Tworzenie komunikacji równorzędnej sieci wirtualnej — Resource Manager, różne subskrypcje i dzierżawy usługi Azure Active Directory

Z tego samouczka dowiesz się, jak utworzyć komunikację równorzędną sieci wirtualnych między sieciami wirtualnymi utworzonymi za pośrednictwem Resource Manager. Sieci wirtualne istnieją w różnych subskrypcjach, które mogą należeć do różnych dzierżaw usługi Azure Active Directory (Azure AD). Komunikacja równorzędna dwóch sieci wirtualnych umożliwia zasobom w różnych sieciach wirtualnych komunikowanie się ze sobą z tą samą przepustowością i opóźnieniem, tak jakby zasoby znajdowały się w tej samej sieci wirtualnej. Dowiedz się więcej o komunikacji równorzędnej sieci wirtualnych.

W zależności od tego, czy sieci wirtualne znajdują się w tej samej subskrypcji, czy w różnych subskrypcjach kroki tworzenia komunikacji równorzędnej sieci wirtualnych różnią się. Kroki tworzenia sieci równorzędnych za pomocą klasycznego modelu wdrażania różnią się. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Model wdrażania platformy Azure.

Dowiedz się, jak utworzyć komunikację równorzędną sieci wirtualnych w innych scenariuszach, wybierając scenariusz z poniższej tabeli:

Model wdrażania platformy Azure	Subskrypcja platformy Azure
Resource Manager — w obu przypadkach	Tym samym
Jedna sieć — Resource Manager, druga — model klasyczny	Tym samym
Jedna sieć — Resource Manager, druga — model klasyczny	Różne

Nie można utworzyć komunikacji równorzędnej sieci wirtualnych między dwiema sieciami wirtualnymi wdrożoną za pośrednictwem klasycznego modelu wdrażania. Jeśli musisz połączyć sieci wirtualne, które zostały utworzone za pomocą klasycznego modelu wdrażania, możesz użyć usługi Azure VPN Gateway do połączenia sieci wirtualnych.

Ten samouczek umożliwia komunikację równorzędną sieci wirtualnych w tym samym regionie. Sieci wirtualne można również łączyć za pomocą komunikacji równorzędnej w różnych obsługiwanych regionach. Zaleca się zapoznanie się z wymaganiami i ograniczeniami dotyczącymi komunikacji równorzędnej przed komunikacją równorzędną sieci wirtualnych.

Wymagania wstępne

Portal

• Konta platformy Azure z dwiema aktywnymi subskrypcjami. Utwórz bezpłatne konto.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz rozdzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy B2B w usłudze Azure Active Directory w Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Azure Active Directory.

PowerShell

• Konta platformy Azure z dwiema aktywnymi subskrypcjami. Utwórz bezpłatne konto.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz rozdzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy B2B w usłudze Azure Active Directory w Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Azure Active Directory.

• Azure PowerShell zainstalowane lokalnie lub azure Cloud Shell.

• Zaloguj się, aby Azure PowerShell i upewnij się, że wybrano subskrypcję, z którą chcesz korzystać z tej funkcji. Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu Azure PowerShell.

• Az.Network Upewnij się, że moduł jest w wersji 4.3.0 lub nowszej. Aby sprawdzić zainstalowany moduł, użyj polecenia Get-InstalledModule -Name "Az.Network". Jeśli moduł wymaga aktualizacji, użyj polecenia Update-Module -Name Az.Network w razie potrzeby.

Jeśli postanowisz zainstalować program PowerShell i używać go lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

Interfejs wiersza polecenia platformy Azure

• Konta platformy Azure z dwiema aktywnymi subskrypcjami. Utwórz bezpłatne konto.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz rozdzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy B2B w usłudze Azure Active Directory w Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Azure Active Directory.

• Użyj środowiska Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać informacje o innych opcjach logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Ten artykuł z instrukcjami wymaga wersji 2.31.0 lub nowszej interfejsu wiersza polecenia platformy Azure. Jeśli korzystasz z usługi Azure Cloud Shell, najnowsza wersja jest już zainstalowana.

W poniższych krokach dowiesz się, jak połączyć równorzędne sieci wirtualne w różnych subskrypcjach i dzierżawach usługi Azure Active Directory.

Możesz użyć tego samego konta, które ma uprawnienia w obu subskrypcjach, lub użyć oddzielnych kont dla każdej subskrypcji, aby skonfigurować komunikację równorzędną. Konto z uprawnieniami w obu subskrypcjach może wykonać wszystkie kroki bez wylogowywania się i logowania do portalu oraz przypisywania uprawnień.

Następujące zasoby i przykłady kont są używane w krokach opisanych w tym artykule:

Konto użytkownika	Grupa zasobów	Subskrypcja	Sieć wirtualna
Usera	myResourceGroupA	SubskrypcjaA	myVNetA
Userb	myResourceGroupB	SubskrypcjaB	myVNetB

Tworzenie sieci wirtualnej — myVNetA

Uwaga

Jeśli używasz pojedynczego konta do wykonania tych kroków, możesz pominąć kroki w celu wylogowania się z portalu i przypisania innego użytkownika uprawnień do sieci wirtualnych.

Portal

1. Zaloguj się do Azure Portal jako UżytkownikA.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję + Utwórz.

4. Na karcie Podstawy w obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcjęA.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź wartość myResourceGroupA w polu Nazwa. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwa	Wprowadź myVNetA.
   Region	Wybierz region.

5. Wybierz pozycję Dalej: adresy IP.

6. W obszarze przestrzeni adresowej IPv4 wprowadź wartość 10.1.0.0/16.

7. Wybierz pozycję + Dodaj podsieć.

8. Wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Nazwa podsieci	Wprowadź mySubnet.
   Zakres adresów podsieci	Wprowadź 10.1.0.0/24.

9. Wybierz pozycję Dodaj.

10. Wybierz pozycję Przejrzyj i utwórz.

11. Wybierz pozycję Utwórz.

PowerShell

Zaloguj się do subskrypcjiA

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiA.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionA przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription SubscriptionA

Tworzenie grupy zasobów — myResourceGroupA

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup:

$rsg = @{
    Name = 'myResourceGroupA'
    Location = 'westus3'
}
New-AzResourceGroup @rsg

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork. W tym przykładzie jest tworzona domyślna sieć wirtualna o nazwie myVNetA w lokalizacji Zachodnie stany USA 3 :

$vnet = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
    Location = 'westus3'
    AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Dodawanie podsieci

Zasoby platformy Azure są wdrażane w podsieci sieci wirtualnej, dlatego należy utworzyć podsieć. Utwórz konfigurację podsieci o nazwie domyślna za pomocą polecenia Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'default'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Kojarzenie podsieci z siecią wirtualną

Konfigurację podsieci możesz zapisać w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork. To polecenie tworzy podsieć:

$virtualNetwork | Set-AzVirtualNetwork

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcjiA

Użyj polecenia az login , aby zalogować się do subskrypcjiA.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionA przy użyciu polecenia az account set.

az account set --subscription "SubscriptionA"

Tworzenie grupy zasobów — myResourceGroupA

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia az group create:

az group create \
    --name myResourceGroupA \
    --location westus3

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną i podsieć za pomocą polecenia az network vnet create. W tym przykładzie jest tworzona domyślna sieć wirtualna o nazwie myVNetA w lokalizacji Zachodnie stany USA 3 .

az network vnet create \
    --resource-group myResourceGroupA\
    --location westus3 \
    --name myVNetA \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name default \
    --subnet-prefixes 10.1.0.0/24

Przypisywanie uprawnień dla użytkownikaB

Konto użytkownika w innej subskrypcji, z którą chcesz pracować równorzędnie, musi zostać dodane do wcześniej utworzonej sieci. Jeśli używasz jednego konta dla obu subskrypcji, możesz pominąć tę sekcję.

Portal

1. Nie wyloguj się do portalu jako UżytkownikA.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetA.

4. Wybierz pozycję Kontrola dostępu (IAM) .

5. Wybierz pozycję + Dodaj ->Dodaj przypisanie roli.

6. Na karcie Dodawanie przypisania roli na karcie Rola wybierz pozycję Współautor sieci.

7. Wybierz opcję Dalej.

8. Na karcie Członkowie wybierz pozycję + Wybierz członków.

9. W polu wyszukiwania Wybierz członków wprowadź wartość UserB.

10. Wybierz pozycję Wybierz.

11. Wybierz pozycję Przejrzyj i przypisz.

12. Wybierz pozycję Przejrzyj i przypisz.

PowerShell

Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci myVNetA. Przypisz użytkownikaB z subskrypcjiB do sieci myVNetA przy użyciu polecenia New-AzRoleAssignment.

Użyj polecenia Get-AzADUser , aby uzyskać identyfikator obiektu dla użytkownika B.

Użytkownik B jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcjiB , którą chcesz przypisać do sieci myVNetA. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

$id = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'UserB'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci myVNetA. Przypisz użytkownikaB z subskrypcjiB do sieci myVNetA za pomocą polecenia az role assignment create.

Użyj polecenia az ad user list , aby uzyskać identyfikator obiektu dla użytkownikaB.

Użytkownik B jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcjiB , którą chcesz przypisać do sieci myVNetA. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

az ad user list --display-name UserB

[
  {
    "businessPhones": [],
    "displayName": "UserB",
    "givenName": null,
    "id": "16d51293-ec4b-43b1-b54b-3422c108321a",
    "jobTitle": null,
    "mail": "userB@fabrikam.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "userb_fabrikam.com#EXT#@contoso.onmicrosoft.com"
  }
]

Zanotuj identyfikator obiektu UserB w identyfikatorze pola. W tym przykładzie jego 16d51293-ec4b-43b1-b54b-3422c108321a.

vnetid=$(az network vnet show \
    --name myVNetA \
    --resource-group myResourceGroupA \
    --query id \
    --output tsv)

az role assignment create \
      --assignee 16d51293-ec4b-43b1-b54b-3422c108321a \
      --role "Network Contributor" \
      --scope $vnetid

Zastąp przykładowy identyfikator GUID w --assignee pliku rzeczywistym identyfikatorem obiektu userB.

Uzyskiwanie identyfikatora zasobu myVNetA

Portal

1. Pozostanie zalogowanym do portalu jako UżytkownikA.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetA.

4. W obszarze Ustawienia wybierz pozycję Właściwości.

5. Skopiuj informacje w polu Identyfikator zasobu i zapisz je w kolejnych krokach. Identyfikator zasobu jest podobny do następującego przykładu: /subscriptions/<Subscription Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/virtualNetworks/myVnetA.

6. Wyloguj się z portalu jako UżytkownikA.

PowerShell

Identyfikator zasobu myVNetA jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci myVNetB do myVNetA. Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu myVNetA.

$id = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnetA = Get-AzVirtualNetwork @id

$vnetA.id

Interfejs wiersza polecenia platformy Azure

Identyfikator zasobu myVNetA jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci myVNetB do myVNetA. Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci myVNetA.

vnetidA=$(az network vnet show \
    --name myVNetA \
    --resource-group myResourceGroupA \
    --query id \
    --output tsv)

echo $vnetidA

Tworzenie sieci wirtualnej — myVNetB

W tej sekcji zalogujesz się jako UżytkownikB i utworzysz sieć wirtualną dla połączenia komunikacji równorzędnej z siecią myVNetA.

Portal

1. Zaloguj się do portalu jako użytkownikB. Jeśli używasz jednego konta dla obu subskrypcji, przejdź do obszaru SubskrypcjaB w portalu.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję + Utwórz.

4. Na karcie Podstawytworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz swoją subskrypcjęB.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź wartość myResourceGroupB w polu Nazwa. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwa	Wprowadź myVNetB.
   Region	Wybierz region.

5. Wybierz pozycję Dalej: adresy IP.

6. W przestrzeni adresowej IPv4 wprowadź wartość 10.2.0.0/16.

7. Wybierz pozycję + Dodaj podsieć.

8. Wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Nazwa podsieci	Wprowadź mySubnet.
   Zakres adresów podsieci	Wprowadź wartość 10.2.0.0/24.

9. Wybierz pozycję Dodaj.

10. Wybierz pozycję Przejrzyj i utwórz.

11. Wybierz pozycję Utwórz.

PowerShell

Zaloguj się do subskrypcjiB

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiB.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionB za pomocą polecenia Set-AzContext.

Set-AzContext -Subscription SubscriptionB

Tworzenie grupy zasobów — myResourceGroupB

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup:

$rsg = @{
    Name = 'myResourceGroupB'
    Location = 'westus3'
}
New-AzResourceGroup @rsg

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork. W tym przykładzie zostanie utworzona domyślna sieć wirtualna o nazwie myVNetB w lokalizacji Zachodnie stany USA 3 :

$vnet = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
    Location = 'westus3'
    AddressPrefix = '10.2.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Dodawanie podsieci

Zasoby platformy Azure są wdrażane w podsieci sieci wirtualnej, dlatego należy utworzyć podsieć. Utwórz konfigurację podsieci o nazwie domyślna za pomocą polecenia Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'default'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.2.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Kojarzenie podsieci z siecią wirtualną

Konfigurację podsieci możesz zapisać w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork. To polecenie tworzy podsieć:

$virtualNetwork | Set-AzVirtualNetwork

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcjiB

Użyj polecenia az login , aby zalogować się do subskrypcjiA.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionB za pomocą polecenia az account set.

az account set --subscription "SubscriptionB"

Tworzenie grupy zasobów — myResourceGroupB

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia az group create:

az group create \
    --name myResourceGroupB \
    --location westus3

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną i podsieć za pomocą polecenia az network vnet create. W tym przykładzie tworzona jest domyślna sieć wirtualna o nazwie myVNetB w lokalizacji Zachodnie stany USA 3 .

az network vnet create \
    --resource-group myResourceGroupB\
    --location westus3 \
    --name myVNetB \
    --address-prefixes 10.2.0.0/16 \
    --subnet-name default \
    --subnet-prefixes 10.2.0.0/24

Przypisywanie uprawnień dla użytkownikaA

Konto użytkownika w innej subskrypcji, z którą chcesz pracować równorzędnie, musi zostać dodane do utworzonej wcześniej sieci. Jeśli używasz jednego konta dla obu subskrypcji, możesz pominąć tę sekcję.

Portal

1. Pozostanie zalogowanym do portalu jako użytkownikB.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetB.

4. Wybierz pozycję Kontrola dostępu (IAM) .

5. Wybierz pozycję + Dodaj ->Dodaj przypisanie roli.

6. Na karcie Dodawanie przypisania roli na karcie Rola wybierz pozycję Współautor sieci.

7. Wybierz opcję Dalej.

8. Na karcie Członkowie wybierz pozycję + Wybierz członków.

9. W polu wyszukiwania Wybierz członków wprowadź wartość UserA.

10. Wybierz pozycję Wybierz.

11. Wybierz pozycję Przejrzyj i przypisz.

12. Wybierz pozycję Przejrzyj i przypisz.

PowerShell

Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu myVNetA. Przypisz wartość UserA z subskrypcjiA do myVNetB za pomocą polecenia New-AzRoleAssignment.

Użyj polecenia Get-AzADUser , aby uzyskać identyfikator obiektu userA.

Usługa UserA jest używana w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcjiA , którą chcesz przypisać do myVNetB. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

$id = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'UserA'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci myVNetB. Przypisz userA z subskrypcjiA do myVNetB za pomocą polecenia az role assignment create.

Użyj polecenia az ad user list , aby uzyskać identyfikator obiektu dla userA.

Usługa UserA jest używana w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcjiA , którą chcesz przypisać do myVNetB. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

az ad user list --display-name UserA

[
  {
    "businessPhones": [],
    "displayName": "UserA",
    "givenName": null,
    "id": "ee0645cc-e439-4ffc-b956-79577e473969",
    "jobTitle": null,
    "mail": "userA@contoso.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "usera_contoso.com#EXT#@fabrikam.onmicrosoft.com"
  }
]

Zanotuj identyfikator obiektu UserA w identyfikatorze pola. W tym przykładzie jest to ee0645cc-e439-4ffc-b956-79577e4773969.

vnetid=$(az network vnet show \
    --name myVNetB \
    --resource-group myResourceGroupB \
    --query id \
    --output tsv)

az role assignment create \
      --assignee ee0645cc-e439-4ffc-b956-79577e473969 \
      --role "Network Contributor" \
      --scope $vnetid

Uzyskiwanie identyfikatora zasobu myVNetB

Identyfikator zasobu myVNetB jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci myVNetA do myVNetB. Wykonaj poniższe kroki, aby uzyskać identyfikator zasobu myVNetB.

Portal

1. Pozostanie zalogowanym do portalu jako użytkownikB.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetB.

4. W obszarze Ustawienia wybierz pozycję Właściwości.

5. Skopiuj informacje w polu Identyfikator zasobu i zapisz je w kolejnych krokach. Identyfikator zasobu jest podobny do następującego przykładu: /subscriptions/<Subscription Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/virtualNetworks/myVnetB.

6. Wyloguj się z portalu jako użytkownikB.

PowerShell

Identyfikator zasobu myVNetB jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci myVNetA do myVNetB. Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci myVNetB.

$id = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnetB = Get-AzVirtualNetwork @id

$vnetB.id

Interfejs wiersza polecenia platformy Azure

Identyfikator zasobu myVNetB jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci myVNetA do myVNetB. Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci myVNetB.

vnetidB=$(az network vnet show \
    --name myVNetB \
    --resource-group myResourceGroupB \
    --query id \
    --output tsv)

echo $vnetidB

Tworzenie połączenia komunikacji równorzędnej — myVNetA do sieci myVNetB

Aby skonfigurować połączenie komunikacji równorzędnej, potrzebny jest identyfikator zasobumyVNetB z poprzednich kroków.

Portal

1. Zaloguj się do Azure Portal jako UżytkownikA. Jeśli używasz jednego konta dla obu subskrypcji, zmień wartość na SubscriptionA w portalu.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetA.

4. Wybierz pozycję Komunikacja równorzędna.

5. Wybierz pozycję + Dodaj.

6. Wprowadź lub wybierz następujące informacje w temacie Dodawanie komunikacji równorzędnej:

   Ustawienie	Wartość
   Ta sieć wirtualna
   Nazwa łącza komunikacji równorzędnej	Wprowadź myVNetAToMyVNetB.
   Ruch do zdalnej sieci wirtualnej	Pozostaw wartość domyślną Zezwalaj (wartość domyślna).
   Ruch przekazywany z zdalnej sieci wirtualnej	Pozostaw wartość domyślną Zezwalaj (wartość domyślna).
   Brama sieci wirtualnej lub serwer tras	Pozostaw wartość domyślną None (default).
   Zdalna sieć wirtualna
   Nazwa łącza komunikacji równorzędnej	Pozostaw to pole puste.
   Model wdrażania sieci wirtualnej	Wybierz pozycję Resource Manager.
   Wybierz pole wyboru Znam identyfikator zasobu.
   Identyfikator zasobu	Wprowadź lub wklej identyfikator zasobu dla myVNetB.

7. W polu ściągania wybierz katalog odpowiadający myVNetB i UserB.

8. Wybierz pozycję Uwierzytelnij.

9. Wybierz pozycję Dodaj.

10. Wyloguj się z portalu jako UżytkownikA.

PowerShell

Zaloguj się do subskrypcjiA

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiA.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionA za pomocą polecenia Set-AzContext.

Set-AzContext -Subscription SubscriptionA

Zaloguj się do subskrypcjiB

Uwierzytelnij się w usłudze SubscriptionB , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiB.

Connect-AzAccount

Zmień na SubscriptionA (opcjonalnie)

Może być konieczne przełączenie z powrotem do subskrypcjiA , aby kontynuować akcje w subskrypcjiA.

Zmień kontekst na SubscriptionA.

Set-AzContext -Subscription SubscriptionA

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia Add-AzVirtualNetworkPeering , aby utworzyć połączenie komunikacji równorzędnej między myVNetA i myVNetB.

$netA = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnetA = Get-AzVirtualNetwork @netA

$peer = @{
    Name = 'myVNetAToMyVNetB'
    VirtualNetwork = $vnetA
    RemoteVirtualNetworkId = '/subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/virtualNetworks/myVnetB'
}
Add-AzVirtualNetworkPeering @peer

Użyj polecenia Get-AzVirtualNetworkPeering , aby uzyskać stan połączeń komunikacji równorzędnej z sieci myVNetA do myVNetB.

$status = @{
    ResourceGroupName =  'myResourceGroupA'
    VirtualNetworkName = 'myVNetA'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
myVNetA            Initiated

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcjiA

Użyj polecenia az login , aby zalogować się do subskrypcjiA.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionA za pomocą polecenia az account set.

az account set --subscription "SubscriptionA"

Zaloguj się do subskrypcjiB

Uwierzytelnij się w usłudze SubscriptionB , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia az login , aby zalogować się do subskrypcjiB.

az login

Zmień na SubscriptionA (opcjonalnie)

Może być konieczne przełączenie z powrotem do subskrypcjiA , aby kontynuować akcje w subskrypcjiA.

Zmień kontekst na SubscriptionA.

az account set --subscription "SubscriptionA"

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia az network vnet peering create , aby utworzyć połączenie komunikacji równorzędnej między sieciami myVNetA i myVNetB.

az network vnet peering create \
    --name myVNetAToMyVNetB \
    --resource-group myResourceGroupA \
    --vnet-name myVNetA \
    --remote-vnet /subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/VirtualNetworks/myVNetB \
    --allow-vnet-access

Użyj polecenia az network vnet peering list , aby uzyskać stan połączeń komunikacji równorzędnej z sieci myVNetA do myVNetB.

az network vnet peering list \
    --resource-group myResourceGroupA \
    --vnet-name myVNetA \
    --output table

Połączenie komunikacji równorzędnej jest wyświetlane w obszarze Komunikacja równorzędna w stanie zainicjowanym . Aby ukończyć komunikację równorzędną, należy skonfigurować odpowiednie połączenie w sieci myVNetB.

Tworzenie połączenia komunikacji równorzędnej — myVNetB do sieci myVNetA

Aby skonfigurować połączenie komunikacji równorzędnej, potrzebne są identyfikatory zasobów dla sieci myVNetA z poprzednich kroków.

Portal

1. Zaloguj się do Azure Portal jako użytkownikB. Jeśli używasz jednego konta dla obu subskrypcji, przejdź do obszaru SubskrypcjaB w portalu.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję myVNetB.

4. Wybierz pozycję Komunikacja równorzędna.

5. Wybierz pozycję + Dodaj.

6. Wprowadź lub wybierz następujące informacje w temacie Dodawanie komunikacji równorzędnej:

   Ustawienie	Wartość
   Ta sieć wirtualna
   Nazwa łącza komunikacji równorzędnej	Wprowadź myVNetBToMyVNetA.
   Ruch do zdalnej sieci wirtualnej	Pozostaw wartość domyślną zezwalania (wartość domyślna).
   Ruch przekazywany z zdalnej sieci wirtualnej	Pozostaw wartość domyślną zezwalania (wartość domyślna).
   Brama sieci wirtualnej lub serwer route server	Pozostaw wartość domyślną Brak (wartość domyślna).
   Zdalna sieć wirtualna
   Nazwa łącza komunikacji równorzędnej	Pozostaw to pole puste.
   Model wdrażania sieci wirtualnej	Wybierz pozycję Resource Manager.
   Zaznacz pole, w przypadku których znam identyfikator zasobu.
   Identyfikator zasobu	Wprowadź lub wklej identyfikator zasobu dla sieci myVNetA.

7. W polu ściągania wybierz katalog odpowiadający sieci myVNetA i UserA.

8. Wybierz pozycję Uwierzytelnij.

9. Wybierz pozycję Dodaj.

PowerShell

Zaloguj się do subskrypcjiB

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiB.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionB przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription SubscriptionB

Zaloguj się do subskrypcjiA

Uwierzytelnij się w subskrypcjiA , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcjiA.

Connect-AzAccount

Zmień wartość na SubscriptionB (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcjiB , aby kontynuować akcje w usłudze SubscriptionB.

Zmień kontekst na SubscriptionB.

Set-AzContext -Subscription SubscriptionB

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia Add-AzVirtualNetworkPeering , aby utworzyć połączenie komunikacji równorzędnej między sieciami myVNetB i myVNetA.

$netB = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnetB = Get-AzVirtualNetwork @netB

$peer = @{
    Name = 'myVNetBToMyVNetA'
    VirtualNetwork = $vnetB
    RemoteVirtualNetworkId = '/subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/virtualNetworks/myVNetA'
}
Add-AzVirtualNetworkPeering @peer

Użytkownik Get-AzVirtualNetworkPeering w celu uzyskania stanu połączeń komunikacji równorzędnej z sieci myVNetB do myVNetA.

$status = @{
    ResourceGroupName =  'myResourceGroupB'
    VirtualNetworkName = 'myVNetB'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
myVNetB            Connected

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcjiB

Użyj polecenia az login , aby zalogować się do subskrypcjiB.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na SubscriptionB przy użyciu polecenia az account set.

az account set --subscription "SubscriptionB"

Zaloguj się do subskrypcjiA

Uwierzytelnij się w subskrypcjiA , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia az login , aby zalogować się do subskrypcjiA.

az login

Zmień wartość na SubscriptionB (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcjiB , aby kontynuować akcje w usłudze SubscriptionB.

Zmień kontekst na SubscriptionB.

az account set --subscription "SubscriptionB"

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia az network vnet peering create , aby utworzyć połączenie komunikacji równorzędnej między sieciami myVNetB i myVNetA.

az network vnet peering create \
    --name myVNetBToMyVNetA \
    --resource-group myResourceGroupB \
    --vnet-name myVNetB \
    --remote-vnet /subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/VirtualNetworks/myVNetA \
    --allow-vnet-access

Użyj polecenia az network vnet peering list , aby uzyskać stan połączeń komunikacji równorzędnej z sieci myVNetB do myVNetA.

az network vnet peering list \
    --resource-group myResourceGroupB \
    --vnet-name myVNetB \
    --output table

Komunikacja równorzędna została pomyślnie nawiązana po wyświetleniu komunikatu Połączono w kolumnie Stan komunikacji równorzędnej dla obu sieci wirtualnych w komunikacji równorzędnej. Wszystkie zasoby platformy Azure utworzone w obu sieciach wirtualnych mogą teraz komunikować się ze sobą za pośrednictwem ich adresów IP. Jeśli używasz domyślnego rozpoznawania nazw platformy Azure dla sieci wirtualnych, zasoby w sieciach wirtualnych nie mogą rozpoznawać nazw w sieciach wirtualnych. Jeśli chcesz rozpoznawać nazwy między sieciami wirtualnymi w komunikacji równorzędnej, musisz utworzyć własny serwer DNS lub użyć usługi Azure DNS.

Aby uzyskać więcej informacji na temat używania własnego systemu DNS do rozpoznawania nazw, zobacz Rozpoznawanie nazw przy użyciu własnego serwera DNS.

Aby uzyskać więcej informacji na temat usługi Azure DNS, zobacz Co to jest usługa Azure DNS?.

Następne kroki

• Dokładnie zapoznaj się z ważnymi ograniczeniami i zachowaniami komunikacji równorzędnej sieci wirtualnych przed utworzeniem komunikacji równorzędnej sieci wirtualnych do użytku produkcyjnego.

• Dowiedz się więcej o wszystkich ustawieniach komunikacji równorzędnej sieci wirtualnych.

• Dowiedz się, jak utworzyć topologię sieci piasty i szprych za pomocą komunikacji równorzędnej sieci wirtualnych.