Konfigurowanie tranzytu bramy sieci VPN na potrzeby wirtualnych sieci równorzędnych
Ten artykuł pomaga skonfigurować tranzyt bramy na potrzeby wirtualnych sieci równorzędnych. Wirtualne sieci równorzędne łączą bezproblemowo dwie sieci wirtualne platformy Azure, scalając je w jedną na potrzeby łączności. Tranzyt bramy to właściwość komunikacji równorzędnej, która umożliwia jednej sieci wirtualnej korzystanie z bramy sieci VPN w równorzędnej sieci wirtualnej na potrzeby łączności między lokalizacjami lub sieciami wirtualnymi.
Na poniższym diagramie przedstawiono sposób działania tranzytu bramy w wirtualnych sieciach równorzędnych. Na diagramie tranzyt bramy umożliwia równorzędnym sieciom wirtualnym użycie bramy sieci VPN platformy Azure w centralnej sieci wirtualnej korzystającej z modelu usługi RM (Hub-RM). Połączenia dostępne dla bramy sieci VPN, w tym połączenia typu lokacja-lokacja, punkt-lokacja i połączenia między sieciami wirtualnymi, mają zastosowanie we wszystkich trzech sieciach wirtualnych.
Opcja tranzytowa jest dostępna do komunikacji równorzędnej między tymi samymi lub różnymi modelami wdrażania i może być używana ze wszystkimi jednostkami SKU bramy sieci VPN z wyjątkiem jednostki SKU w warstwie Podstawowa. Jeśli konfigurujesz tranzyt między różnymi modelami wdrażania, sieć wirtualna koncentratora i brama sieci wirtualnej muszą znajdować się w modelu wdrażania przy użyciu usługi Resource Manager, a nie w starszym klasycznym modelu wdrażania.
W architekturze sieciowej typu gwiazdy tranzyt bramy umożliwia ułożonym promieniście sieciom wirtualnym współużytkowanie bramy sieci VPN znajdującej się w centrum, zamiast wdrażać bramy sieci VPN w każdej promienistej sieci wirtualnej. Trasy do połączonych z bramą sieci wirtualnych lub sieci lokalnych są propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu tranzytu bramy.
Automatyczne propagowanie tras z bramy sieci VPN można wyłączyć. Utwórz tabelę routingu za pomocą opcji „Wyłącz propagację tras BGP” i skojarz tabelę routingu z podsieciami, aby zapobiec dystrybucji tras do tych podsieci. Aby uzyskać więcej informacji, zobacz Virtual network routing table (Tabela routingu sieci wirtualnej).
W tym artykule przedstawiono dwa scenariusze. Wybierz scenariusz, który ma zastosowanie do twojego środowiska. Większość osób korzysta z tego samego scenariusza modelu wdrażania. Jeśli nie pracujesz z klasyczną siecią wirtualną modelu wdrażania (starsza wersja sieci wirtualnej), która już istnieje w danym środowisku, nie musisz pracować ze scenariuszem Różne modele wdrażania.
- Ten sam model wdrażania: obie sieci wirtualne są tworzone w modelu wdrażania usługi Resource Manager.
- Różne modele wdrażania: sieć wirtualna szprych jest tworzona w klasycznym modelu wdrażania, a sieć wirtualna i brama piasty znajdują się w modelu wdrażania przy użyciu usługi Resource Manager. Ten scenariusz jest przydatny, gdy musisz połączyć starszą sieć wirtualną, która już istnieje w klasycznym modelu wdrażania.
Uwaga
Jeśli wprowadzisz zmianę w topologii sieci i masz klientów sieci VPN z systemem Windows, pakiet klienta sieci VPN dla klientów z systemem Windows musi zostać pobrany i zainstalowany ponownie, aby zmiany zostały zastosowane do klienta.
Wymagania wstępne
Ten artykuł wymaga następujących sieci wirtualnych i uprawnień. Jeśli nie pracujesz z różnymi scenariuszami modelu wdrażania, nie musisz tworzyć klasycznej sieci wirtualnej.
Sieci wirtualne
| Sieć wirtualna | Kroki w konfiguracji | Brama sieci wirtualnej |
|---|---|---|
| Hub-RM | Resource Manager | Tak |
| Szprycha -RM | Resource Manager | Nie. |
| Spoke-Classic | Klasyczny | Nie. |
Uprawnienia
Konta używane do tworzenia wirtualnych sieci równorzędnych muszą mieć niezbędne role lub uprawnienia. W poniższym przykładzie w przypadku komunikacji równorzędnej dwóch sieci wirtualnych o nazwach Hub-RM i Spoke-Classic konto musi mieć następujące role lub uprawnienia dla każdej sieci wirtualnej:
| Sieć wirtualna | Model wdrażania | Rola | Uprawnienia |
|---|---|---|---|
| Hub-RM | Resource Manager | Współautor sieci | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klasyczny | Współautor klasycznej sieci | Nie dotyczy | |
| Spoke-Classic | Resource Manager | Współautor sieci | Microsoft.Network/virtualNetworks/peer |
| Klasyczny | Współautor klasycznej sieci | Microsoft.ClassicNetwork/virtualNetworks/peer |
Dowiedz się więcej na temat wbudowanych ról i przypisywania określonych uprawnień do ról niestandardowych (tyko usługa Resource Manager).
Ten sam model wdrażania
Jest to bardziej typowy scenariusz. W tym scenariuszu sieci wirtualne znajdują się w modelu wdrażania przy użyciu usługi Resource Manager. Wykonaj poniższe kroki, aby utworzyć lub zaktualizować komunikację równorzędną sieci wirtualnych, aby włączyć tranzyt bramy.
Aby dodać komunikację równorzędną i włączyć tranzyt
W witrynie Azure Portal utwórz lub zaktualizuj komunikację równorzędną sieci wirtualnych z poziomu usługi Hub-RM. Przejdź do sieci wirtualnej Hub-RM . Wybierz pozycję Komunikacje równorzędne, a następnie pozycję + Dodaj, aby otworzyć pozycję Dodaj komunikację równorzędną.
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości dla tej sieci wirtualnej.
Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: HubRMToSpokeRM
Ruch do zdalnej sieci wirtualnej: Zezwalaj
Ruch przekazywany z zdalnej sieci wirtualnej: Zezwalaj
Brama sieci wirtualnej: użyj bramy tej sieci wirtualnej lub serwera Route Server
Na tej samej stronie przejdź dalej, aby skonfigurować wartości dla zdalnej sieci wirtualnej.
Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: SpokeRMtoHubRM
Model wdrażania sieci wirtualnej: Resource Manager
Wiem, że mój identyfikator zasobu: pozostaw puste. Musisz wybrać tę opcję tylko wtedy, gdy nie masz dostępu do odczytu do sieci wirtualnej lub subskrypcji, z którą chcesz pracować równorzędnie.
Subskrypcja: wybierz subskrypcję.
Sieć wirtualna: szprycha -RM
Ruch do zdalnej sieci wirtualnej: Zezwalaj
Ruch przekazywany z zdalnej sieci wirtualnej: Zezwalaj
Brama sieci wirtualnej: użyj bramy zdalnej sieci wirtualnej lub serwera Route Server
Wybierz pozycję Dodaj , aby utworzyć komunikację równorzędną.
Sprawdź stan komunikacji równorzędnej jako Połączenie w obu sieciach wirtualnych.
Aby zmodyfikować istniejącą komunikację równorzędną na potrzeby przesyłania
Jeśli masz już istniejącą komunikację równorzędną, możesz zmodyfikować komunikację równorzędną na potrzeby przesyłania.
Przejdź do sieci wirtualnej. Wybierz pozycję Komunikacje równorzędne i wybierz komunikację równorzędną, którą chcesz zmodyfikować. Na przykład w sieci wirtualnej Szprycha-RM wybierz komunikację równorzędną SpokeRMtoHubRM.
Zaktualizuj komunikację równorzędną sieci wirtualnych.
- Ruch do zdalnej sieci wirtualnej: Zezwalaj
- Ruch przekazywany do sieci wirtualnej; Umożliwić swobodne otworzenie
- Brama sieci wirtualnej lub serwer route server: użyj bramy zdalnej sieci wirtualnej lub serwera Route Server
Zapisz ustawienia komunikacji równorzędnej.
Przykładowy skrypt programu PowerShell
Możesz również użyć programu PowerShell, aby utworzyć lub zaktualizować komunikację równorzędną. Zastąp zmienne nazwami swoich sieci wirtualnych i grup zasobów.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Różne modele wdrażania
W tej konfiguracji szprycha VNet Spoke-Classic znajduje się w klasycznym modelu wdrażania, a koncentrator VNet Hub-RM znajduje się w modelu wdrażania przy użyciu usługi Resource Manager. Podczas konfigurowania przesyłania między modelami wdrażania brama sieci wirtualnej musi być skonfigurowana dla sieci wirtualnej usługi Resource Manager, a nie klasycznej sieci wirtualnej.
W przypadku tej konfiguracji należy skonfigurować tylko sieć wirtualną Hub-RM . Nie musisz konfigurować żadnych elementów w klasycznej sieci wirtualnej szprychy .
W witrynie Azure Portal przejdź do sieci wirtualnej Hub-RM, wybierz pozycję Komunikacje równorzędne, a następnie wybierz pozycję + Dodaj.
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj następujące wartości:
Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: HubRMToClassic
Ruch do zdalnej sieci wirtualnej: Zezwalaj
Ruch przekazywany z zdalnej sieci wirtualnej: Zezwalaj
Brama sieci wirtualnej lub serwer route server: użyj bramy tej sieci wirtualnej lub serwera Route Server
Nazwa linku komunikacji równorzędnej: ta wartość zniknie po wybraniu opcji Klasyczny dla modelu wdrażania sieci wirtualnej.
Model wdrażania sieci wirtualnej: klasyczny
Wiem, że mój identyfikator zasobu: pozostaw puste. Musisz wybrać tę opcję tylko wtedy, gdy nie masz dostępu do odczytu do sieci wirtualnej lub subskrypcji, z którą chcesz pracować równorzędnie.
Sprawdź, czy subskrypcja jest poprawna, a następnie wybierz sieć wirtualną z listy rozwijanej.
Wybierz pozycję Dodaj , aby dodać komunikację równorzędną.
Sprawdź stan komunikacji równorzędnej zgodnie z Połączenie w sieci wirtualnej Hub-RM.
W przypadku tej konfiguracji nie trzeba konfigurować żadnych elementów w klasycznej sieci wirtualnej szprychy . Gdy stan zostanie wyświetlony Połączenie, sieć wirtualna będącej szprychą może używać łączności za pośrednictwem bramy sieci VPN w sieci wirtualnej koncentratora.
Przykładowy skrypt programu PowerShell
Możesz również użyć programu PowerShell, aby utworzyć lub zaktualizować komunikację równorzędną. Zastąp zmienne i identyfikator subskrypcji wartościami Twojej sieci wirtualnej, grup zasobów oraz subskrypcji. Komunikację równorzędną sieci wirtualnej należy utworzyć tylko w centralnej sieci wirtualnej.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Następne kroki
- Dowiedz się więcej o ograniczeniach i zachowaniu komunikacji równorzędnej sieci wirtualnej i ustawieniach komunikacji równorzędnej sieci wirtualnej przed utworzeniem komunikacji równorzędnej sieci wirtualnej w środowisku produkcyjnym.
- Dowiedz się, jak utworzyć topologię sieciową gwiazdy z komunikacją równorzędną sieci wirtualnej i tranzytem bramy.
- Utwórz komunikację równorzędną sieci wirtualnych z tym samym modelem wdrażania.
- Utwórz komunikację równorzędną sieci wirtualnych z różnymi modelami wdrażania.