen de volgende waarden:
Naam van peeringkoppeling: geef de koppeling een naam. Voorbeeld: HubRMToClassic
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat is doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway of routeserver: gebruik de gateway of routeserver van dit virtuele netwerk
Naam van peeringkoppeling: deze waarde verdwijnt wanneer u Klassiek selecteert voor het implementatiemodel van het virtuele netwerk.
Implementatiemodel voor virtuele netwerken: klassiek
Ik weet mijn resource-id: Laat leeg. U hoeft dit alleen te selecteren als u geen leestoegang hebt tot het virtuele netwerk of abonnement waarmee u wilt peeren.
Controleer of het abonnement juist is en selecteer vervolgens het virtuele netwerk in de vervolgkeuzelijst.
Selecteer Toevoegen om de peering toe te voegen.
Controleer de peeringstatus als Verbinding maken op het virtuele Hub-RM-netwerk.
Voor deze configuratie hoeft u niets te configureren in het virtuele spoke-klassieke netwerk. Zodra de status Verbinding maken weergegeven, kan het virtuele spoke-netwerk de connectiviteit via de VPN-gateway in het virtuele hubnetwerk gebruiken.
Voorbeeld van PowerShell
U kunt Ook PowerShell gebruiken om de peering te maken of bij te werken. Vervang de variabelen en de abonnements-ID door de waarden van uw virtuele netwerk, resourcegroepen en abonnement. U hoeft alleen peering voor virtuele netwerken te maken op het hub virtuele netwerk.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Volgende stappen
- Raadpleeg beperkingen en gedrag van peering voor virtuele netwerken en instellingen voor peering voor virtuele netwerken voordat u peering voor virtuele netwerken instelt voor gebruik in productie.
- Meer informatie over het maken van een hub en spoke netwerktopologie met peering voor virtuele netwerken en gatewayoverdracht
- Maak peering van virtuele netwerken met hetzelfde implementatiemodel.
- Maak peering van virtuele netwerken met verschillende implementatiemodellen.