Konfigurowanie tranzytu bramy sieci VPN na potrzeby wirtualnych sieci równorzędnych
Ten artykuł pomaga skonfigurować tranzyt bramy na potrzeby wirtualnych sieci równorzędnych. Wirtualne sieci równorzędne łączą bezproblemowo dwie sieci wirtualne platformy Azure, scalając je w jedną na potrzeby łączności. Tranzyt bramy to właściwość komunikacji równorzędnej, która umożliwia jednej sieci wirtualnej korzystanie z bramy sieci VPN w równorzędnej sieci wirtualnej na potrzeby łączności między lokalizacjami lub sieciami wirtualnymi.
Na poniższym diagramie przedstawiono sposób działania tranzytu bramy w wirtualnych sieciach równorzędnych. Na diagramie tranzyt bramy umożliwia równorzędnym sieciom wirtualnym użycie bramy sieci VPN platformy Azure w centralnej sieci wirtualnej korzystającej z modelu usługi RM (Hub-RM). Połączenia dostępne dla bramy sieci VPN, w tym połączenia typu lokacja-lokacja, punkt-lokacja i połączenia między sieciami wirtualnymi, mają zastosowanie we wszystkich trzech sieciach wirtualnych.
Opcja tranzytowa może być używana ze wszystkimi jednostkami SKU bramy sieci VPN z wyjątkiem jednostki SKU w warstwie Podstawowa.
W architekturze sieciowej typu gwiazdy tranzyt bramy umożliwia ułożonym promieniście sieciom wirtualnym współużytkowanie bramy sieci VPN znajdującej się w centrum, zamiast wdrażać bramy sieci VPN w każdej promienistej sieci wirtualnej. Trasy do połączonych z bramą sieci wirtualnych lub sieci lokalnych są propagowane do tabel routingu dla równorzędnych sieci wirtualnych przy użyciu tranzytu bramy.
Automatyczne propagowanie tras z bramy sieci VPN można wyłączyć. Utwórz tabelę routingu za pomocą opcji „Wyłącz propagację tras BGP” i skojarz tabelę routingu z podsieciami, aby zapobiec dystrybucji tras do tych podsieci. Aby uzyskać więcej informacji, zobacz Virtual network routing table (Tabela routingu sieci wirtualnej).
Uwaga
Jeśli wprowadzisz zmianę w topologii sieci i masz klientów sieci VPN z systemem Windows, pakiet klienta sieci VPN dla klientów z systemem Windows musi zostać pobrany i zainstalowany ponownie, aby zmiany zostały zastosowane do klienta.
Wymagania wstępne
Ten artykuł wymaga następujących sieci wirtualnych i uprawnień.
Sieci wirtualne
| Sieć wirtualna | Kroki w konfiguracji | Brama sieci wirtualnej |
|---|---|---|
| Hub-RM | Resource Manager | Tak |
| Szprycha -RM | Resource Manager | Nie. |
Uprawnienia
Konta używane do tworzenia wirtualnych sieci równorzędnych muszą mieć niezbędne role lub uprawnienia. W poniższym przykładzie w przypadku komunikacji równorzędnej dwóch sieci wirtualnych o nazwach Hub-RM i Spoke-Classic konto musi mieć następujące role lub uprawnienia dla każdej sieci wirtualnej:
| Sieć wirtualna | Model wdrażania | Rola | Uprawnienia |
|---|---|---|---|
| Hub-RM | Resource Manager | Współautor sieci | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Szprycha -RM | Resource Manager | Współautor sieci | Microsoft.Network/virtualNetworks/peer |
Dowiedz się więcej na temat wbudowanych ról i przypisywania określonych uprawnień do ról niestandardowych (tyko usługa Resource Manager).
Aby dodać komunikację równorzędną i włączyć tranzyt
W witrynie Azure Portal utwórz lub zaktualizuj komunikację równorzędną sieci wirtualnych z poziomu usługi Hub-RM. Przejdź do sieci wirtualnej Hub-RM . Wybierz pozycję Komunikacje równorzędne, a następnie pozycję + Dodaj, aby otworzyć pozycję Dodaj komunikację równorzędną.
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości podsumowania zdalnej sieci wirtualnej.
- Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: SpokeRMToHubRM
- Model wdrażania sieci wirtualnej: Resource Manager
- Wiem, że mój identyfikator zasobu: pozostaw puste. Musisz wybrać tę opcję tylko wtedy, gdy nie masz dostępu do odczytu do sieci wirtualnej lub subskrypcji, z którą chcesz pracować równorzędnie.
- Subskrypcja: wybierz subskrypcję.
- Sieć wirtualna: szprycha -RM
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości ustawień komunikacji równorzędnej zdalnej sieci wirtualnej.
- Zezwól "Spoke-RM" na dostęp do "Hub-RM": pozostaw wartość domyślną wybranej.
- Zezwól "Spoke-RM" na odbieranie przekazywanego ruchu z "Hub-RM": zaznacz pole wyboru.
- Zezwalaj bramie lub serwerowi routingu w równorzędnej sieci wirtualnej na przekazywanie ruchu do "Hub-RM": pozostaw wartość domyślną niezaznaczonego.
- Włącz funkcję "SpokeRM", aby użyć bramy zdalnej "Hub-RM" lub serwera tras: zaznacz pole wyboru.
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości podsumowania lokalnej sieci wirtualnej.
- Nazwa łącza komunikacji równorzędnej: nadaj linkowi nazwę. Przykład: HubRMToSpokeRM
Na stronie Dodawanie komunikacji równorzędnej skonfiguruj wartości ustawień lokalnej komunikacji równorzędnej sieci wirtualnych.
- Zezwól usłudze "Hub-RM" na dostęp do równorzędnej sieci wirtualnej: pozostaw wartość domyślną wybranej.
- Zezwól usłudze "Hub-RM" na odbieranie przekazywanego ruchu z równorzędnej sieci wirtualnej: zaznacz pole wyboru.
- Zezwalaj na przekazywanie ruchu do równorzędnej sieci wirtualnej za pomocą bramy lub serwera tras w usłudze "Hub-RM": zaznacz pole wyboru.
- Włącz opcję "Hub-RM", aby użyć bramy zdalnej sieci wirtualnej równorzędnej lub serwera routingu: pozostaw wartość domyślną niezaznaczonej.
Wybierz pozycję Dodaj , aby utworzyć komunikację równorzędną.
Sprawdź stan komunikacji równorzędnej jako Połączono w obu sieciach wirtualnych.
Aby zmodyfikować istniejącą komunikację równorzędną na potrzeby przesyłania
Jeśli masz już istniejącą komunikację równorzędną, możesz zmodyfikować komunikację równorzędną na potrzeby przesyłania.
Przejdź do sieci wirtualnej. Wybierz pozycję Komunikacje równorzędne i wybierz komunikację równorzędną, którą chcesz zmodyfikować. Na przykład w sieci wirtualnej Szprycha-RM wybierz komunikację równorzędną SpokeRMtoHubRM.
Zaktualizuj komunikację równorzędną sieci wirtualnych.
Włącz opcję "Spoke-RM", aby użyć bramy zdalnej "Hub-RM" lub serwera tras: zaznacz pole wyboru.
Zapisz ustawienia komunikacji równorzędnej.
Przykładowy skrypt programu PowerShell
Możesz również użyć programu PowerShell, aby utworzyć lub zaktualizować komunikację równorzędną. Zastąp zmienne nazwami swoich sieci wirtualnych i grup zasobów.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Następne kroki
- Dowiedz się więcej o ograniczeniach i zachowaniu komunikacji równorzędnej sieci wirtualnej i ustawieniach komunikacji równorzędnej sieci wirtualnej przed utworzeniem komunikacji równorzędnej sieci wirtualnej w środowisku produkcyjnym.
- Dowiedz się, jak utworzyć topologię sieciową gwiazdy z komunikacją równorzędną sieci wirtualnej i tranzytem bramy.
- Utwórz komunikację równorzędną sieci wirtualnych z tym samym modelem wdrażania.
- Utwórz komunikację równorzędną sieci wirtualnych z różnymi modelami wdrażania.