Conectar uma rede virtual a um circuito do ExpressRoute usando a CLI do Azure

  • Artigo

Este artigo mostra a você como vincular redes virtuais (VNets) aos circuitos do Azure ExpressRoute usando a CLI do Azure. Para vincular usando a CLI do Azure, as redes virtuais devem ser criadas usando o modelo de implantação do Resource Manager. Elas podem estar na mesma assinatura ou fazer parte de outra assinatura. Se quiser usar um método diferente para conectar sua VNet a um circuito de ExpressRoute, você poderá selecionar um artigo na lista a seguir:

Diagram showing a virtual network linked to an ExpressRoute circuit.

Pré-requisitos

  • Você precisa da versão mais recente da CLI (interface de linha de comando). Para obter mais informações, consulte Instalar a CLI do Azure.

  • Analise os pré-requisitos, os requisitos de roteamento e os fluxos de trabalho antes de começar a configuração.

  • Você deve ter um circuito do ExpressRoute ativo.

    • Siga as instruções para criar um circuito do ExpressRoute e para que o circuito seja habilitado pelo provedor de conectividade.
    • Verifique se o emparelhamento privado do Azure está configurado para seu circuito. Veja o artigo Configurar roteamento para obter instruções sobre roteamento.
    • Verifique se o emparelhamento particular do Azure está configurado. O emparelhamento via protocolo BGP entre sua rede e a Microsoft precisa estar estabelecido para que você possa habilitar a conectividade de ponta a ponta.
    • Verifique se tem uma rede virtual e um gateway de rede virtual criados e totalmente provisionados. Siga as instruções para Configurar um gateway de rede virtual para ExpressRoute. Certifique-se de usar --gateway-type ExpressRoute.

  • Você pode vincular até 10 redes virtuais a um circuito de ExpressRoute padrão. Todas as redes virtuais deverão estar na mesma região geopolítica ao usar um circuito de ExpressRoute padrão.

  • Uma única VNet pode ser vinculada a até 16 circuitos de ExpressRoute. Use o processo a seguir para criar um objeto de conexão para cada circuito do ExpressRoute ao qual você está se conectando. Os circuitos de ExpressRoute podem estar na mesma assinatura, assinaturas diferentes ou uma mistura de ambos.

  • Se habilitar o complemento premium do ExpressRoute, você poderá vincular redes virtuais fora da região geopolítica do circuito do ExpressRoute. O complemento premium também permitirá que você conecte mais de 10 redes virtuais ao circuito do ExpressRoute, dependendo da largura de banda escolhida. Confira as perguntas frequentes para obter mais detalhes sobre o complemento premium.

  • Para criar a conexão do circuito do ExpressRoute com o gateway de rede virtual do ExpressRoute de destino, o número de espaços de endereço anunciados das redes virtuais locais ou emparelhadas precisa ser igual ou menor que 200. Depois que a conexão tiver sido criada com êxito, você poderá adicionar mais espaços de endereço, até 1.000, às redes virtuais locais ou emparelhadas.

  • Examine as diretrizes de conectividade entre redes virtuais no ExpressRoute.

Conectar uma rede virtual na mesma assinatura a um circuito

Você pode conectar um gateway de rede virtual a um circuito do ExpressRoute usando o exemplo. Verifique se o gateway de rede virtual foi criado e se está pronto para vinculação antes de executar o comando.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Conectar uma rede virtual em uma assinatura diferente a um circuito

Você pode compartilhar um circuito do ExpressRoute entre várias assinaturas. A figura a seguir mostra um esquema simples de como funciona o compartilhamento de circuitos do ExpressRoute entre várias assinaturas.

Observação

Não há suporte para a conexão de redes virtuais entre nuvens soberanas do Azure e a nuvem pública do Azure. Você só pode vincular redes virtuais de assinaturas diferentes na mesma nuvem.

Cada uma das nuvens menores dentro da nuvem grande é usada para representar assinaturas pertencentes a diferentes departamentos dentro de uma organização. Cada um dos departamentos dentro da organização usa a própria assinatura para implantar os serviços deles, mas podem compartilhar um circuito do ExpressRoute para se conectar de volta à sua rede local. Um único departamento (neste exemplo: TI) pode ter o circuito do ExpressRoute. Outras assinaturas dentro da organização podem usar o circuito do ExpressRoute.

Observação

As cobranças por conectividade e largura de banda do circuito dedicado serão aplicadas ao proprietário do circuito de ExpressRoute. Todas as redes virtuais compartilham a mesma largura de banda.

Cross-subscription connectivity

Administração – proprietários e usuários do circuito

O 'proprietário do circuito' é um usuário avançado autorizado do recurso de circuito de ExpressRoute. O proprietário do circuito pode criar autorizações que podem ser resgatadas pelos 'usuários do circuito'. Os Usuários do Circuito são proprietários de gateways de rede virtual que não estão na mesma assinatura que o circuito do ExpressRoute. Usuários do circuito podem resgatar autorizações (uma autorização por rede virtual).

O proprietário do circuito tem a capacidade de modificar e revogar autorizações a qualquer momento. Revogar uma autorização faz com que todas as conexões de links sejam excluídas da assinatura cujo acesso foi revogado.

Observação

O proprietário do circuito não é uma função RBAC interna ou definida no recurso do ExpressRoute. A definição de proprietário do circuito é toda função com o seguinte acesso:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Isso inclui as funções internas, como Colaborador, Proprietário e Colaborador de rede. Descrição detalhada para as diferentes funções internas.

Operações do proprietário do circuito

Criar uma autorização

O proprietário do circuito cria uma autorização, que, por sua vez, cria uma chave de autorização que pode ser usada por um usuário do circuito para conectar os respectivos gateways de rede virtual ao circuito do ExpressRoute. Uma autorização é válida apenas para uma conexão.

O exemplo a seguir mostra como criar uma autorização:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

A resposta para isso conterá a chave de autorização e o status:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

Examinar autorizações

O proprietário do circuito pode examinar todas as autorizações emitidas em um circuito específico executando o seguinte exemplo:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

Adicionar autorizações

O proprietário do circuito pode adicionar autorizações usando o exemplo a seguir:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Excluir autorizações

O proprietário do circuito pode revogar/excluir autorizações usando o exemplo a seguir:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Operações do usuário do circuito

O usuário do circuito precisa da ID do par e de uma chave de autorização do proprietário do circuito. A chave de autorização é um GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

Resgatar uma autorização de conexão

O usuário de circuito pode executar o seguinte exemplo para resgatar uma autorização de vínculo:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Liberar uma autorização de conexão

É possível liberar uma autorização excluindo a conexão que vincula o circuito do ExpressRoute à rede virtual.

Modificar uma conexão de rede virtual

Você pode atualizar determinadas propriedades de uma conexão de rede virtual.

Atualizar o peso da conexão

Sua rede virtual pode ser conectada a vários circuitos do ExpressRoute. Você pode receber o mesmo prefixo de mais de um circuito do ExpressRoute. Para escolher à qual conexão enviar o tráfego destinado a esse prefixo, você pode alterar RoutingWeight de uma conexão. O tráfego será enviado na conexão com o RoutingWeight mais alto.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

O intervalo de RoutingWeight é de 0 a 32.000. O valor padrão é 0.

Configurar o ExpressRoute FastPath

Você poderá habilitar o ExpressRoute FastPath se o gateway de rede virtual for de Ultradesempenho ou ErGw3AZ. O FastPath aprimora o desempenho do caminho de dados, como pacotes por segundo e conexões por segundo entre sua rede local e sua rede virtual.

Configurar o FastPath em uma nova conexão

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Como atualizar uma conexão existente para habilitar o FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

Observação

Você pode usar Monitor da Conexão para verificar se o tráfego está atingindo o destino usando FastPath.

Se inscrever nos recursos FastPath do ExpressRoute (versão prévia)

O suporte do FastPath para o emparelhamento de rede virtual agora está em versão prévia pública. O registro só está disponível por meio do Azure PowerShell. Confira a versão prévia dos recursos do FastPathpara obter instruções sobre como se inscrever.

Observação

Todas as conexões configuradas para o FastPath na assinatura de destino serão inscritas nesta versão prévia. Não aconselhamos habilitar essa versão prévia em assinaturas de produção. Se você já tiver o FastPath configurado e quiser se inscrever na versão prévia do recurso, você precisará fazer o seguinte:

  1. Inscreva-se na versão prévia do recurso do FastPath com o comando do Azure PowerShell acima.
  2. Desabilite e, em seguida, habilite novamente o FastPath na conexão de destino.

Limpar recursos

Se você não precisar mais da conexão do ExpressRoute, na assinatura em que o gateway está localizado, use o comando az network vpn-connection delete para remover o vínculo entre o gateway e o circuito.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

Próximas etapas

Neste tutorial, você aprendeu a conectar uma rede virtual a um circuito na mesma assinatura e em uma assinatura diferente. Para obter mais informações sobre gateways de ExpressRoute, consulte: Gateways de rede virtual do ExpressRoute.

Para saber como configurar filtros de rota para emparelhamento da Microsoft usando a CLI do Azure, avance para o próximo tutorial.

Configurar os filtros de rota para o emparelhamento da Microsoft