Configurar o trânsito do gateway de VPN para peering de rede virtual
Este artigo ajuda-o a configurar o trânsito do gateway para peering de rede virtual. O Peering de rede virtual liga facilmente duas redes virtuais do Azure, ao intercalar as duas redes virtuais numa só para fins de conectividade. O trânsito de gateway é uma propriedade de emparelhamento que permite que uma rede virtual use o gateway VPN na rede virtual emparelhada para conectividade entre locais ou VNet-to-VNet.
O diagrama seguinte mostra como funciona o trânsito do gateway com peering de rede virtual. No diagrama, o trânsito do gateway permite que as redes virtuais em modo de peering utilizem o gateway de VPN do Azure no Hub-RM. A conectividade disponível no gateway de VPN, incluindo ligações S2S, P2S e VNet a VNet, aplica-se às três redes virtuais.
A opção de trânsito está disponível para emparelhamento entre o mesmo ou diferentes modelos de implantação e pode ser usada com todas as SKUs do Gateway VPN, exceto a SKU Básica. Se você estiver configurando o trânsito entre diferentes modelos de implantação, a rede virtual do hub e o gateway de rede virtual deverão estar no modelo de implantação do Gerenciador de Recursos e não no modelo de implantação clássico herdado.
Na arquitetura de rede hub-and-spoke, o trânsito do gateway permite que as redes virtuais spoke partilhem o gateway de VPN no hub, em vez de implementar gateways de VPN em todas as redes virtuais spoke. As rotas para as redes virtuais conectadas ao gateway ou redes locais se propagam para as tabelas de roteamento para as redes virtuais emparelhadas usando o trânsito de gateway.
Pode desativar a propagação automática da rota do gateway de VPN. Crie uma tabela de encaminhamento com a opção “Desativar propagação de rotas BGP” e associe a tabela de encaminhamento às sub-redes para impedir a distribuição de rotas para essas sub-redes. Para obter mais informações, veja Tabela de encaminhamento da rede virtual.
Há dois cenários neste artigo. Selecione o cenário que se aplica ao seu ambiente. A maioria das pessoas usa o cenário do mesmo modelo de implantação. Se você não estiver trabalhando com um modelo de implantação clássico VNet (VNet herdado) que já existe em seu ambiente, não precisará trabalhar com o cenário Diferentes modelos de implantação.
- Mesmo modelo de implantação: ambas as redes virtuais são criadas no modelo de implantação do Resource Manager.
- Diferentes modelos de implantação: a rede virtual spoke é criada no modelo de implantação clássico e a rede virtual do hub e o gateway estão no modelo de implantação do Resource Manager. Esse cenário é útil quando você precisa conectar uma VNet herdada que já existe no modelo de implantação clássico.
Nota
Se você fizer uma alteração na topologia da sua rede e tiver clientes VPN do Windows, o pacote do cliente VPN para clientes Windows deverá ser baixado e instalado novamente para que as alterações sejam aplicadas ao cliente.
Pré-requisitos
Este artigo requer as seguintes VNets e permissões. Se você não estiver trabalhando com o cenário de modelo de implantação diferente, não precisará criar a VNet clássica.
Redes virtuais
| VNet | Passos de configuração | Gateway de rede virtual |
|---|---|---|
| Hub-RM | Resource Manager | Sim |
| Spoke-RM | Resource Manager | Não |
| Spoke-Classic | Clássico | Não |
Permissões
As contas que utiliza para criar um peering de rede virtual têm de ter as funções ou permissões necessárias. No exemplo abaixo, se você estiver emparelhando as duas redes virtuais chamadas Hub-RM e Spoke-Classic, sua conta deverá ter as seguintes funções ou permissões para cada rede virtual:
| VNet | Modelo de implementação | Role | Permissões |
|---|---|---|---|
| Hub-RM | Gestor de Recursos | Contribuidor de Rede | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Clássico | Contribuidor de Rede Clássica | N/A | |
| Spoke-Classic | Gestor de Recursos | Contribuidor de Rede | Microsoft.Network/virtualNetworks/peer |
| Clássico | Contribuidor de Rede Clássica | Microsoft.ClassicNetwork/virtualNetworks/peer |
Saiba mais sobre funções incorporadas e a atribuição de permissões específicas para funções personalizadas (apenas Resource Manager).
Mesmo modelo de implantação
Este é o cenário mais comum. Nesse cenário, as redes virtuais estão ambas no modelo de implantação do Resource Manager. Use as etapas a seguir para criar ou atualizar os emparelhamentos de rede virtual para habilitar o trânsito de gateway.
Para adicionar um emparelhamento e habilitar o trânsito
No portal do Azure, crie ou atualize o emparelhamento de rede virtual a partir do Hub-RM. Vá para a rede virtual Hub-RM . Selecione Emparelhamento e, em seguida, + Adicionar para abrir Adicionar emparelhamento.
Na página Adicionar emparelhamento, configure os valores para Esta rede virtual.
Nome do link de emparelhamento: nomeie o link. Exemplo: HubRMToSpokeRM
Tráfego para rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual: use o gateway desta rede virtual ou o Servidor de Rotas
Na mesma página, continue a configurar os valores para a rede virtual remota.
Nome do link de emparelhamento: nomeie o link. Exemplo: SpokeRMtoHubRM
Modelo de implantação de rede virtual: Resource Manager
Sei o meu ID de recurso: Deixar em branco. Você só precisa selecionar isso se não tiver acesso de leitura à rede virtual ou assinatura com a qual deseja emparelhar.
Assinatura: Selecione a assinatura.
Rede Virtual: Spoke-RM
Tráfego para rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual: use o gateway da rede virtual remota ou o Servidor de Rotas
Selecione Adicionar para criar o emparelhamento.
Verifique o status de emparelhamento como Conectado em ambas as redes virtuais.
Para modificar um emparelhamento existente para trânsito
Se você já tiver um emparelhamento existente, poderá modificar o emparelhamento para trânsito.
Vá para a rede virtual. Selecione Emparelhamento e selecione o emparelhamento que você deseja modificar. Por exemplo, na VNet Spoke-RM, selecione o emparelhamento SpokeRMtoHubRM.
Atualize o emparelhamento de VNet.
- Tráfego para rede virtual remota: Permitir
- Tráfego encaminhado para rede virtual; Permitir
- Gateway de rede virtual ou Servidor de Rota: use o gateway da rede virtual remota ou o Servidor de Rotas
Salve as configurações de emparelhamento.
Exemplo do PowerShell
Você também pode usar o PowerShell para criar ou atualizar o emparelhamento. Substitua as variáveis pelos nomes dos grupos de recursos e das redes virtuais.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Diferentes modelos de implantação
Nessa configuração, o spoke VNet Spoke-Classic está no modelo de implantação clássico e o hub VNet Hub-RM está no modelo de implantação do Resource Manager. Ao configurar o trânsito entre modelos de implantação, o gateway de rede virtual deve ser configurado para a VNet do Resource Manager, não para a VNet clássica.
Para essa configuração, você só precisa configurar a rede virtual Hub-RM . Você não precisa configurar nada na VNet Spoke-Classic .
No portal do Azure, vá para a rede virtual Hub-RM, selecione Emparelhamento e, em seguida, selecione + Adicionar.
Na página Adicionar emparelhamento, configure os seguintes valores:
Nome do link de emparelhamento: nomeie o link. Exemplo: HubRMToClassic
Tráfego para rede virtual remota: Permitir
Tráfego encaminhado da rede virtual remota: Permitir
Gateway de rede virtual ou Servidor de Rota: use o gateway desta rede virtual ou o Servidor de Rotas
Nome do link de emparelhamento: esse valor desaparece quando você seleciona Clássico para o modelo de implantação de rede virtual.
Modelo de implantação de rede virtual: Clássico
Sei o meu ID de recurso: Deixar em branco. Você só precisa selecionar isso se não tiver acesso de leitura à rede virtual ou assinatura com a qual deseja emparelhar.
Verifique se a assinatura está correta e selecione a rede virtual na lista suspensa.
Selecione Adicionar para adicionar o emparelhamento.
Verifique o status de emparelhamento como Conectado na rede virtual Hub-RM.
Para essa configuração, você não precisa configurar nada na rede virtual Spoke-Classic . Uma vez que o status mostra Conectado, a rede virtual spoke pode usar a conectividade através do gateway VPN na rede virtual do hub.
Exemplo do PowerShell
Você também pode usar o PowerShell para criar ou atualizar o emparelhamento. Substitua as variáveis e o ID de subscrição por valores da sua rede virtual e dos grupos de recursos e da subscrição. Só precisa de criar peering de rede virtual na rede virtual do hub.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Próximos passos
- Saiba mais acerca das restrições e comportamentos do peering de rede virtual e das definições do peering de rede virtual antes de criar um peering de rede virtual para a utilização de produção.
- Saiba como criar uma topologia hub-and-spoke com peering de rede virtual e trânsito do gateway.
- Crie emparelhamento de rede virtual com o mesmo modelo de implantação.
- Crie emparelhamento de rede virtual com diferentes modelos de implantação.