Configurar o tráfego do gateway de VPN para o emparelhamento de rede virtual
Este artigo ajuda você a configurar o tráfego de gateway para o emparelhamento de rede virtual. O emparelhamento de rede virtual conecta diretamente duas redes virtuais do Azure, mesclando as duas redes virtuais em uma para fins de conectividade. Trânsito de gateway é uma propriedade de emparelhamento que permite que uma rede virtual use o gateway de VPN na rede virtual emparelhada para conectividade entre locais ou de VNET a VNET.
O diagrama a seguir mostra como o tráfego de gateway funciona com o emparelhamento de rede virtual. No diagrama, o trânsito de gateway permite que as redes virtuais emparelhadas usem o gateway de VPN do Azure no Hub-RM. A conectividade disponível no gateway de VPN, incluindo as conexões S2S, P2S e VNET a VNET, aplica-se a todas as três redes virtuais.
A opção de trânsito está disponível para emparelhamento entre os mesmos modelos de implantação ou modelos de implantação diferentes e pode ser usada com todas as SKUs do Gateway de VPN, exceto a SKU Básica. Se você estiver configurando o trânsito entre diferentes modelos de implantação, a rede virtual do hub e o gateway de rede virtual devem estar no modelo de implantação do Resource Manager, e não no modelo de implantação clássico herdado.
Na arquitetura de rede de hub e spoke, um trânsito de gateway permite que redes virtuais de spoke compartilhem o gateway de VPN no hub, em vez de implantar gateways de VPN em cada rede virtual de spoke. As rotas para as redes virtuais conectadas pelo gateway ou das redes locais se propagam para as tabelas de roteamento das redes virtuais emparelhadas usando o trânsito de gateway.
Você pode desabilitar a propagação automática de rota no gateway de VPN. Crie uma tabela de roteamento com a opção "Desabilitar propagação de rotas BGP" e associe a tabela de roteamento às sub-redes para evitar a distribuição de rota para essas sub-redes. Para obter mais informações, consulte Tabela de roteamento de rede virtual.
Este artigo descreve dois cenários. Selecione o cenário que se aplica ao seu ambiente. A maioria das pessoas usam o cenário Mesmo de modelo de implantação. Se você não estiver trabalhando com uma VNet do modelo de implantação clássico (VNet herdada) que já existe em seu ambiente, não precisará trabalhar com o cenário Modelos de implantação diferentes.
- Mesmo modelo de implantação: ambas as redes virtuais são criadas no modelo de implantação do Resource Manager.
- Modelos de implantação diferentes: a rede virtual do spoke é criada no modelo de implantação clássico e a rede virtual do hub e o gateway estão no modelo de implantação do Resource Manager. Esse cenário é útil quando você precisa conectar uma VNet herdada que já existe no modelo de implantação clássico.
Observação
Se você fizer uma alteração na topologia de rede e tiver clientes VPN do Windows, o pacote de cliente VPN para clientes do Windows deve ser baixado e instalado novamente para que as alterações sejam aplicadas ao cliente.
Pré-requisitos
Este artigo requer as seguintes VNets e permissões. Se você não estiver trabalhando com o cenário de modelo de implantação diferente, não precisará criar a VNet clássica.
Redes virtuais
| VNET | Etapas de configuração | Gateway de rede virtual |
|---|---|---|
| Hub-RM | Resource Manager | Sim |
| Spoke-RM | Resource Manager | Não |
| Spoke-Classic | Clássico | Não |
Permissões
As contas usadas para criar um emparelhamento de rede virtual precisam ter as funções ou as permissões necessárias. No exemplo abaixo, se você emparelhar duas redes virtuais de nomes Hub-RM e Spoke-Classic, sua conta deverá ter as seguintes funções ou permissões para cada rede virtual:
| VNET | Modelo de implantação | Função | Permissões |
|---|---|---|---|
| Hub-RM | Gerenciador de Recursos | Colaborador de rede | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Clássico | Colaborador de rede clássica | N/D | |
| Spoke-Classic | Gerenciador de Recursos | Colaborador de rede | Microsoft.Network/virtualNetworks/peer |
| Clássico | Colaborador de rede clássica | Microsoft.ClassicNetwork/virtualNetworks/peer |
Saiba mais sobre funções internas e como atribuir permissões específicas a funções personalizadas (somente para o Resource Manager).
Mesmo modelo de implantação
Esse é o cenário mais comum. Nesse cenário, ambas as redes virtuais estão no modelo de implantação do Resource Manager. Siga as instruções abaixo para criar ou atualizar os emparelhamentos de rede virtual para permitir o trânsito de gateway.
Para adicionar um emparelhamento e habilitar o trânsito
No Portal do Azure, crie ou atualize o emparelhamento de rede virtual a partir do Hub-RM. Vá até a rede virtual Hub-RM. Selecione Emparelhamentos e + Adicionar para abrir Adicionar emparelhamento.
Na página Adicionar emparelhamento, configure os valores dessa rede virtual.
Nome do link de emparelhamento: nomeie o link. Exemplo: HubRMToSpokeRM
Tráfego para a rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual: Usar o gateway desta rede virtual ou o Servidor de Rota
Na mesma página, continue para configurar os valores para a rede virtual remota.
Nome do link de emparelhamento: nomeie o link. Exemplo: SpokeRMtoHubRM
Modelo de implantação de rede virtual: selecione Resource Manager
Sei minha ID do recurso: deixar em branco. Você só precisará selecionar essa opção se não tiver acesso de leitura à rede virtual ou à assinatura que você deseja emparelhar.
Assinatura: selecione a assinatura.
Rede virtual: Spoke-RM
Tráfego para a rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual: Usar o gateway da rede virtual remota ou o Servidor de Rota
Selecione Adicionar para criar o emparelhamento.
Confirme se o status de emparelhamento está como Conectado" em ambas as redes virtuais.
Modificar um emparelhamento existente para trânsito
Se você já tiver um emparelhamento, poderá modificá-lo para trânsito.
Acesse a rede virtual. Selecione Emparelhamentos e escolha o emparelhamento que deseja modificar. Por exemplo, na VNet Spoke-RM, selecione o emparelhamento SpokeRMtoHubRM.
Atualize o Emparelhamento VNET.
- Tráfego para a rede virtual remota: Permitir
- Tráfego encaminhado para a rede virtual; Permitir
- Gateway de rede virtual ou Servidor de Rota: Usar o gateway da rede virtual remota ou o Servidor de Rota
Salve as configurações de emparelhamento.
Exemplo do PowerShell
Use também o PowerShell para criar ou atualizar o emparelhamento. Substitua as variáveis pelos nomes das redes virtuais e dos grupos de recursos.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Modelos de implantação diferentes
Nessa configuração, o spoke VNet spoke-classic da VNet spoke está no modelo de implantação clássico e o hub VNet Hub-RM está no modelo de implantação Resource Manager. Ao configurar o trânsito entre modelos de implantação, o gateway de rede virtual deve ser configurado para a VNet do Resource Manager, não para a VNet clássica.
Nessa configuração, você só precisa configurar a rede virtual Hub-RM. Você não precisa configurar nada na VNet Spoke-Classic.
No portal do Azure, acesse a rede virtual Hub-RM, selecione Emparelhamentos, e, em seguida, + Adicionar.
Na página Adicionar emparelhamento, configure os seguintes valores:
Nome do link de emparelhamento: nomeie o link. Exemplo: HubRMToClassic
Tráfego para a rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual ou Servidor de Rota: Usar o gateway da rede virtual ou o Servidor de Rota
Nome do link de emparelhamento: esse valor desaparece quando você seleciona Clássico como o modelo de implantação de rede virtual.
Modelo de implantação de rede virtual: Clássico
Sei minha ID do recurso: deixar em branco. Você só precisará selecionar essa opção se não tiver acesso de leitura à rede virtual ou à assinatura que você deseja emparelhar.
Verifique se a assinatura está correta e, em seguida, selecione a rede virtual no menu suspenso.
Selecione Adicionar para adicionar o emparelhamento.
Verifique o status de emparelhamento como "Conectado" na rede virtual Hub-RM.
Nessa configuração, você não precisa configurar nada na rede virtual Spoke-Classic. Depois que o status mostrar Conectado, as redes virtuais de spoke poderão começar a usar a conectividade por meio do gateway de VPN na rede virtual de hub.
Exemplo do PowerShell
Use também o PowerShell para criar ou atualizar o emparelhamento. Substitua a variáveis e a ID da assinatura pelos valores de rede virtual, dos grupos de recursos e da assinatura. Você precisa apenas criar o emparelhamento de rede virtual em uma rede virtual de hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Próximas etapas
- Saiba mais sobre as restrições e os comportamentos do emparelhamento de rede virtual e as configurações de emparelhamento de rede virtual antes de criar um emparelhamento de rede virtual para uso em produção.
- Saiba como criar uma topologia de rede hub e spoke com o emparelhamento de rede virtual e o trânsito de gateway.
- Criar um emparelhamento de rede virtual com o mesmo modelo de implantação.
- Criar um emparelhamento de rede virtual com modelos de implantação diferentes.