Поделиться через


Настройка транзита VPN-шлюзов для пиринга между виртуальными сетями

С помощью сведений, приведенных в этой статье, вы сможете настроить транзит шлюзов для пиринга между виртуальными сетями. Пиринг между виртуальными сетями соединяет две виртуальные сети Azure, объединяя их в одну в целях подключения. Транзит через шлюз — это свойство пиринга, которое позволяет одной виртуальной сети использовать VPN-шлюз в одноранговой виртуальной сети для подключений между локальными сетями или подключений "виртуальная сеть — виртуальная сеть".

На следующей схеме показано, как транзит шлюзов работает с пирингом между виртуальными сетями. На схеме транзит шлюзов позволяет одноранговым виртуальным сетям использовать VPN-шлюз Azure в концентраторе Resource Manager. Подключения к VPN-шлюзу, включая подключения S2S, P2S и "виртуальная сеть — виртуальная сеть", применяются ко всем трем виртуальным сетям.

Схема транзита шлюза.

Параметр транзита можно использовать со всеми VPN-шлюз номера SKU, кроме номера SKU "Базовый".

В сетевой архитектуре типа "звезда" транзит шлюза позволяет периферийным виртуальным сетям совместно использовать VPN-шлюз в концентраторе вместо развертывания VPN-шлюзов в каждой периферийной виртуальной сети. Маршруты к подключенным к шлюзу виртуальным сетям или локальным сетям передаются в таблицы маршрутизации для одноранговых виртуальных сетей с помощью транзита шлюза.

Вы можете отключить автоматическое распространение маршрута из VPN-шлюза. Создайте таблицу маршрутизации с параметром Отключить распространение маршрутов BGP и привяжите ее к подсетям, чтобы предотвратить распространение маршрута в этих подсетях. Дополнительные сведения см. в статье Create, change, or delete a route table (Создание, изменение или удаление таблицы маршрутизации).

Примечание.

Если вы внесли изменения в топологию сети и используете VPN-клиенты Windows, необходимо повторно скачать и установить пакет VPN-клиента для клиентов Windows, чтобы изменения были применены к клиентам.

Необходимые компоненты

В этой статье требуются следующие виртуальные сети и разрешения.

Виртуальные сети

Виртуальная сеть Шаги настройки Шлюз виртуальной сети
Hub-RM Resource Manager Да
Spoke-RM Resource Manager No

Разрешения

У учетных записей, используемых для создания пиринга между виртуальными сетями, должны быть необходимые роли или разрешения. В приведенном ниже примере при создании пиринга между двумя виртуальными сетями Hub-RM и Spoke-Classic вашей учетной записи должны быть назначены следующие роли или разрешения для каждой виртуальной сети:

Виртуальная сеть Модель развертывания Роль Разрешения
Hub-RM Resource Manager Участник сети Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM Resource Manager Участник сети Microsoft.Network/virtualNetworks/peer

Подробнее о встроенных ролях и присвоении разрешений, определенных для настраиваемых ролей (только для Resource Manager).

Добавление пиринга и включение транзита

  1. На портале Azure создайте или обновите пиринг между виртуальными сетями (от Hub-RM). Перейдите в виртуальную сеть Hub-RM . Выберите Пиринги, а затем — + Добавить, чтобы открыть страницу Добавить пиринг.

  2. На странице "Добавление пиринга" настройте значения для сводки по удаленной виртуальной сети.

    • Имя пиринговой связи — присвойте связи имя. Пример: SpokeRMToHubRM
    • Модель развертывания виртуальной сети: Resource Manager
    • Я знаю идентификатор ресурса: оставьте пустым. Это необходимо выбрать, только если у вас нет доступа на чтение к виртуальной сети или подписке, с которой вы хотите выполнить пиринг.
    • Подписка: выберите подписку.
    • Виртуальная сеть: Spoke-RM.
  3. На странице "Добавление пиринга" настройте значения для параметров пиринга удаленной виртуальной сети.

    • Разрешить "Spoke-RM" получить доступ к Hub-RM: оставьте значение по умолчанию выбранным.
    • Разрешить "Spoke-RM" получать переадресованный трафик из "Hub-RM": установите флажок.
    • Разрешить шлюзу или серверу маршрутизации в одноранговой виртуальной сети перенаправить трафик в Hub-RM. Оставьте значение по умолчанию не выбрано.
    • Включите "SpokeRM" для использования удаленного шлюза или сервера маршрутов Hub-RM: установите флажок.

    Снимок экрана: добавление пиринга.

  4. На странице "Добавление пиринга" настройте значения для сводки по локальной виртуальной сети.

    • Имя пиринговой связи — присвойте связи имя. Пример: HubRMToSpokeRM.
  5. На странице "Добавление пиринга" настройте значения для параметров пиринга локальной виртуальной сети.

    • Разрешить "Hub-RM" получить доступ к одноранговой виртуальной сети: оставьте значение по умолчанию выбранным.
    • Разрешить "Hub-RM" получать перенаправленный трафик из одноранговой виртуальной сети: установите флажок.
    • Разрешить шлюзу или серверу маршрутизации в Hub-RM перенаправить трафик в пиринговую виртуальную сеть: установите флажок.
    • Включите "Hub-RM" для использования удаленного шлюза или сервера маршрутизации одноранговой виртуальной сети. Оставьте значение по умолчанию не выбрано.

    Снимок экрана: значения для удаленной виртуальной сети.

  6. Для создания пиринга нажмите кнопку Добавить.

  7. Убедитесь, что состояние пиринга для обеих виртуальных сетей следующее: Подключено.

Изменение имеющегося пиринга для транзита

Если у вас уже есть пиринг, можно изменить пиринг для транзита.

  1. Перейдите в виртуальную сеть. Выберите Пиринги, а затем выберите пиринг, который требуется изменить. Например, в виртуальной сети "Периферийный RM" выберите пиринг SpokeRMtoHubRM.

  2. Обновите пиринг между виртуальными сетями.

    Включите параметр "Spoke-RM" для использования удаленного шлюза концентратора RM или сервера маршрутов: установите флажок.

  3. Сохраните параметры пиринга.

Пример для PowerShell

Вы также можете использовать PowerShell для создания или обновления пиринга. Замените переменные именами ваших виртуальных сетей и групп ресурсов.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Следующие шаги