Sanal ağ eşlemesi oluşturma - Resource Manager, farklı abonelikler ve Microsoft Entra kiracıları
Makale
Bu öğreticide Resource Manager aracılığıyla oluşturulan sanal ağlar arasında sanal ağ eşlemesi oluşturmayı öğreneceksiniz. Sanal ağlar farklı Microsoft Entra kiracılarına ait olabilecek farklı aboneliklerde bulunur. İki sanal ağı eşlemek, farklı sanal ağlardaki kaynakların aynı sanal ağdaymış gibi birbirleriyle aynı bant genişliği ve gecikme süresiyle iletişim kurmasını sağlar. Sanal ağ eşlemesi hakkında daha fazla bilgi edinin.
Sanal ağların aynı veya farklı aboneliklerde olup olmadığına bağlı olarak, sanal ağ eşlemesi oluşturma adımları farklıdır. Klasik dağıtım modeliyle oluşturulan ağ eşleme adımları farklıdır. Dağıtım modelleri hakkında daha fazla bilgi için bkz . Azure dağıtım modeli.
Aşağıdaki tablodan senaryoyu seçerek diğer senaryolarda sanal ağ eşlemesi oluşturmayı öğrenin:
Klasik dağıtım modeli aracılığıyla dağıtılan iki sanal ağ arasında sanal ağ eşlemesi oluşturulamaz. Her ikisi de klasik dağıtım modeliyle oluşturulmuş sanal ağları bağlamanız gerekiyorsa, sanal ağları bağlamak için bir Azure VPN Gateway kullanabilirsiniz.
Bu öğretici, aynı bölgedeki sanal ağları eşler. Ayrıca desteklenen farklı bölgelerdeki sanal ağları eşleyebilirsiniz. Sanal ağları eşlemeden önce eşleme gereksinimleri ve kısıtlamaları hakkında bilgi sahibi olun.
Sanal ağ eşlemesi oluşturmak için uygun izinlere sahip her iki abonelikte de izinlere sahip bir Azure hesabı veya her abonelikte bir hesap. İzinlerin listesi için bkz . Sanal ağ eşleme izinleri.
Her kiracıya ait ağı yönetme görevini ayırmak için, kullanıcıyı her kiracıdan karşı kiracıya konuk olarak ekleyin ve sanal ağa Ağ Katkıda Bulunanı rolünü atayın. Bu yordam, sanal ağlar farklı aboneliklerde ve Active Directory kiracılarındaysa geçerlidir.
Her kiracıya ait ağı yönetme görevini ayırmayı amaçlamadığınızda bir ağ eşlemesi oluşturmak için, kullanıcıyı A kiracısından karşı kiracıya konuk olarak ekleyin. Ardından, her abonelikten ağ eşlemesini başlatmak ve bağlamak için onlara Ağ Katkıda Bulunanı rolünü atayın. Bu izinlerle, kullanıcı her abonelikten ağ eşlemesi kurabilir.
Konuk kullanıcılar hakkında daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.
Her kullanıcı, karşı Microsoft Entra kiracısından gelen konuk kullanıcı davetini kabul etmelidir.
Sanal ağ eşlemesi oluşturmak için uygun izinlere sahip her iki abonelikte de izinlere sahip bir Azure hesabı veya her abonelikte bir hesap. İzinlerin listesi için bkz . Sanal ağ eşleme izinleri.
Her kiracıya ait ağı yönetme görevini ayırmak için, kullanıcıyı her kiracıdan karşı kiracıya konuk olarak ekleyin ve sanal ağa Ağ Katkıda Bulunanı rolünü atayın. Bu yordam, sanal ağlar farklı aboneliklerde ve Active Directory kiracılarındaysa geçerlidir.
Her kiracıya ait ağı yönetme görevini ayırmayı amaçlamadığınızda bir ağ eşlemesi oluşturmak için, kullanıcıyı A kiracısından karşı kiracıya konuk olarak ekleyin. Ardından, her abonelikten ağ eşlemesini başlatmak ve bağlamak için onlara Ağ Katkıda Bulunanı rolünü atayın. Bu izinlerle, kullanıcı her abonelikten ağ eşlemesi kurabilir.
Konuk kullanıcılar hakkında daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.
Her kullanıcı, karşı Microsoft Entra kiracısından gelen konuk kullanıcı davetini kabul etmelidir.
Azure PowerShell yerel olarak veya Azure Cloud Shell'de yüklüdür.
Azure PowerShell'de oturum açın ve bu özelliği kullanmak istediğiniz aboneliği seçin. Daha fazla bilgi için bkz . Azure PowerShell ile oturum açma.
Modülünüzün Az.Network 4.3.0 veya üzeri olduğundan emin olun. Yüklü modülü doğrulamak için komutunu Get-InstalledModule -Name "Az.Network"kullanın. Modül bir güncelleştirme gerektiriyorsa, gerekirse komutunu Update-Module -Name Az.Network kullanın.
PowerShell'i yerel olarak yükleyip kullanmayı tercih ederseniz bu makale, Azure PowerShell modülü 5.4.1 veya sonraki bir sürümünü gerektirir. Yüklü sürümü bulmak için Get-Module -ListAvailable Az komutunu çalıştırın. Yükseltmeniz gerekirse, bkz. Azure PowerShell modülünü yükleme. PowerShell'i yerel olarak çalıştırıyorsanız Azure ile bağlantı oluşturmak için de komutunu çalıştırmanız Connect-AzAccount gerekir.
Sanal ağ eşlemesi oluşturmak için uygun izinlere sahip her iki abonelikte de izinlere sahip bir Azure hesabı veya her abonelikte bir hesap. İzinlerin listesi için bkz . Sanal ağ eşleme izinleri.
Her kiracıya ait ağı yönetme görevini ayırmak için, kullanıcıyı her kiracıdan karşı kiracıya konuk olarak ekleyin ve sanal ağa Ağ Katkıda Bulunanı rolünü atayın. Bu yordam, sanal ağlar farklı aboneliklerde ve Active Directory kiracılarındaysa geçerlidir.
Her kiracıya ait ağı yönetme görevini ayırmayı amaçlamadığınızda bir ağ eşlemesi oluşturmak için, kullanıcıyı A kiracısından karşı kiracıya konuk olarak ekleyin. Ardından, her abonelikten ağ eşlemesini başlatmak ve bağlamak için onlara Ağ Katkıda Bulunanı rolünü atayın. Bu izinlerle, kullanıcı her abonelikten ağ eşlemesi kurabilir.
Konuk kullanıcılar hakkında daha fazla bilgi için bkz . Azure portalında Microsoft Entra B2B işbirliği kullanıcıları ekleme.
Her kullanıcı, karşı Microsoft Entra kiracısından gelen konuk kullanıcı davetini kabul etmelidir.
Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.
Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.
İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.
Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.
Bu nasıl yapılır makalesi, Azure CLI'nın 2.31.0 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanılıyorsa en son sürüm zaten yüklüdür.
Aşağıdaki adımlarda, farklı aboneliklerdeki ve Microsoft Entra kiracılarındaki sanal ağları eşlemeyi öğrenin.
Her iki abonelikte de izinleri olan hesabı kullanabilir veya eşlemeyi ayarlamak için her abonelik için ayrı hesaplar kullanabilirsiniz. Her iki abonelikte de izinleri olan bir hesap, oturumu kapatmadan, portalda oturum açmadan ve izin atamadan tüm adımları tamamlayabilir.
Bu makaledeki adımlarda aşağıdaki kaynaklar ve hesap örnekleri kullanılır:
Kullanıcı hesabı
Kaynak grubu
Abonelik
Sanal ağ
kullanıcı-1
test-rg
abonelik-1
vnet-1
kullanıcı-2
test-rg-2
abonelik-2
vnet-2
Sanal ağ oluşturma - vnet-1
Not
Adımları tamamlamak için tek bir hesap kullanıyorsanız portalda oturumu kapatma ve sanal ağlara başka kullanıcı izinleri atama adımlarını atlayabilirsiniz.
Azure, kaynakları bir sanal ağ içindeki bir alt ağa dağıtır, bu nedenle bir alt ağ oluşturmanız gerekir. Add-AzVirtualNetworkSubnetConfig ile subnet-1 adlı bir alt ağ yapılandırması oluşturun:
Eşlemek istediğiniz diğer abonelikteki bir kullanıcı hesabının daha önce oluşturduğunuz ağa eklenmesi gerekir. Her iki abonelik için de tek bir hesap kullanıyorsanız bu bölümü atlayabilirsiniz.
Portalda kullanıcı-1 olarak oturum açmış olarak kalır.
Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.
vnet-1'i seçin.
Erişim denetimi (IAM) öğesini seçin.
+ Ekle ->Rol ataması ekle'yi seçin.
Rol sekmesinde rol atamasıekle bölümünde Ağ Katkıda Bulunanı'nı seçin.
İleri'yi seçin.
Üyeler sekmesinde + Üye seç'i seçin.
Arama kutusundaki Üye seç kutusuna user-2 yazın.
Seç'i seçin.
Gözden geçir + ata'yı seçin.
Gözden geçir + ata'yı seçin.
vnet-1 için kaynak kimliğini almak için Get-AzVirtualNetwork komutunu kullanın. New-AzRoleAssignment ile 2 aboneliğinden vnet-1'euser-2 atayın.
User-2 için nesne kimliğini almak için Get-AzADUser kullanın.
user-2 , bu örnekte kullanıcı hesabı için kullanılır. Bu değeri, vnet-1'e izin atamak istediğiniz abonelik-2 kullanıcısının görünen adıyla değiştirin. Her iki abonelik için de aynı hesabı kullanıyorsanız bu adımı atlayabilirsiniz.
vnet-1 için kaynak kimliğini almak için az network vnet show komutunu kullanın. az role assignment create komutuyla 2. abonelikten vnet-1'euser-2 atayın.
user-2 , bu örnekte kullanıcı hesabı için kullanılır. Bu değeri, vnet-1'e izin atamak istediğiniz abonelik-2 kullanıcısının görünen adıyla değiştirin. Her iki abonelik için de aynı hesabı kullanıyorsanız bu adımı atlayabilirsiniz.
Portalda kullanıcı-1 olarak oturum açmış olarak kalır.
Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.
vnet-1'i seçin.
Ayarlar'da Özellikler'i seçin.
Kaynak Kimliği alanındaki bilgileri kopyalayın ve sonraki adımlar için kaydedin. Kaynak kimliği aşağıdaki örneğe benzer: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Portalda kullanıcı-1 olarak oturumu kapatın.
vnet-2'den vnet-1'e eşleme bağlantısını ayarlamak için vnet-1 kaynak kimliği gereklidir. vnet-1 için kaynak kimliğini almak için Get-AzVirtualNetwork komutunu kullanın.
vnet-2'den vnet-1'e eşleme bağlantısını ayarlamak için vnet-1 kaynak kimliği gereklidir. vnet-1 için kaynak kimliğini almak için az network vnet show komutunu kullanın.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Sanal ağ oluşturma - vnet-2
Bu bölümde, kullanıcı-2 olarak oturum açar ve vnet-1 ile eşleme bağlantısı için bir sanal ağ oluşturursunuz.
Azure, kaynakları bir sanal ağ içindeki bir alt ağa dağıtır, bu nedenle bir alt ağ oluşturmanız gerekir. Add-AzVirtualNetworkSubnetConfig ile subnet-1 adlı bir alt ağ yapılandırması oluşturun:
Eşlemek istediğiniz diğer abonelikteki bir kullanıcı hesabının daha önce oluşturduğunuz ağa eklenmesi gerekir. Her iki abonelik için de tek bir hesap kullanıyorsanız bu bölümü atlayabilirsiniz.
Portalda kullanıcı-2 olarak oturum açmış olarak kalır.
Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.
vnet-2'yi seçin.
Erişim denetimi (IAM) öğesini seçin.
+ Ekle ->Rol ataması ekle'yi seçin.
Rol sekmesinde rol atamasıekle bölümünde Ağ Katkıda Bulunanı'nı seçin.
İleri'yi seçin.
Üyeler sekmesinde + Üye seç'i seçin.
Arama kutusundaki Üye seç kutusuna user-1 yazın.
Seç'i seçin.
Gözden geçir + ata'yı seçin.
Gözden geçir + ata'yı seçin.
vnet-1 için kaynak kimliğini almak için Get-AzVirtualNetwork komutunu kullanın. New-AzRoleAssignment ile 1 aboneliğinden vnet-2'ye user-1 atayın.
User-1 için nesne kimliğini almak için Get-AzADUser kullanın.
user-1 , bu örnekte kullanıcı hesabı için kullanılır. Bu değeri, vnet-2'ye izin atamak istediğiniz abonelik-1 kullanıcısının görünen adıyla değiştirin. Her iki abonelik için de aynı hesabı kullanıyorsanız bu adımı atlayabilirsiniz.
vnet-2 için kaynak kimliğini almak için az network vnet show komutunu kullanın. az role assignment create komutuyla vnet-2'yeabonelik-1'den kullanıcı-1'i atayın.
user-1 için nesne kimliğini almak için az ad user list komutunu kullanın.
user-1 , bu örnekte kullanıcı hesabı için kullanılır. Bu değeri, vnet-2'ye izin atamak istediğiniz abonelik-1 kullanıcısının görünen adıyla değiştirin. Her iki abonelik için de aynı hesabı kullanıyorsanız bu adımı atlayabilirsiniz.
Alan kimliğindeki user-1 nesne kimliğini not edin. Bu örnekte ee0645cc-e439-4ffc-b956-79577e473969 şeklindedir.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee ee0645cc-e439-4ffc-b956-79577e473969 \
--role "Network Contributor" \
--scope $vnetid
vnet-2 kaynak kimliğini alma
vnet-1'den vnet-2'ye eşleme bağlantısını ayarlamak için vnet-2 kaynak kimliği gereklidir. vnet-2 kaynak kimliğini almak için aşağıdaki adımları kullanın.
Portalda kullanıcı-2 olarak oturum açmış olarak kalır.
Portalın üst kısmındaki arama kutusuna Sanal ağ yazın. Arama sonuçlarında Sanal ağlar'ı seçin.
vnet-2'yi seçin.
Ayarlar'da Özellikler'i seçin.
Kaynak Kimliği alanındaki bilgileri kopyalayın ve sonraki adımlar için kaydedin. Kaynak kimliği aşağıdaki örneğe benzer: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Portalda kullanıcı-2 olarak oturumunu kapatın.
vnet-1'den vnet-2'ye eşleme bağlantısını ayarlamak için vnet-2 kaynak kimliği gereklidir. vnet-2 için kaynak kimliğini almak için Get-AzVirtualNetwork komutunu kullanın.
vnet-1'den vnet-2'ye eşleme bağlantısını ayarlamak için vnet-2 kaynak kimliği gereklidir. vnet-2 için kaynak kimliğini almak için az network vnet show komutunu kullanın.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Eşleme bağlantısı oluşturma - vnet-1 - vnet-2
Eşleme bağlantısını ayarlamak için önceki adımlarda yer alan vnet-2 için Kaynak Kimliğine ihtiyacınız vardır.
vnet-2 ile vnet-1 arasındaki eşleme bağlantılarının durumunu almak için az network vnet eşleme listesini kullanın.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
Eşlemedeki her iki sanal ağ için Eşleme durumu sütununda Bağlandı ifadesini gördüğünüzde eşleme başarıyla oluşturulur. İki sanal ağda da oluşturduğunuz tüm Azure kaynakları artık IP adresleri aracılığıyla birbirleriyle iletişim kurabilir. Sanal ağlar için Azure ad çözümlemesi kullanıyorsanız, sanal ağlardaki kaynaklar sanal ağlardaki adları çözümleyemez. Eşlemedeki sanal ağlar arasında adları çözümlemek istiyorsanız, kendi DNS (Etki Alanı Adı Sistemi) sunucunuzu oluşturmanız veya Azure DNS'yi kullanmanız gerekir.