使用 Azure CLI 將虛擬網路連線到 ExpressRoute 線路

  • 發行項

本文示範如何使用 Azure CLI 將虛擬網路 (VNet) 連結到 Azure ExpressRoute 線路。 若要使用 Azure CLI 進行連結,您必須使用 Resource Manager 部署模型建立虛擬網路。 其可以位於相同的訂用帳戶中,或屬於另一個訂用帳戶。 如果您想要使用不同的方法將 VNet 連線到 ExpressRoute 線路,您可以從下列清單選取文章:

Diagram showing a virtual network linked to an ExpressRoute circuit.

必要條件

  • 您需要最新版本的命令列介面 (CLI)。 如需詳細資訊,請參閱 安裝 Azure CLI

  • 開始設定之前,請先檢閱必要條件路由需求工作流程

  • 您必須具有作用中的 ExpressRoute 線路。

    • 遵循指示來 建立 ExpressRoute 線路 ,並由您的連線提供者來啟用該線路。
    • 請確定您已為線路設定 Azure 私人對等互連。 請參閱 設定路由 一文,以取得路由指示。
    • 確定已設定 Azure 私用對等互連。 已建立您的網路與 Microsoft 之間的 BGP 對等互連,讓您可以啟用端對端連線。
    • 請確定您已建立並完全佈建虛擬網路和虛擬網路閘道。 請遵循指示為 ExpressRoute 設定虛擬網路閘道。 請務必使用 --gateway-type ExpressRoute

  • 您可將最多 10 個虛擬網路連結至標準 ExpressRoute 線路。 使用標準 ExpressRoute 線路時,所有虛擬網路都必須位於相同的地緣政治區域中。

  • 單一 VNet 最多可連結 16 個 ExpressRoute 線路。 使用下列程序來建立您要連線每個 ExpressRoute 線路的新連線物件。 ExpressRoute 線路可位於相同的訂用帳戶和/或不同的訂用帳戶中。

  • 如果您啟用 ExpressRoute 進階附加元件,則可以在 ExpressRoute 線路的地緣政治區域外部連結虛擬網路。 進階附加元件也可讓您根據所選擇的頻寬,將超過 10 個虛擬網路連線到 ExpressRoute 線路。 如需高階附加元件的詳細資訊,請參閱 常見問題集

  • 若要建立從 ExpressRoute 線路到目標 ExpressRoute 虛擬網路閘道的連線,從本地或對等互連虛擬網路公告的位址空間數目必須等於或小於 200。 成功建立連線後,您就可以將其他位址空間 (上限 1,000) 新增至本機或對等互連虛擬網路。

  • 檢閱透過 ExpressRoute 在虛擬網路之間的連線指引。

將相同訂用帳戶中的虛擬網路連接到線路

您可以使用範例,將虛擬網路閘道連線到 ExpressRoute 線路。 執行命令之前,請確定您已建立虛擬網路閘道,並準備好進行連結。

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

將不同訂用帳戶中的虛擬網路連接到線路

您可以讓多個訂用帳戶共用 ExpressRoute 線路。 下圖顯示簡單的圖解,示範多個訂用帳戶共用 ExpressRoute 線路的方式。

注意

不支援連接 Azure 主權雲端與公用 Azure 雲端之間的虛擬網路。 您只能從相同雲端中的不同訂用帳戶連結虛擬網路。

大型雲端內的每個較小型雲端,會用來代表屬於組織內不同部門的訂用帳戶。 組織內的每個部門都可以使用自己的訂用帳戶來部署其服務,但可共用單一 ExpressRoute 線路,以連線回內部部署網路。 單一部門 (在此範例中:IT) 可以擁有 ExpressRoute 循環。 組織內的其他訂用帳戶可以使用 ExpressRoute 線路。

注意

ExpressRoute 線路擁有者需支付專用線路的連線和頻寬費用。 所有虛擬網路都會共用相同的頻寬。

Cross-subscription connectivity

系統管理 - 線路擁有者和線路使用者

「線路擁有者」是 ExpressRoute 線路資源的已授權「進階使用者」。 線路擁有者能夠建立可由「線路使用者」兌換的授權。 線路使用者是虛擬網路閘道的擁有者,與 ExpressRoute 線路位於不同的訂用帳戶內。 線路使用者可以兌換授權 (每個虛擬網路一個授權)。

線路擁有者能夠隨時修改及撤銷授權。 撤銷授權時,在存取權遭到撤銷的訂用帳戶中,所有連結連線均會遭到刪除。

注意

線路擁有者不是內建的 RBAC 角色,亦非定義在 ExpressRoute 資源上。 線路擁有者的定義是擁有下列存取權的任何角色:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

這包括內建角色,例如參與者、擁有者和網路參與者。 不同內建角色的詳細描述。

線路擁有者作業

建立授權

線路擁有者會建立授權,這會建立授權金鑰,供線路使用者用來將其虛擬網路閘道連線至 ExpressRoute 線路。 授權僅適用於一個連線。

下列範例示範如何建立授權:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

回應包含授權金鑰和狀態:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

檢閱授權

線路擁有者可以透過執行下列範例,檢閱特定線路上發出的所有授權:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

新增授權

線路擁有者可以使用下列範例來新增授權:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

刪除授權

線路擁有者可以透過執行下列範例來撤銷/刪除使用者的授權:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

線路使用者作業

線路使用者需要具備對等識別碼以及線路擁有者所提供的授權金鑰。 授權金鑰是 GUID。

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

兌換連線授權

線路使用者可以執行下列範例來兌換連結授權:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

釋出連線授權

您可以藉由刪除將 ExpressRoute 線路連結到虛擬網路的連線來釋出授權。

修改虛擬網路連線

您可以更新虛擬網路連線的特定屬性。

更新連線權數

您的虛擬網路可以連接到多個 ExpressRoute 線路。 您可能會收到來自多個 ExpressRoute 線路的相同前置詞。 若要選擇要使用哪一個連線來傳送目的為此前置詞的流量,您可以變更連線的 RoutingWeight。 流量將透過具有最高 RoutingWeight 的連線來傳送。

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

RoutingWeight 的範圍是從 0 到 32000。 預設值是 0。

設定 ExpressRoute FastPath

如果您的虛擬網路閘道是超效能或 ErGw3AZ,您可以啟用 ExpressRoute FastPath。 FastPath 可改善資料路徑效能,例如每秒封包數,以及內部部署網路與虛擬網路之間的每秒連線數。

在新連線上設定 FastPath

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

更新現有的連線以啟用 FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

注意

您可以使用連線監視器,以使用 FastPath 來驗證您的流量到達目的地。

註冊 ExpressRoute FastPath 功能 (預覽)

虛擬網路對等互連的 FastPath 支援現已進入公開預覽階段。 註冊僅可透過 Azure PowerShell 取得。 如需註冊方式的指示,請參閱 FastPath 預覽功能

注意

將會在此預覽版中註冊針對目標訂用帳戶中的 FastPath 所設定的任何連線。 我們不建議在生產訂用帳戶中啟用此預覽。 如果您已經設定 FastPath 且想要註冊預覽功能,則需要執行下列動作:

  1. 使用上述的 Azure PowerShell 命令註冊 FastPath 預覽功能。
  2. 在目標連線上停用並重新啟用 FastPath。

清除資源

如果您不再需要 ExpressRoute 連線,請從閘道所在的訂用帳戶使用 az network vpn-connection delete 命令來移除閘道與線路之間的連結。

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

下一步

在本教學課程中,您已了解如何將虛擬網路連線至相同訂用帳戶和不同訂用帳戶中的線路。 如需 ExpressRoute 閘道的詳細資訊,請參閱 ExpressRoute 虛擬網路閘道

若想了解如何使用 Azure CLI 設定 Microsoft 對等互連的路由篩選,請繼續進行下一個教學課程。

針對 Microsoft 對等互連設定路由篩選