Łączenie sieci wirtualnej z obwodem usługi ExpressRoute przy użyciu programu PowerShell (wersja klasyczna)

• Witryna Azure Portal
• Program PowerShell
• Interfejs wiersza polecenia platformy Azure
• PowerShell (klasyczny)

Ten artykuł ułatwia łączenie sieci wirtualnych z obwodami usługi Azure ExpressRoute przy użyciu programu PowerShell. Pojedyncza sieć wirtualna może być połączona z maksymalnie czterema obwodami usługi ExpressRoute. Wykonaj kroki opisane w tym artykule, aby utworzyć nowy link do każdego obwodu usługi ExpressRoute, z którym nawiązujesz połączenie. Obwody usługi ExpressRoute mogą znajdować się w tej samej subskrypcji, różnych subskrypcjach lub kombinacji obu tych usług. Ten artykuł dotyczy sieci wirtualnych utworzonych przy użyciu klasycznego modelu wdrażania.

Do obwodu usługi ExpressRoute można połączyć maksymalnie 10 sieci wirtualnych. Wszystkie sieci wirtualne muszą znajdować się w tym samym regionie geopolitycznym. Możesz połączyć większą liczbę sieci wirtualnych z obwodem usługi ExpressRoute lub połączyć sieci wirtualne, które znajdują się w innych regionach geopolitycznych, jeśli włączysz dodatek ExpressRoute Premium. Zapoznaj się z często zadawanymi pytaniami , aby uzyskać więcej informacji na temat dodatku Premium.

Ważne

Od 1 marca 2017 r. nie można tworzyć obwodów usługi ExpressRoute w modelu wdrożenia klasycznego.

• Istniejący obwód usługi ExpressRoute można przenieść z klasycznego modelu wdrożenia do modelu wdrożenia usługi Resource Manager bez przestojów łączności. Aby uzyskać więcej informacji, zobacz Przenoszenie istniejącego obwodu.
• Aby nawiązać połączenie z sieciami wirtualnymi w klasycznym modelu wdrożenia, można ustawić pozycję allowClassicOperations na wartość TRUE.

Użyj poniższych linków, aby tworzyć obwody usługi ExpressRoute i zarządzać nimi w modelu wdrożenia usługi Resource Manager:

• Tworzenie obwodów usługi ExpressRoute i zarządzanie nimi
  
• Konfigurowanie routingu (komunikacji równorzędnej) dla obwodów usługi ExpressRoute

Modele wdrażania Azure — informacje

Obecnie platforma Azure obsługuje dwa modele wdrażania: model wdrażania przy użyciu usługi Azure Resource Manager i model klasyczny. Te dwa modele nie są ze sobą w pełni zgodne. Zanim zaczniesz, musisz wiedzieć, z którym modelem chcesz pracować. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Understanding deployment models (Omówienie modeli wdrażania). Jeśli dopiero zaczynasz pracę na platformie Azure, zalecamy użycie modelu wdrażania przy użyciu usługi Resource Manager.

Wymagania wstępne dotyczące konfiguracji

• Przed rozpoczęciem konfiguracji zapoznaj się z wymaganiami wstępnymi, wymaganiami dotyczącymi routingu i przepływami pracy .
• Musisz mieć aktywny obwód usługi ExpressRoute.
  • Postępuj zgodnie z instrukcjami, aby utworzyć obwód usługi ExpressRoute i włączyć obwód dostawcy łączności.
  • Upewnij się, że masz prywatną komunikację równorzędną platformy Azure skonfigurowaną dla obwodu. Aby uzyskać instrukcje dotyczące routingu, zobacz artykuł Konfigurowanie routingu .
  • Upewnij się, że prywatna komunikacja równorzędna platformy Azure jest skonfigurowana, a komunikacja równorzędna BGP między siecią a firmą Microsoft jest włączona, aby umożliwić kompleksową łączność.
  • Musisz mieć sieć wirtualną i bramę sieci wirtualnej utworzoną i w pełni aprowizowaną. Postępuj zgodnie z instrukcjami, aby skonfigurować sieć wirtualną dla usługi ExpressRoute.

Pobieranie najnowszych poleceń cmdlet programu PowerShell

Zainstaluj najnowsze wersje modułów programu PowerShell usługi Azure Service Management (SM) i modułu ExpressRoute. Nie można użyć środowiska programu Azure CloudShell do uruchamiania modułów SM.

1. Skorzystaj z instrukcji w artykule Instalowanie modułu zarządzania usługami , aby zainstalować moduł zarządzania usługami platformy Azure. Jeśli masz już zainstalowany moduł Az lub RM, pamiętaj, aby użyć polecenia "-AllowClobber".

2. Zaimportuj zainstalowane moduły. W przypadku korzystania z poniższego przykładu dostosuj ścieżkę, aby odzwierciedlić lokalizację i wersję zainstalowanych modułów programu PowerShell.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. Aby zalogować się do konta platformy Azure, otwórz konsolę programu PowerShell z podwyższonym poziomem uprawnień i połącz się z kontem. Skorzystaj z poniższego przykładu, aby ułatwić nawiązywanie połączenia przy użyciu modułu Service Management:

   Add-AzureAccount
   

Łączenie sieci wirtualnej w tej samej subskrypcji z obwodem

Sieć wirtualną można połączyć z obwodem usługi ExpressRoute przy użyciu następującego polecenia cmdlet. Upewnij się, że brama sieci wirtualnej została utworzona i jest gotowa do łączenia przed uruchomieniem polecenia cmdlet.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

Usuwanie łącza sieci wirtualnej do obwodu

Możesz usunąć link sieci wirtualnej do obwodu usługi ExpressRoute przy użyciu następującego polecenia cmdlet. Upewnij się, że dla danej sieci wirtualnej wybrano bieżącą subskrypcję.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Połączenie sieci wirtualnej w innej subskrypcji z obwodem

Obwód usługi ExpressRoute można udostępnić w wielu subskrypcjach. Na poniższej ilustracji przedstawiono prosty schemat działania udostępniania obwodów usługi ExpressRoute w wielu subskrypcjach.

Każda z mniejszych chmur w dużej chmurze służy do reprezentowania subskrypcji należących do różnych działów w organizacji. Każdy z działów w organizacji może używać własnej subskrypcji do wdrażania swoich usług — ale działy mogą współużytkować jeden obwód usługi ExpressRoute w celu nawiązania połączenia z siecią lokalną. Pojedynczy dział (w tym przykładzie: DZIAŁ IT) może być właścicielem obwodu usługi ExpressRoute. Inne subskrypcje w organizacji mogą korzystać z obwodu usługi ExpressRoute.

Uwaga

Opłaty za łączność i przepustowość dedykowanego obwodu zostaną zastosowane do właściciela obwodu usługi ExpressRoute. Wszystkie sieci wirtualne mają taką samą przepustowość.

Administracja

Właściciel obwodu jest administratorem/współadministratorem subskrypcji, w której jest tworzony obwód usługi ExpressRoute. Właściciel obwodu może autoryzować administratorów/współadministratorów innych subskrypcji, nazywanych użytkownikami obwodu, do korzystania z dedykowanego obwodu, którego są właścicielami. Użytkownicy obwodu, którzy mają uprawnienia do korzystania z obwodu usługi ExpressRoute organizacji, mogą połączyć sieć wirtualną w ramach subskrypcji z obwodem usługi ExpressRoute po ich autoryzacji.

Właściciel obwodu ma uprawnienia do modyfikowania i odwoływanie autoryzacji w dowolnym momencie. Cofnięcie autoryzacji powoduje usunięcie wszystkich linków z subskrypcji, której dostęp został odwołany.

Uwaga

Właściciel obwodu nie jest wbudowaną rolą RBAC ani zdefiniowaną w zasobie usługi ExpressRoute. Definicja właściciela obwodu jest dowolną rolą z następującym dostępem:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Obejmuje to wbudowane role, takie jak Współautor, Właściciel i Współautor sieci. Szczegółowy opis różnych wbudowanych ról.

Operacje właściciela obwodu

Tworzenie autoryzacji

Właściciel obwodu autoryzuje administratorów innych subskrypcji do korzystania z określonego obwodu. W poniższym przykładzie administrator obwodu (Contoso IT) umożliwia administratorowi innej subskrypcji (Dev-Test) łączenie maksymalnie dwóch sieci wirtualnych z obwodem. Administrator IT firmy Contoso włącza tę autoryzację, określając Dev-Test identyfikator firmy Microsoft. Polecenie cmdlet nie wysyła wiadomości e-mail do określonego identyfikatora firmy Microsoft. Właściciel obwodu musi jawnie powiadomić innego właściciela subskrypcji, że autoryzacja została ukończona.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

Zwracają:

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Przeglądanie autoryzacji

Właściciel obwodu może przejrzeć wszystkie autoryzacje wystawione w określonym obwodzie, uruchamiając następujące polecenie cmdlet:

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

Zwracają:

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Aktualizowanie autoryzacji

Właściciel obwodu może modyfikować autoryzacje przy użyciu następującego polecenia cmdlet:

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

Zwracają:

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Usuwanie autoryzacji

Właściciel obwodu może odwołać/usunąć autoryzacje do użytkownika, uruchamiając następujące polecenie cmdlet:

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Operacje użytkownika obwodu

Przeglądanie autoryzacji

Użytkownik obwodu może przeglądać autoryzacje przy użyciu następującego polecenia cmdlet:

Get-AzureAuthorizedDedicatedCircuit

Zwracają:

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Realizowanie autoryzacji linków

Użytkownik obwodu może uruchomić następujące polecenie cmdlet, aby zrealizować autoryzację linku:

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

Zwracają:

State VnetName
----- --------
Provisioned SalesVNET1

Uruchom to polecenie w nowo połączonej subskrypcji dla sieci wirtualnej:

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Następne kroki

Aby uzyskać więcej informacji na temat usługi ExpressRoute, zobacz ExpressRoute FAQ (Często zadawane pytania dotyczące usługi ExpressRoute).