Conectar redes virtuais entre locatários a um hub de WAN Virtual - com a CLI do Azure

Este artigo ajuda você a usar a WAN Virtual do Azure para conectar uma rede virtual a um hub virtual em um locatário diferente. Essa arquitetura será útil se você tiver cargas de trabalho de cliente que devem ser conectadas para serem da mesma rede, mas estiverem em locatários diferentes. Por exemplo, conforme mostrado no diagrama a seguir, você pode conectar uma rede virtual não Contoso (o locatário remoto) a um hub virtual Contoso (o locatário pai).

Neste artigo, você aprenderá como:

• Adicione outro locatário como um Colaborador em sua assinatura do Azure.
• Conecte uma rede virtual entre locatários a um hub virtual.

As etapas para essa configuração usam uma combinação do portal do Azure e da CLI do Azure. No entanto, o recurso em si só está disponível no PowerShell e na CLI do Azure.

Observação

Você pode gerenciar conexões de rede virtual entre locatários somente por meio do PowerShell ou do CLI do Azure instalado em sua máquina local. Como o Portal do Azure não oferece suporte a operações entre locatários, você não pode gerencia conexões de rede virtual entre locatários por meio do portal do Azure ou do CloudShell do portal do Azure (PowerShell e CLI).

Antes de começar

Pré-requisitos

Para usar as etapas descritas neste artigo, você precisará ter a seguinte configuração já definida no ambiente:

• Uma WAN virtual e um hub virtual em sua assinatura pai
• Uma rede virtual configurada em uma assinatura em um locatário diferente (remoto)
• Extensão de WAN Virtual da CLI, versão 0.3.0 ou superior. Para obter mais detalhes sobre a extensão, acesse Extensões disponíveis da CLI do Azure.

Verifique se o espaço do endereço de rede virtual no locatário remoto não se sobrepõe a nenhum outro espaço de endereço em nenhuma outra rede virtual já conectada ao hub virtual pai.

Como trabalhar com a CLI do Azure

Este artigo usa os comandos da CLI do Azure. Para executar os comandos, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.

Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até CloudShell. No menu suspenso superior esquerdo, selecione Bash em vez de PowerShell.

Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

Atribuir permissões

1. Na assinatura da rede virtual no locatário remoto, adicione a atribuição de função Colaborador ao administrador (o usuário que administra o hub virtual). As permissões de colaborador permitirão que o administrador modifique e acesse as redes virtuais no locatário remoto.

   Você pode usar a CLI do Azure ou o portal do Azure para atribuir essa função. Confira os seguintes artigos para obter as etapas:

   • Atribuir funções do Azure usando a CLI do Azure
   • Atribuir funções do Azure usando o portal do Azure

2. Execute o seguinte comando para adicionar a assinatura de locatário remoto e a assinatura de locatário pai à sessão atual do console. Se você estiver conectado ao pai, você precisará executar o comando somente para o locatário remoto.

   az login --tenant "[tenant ID]"
   

3. Verifique se a atribuição de função foi bem-sucedida. Entre na CLI do Azure (caso ainda não esteja) usando as credenciais pai e execute o seguinte comando:

   az account list -o table
   

   Se as permissões foram propagadas com êxito para o pai e adicionadas à sessão, as assinaturas pertencentes ao locatário pai e ao locatário remoto aparecerão na saída do comando.

Conectar uma rede virtual a um hub

Nas etapas a seguir, você usará os comandos da CLI do Azure para vincular um hub virtual a uma rede virtual em uma assinatura de um locatário diferente. Substitua os valores de exemplo para refletir seu próprio ambiente.

1. Verifique se você está no contexto de sua conta do hub virtual:

   az account set --subscriptionId "[virtual hub subscription]"
   

2. Conecte a rede virtual ao hub:

   az network vhub connection create --resource-group "[resource_group_name]" --name "[connection_name]" --vhub-name "[virtual_hub_name]" --remote-vnet "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rgName/providers/Microsoft.Network/virtualNetworks/vnetName"
   

Você pode exibir a nova conexão na CLI do Azure ou no portal do Azure:

• No console, os metadados da conexão recém-criada aparecem se a conexão tiver sido criada com êxito.
• No portal do Azure, acesse o hub virtual e selecione Conectividade>Conexões de Rede Virtual. Em seguida, você pode exibir o ponteiro para a conexão. Para ver o recurso real, você precisará das permissões adequadas.

Solucionar problemas

• Verifique se a extensão de WAN Virtual é 0.3.0 ou superior usando az --version.
• Verifique se o acesso à assinatura remota está disponível na CLI az account list -o table.
• Inclua as aspas em volta dos nomes dos grupos de recursos ou de quaisquer outras variáveis específicas do ambiente (por exemplo, "VirtualHub1" ou "VirtualNetwork1").

Próximas etapas

• Para obter mais informações sobre a WAN Virtual, veja as Perguntas frequentes.