Conectar uma rede virtual a um circuito de Rota Expressa usando a CLI do Azure

  • Artigo

Este artigo mostra como vincular redes virtuais (VNets) a circuitos de Rota Expressa do Azure usando a CLI do Azure. Para vincular usando a CLI do Azure, as redes virtuais devem ser criadas usando o modelo de implantação do Gerenciador de Recursos. Eles podem estar na mesma assinatura ou fazer parte de outra assinatura. Se você quiser usar um método diferente para conectar sua VNet a um circuito de Rota Expressa, você pode selecionar um artigo na lista a seguir:

Diagram showing a virtual network linked to an ExpressRoute circuit.

Pré-requisitos

  • Você precisa da versão mais recente da interface de linha de comando (CLI). Para obter mais informações, consulte Instalar a CLI do Azure.

  • Revise os pré-requisitos, os requisitos de roteamento e os fluxos de trabalho antes de iniciar a configuração.

  • Deve ter um circuito ExpressRoute ativo.

    • Siga as instruções para criar um circuito de Rota Expressa e ter o circuito ativado pelo seu provedor de conectividade.
    • Certifique-se de ter o emparelhamento privado do Azure configurado para o seu circuito. Consulte o artigo configurar roteamento para obter instruções de roteamento .
    • Verifique se o emparelhamento privado do Azure está configurado. O emparelhamento BGP entre sua rede e a Microsoft deve ser estabelecido para que você possa habilitar a conectividade de ponta a ponta.
    • Certifique-se de ter uma rede virtual e um gateway de rede virtual criados e totalmente provisionados. Siga as instruções para Configurar um gateway de rede virtual para a Rota Expressa. Certifique-se de usar --gateway-type ExpressRouteo .

  • Você pode conectar até 10 redes virtuais a um circuito de Rota Expressa padrão. Todas as redes virtuais devem estar na mesma região geopolítica ao usar um circuito de Rota Expressa padrão.

  • Uma única VNet pode ser ligada a até 16 circuitos de Rota Expressa. Use o processo a seguir para criar um novo objeto de conexão para cada circuito de Rota Expressa ao qual você está se conectando. Os circuitos da Rota Expressa podem estar na mesma assinatura, em assinaturas diferentes ou em uma combinação de ambas.

  • Se você habilitar o complemento premium ExpressRoute, poderá vincular redes virtuais fora da região geopolítica do circuito ExpressRoute. O complemento premium também permitirá que você conecte mais de 10 redes virtuais ao seu circuito ExpressRoute, dependendo da largura de banda escolhida. Consulte as FAQ para obter mais detalhes sobre o add-on premium.

  • Para criar a conexão do circuito ExpressRoute com o gateway de rede virtual ExpressRoute de destino, o número de espaços de endereço anunciados das redes virtuais locais ou emparelhadas precisa ser igual ou inferior a 200. Depois que a conexão for criada com êxito, você poderá adicionar espaços de endereço adicionais, até 1.000, às redes virtuais locais ou emparelhadas.

  • Reveja as orientações para a conectividade entre redes virtuais através da Rota Expressa.

Conectar uma rede virtual na mesma assinatura a um circuito

Você pode conectar um gateway de rede virtual a um circuito de Rota Expressa usando o exemplo. Verifique se o gateway de rede virtual foi criado e está pronto para vinculação antes de executar o comando.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Ligar uma rede virtual de uma subscrição diferente a um circuito (Connect a virtual network in a different subscription to a circuit)

Você pode compartilhar um circuito de Rota Expressa em várias assinaturas. A figura a seguir mostra um esquema simples de como o compartilhamento funciona para circuitos de Rota Expressa em várias assinaturas.

Nota

Não há suporte para a conexão de redes virtuais entre as nuvens soberanas do Azure e a nuvem pública do Azure. Você só pode vincular redes virtuais de diferentes assinaturas na mesma nuvem.

Cada uma das nuvens menores dentro da nuvem grande é usada para representar assinaturas que pertencem a diferentes departamentos dentro de uma organização. Cada um dos departamentos dentro da organização usa sua própria assinatura para implantar seus serviços, mas eles podem compartilhar um único circuito de Rota Expressa para se conectar novamente à sua rede local. Um único departamento (neste exemplo: TI) pode possuir o circuito ExpressRoute. Outras assinaturas dentro da organização podem usar o circuito ExpressRoute.

Nota

As taxas de conectividade e largura de banda para o circuito dedicado serão aplicadas ao proprietário do circuito de rota expressa. Todas as redes virtuais compartilham a mesma largura de banda.

Cross-subscription connectivity

Administração - Proprietários de Circuitos e Utilizadores de Circuitos

O 'Proprietário do Circuito' é um Utilizador Avançado autorizado do recurso de circuito ExpressRoute. O Proprietário do Circuito pode criar autorizações que podem ser resgatadas pelos 'Usuários do Circuito'. Circuito Os usuários são proprietários de gateways de rede virtual que não estão dentro da mesma assinatura que o circuito de Rota Expressa. Os usuários do circuito podem resgatar autorizações (uma autorização por rede virtual).

O Proprietário do Circuito tem o poder de modificar e revogar autorizações a qualquer momento. Quando uma autorização é revogada, todas as conexões de link são excluídas da assinatura cujo acesso foi revogado.

Nota

O proprietário do circuito não é uma função RBAC interna ou definida no recurso ExpressRoute. A definição de proprietário do circuito é qualquer função com o seguinte acesso:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Isso inclui as funções internas, como Colaborador, Proprietário e Colaborador de Rede. Descrição detalhada das diferentes funções internas.

Operações do proprietário do circuito

Para criar uma autorização

O proprietário do circuito cria uma autorização, que cria uma chave de autorização a ser usada por um usuário do circuito para conectar seus gateways de rede virtual ao circuito da Rota Expressa. Uma autorização é válida para apenas uma conexão.

O exemplo a seguir mostra como criar uma autorização:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

A resposta contém a chave de autorização e o status:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

Para rever autorizações

O proprietário do circuito pode revisar todas as autorizações emitidas em um circuito específico executando o seguinte exemplo:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

Para adicionar autorizações

O proprietário do circuito pode adicionar autorizações usando o seguinte exemplo:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Para excluir autorizações

O proprietário do circuito pode revogar/excluir autorizações para o usuário executando o seguinte exemplo:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Operações do usuário do circuito

O Utilizador do Circuito necessita do ID do par e de uma chave de autorização do Proprietário do Circuito. A chave de autorização é um GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

Para resgatar uma autorização de conexão

O usuário do circuito pode executar o seguinte exemplo para resgatar uma autorização de link:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Para liberar uma autorização de conexão

Você pode liberar uma autorização excluindo a conexão que vincula o circuito ExpressRoute à rede virtual.

Modificar uma conexão de rede virtual

Você pode atualizar determinadas propriedades de uma conexão de rede virtual.

Para atualizar o peso da conexão

Sua rede virtual pode ser conectada a vários circuitos de Rota Expressa. Você pode receber o mesmo prefixo de mais de um circuito ExpressRoute. Para escolher qual conexão enviar tráfego destinado a esse prefixo, você pode alterar RoutingWeight de uma conexão. O tráfego será enviado na conexão com o maior Peso de Roteamento.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

O intervalo de RoutingWeight é de 0 a 32000. O valor predefinido é 0.

Configurar ExpressRoute FastPath

Você pode habilitar o ExpressRoute FastPath se o gateway de rede virtual for Ultra Performance ou ErGw3AZ. O FastPath melhora o desempenho do caminho de dados, como pacotes por segundo e conexões por segundo entre a rede local e a rede virtual.

Configurar o FastPath em uma nova conexão

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Atualizando uma conexão existente para habilitar o FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

Nota

Você pode usar o Monitor de Conexão para verificar se o tráfego está chegando ao destino usando o FastPath.

Inscrever-se nos recursos do ExpressRoute FastPath (visualização)

O suporte do FastPath para emparelhamento de rede virtual agora está em visualização pública. O registro só está disponível por meio do Azure PowerShell. Para obter instruções sobre como se inscrever, consulte Recursos de visualização do FastPath.

Nota

Todas as conexões configuradas para o FastPath na assinatura de destino serão inscritas nesta visualização. Não aconselhamos a ativação desta pré-visualização em subscrições de produção. Se você já tiver o FastPath configurado e quiser se inscrever no recurso de visualização, precisará fazer o seguinte:

  1. Inscreva-se no recurso de visualização do FastPath com o comando do Azure PowerShell acima.
  2. Desative e reative o FastPath na conexão de destino.

Clean up resources (Limpar recursos)

Se você não precisar mais da conexão ExpressRoute, da assinatura onde o gateway está localizado, use o comando para remover o link entre o gateway e o az network vpn-connection delete circuito.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

Próximos passos

Neste tutorial, você aprendeu como conectar uma rede virtual a um circuito na mesma assinatura e em uma assinatura diferente. Para obter mais informações sobre o gateway de Rota Expressa, consulte: Gateways de rede virtual de Rota Expressa.

Para saber como configurar filtros de rota para emparelhamento da Microsoft usando a CLI do Azure, avance para o próximo tutorial.

Configurar filtros de rota para o peering da Microsoft