Připojení virtuální sítě k okruhu ExpressRoute pomocí Azure PowerShellu
Tento článek vám pomůže propojit virtuální sítě s okruhy Azure ExpressRoute pomocí modelu nasazení Resource Manager a PowerShellu. Virtuální sítě můžou být buď ve stejném předplatném, nebo v jiné části předplatného. V tomto kurzu se také dozvíte, jak aktualizovat propojení virtuální sítě.
Požadavky
Než začnete s konfigurací, projděte si požadavky, požadavky na směrování a pracovní postupy.
Musí mít aktivní okruh ExpressRoute.
- Postupujte podle pokynů k vytvoření okruhu ExpressRoute a požádejte ho o povolení poskytovatele připojení.
- Ujistěte se, že máte pro okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku konfigurace směrování .
- Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure a vytvoří partnerský vztah protokolu BGP mezi vaší sítí a Microsoftem pro kompletní připojení.
- Ujistěte se, že máte vytvořenou a plně zřízenou bránu virtuální sítě a bránu virtuální sítě. Podle pokynů vytvořte bránu virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá gatewayType
ExpressRoute
, nikoli VPN.
Můžete propojit až 10 virtuálních sítí se standardním okruhem ExpressRoute. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.
Jednu virtuální síť je možné propojit s až 16 okruhy ExpressRoute. Pomocí kroků v tomto článku vytvořte nový objekt připojení pro každý okruh ExpressRoute, ke kterému se připojujete. Okruhy ExpressRoute můžou být ve stejném předplatném, různých předplatných nebo kombinaci obou.
Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium umožňuje připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech.
Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresních prostorů inzerovaných z místních nebo partnerských virtuálních sítí roven nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až 1 000.
Projděte si pokyny pro připojení mezi virtuálními sítěmi přes ExpressRoute.
Práce s Azure PowerShellem
Kroky a příklady v tomto článku používají moduly Az Azure PowerShellu. Pokud chcete moduly Az nainstalovat místně do počítače, přečtěte si téma Instalace Azure PowerShellu. Další informace o novém modulu Az najdete v tématu Představení nového modulu Az Azure PowerShellu. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, může dojít k selhání hodnot zadaných v pokynech. K vyhledání nainstalovaných verzí PowerShellu ve vašem systému použijte rutinu Get-Module -ListAvailable Az
.
Azure Cloud Shell můžete použít ke spuštění většiny rutin PowerShellu a příkazů rozhraní příkazového řádku místo místní instalace Azure PowerShellu nebo rozhraní příkazového řádku. Azure Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované běžné nástroje Azure a je nakonfigurované pro použití s vaším účtem. Pokud chcete spustit jakýkoli kód obsažený v tomto článku v Azure Cloud Shellu, otevřete relaci Cloud Shellu, pomocí tlačítka Kopírovat v bloku kódu kód zkopírujte a vložte ho do relace Cloud Shellu pomocí Ctrl+Shift+V ve Windows a Linuxu nebo Cmd+Shift+V v macOS. Vložený text se nespustí automaticky, stisknutím klávesy Enter spusťte kód.
Existuje několik způsobů, jak Cloud Shell spustit:
Možnost | Odkaz |
---|---|
Klikněte na Vyzkoušet v pravém horním rohu bloku kódu. | |
Otevřete Cloud Shell ve vašem prohlížeči. | |
Klikněte na tlačítko Cloud Shell v nabídce v pravé horní části webu Azure Portal. | |
Připojení virtuální sítě
Maximální odolnost (doporučeno): poskytuje nejvyšší úroveň odolnosti vůči vaší virtuální síti. Poskytuje dvě redundantní připojení z brány virtuální sítě ke dvěma různým okruhům ExpressRoute v různých umístěních ExpressRoute.
Klonování skriptu
Pokud chcete vytvořit maximální odolnost připojení, naklonujte instalační skript z GitHubu.
# Clone the setup script from GitHub.
git clone https://github.com/Azure-Samples/azure-docs-powershell-samples/
# Change to the directory where the script is located.
CD azure-docs-powershell-samples/expressroute/
Spuštěním skriptu New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 vytvořte připojení s vysokou dostupností. Následující příklad ukazuje, jak vytvořit dvě nová připojení ke dvěma okruhům ExpressRoute.
$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$circuit2 = Get-AzExpressRouteCircuit -Name "MyCircuit2" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name1 "ERConnection1" -Name2 "ERConnection2" -Peer1 $circuit1.Peerings[0] -Peer2 $circuit2.Peerings[0] -RoutingWeight1 10 -RoutingWeight2 10 -VirtualNetworkGateway1 $gw
Pokud chcete vytvořit nové připojení a použít existující připojení, můžete použít následující příklad. Tento příklad vytvoří nové připojení k druhému okruhu ExpressRoute a použije existující připojení k prvnímu okruhu ExpressRoute.
$SubscriptionId = Get-AzureSubscription -SubscriptionName "<SubscriptionName>"
$circuit1 = Get-AzExpressRouteCircuit -Name "MyCircuit1" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = Get-AzVirtualNetworkGatewayConnection -Name "ERConnection1" -ResourceGroupName "MyRG"
highAvailabilitySetup/New-AzHighAvailabilityVirtualNetworkGatewayConnections.ps1 -SubscriptionId $SubscriptionId -ResourceGroupName "MyRG" -Location "West EU" -Name2 "ERConnection2" -Peer2 $circuit1.Peerings[0] -RoutingWeight2 10 -VirtualNetworkGateway1 $gw -ExistingVirtualNetworkGatewayConnection $connection
Připojení virtuální sítě jiného předplatného k okruhu
Okruh ExpressRoute můžete sdílet mezi několika předplatnými. Následující obrázek ukazuje jednoduché schéma fungování sdílení pro okruhy ExpressRoute napříč několika předplatnými.
Poznámka:
Připojení virtuálních sítí mezi suverénními cloudy Azure a veřejným cloudem Azure se nepodporuje. Virtuální sítě můžete propojit pouze z různých předplatných ve stejném cloudu.
Každý z menších cloudů v rámci velkého cloudu slouží k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute pro připojení zpět k místní síti. Jedno oddělení (v tomto příkladu: IT) může vlastnit okruh ExpressRoute. Jiná předplatná v organizaci můžou používat okruh ExpressRoute.
Poznámka:
Poplatky za připojení a šířku pásma okruhu ExpressRoute se použijí pro vlastníka předplatného. Všechny virtuální sítě sdílejí stejnou šířku pásma.
Správa – vlastníci okruhů a uživatelé okruhu
Vlastník okruhu je autorizovaný uživatel okruhu ExpressRoute. Vlastník okruhu může vytvářet autorizace, které můžou uplatnit uživatelé okruhu. Uživatelé okruhu jsou vlastníci bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhu můžou uplatnit autorizaci (jednu autorizaci na virtuální síť).
Vlastník okruhu může kdykoli změnit a odvolat autorizaci. Odvolání autorizace způsobí odstranění všech připojení propojení z předplatného, jehož přístup byl odvolán.
Poznámka:
Vlastník okruhu není předdefinovaná role RBAC ani definovaná u prostředku ExpressRoute. Definice vlastníka okruhu je libovolná role s následujícím přístupem:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
To zahrnuje předdefinované role, jako je Přispěvatel, Vlastník a Přispěvatel sítě. Podrobný popis různých předdefinovaných rolí
Operace vlastníka okruhu
Vytvoření autorizace
Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který uživatel okruhu použije k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná pouze pro jedno připojení.
Následující fragment kódu rutiny ukazuje, jak vytvořit autorizaci:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Odpověď na předchozí příkazy obsahuje autorizační klíč a stav:
Name : MyAuthorization1
Id : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
AuthorizationKey : ####################################
AuthorizationUseStatus : Available
ProvisioningState : Succeeded
Kontrola autorizací
Vlastník okruhu může zkontrolovat všechna autorizace vystavená v určitém okruhu spuštěním následující rutiny:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Přidání autorizací
Vlastník okruhu může přidat autorizaci pomocí následující rutiny:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Odstranění autorizací
Vlastník okruhu může uživateli odvolat nebo odstranit autorizaci spuštěním následující rutiny:
Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
Operace uživatele okruhu
Uživatel okruhu potřebuje ID partnerského vztahu a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.
ID partnerského uzlu je možné zkontrolovat pomocí následujícího příkazu:
Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Uplatnění autorizace připojení
Uživatel okruhu může spustit následující rutinu a uplatnit autorizaci propojení:
$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Uvolnění autorizace připojení
Autorizaci můžete uvolnit odstraněním připojení, které propojuje okruh ExpressRoute s virtuální sítí.
Úprava připojení k virtuální síti
Můžete aktualizovat určité vlastnosti připojení k virtuální síti.
Aktualizace váhy připojení
Vaše virtuální síť se dá připojit k několika okruhům ExpressRoute. Stejnou předponu můžete obdržet z více než jednoho okruhu ExpressRoute. Pokud chcete zvolit, které připojení se má odesílat přenosy určené pro tuto předponu, můžete změnit routingWeight připojení. Provoz se odesílá na připojení s nejvyšší váhou směrování.
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Rozsah RoutingWeight je 0 až 32000. Výchozí hodnota je 0.
Konfigurace ExpressRoute FastPath
ExpressRoute FastPath můžete povolit, pokud je brána virtuální sítě Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi vaší místní sítí a vaší virtuální sítí.
Konfigurace FastPathu pro nové připojení
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"
Aktualizace existujícího připojení pro povolení fastPathu
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG"
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Partnerský vztah virtuální sítě FastPath, trasy definované uživatelem a podpora privátního propojení pro přímá připojení ExpressRoute
S podporou peeringu virtuálních sítí a tras definovanou uživatelem bude FastPath odesílat provoz přímo do virtuálních počítačů nasazených v paprskových virtuálních sítích (připojených přes partnerský vztah virtuálních sítí) a respektovat všechny trasy definované uživatelem nakonfigurovanými v podsítě GatewaySubnet. Tato funkce je teď obecně dostupná (GA).
Díky službě FastPath a Private Link provoz Private Link odesílaný přes ExpressRoute obchází bránu virtuální sítě ExpressRoute v cestě k datům. Když jsou obě tyto funkce povolené, FastPath bude přímo odesílat provoz do privátního koncového bodu nasazeného ve virtuální síti paprsku.
Tyto scénáře jsou obecně dostupné pro omezené scénáře s připojeními přidruženými k 10 Gb/s a okruhům ExpressRoute Direct 100 Gb/s. Pokud chcete povolit, postupujte podle následujících pokynů:
- Vyplňte tento formulář Microsoftu a požádejte ho o registraci předplatného. Dokončení požadavků může trvat až 4 týdny, proto naplánujte nasazení odpovídajícím způsobem.
- Jakmile obdržíte potvrzení z kroku 1, spusťte v cílovém předplatném Azure následující příkaz Azure PowerShellu.
$connection = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <resource-group> -ResourceName <connection-name>
$connection.ExpressRouteGatewayBypass = $true
$connection.EnablePrivateLinkFastPath = $true
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Poznámka:
Pomocí Monitorování připojení můžete ověřit, že se provoz blíží cíli pomocí fastPathu.
Poznámka:
Povolení podpory služby Private Link fastPath pro omezené scénáře ga může trvat až 4 týdny. Naplánujte nasazení předem.
Podpora připojení FastPath pro partnerský vztah virtuálních sítí a trasy definované uživatelem je dostupná jenom pro připojení ExpressRoute Direct.
Poznámka:
Pokud jste už nakonfigurovali FastPath a chcete se zaregistrovat do omezených funkcí GA, musíte udělat toto:
- Zaregistrujte se do některé z funkcí FastPath pomocí příkazů Azure PowerShellu.
- Zakažte a znovu povolte FastPath v cílovém připojení.
- Pokud chcete přepnout mezi omezenou funkcí ga, zaregistrujte předplatné pomocí cílového příkazu PowerShellu ve verzi Preview a pak v připojení zakažte a znovu povolte FastPath.
Vyčištění prostředků
Pokud už připojení ExpressRoute nepotřebujete, použijte Remove-AzVirtualNetworkGatewayConnection
z předplatného, ve kterém se brána nachází, příkazem odeberte propojení mezi bránou a okruhem.
Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"
Další kroky
V tomto kurzu jste zjistili, jak připojit virtuální síť k okruhu ve stejném předplatném a v jiném předplatném. Další informace o branách ExpressRoute najdete v tématu: Brány virtuální sítě ExpressRoute.
Pokud chcete zjistit, jak nakonfigurovat filtry tras pro partnerský vztah Microsoftu pomocí PowerShellu, přejděte k dalšímu kurzu.