VPN-gatewayoverdracht configureren voor peering voor virtuele netwerken
Dit artikel helpt u bij het configureren van gatewayoverdracht voor peering voor virtuele netwerken. Peering voor virtuele netwerken maakt naadloos een verbinding tussen twee virtuele Azure-netwerken, waarbij de twee virtuele netwerken worden samengevoegd tot één netwerk voor connectiviteitsdoeleinden. Gatewayoverdracht is een peering-eigenschap waarmee één virtueel netwerk de VPN-gateway in het gekoppelde virtuele netwerk kan gebruiken voor cross-premises of VNet-naar-VNet-connectiviteit.
Het volgende diagram toont hoe gatewayoverdracht werkt met peering voor virtuele netwerken. In het diagram zorgt gatewayoverdracht dat de als peer ingestelde virtuele netwerken de Azure VPN-gateway kunnen gebruiken in Hub-RM. De connectiviteit beschikbaar op de VPN-gateway, met inbegrip van de S2S-, P2S- en VNet-naar-VNet-verbindingen, geldt voor alle drie de virtuele netwerken.
De transitoptie kan worden gebruikt met alle VPN Gateway-SKU's behalve de Basic-SKU.
In de hub en spoke-netwerkarchitectuur zorgt gatewayoverdracht dat spoke virtuele netwerken de VPN-gateway in de hub kunnen delen, in plaats van VPN-gateways in elk spoke virtueel netwerk te moeten implementeren. Routes naar de met de gateway verbonden virtuele netwerken of on-premises netwerken worden doorgegeven aan de routeringstabellen voor de gekoppelde virtuele netwerken met behulp van gatewayoverdracht.
U kunt de automatische routedoorgifte van de VPN-gateway uitschakelen. Maak een routeringstabel met de optie Doorgifte van BGP-route uitschakelen en koppel de routeringstabel met de subnets om de routedistributie naar die subnetten te voorkomen. Zie Tabel voor routering van virtuele netwerken voor meer informatie.
Notitie
Als u een wijziging aanbrengt in de topologie van uw netwerk en Windows VPN-clients hebt, moet het VPN-clientpakket voor Windows-clients worden gedownload en opnieuw geïnstalleerd om de wijzigingen op de client toe te passen.
Vereisten
Voor dit artikel zijn de volgende VNets en machtigingen vereist.
Virtuele netwerken
| VNet | Configuratiestappen | Gateway voor een virtueel netwerk |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Spoke-RM | Resource Manager | Nee |
Machtigingen
De accounts die u gebruikt voor het maken van peering voor virtuele netwerken, moeten de benodigde rollen of machtigingen hebben. Als u in het onderstaande voorbeeld de twee virtuele netwerken met de naam Hub-RM en Spoke-Classic peeringt, moet uw account de volgende rollen of machtigingen hebben voor elk virtueel netwerk:
| VNet | Implementatiemodel | Rol | Machtigingen |
|---|---|---|---|
| Hub-RM | Resourcebeheer | Inzender voor netwerken | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Spoke-RM | Resourcebeheer | Inzender voor netwerken | Microsoft.Network/virtualNetworks/peer |
Meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen voor aangepaste rollen (alleen Resource Manager).
Een peering toevoegen en transit inschakelen
Maak of werk in Azure Portal de peering van het virtuele netwerk vanuit hub-RM bij. Ga naar het virtuele Hub-RM-netwerk . Selecteer Peerings en vervolgens + Toevoegen om peering toevoegen te openen.
Configureer op de pagina Peering toevoegen de waarden voor de samenvatting van het externe virtuele netwerk.
- Naam van peeringkoppeling: geef de koppeling een naam. Voorbeeld: SpokeRMToHubRM
- Implementatiemodel voor virtueel netwerk: Resource Manager
- Ik weet mijn resource-id: Laat leeg. U hoeft dit alleen te selecteren als u geen leestoegang hebt tot het virtuele netwerk of abonnement waarmee u wilt peeren.
- Abonnement: selecteer het abonnement.
- Virtueel netwerk: Spoke-RM
Configureer op de pagina Peering toevoegen de waarden voor peeringinstellingen voor extern virtueel netwerk.
- Toestaan dat Spoke-RM toegang heeft tot Hub-RM: laat de standaardwaarde ingeschakeld.
- Toestaan dat Spoke-RM doorgestuurd verkeer van Hub-RM ontvangt: schakel het selectievakje in.
- Gateway of routeserver in het gekoppelde virtuele netwerk toestaan om verkeer door te sturen naar Hub-RM: laat de standaardwaarde ongewijzigd.
- Schakel SpokeRM in om de externe gateway of routeserver van Hub-RM te gebruiken: schakel het selectievakje in.
Configureer op de pagina Peering toevoegen de waarden voor de samenvatting van het lokale virtuele netwerk.
- Naam van peeringkoppeling: geef de koppeling een naam. Voorbeeld: HubRMToSpokeRM
Configureer op de pagina Peering toevoegen de waarden voor peeringinstellingen voor lokaal virtueel netwerk.
- Toestaan dat Hub-RM toegang heeft tot het gekoppelde virtuele netwerk: laat de standaardwaarde ingeschakeld.
- Toestaan dat Hub-RM doorgestuurd verkeer van het gekoppelde virtuele netwerk ontvangt: schakel het selectievakje in.
- Gateway of routeserver in Hub-RM toestaan om verkeer door te sturen naar het gekoppelde virtuele netwerk: schakel het selectievakje in.
- Schakel Hub-RM in om de externe gateway of routeserver van het gekoppelde virtuele netwerk te gebruiken: laat de standaardwaarde ongewijzigd.
Selecteer Toevoegen om de peering te maken.
Controleer de peeringstatus als Verbonden op beide virtuele netwerken.
Een bestaande peering voor transit wijzigen
Als u al een bestaande peering hebt, kunt u de peering wijzigen voor overdracht.
Ga naar het virtuele netwerk. Selecteer Peerings en selecteer de peering die u wilt wijzigen. Selecteer bijvoorbeeld op het Spoke-RM-VNet de SpokeRMtoHubRM-peering.
Werk de VNet-peering bij.
Schakel Spoke-RM in om de externe gateway of routeserver van Hub-RM te gebruiken: schakel het selectievakje in.
Sla de peering-instellingen op .
Voorbeeld van PowerShell
U kunt Ook PowerShell gebruiken om de peering te maken of bij te werken. Vervang de variabelen door de namen van uw virtuele netwerken en resourcegroepen.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Volgende stappen
- Raadpleeg beperkingen en gedrag van peering voor virtuele netwerken en instellingen voor peering voor virtuele netwerken voordat u peering voor virtuele netwerken instelt voor gebruik in productie.
- Meer informatie over het maken van een hub en spoke netwerktopologie met peering voor virtuele netwerken en gatewayoverdracht
- Maak peering van virtuele netwerken met hetzelfde implementatiemodel.
- Maak peering van virtuele netwerken met verschillende implementatiemodellen.