Tworzenie komunikacji równorzędnej sieci wirtualnej — Resource Manager, różne subskrypcje i dzierżawy firmy Microsoft Entra

Z tego samouczka dowiesz się, jak utworzyć komunikację równorzędną sieci wirtualnych między sieciami wirtualnymi utworzonymi za pomocą usługi Resource Manager. Sieci wirtualne istnieją w różnych subskrypcjach, które mogą należeć do różnych dzierżaw firmy Microsoft Entra. Komunikacja równorzędna dwóch sieci wirtualnych umożliwia zasobom w różnych sieciach wirtualnych komunikowanie się ze sobą z taką samą przepustowością i opóźnieniem, jak gdyby zasoby znajdowały się w tej samej sieci wirtualnej. Dowiedz się więcej o komunikacji równorzędnej sieci wirtualnych.

W zależności od tego, czy sieci wirtualne znajdują się w tej samej lub w różnych subskrypcjach, kroki tworzenia komunikacji równorzędnej sieci wirtualnych różnią się. Kroki tworzenia sieci równorzędnych za pomocą klasycznego modelu wdrażania różnią się. Aby uzyskać więcej informacji na temat modeli wdrażania, zobacz Model wdrażania platformy Azure.

Dowiedz się, jak utworzyć komunikację równorzędną sieci wirtualnych w innych scenariuszach, wybierając scenariusz z poniższej tabeli:

Model wdrażania platformy Azure	Subskrypcja platformy Azure
Oba usługi Resource Manager	To samo
Jedna usługa Resource Manager, jedna klasyczna	To samo
Jedna usługa Resource Manager, jedna klasyczna	Różny

Nie można utworzyć komunikacji równorzędnej sieci wirtualnych między dwiema sieciami wirtualnymi wdrożoną za pośrednictwem klasycznego modelu wdrażania. Jeśli musisz połączyć sieci wirtualne, które zostały utworzone za pośrednictwem klasycznego modelu wdrażania, możesz połączyć sieci wirtualne za pomocą usługi Azure VPN Gateway .

Ten samouczek umożliwia komunikację równorzędną sieci wirtualnych w tym samym regionie. Sieci wirtualne można również łączyć za pomocą komunikacji równorzędnej w różnych obsługiwanych regionach. Zapoznaj się z wymaganiami i ograniczeniami dotyczącymi komunikacji równorzędnej przed komunikacją równorzędną sieci wirtualnych.

Wymagania wstępne

Portal

• Konto platformy Azure lub konta z dwiema aktywnymi subskrypcjami. Utwórz konto bezpłatnie.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz oddzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w witrynie Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Microsoft Entra.

• Zaloguj się w witrynie Azure Portal.

Program PowerShell

• Konto platformy Azure lub konta z dwiema aktywnymi subskrypcjami. Utwórz konto bezpłatnie.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz oddzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w witrynie Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Microsoft Entra.

• Program Azure PowerShell został zainstalowany lokalnie lub w usłudze Azure Cloud Shell.

• Zaloguj się do programu Azure PowerShell i wybierz subskrypcję, za pomocą której chcesz użyć tej funkcji. Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu programu Azure PowerShell.

• Az.Network Upewnij się, że moduł ma wartość 4.3.0 lub nowszą. Aby sprawdzić zainstalowany moduł, użyj polecenia Get-InstalledModule -Name "Az.Network". Jeśli moduł wymaga aktualizacji, w razie potrzeby użyj polecenia Update-Module -Name Az.Network .

Jeśli postanowisz zainstalować program PowerShell i używać go lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

Interfejs wiersza polecenia platformy Azure

• Konto platformy Azure lub konta z dwiema aktywnymi subskrypcjami. Utwórz konto bezpłatnie.

• Konto platformy Azure z uprawnieniami w obu subskrypcjach lub koncie w każdej subskrypcji z odpowiednimi uprawnieniami do tworzenia komunikacji równorzędnej sieci wirtualnej. Aby uzyskać listę uprawnień, zobacz Uprawnienia komunikacji równorzędnej sieci wirtualnych.

  • Aby oddzielić obowiązek zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z każdej dzierżawy jako gościa w przeciwnej dzierżawie i przypisz im rolę Współautor sieci do sieci wirtualnej. Ta procedura ma zastosowanie, jeśli sieci wirtualne znajdują się w różnych subskrypcjach i dzierżawach usługi Active Directory.

  • Aby ustanowić komunikację równorzędną sieci, jeśli nie zamierzasz oddzielić obowiązku zarządzania siecią należącą do każdej dzierżawy, dodaj użytkownika z dzierżawy A jako gościa w przeciwnej dzierżawie. Następnie przypisz im rolę Współautor sieci, aby zainicjować i połączyć komunikację równorzędną sieci z każdej subskrypcji. Dzięki tym uprawnieniom użytkownik może ustanowić komunikację równorzędną sieci z każdej subskrypcji.

  • Aby uzyskać więcej informacji na temat użytkowników-gości, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w witrynie Azure Portal.

  • Każdy użytkownik musi zaakceptować zaproszenie użytkownika-gościa od przeciwległej dzierżawy usługi Microsoft Entra.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Ten artykuł z instrukcjami wymaga wersji 2.31.0 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

W poniższych krokach dowiesz się, jak połączyć równorzędne sieci wirtualne w różnych subskrypcjach i dzierżawach firmy Microsoft Entra.

Możesz użyć tego samego konta, które ma uprawnienia w obu subskrypcjach lub użyć oddzielnych kont dla każdej subskrypcji, aby skonfigurować komunikację równorzędną. Konto z uprawnieniami w obu subskrypcjach może wykonać wszystkie kroki bez wylogowywania się i logowania do portalu oraz przypisywania uprawnień.

Następujące zasoby i przykłady kont są używane w krokach opisanych w tym artykule:

Konto użytkownika	Grupa zasobów	Subskrypcja	Sieć wirtualna
użytkownik-1	test-rg	subskrypcja-1	sieć wirtualna-1
użytkownik-2	test-rg-2	subskrypcja-2	sieć wirtualna-2

Tworzenie sieci wirtualnej — vnet-1

Uwaga

Jeśli używasz jednego konta do wykonania tych kroków, możesz pominąć kroki wylogowywania się z portalu i przypisywania innego użytkownika uprawnień do sieci wirtualnych.

Portal

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów.

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź ciąg test-rg w polu Nazwa. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź wartość vnet-1.
   Region (Region)	Wybierz pozycję East US 2 (Wschodnie stany USA 2).

   

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. Wybierz przycisk Dalej , aby przejść do karty Adresy IP.

6. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

7. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Cel podsieci	Pozostaw wartość domyślną Domyślna.
   Nazwisko	Wprowadź podsieć-1.

8. Pozostaw pozostałe ustawienia jako wartości domyślne. Wybierz pozycję Zapisz.

   

9. Wybierz pozycję Zapisz.

10. Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu, a po zakończeniu walidacji wybierz pozycję Utwórz.

Program PowerShell

Zaloguj się do subskrypcji-1

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-1.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-1 przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription subscription-1

Tworzenie grupy zasobów — test-rg

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup:

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork. W tym przykładzie zostanie utworzona sieć wirtualna podsieć-1 o nazwie vnet-1 w lokalizacji Zachodnie stany USA 3 :

$vnet = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Dodawanie podsieci

Zasoby platformy Azure są wdrażane w podsieci sieci wirtualnej, dlatego należy utworzyć podsieć. Utwórz konfigurację podsieci o nazwie subnet-1 za pomocą polecenia Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Kojarzenie podsieci z siecią wirtualną

Konfigurację podsieci możesz zapisać w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork. To polecenie tworzy podsieć:

$virtualNetwork | Set-AzVirtualNetwork

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcji-1

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-1.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-1 przy użyciu polecenia az account set.

az account set --subscription "subscription-1"

Tworzenie grupy zasobów — test-rg

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia az group create:

az group create \
    --name test-rg \
    --location eastus2

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną i podsieć za pomocą polecenia az network vnet create. W tym przykładzie tworzona jest sieć wirtualna podsieć-1 o nazwie vnet-1 w lokalizacji Zachodnie stany USA 3 .

az network vnet create \
    --resource-group test-rg\
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Przypisywanie uprawnień dla użytkownika-2

Konto użytkownika w innej subskrypcji, z którą chcesz korzystać za pomocą komunikacji równorzędnej, musi zostać dodane do utworzonej wcześniej sieci. Jeśli używasz jednego konta dla obu subskrypcji, możesz pominąć tę sekcję.

Portal

1. Zaloguj się do portalu jako użytkownik-1.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-1.

4. Wybierz pozycję Kontrola dostępu (IAM) .

5. Wybierz pozycję + Dodaj -> Dodaj przypisanie roli.

6. Na karcie Dodawanie przypisania roli na karcie Rola wybierz pozycję Współautor sieci.

7. Wybierz Dalej.

8. Na karcie Członkowie wybierz pozycję + Wybierz członków.

9. W polu wyszukiwania Wybierz członków wprowadź user-2.

10. Wybierz pozycję Wybierz.

11. Wybierz Przejrzyj + przypisz.

12. Wybierz Przejrzyj + przypisz.

Program PowerShell

Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-1. Przypisz użytkownika-2 z subskrypcji-2 do sieci vnet-1 przy użyciu polecenia New-AzRoleAssignment.

Użyj polecenia Get-AzADUser , aby uzyskać identyfikator obiektu dla użytkownika-2.

użytkownik-2 jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcji-2 , którą chcesz przypisać do sieci wirtualnej vnet-1. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-2'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-1. Przypisz użytkownika-2 z subskrypcji-2 do sieci wirtualnej vnet-1 za pomocą polecenia az role assignment create.

Użyj polecenia az ad user list, aby uzyskać identyfikator obiektu user-2.

użytkownik-2 jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcji-2 , którą chcesz przypisać do sieci wirtualnej vnet-1. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

az ad user list --display-name user-2

[
  {
    "businessPhones": [],
    "displayName": "user-2",
    "givenName": null,
    "id": "16d51293-ec4b-43b1-b54b-3422c108321a",
    "jobTitle": null,
    "mail": "user-2@fabrikam.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-2_fabrikam.com#EXT#@contoso.onmicrosoft.com"
  }
]

Zanotuj identyfikator obiektu user-2 w polu id. W tym przykładzie jego 16d51293-ec4b-43b1-b54b-3422c108321a.

vnetid=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

az role assignment create \
      --assignee 16d51293-ec4b-43b1-b54b-3422c108321a \
      --role "Network Contributor" \
      --scope $vnetid

Zastąp przykładowy identyfikator GUID --assignee w pliku rzeczywistym identyfikatorem obiektu user-2.

Uzyskiwanie identyfikatora zasobu sieci wirtualnej-1

Portal

1. Zaloguj się do portalu jako użytkownik-1.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-1.

4. W obszarze Ustawienia wybierz pozycję Właściwości.

5. Skopiuj informacje w polu Identyfikator zasobu i zapisz je w kolejnych krokach. Identyfikator zasobu jest podobny do następującego przykładu: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.

6. Wyloguj się z portalu jako użytkownik-1.

Program PowerShell

Identyfikator zasobu sieci vnet-1 jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci vnet-2 do sieci wirtualnej-1. Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-1.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @id

$vnetA.id

Interfejs wiersza polecenia platformy Azure

Identyfikator zasobu sieci vnet-1 jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci vnet-2 do sieci wirtualnej-1. Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-1.

vnetidA=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

echo $vnetidA

Tworzenie sieci wirtualnej — vnet-2

W tej sekcji zalogujesz się jako użytkownik-2 i utworzysz sieć wirtualną dla połączenia komunikacji równorzędnej z siecią wirtualną vnet-1.

Portal

Utwórz drugą sieć wirtualną z następującymi wartościami, powtarzając kroki opisane w poprzedniej sekcji.

Ustawienie	Wartość
Subskrypcja	subskrypcja-2
Grupa zasobów	test-rg-2
Nazwisko	sieć wirtualna-2
Przestrzeń adresowa	10.1.0.0/16
Nazwa podsieci	podsieć-1
Zakres adresów podsieci	10.1.0.0/24

Program PowerShell

Zaloguj się do subskrypcji-2

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-2.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-2 przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription subscription-2

Tworzenie grupy zasobów — test-rg-2

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup:

$rsg = @{
    Name = 'test-rg-2'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną przy użyciu polecenia New-AzVirtualNetwork. W tym przykładzie zostanie utworzona sieć wirtualna podsieć-1 o nazwie vnet-2 w lokalizacji Zachodnie stany USA 3 :

$vnet = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
    Location = 'eastus2'
    AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Dodawanie podsieci

Zasoby platformy Azure są wdrażane w podsieci sieci wirtualnej, dlatego należy utworzyć podsieć. Utwórz konfigurację podsieci o nazwie subnet-1 za pomocą polecenia Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Kojarzenie podsieci z siecią wirtualną

Konfigurację podsieci możesz zapisać w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork. To polecenie tworzy podsieć:

$virtualNetwork | Set-AzVirtualNetwork

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcji-2

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-1.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-2 przy użyciu polecenia az account set.

az account set --subscription "subscription-2"

Tworzenie grupy zasobów — test-rg-2

Grupa zasobów platformy Azure to logiczny kontener, w którym zasoby platformy Azure są wdrażane i zarządzane.

Utwórz grupę zasobów za pomocą polecenia az group create:

az group create \
    --name test-rg-2 \
    --location eastus2

Tworzenie sieci wirtualnej

Utwórz sieć wirtualną i podsieć za pomocą polecenia az network vnet create. W tym przykładzie zostanie utworzona sieć wirtualna podsieć-1 o nazwie vnet-2 w lokalizacji Zachodnie stany USA 3 .

az network vnet create \
    --resource-group test-rg-2\
    --location eastus2 \
    --name vnet-2 \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.1.0.0/24

Przypisywanie uprawnień dla użytkownika-1

Konto użytkownika w innej subskrypcji, z którą chcesz korzystać za pomocą komunikacji równorzędnej, musi zostać dodane do utworzonej wcześniej sieci. Jeśli używasz jednego konta dla obu subskrypcji, możesz pominąć tę sekcję.

Portal

1. Zaloguj się do portalu jako użytkownik-2.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-2.

4. Wybierz pozycję Kontrola dostępu (IAM) .

5. Wybierz pozycję + Dodaj -> Dodaj przypisanie roli.

6. Na karcie Dodawanie przypisania roli na karcie Rola wybierz pozycję Współautor sieci.

7. Wybierz Dalej.

8. Na karcie Członkowie wybierz pozycję + Wybierz członków.

9. W polu wyszukiwania Wybierz członków wprowadź wartość user-1.

10. Wybierz pozycję Wybierz.

11. Wybierz Przejrzyj + przypisz.

12. Wybierz Przejrzyj + przypisz.

Program PowerShell

Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-1. Przypisz użytkownika-1 z subskrypcji-1 do sieci vnet-2 przy użyciu polecenia New-AzRoleAssignment.

Użyj polecenia Get-AzADUser , aby uzyskać identyfikator obiektu dla użytkownika-1.

użytkownik-1 jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcji-1 , którą chcesz przypisać do sieci wirtualnej vnet-2. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-1'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-2. Przypisz użytkownika-1 z subskrypcji-1 do sieci vnet-2 za pomocą polecenia az role assignment create.

Użyj polecenia az ad user list , aby uzyskać identyfikator obiektu dla użytkownika-1.

użytkownik-1 jest używany w tym przykładzie dla konta użytkownika. Zastąp tę wartość nazwą wyświetlaną użytkownika z subskrypcji-1 , którą chcesz przypisać do sieci wirtualnej vnet-2. Ten krok można pominąć, jeśli używasz tego samego konta dla obu subskrypcji.

az ad user list --display-name user-1

[
  {
    "businessPhones": [],
    "displayName": "user-1",
    "givenName": null,
    "id": "ee0645cc-e439-4ffc-b956-79577e473969",
    "jobTitle": null,
    "mail": "user-1@contoso.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-1_contoso.com#EXT#@fabrikam.onmicrosoft.com"
  }
]

Zanotuj identyfikator obiektu user-1 w polu id. W tym przykładzie jest to ee0645cc-e439-4ffc-b956-79577e473969.

vnetid=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

az role assignment create \
      --assignee ee0645cc-e439-4ffc-b956-79577e473969 \
      --role "Network Contributor" \
      --scope $vnetid

Uzyskiwanie identyfikatora zasobu sieci wirtualnej-2

Identyfikator zasobu sieci wirtualnej vnet-2 jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci wirtualnej vnet-1 do sieci wirtualnej-2. Wykonaj poniższe kroki, aby uzyskać identyfikator zasobu sieci wirtualnej vnet-2.

Portal

1. Zaloguj się do portalu jako użytkownik-2.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-2.

4. W obszarze Ustawienia wybierz pozycję Właściwości.

5. Skopiuj informacje w polu Identyfikator zasobu i zapisz je w kolejnych krokach. Identyfikator zasobu jest podobny do następującego przykładu: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.

6. Wyloguj się z portalu jako użytkownik-2.

Program PowerShell

Identyfikator zasobu sieci wirtualnej vnet-2 jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci wirtualnej vnet-1 do sieci wirtualnej-2. Użyj polecenia Get-AzVirtualNetwork , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-2.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @id

$vnetB.id

Interfejs wiersza polecenia platformy Azure

Identyfikator zasobu sieci wirtualnej vnet-2 jest wymagany do skonfigurowania połączenia komunikacji równorzędnej z sieci wirtualnej vnet-1 do sieci wirtualnej-2. Użyj polecenia az network vnet show , aby uzyskać identyfikator zasobu dla sieci wirtualnej vnet-2.

vnetidB=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

echo $vnetidB

Tworzenie połączenia komunikacji równorzędnej — sieć wirtualna-1 do sieci wirtualnej-2

Aby skonfigurować połączenie komunikacji równorzędnej, potrzebny jest identyfikator zasobu dla sieci wirtualnej vnet-2 z poprzednich kroków.

Portal

1. Zaloguj się do witryny Azure Portal jako użytkownik-1. Jeśli używasz jednego konta dla obu subskrypcji, przejdź do subskrypcji-1 w portalu.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-1.

4. Wybierz pozycję Komunikacje równorzędne.

5. Wybierz + Dodaj.

6. Wprowadź lub wybierz następujące informacje w obszarze Dodawanie komunikacji równorzędnej:

   Ustawienie	Wartość
   Podsumowanie zdalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	vnet-2-to-vnet-1
   Model wdrażania sieci wirtualnej	Resource Manager
   Znam identyfikator zasobu	Zaznacz pole
   Identyfikator zasobu	Wprowadź identyfikator zasobu dla sieci wirtualnej vnet-2
   Katalog	Wybierz katalog Microsoft Entra ID, który odpowiada sieci wirtualnej vnet-2 i user-2
   Ustawienia zdalnej komunikacji równorzędnej sieci wirtualnej
   Zezwalaj "równorzędnej sieci wirtualnej" na dostęp do sieci wirtualnej "vnet-1"	Pozostaw wartość domyślną Włączone
   Zezwalaj "równorzędnej sieci wirtualnej" na odbieranie przekazywanego ruchu z sieci wirtualnej "vnet-1"	Zaznacz pole
   Podsumowanie lokalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	vnet-1-to-vnet-2
   Ustawienia lokalnej komunikacji równorzędnej sieci wirtualnych
   Zezwalaj "vnet-1" na dostęp do równorzędnej sieci wirtualnej	Pozostaw wartość domyślną Włączone
   Zezwalaj "vnet-1" na odbieranie przekazywanego ruchu z sieci wirtualnej "równorzędnej sieci wirtualnej"	Zaznacz pole

7. Wybierz Dodaj.

   

8. Wyloguj się z portalu jako użytkownik-1.

Program PowerShell

Zaloguj się do subskrypcji-1

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-1.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-1 przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription subscription-1

Zaloguj się do subskrypcji-2

Uwierzytelnij się w subskrypcji-2 , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-2.

Connect-AzAccount

Zmień na subscription-1 (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcji-1 , aby kontynuować akcje w subskrypcji-1.

Zmień kontekst na subscription-1.

Set-AzContext -Subscription subscription-1

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia Add-AzVirtualNetworkPeering , aby utworzyć połączenie komunikacji równorzędnej między sieciami vnet-1 i vnet-2.

$netA = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @netA

$peer = @{
    Name = 'vnet-1-to-vnet-2'
    VirtualNetwork = $vnetA
    RemoteVirtualNetworkId = '/subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2'
}
Add-AzVirtualNetworkPeering @peer

Użyj polecenia Get-AzVirtualNetworkPeering, aby uzyskać stan połączeń komunikacji równorzędnej z sieci wirtualnej vnet-1 do sieci wirtualnej-2.

$status = @{
    ResourceGroupName =  'test-rg'
    VirtualNetworkName = 'vnet-1'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-1            Initiated

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcji-1

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-1.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-1 przy użyciu polecenia az account set.

az account set --subscription "subscription-1"

Zaloguj się do subskrypcji-2

Uwierzytelnij się w subskrypcji-2 , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-2.

az login

Zmień na subscription-1 (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcji-1 , aby kontynuować akcje w subskrypcji-1.

Zmień kontekst na subscription-1.

az account set --subscription "subscription-1"

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia az network vnet peering create, aby utworzyć połączenie komunikacji równorzędnej między sieciami wirtualnymi vnet-1 i vnet-2.

az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --remote-vnet /subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/VirtualNetworks/vnet-2 \
    --allow-vnet-access

Użyj polecenia az network vnet peering list , aby uzyskać stan połączeń komunikacji równorzędnej z sieci vnet-1 do vnet-2.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --output table

Połączenie komunikacji równorzędnej jest wyświetlane w obszarze Komunikacja równorzędna w stanie Zainicjowane . Aby ukończyć komunikację równorzędną, należy skonfigurować odpowiednie połączenie w sieci wirtualnej vnet-2.

Tworzenie połączenia komunikacji równorzędnej — sieć wirtualna-2 do sieci wirtualnej-1

Aby skonfigurować połączenie komunikacji równorzędnej, potrzebne są identyfikatory zasobów dla sieci wirtualnej vnet-1 z poprzednich kroków.

Portal

1. Zaloguj się do witryny Azure Portal jako użytkownik-2. Jeśli używasz jednego konta dla obu subskrypcji, przejdź do subskrypcji-2 w portalu.

2. W polu wyszukiwania w górnej części portalu wprowadź wartość Sieć wirtualna. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.

3. Wybierz pozycję vnet-2.

4. Wybierz pozycję Komunikacje równorzędne.

5. Wybierz + Dodaj.

6. Wprowadź lub wybierz następujące informacje w obszarze Dodawanie komunikacji równorzędnej:

   Ustawienie	Wartość
   Podsumowanie zdalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	vnet-1-to-vnet-2
   Model wdrażania sieci wirtualnej	Resource Manager
   Znam identyfikator zasobu	Zaznacz pole
   Identyfikator zasobu	Wprowadź identyfikator zasobu dla sieci wirtualnej vnet-2
   Katalog	Wybierz katalog Microsoft Entra ID, który odpowiada sieci wirtualnej vnet-1 i user-1
   Ustawienia zdalnej komunikacji równorzędnej sieci wirtualnej
   Zezwalaj "równorzędnej sieci wirtualnej" na dostęp do sieci wirtualnej "vnet-1"	Pozostaw wartość domyślną Włączone
   Zezwalaj "równorzędnej sieci wirtualnej" na odbieranie przekazywanego ruchu z sieci wirtualnej "vnet-1"	Zaznacz pole
   Podsumowanie lokalnej sieci wirtualnej
   Nazwa łącza komunikacji równorzędnej	vnet-1-to-vnet-2
   Ustawienia lokalnej komunikacji równorzędnej sieci wirtualnych
   Zezwalaj "vnet-1" na dostęp do równorzędnej sieci wirtualnej	Pozostaw wartość domyślną Włączone
   Zezwalaj "vnet-1" na odbieranie przekazywanego ruchu z sieci wirtualnej "równorzędnej sieci wirtualnej"	Zaznacz pole

7. Wybierz Dodaj.

8. W polu ściągania wybierz katalog odpowiadający sieci vnet-1 i user-1.

9. Wybierz pozycję Uwierzytelnij.

   

10. Wybierz Dodaj.

Program PowerShell

Zaloguj się do subskrypcji-2

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-2.

Connect-AzAccount

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-2 przy użyciu polecenia Set-AzContext.

Set-AzContext -Subscription subscription-2

Zaloguj się do subskrypcji-1

Uwierzytelnij się w subskrypcji-1 , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia Connect-AzAccount , aby zalogować się do subskrypcji-1.

Connect-AzAccount

Zmień na subscription-2 (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcji-2 , aby kontynuować akcje w subskrypcji-2.

Zmień kontekst na subscription-2.

Set-AzContext -Subscription subscription-2

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia Add-AzVirtualNetworkPeering , aby utworzyć połączenie komunikacji równorzędnej między sieciami vnet-2 i vnet-1.

$netB = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @netB

$peer = @{
    Name = 'vnet-2-to-vnet-1'
    VirtualNetwork = $vnetB
    RemoteVirtualNetworkId = '/subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1'
}
Add-AzVirtualNetworkPeering @peer

Użytkownik Get-AzVirtualNetworkPeering w celu uzyskania stanu połączeń komunikacji równorzędnej z sieci vnet-2 do vnet-1.

$status = @{
    ResourceGroupName =  'test-rg-2'
    VirtualNetworkName = 'vnet-2'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-2            Connected

Interfejs wiersza polecenia platformy Azure

Zaloguj się do subskrypcji-2

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-2.

az login

Jeśli używasz jednego konta dla obu subskrypcji, zaloguj się do tego konta i zmień kontekst subskrypcji na subscription-2 przy użyciu polecenia az account set.

az account set --subscription "subscription-2"

Zaloguj się do subskrypcji-1

Uwierzytelnij się w subskrypcji-1 , aby można było skonfigurować komunikację równorzędną.

Użyj polecenia az sign-in , aby zalogować się do subskrypcji-1.

az login

Zmień na subscription-2 (opcjonalnie)

Może być konieczne przełączenie się z powrotem do subskrypcji-2 , aby kontynuować akcje w subskrypcji-2.

Zmień kontekst na subscription-2.

az account set --subscription "subscription-2"

Tworzenie połączenia komunikacji równorzędnej

Użyj polecenia az network vnet peering create, aby utworzyć połączenie komunikacji równorzędnej między sieciami wirtualnymi vnet-2 i vnet-1.

az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --remote-vnet /subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/VirtualNetworks/vnet-1 \
    --allow-vnet-access

Użyj polecenia az network vnet peering list , aby uzyskać stan połączeń komunikacji równorzędnej z sieci vnet-2 do vnet-1.

az network vnet peering list \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --output table

Komunikacja równorzędna została pomyślnie nawiązana po wyświetleniu komunikatu Połączono w kolumnie Stan komunikacji równorzędnej dla obu sieci wirtualnych w komunikacji równorzędnej. Wszystkie zasoby platformy Azure utworzone w dowolnej sieci wirtualnej mogą komunikować się ze sobą za pośrednictwem ich adresów IP. Jeśli używasz rozpoznawania nazw platformy Azure dla sieci wirtualnych, zasoby w sieciach wirtualnych nie mogą rozpoznawać nazw w sieciach wirtualnych. Jeśli chcesz rozpoznawać nazwy między sieciami wirtualnymi w komunikacji równorzędnej, musisz utworzyć własny serwer DNS (system nazw domen) lub użyć usługi Azure DNS.

Ważne

Jeśli zaktualizujesz przestrzeń adresową w jednym z elementów członkowskich elementu równorzędnego, musisz ponownie zsynchronizować połączenie, aby odzwierciedlić zmiany przestrzeni adresowej. Aby uzyskać więcej informacji, zobacz Aktualizowanie przestrzeni adresowej dla równorzędnej sieci wirtualnej przy użyciu witryny Azure Portal

Aby uzyskać więcej informacji na temat używania własnego systemu DNS do rozpoznawania nazw, zobacz Rozpoznawanie nazw przy użyciu własnego serwera DNS.

Aby uzyskać więcej informacji na temat usługi Azure DNS, zobacz Co to jest usługa Azure DNS?.

Następne kroki

• Dokładnie zapoznaj się z ważnymi ograniczeniami i zachowaniami komunikacji równorzędnej sieci wirtualnych przed utworzeniem komunikacji równorzędnej sieci wirtualnych do użytku produkcyjnego.

• Dowiedz się więcej o wszystkich ustawieniach komunikacji równorzędnej sieci wirtualnych.

• Dowiedz się, jak utworzyć topologię sieci piasty i szprych za pomocą komunikacji równorzędnej sieci wirtualnych.