Verbinden eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung mithilfe von PowerShell (klassisch)

Dieser Artikel unterstützt Sie beim Verbinden virtueller Netzwerke (VNets) mit Azure-ExpressRoute-Verbindungen mithilfe von PowerShell. Ein einzelnes VNET kann mit bis zu vier ExpressRoute-Leitungen verknüpft werden. Erstellen Sie anhand der Schritte in diesem Artikel einen neuen Link für jede ExpressRoute-Verbindung, zu der Sie eine Verbindung herstellen. Die ExpressRoute-Leitungen können sich im gleichen Abonnement, in verschiedenen Abonnements oder in einer Kombination aus beidem befinden. Dieser Artikel bezieht sich auf virtuelle Netzwerke, die mithilfe des klassischen Bereitstellungsmodells erstellt wurden.

Sie können bis zu 10 virtuelle Netzwerke mit einer ExpressRoute-Verbindung verknüpfen. Alle virtuellen Netzwerke müssen sich in derselben geopolitischen Region befinden. Wenn Sie das ExpressRoute Premium-Add-On aktiviert haben, können Sie eine größere Anzahl von virtuellen Netzwerken mit der ExpressRoute-Verbindung oder virtuelle Netzwerke verknüpfen, die sich in anderen geopolitischen Regionen befinden. Weitere Informationen zum Premium-Add-On finden Sie in den häufig gestellten Fragen.

Wichtig

Das Erstellen neuer ExpressRoute-Verbindungen im klassischen Bereitstellungsmodell ist ab dem 1. März 2017 nicht mehr möglich.

  • Sie können eine vorhandene ExpressRoute-Verbindung vom klassischen Bereitstellungsmodell ohne Konnektivitätsausfallzeiten auf das Resource Manager-Bereitstellungsmodell umstellen. Weitere Informationen finden Sie unter Verschieben einer vorhandenen Verbindung.
  • Sie können im klassischen Bereitstellungsmodell Verbindungen mit virtuellen Netzwerken herstellen, indem Sie allowClassicOperations auf TRUE festlegen.

Verwenden Sie die folgenden Links zum Erstellen und Verwalten von ExpressRoute-Verbindungen im Resource Manager-Bereitstellungsmodell:

Informationen zu Azure-Bereitstellungsmodellen

In Azure können derzeit zwei Bereitstellungsmodelle verwendet werden: Resource Manager-Bereitstellung und klassische Bereitstellung. Die beiden Modelle sind nicht vollständig kompatibel. Bevor Sie beginnen, müssen Sie wissen, in welchem Modell Sie arbeiten möchten. Informationen zu den Bereitstellungsmodellen finden Sie unter Understanding deployment models (Grundlagen von Bereitstellungsmodellen). Wenn Sie noch nicht mit Azure vertraut sind, wird die Verwendung des Resource Manager-Modells empfohlen.

Konfigurationsvoraussetzungen

  • Lesen Sie, bevor Sie mit der Konfiguration beginnen, die Seiten Voraussetzungen, Routinganforderungen und Workflows.
  • Sie benötigen eine aktive ExpressRoute-Verbindung.
    • Führen Sie die Schritte zum Erstellen einer ExpressRoute-Verbindung aus, und lassen Sie sie vom Konnektivitätsanbieter aktivieren.
    • Stellen Sie sicher, dass privates Azure-Peering für die Verbindung konfiguriert ist. Informationen zum Routing finden Sie unter Konfigurieren des Routings .
    • Vergewissern Sie sich, dass das private Azure-Peering konfiguriert wurde und das BGP-Peering zwischen Ihrem Netzwerk und Microsoft aktiv ist, damit End-to-End-Konnektivität bereitgestellt werden kann.
    • Sie müssen ein virtuelles Netzwerk und ein virtuelles Netzwerkgateway erstellt und vollständig bereitgestellt haben. Befolgen Sie die Anweisungen zum Konfigurieren eines virtuellen Netzwerks für ExpressRoute.

Herunterladen der neuesten PowerShell-Cmdlets

Installieren Sie die aktuellen Versionen der PowerShell-Module für die Azure-Dienstverwaltung und das ExpressRoute-Modul. Sie können die Azure Cloud Shell-Umgebung nicht zum Ausführen von SM-Modulen verwenden.

  1. Befolgen Sie die Anweisungen im Artikel Installieren des Azure PowerShell-Dienstverwaltungsmoduls, um das Azure-Dienstverwaltungsmodul zu installieren. Wenn Sie das Az- oder RM-Modul bereits installiert haben, achten Sie darauf, „-AllowClobber“ zu verwenden.

  2. Importieren Sie die installierten Module. Wenn Sie das folgende Beispiel verwenden, passen Sie den Pfad an, um den Speicherort und die Version der installierten PowerShell-Module widerzuspiegeln.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
    
  3. Melden Sie sich bei Ihrem Azure-Konto an, öffnen Sie die PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her. Verwenden Sie das folgende Beispiel, um eine Verbindung mit dem Dienstverwaltungsmodul herzustellen:

    Add-AzureAccount
    

Herstellen einer Verbindung zwischen einem virtuellen Netzwerk in demselben Abonnement und einer Verbindung

Sie können das folgende Cmdlet verwenden, um ein virtuelles Netzwerk mit einer ExpressRoute-Verbindung zu verknüpfen. Stellen Sie sicher, dass das Gateway für das virtuelle Netzwerk erstellt wurde und für das Erstellen von Verknüpfungen bereit ist, bevor Sie das Cmdlet ausführen.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

Sie können das folgende Cmdlet verwenden, um die Verknüpfung eines virtuellen Netzwerks mit einer ExpressRoute-Verbindung zu entfernen. Stellen Sie sicher, dass das aktuelle Abonnement für das angegebene virtuelle Netzwerk ausgewählt ist.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Herstellen einer Verbindung zwischen einem virtuellen Netzwerk in einem anderen Abonnement und einer Verbindung

Sie können eine ExpressRoute-Verbindung für mehrere Abonnements freigeben. Die folgende Abbildung zeigt eine einfache schematische Darstellung der Freigabe von Lasten für ExpressRoute-Verbindungen für mehrere Abonnements.

Jede der kleineren Clouds innerhalb der großen Cloud stellt Abonnements dar, die zu verschiedenen Abteilungen innerhalb einer Organisation gehören. Jede der Abteilungen innerhalb der Organisation kann ihr eigenes Abonnement zum Bereitstellen von Diensten verwenden, für die Verbindung mit dem lokalen Netzwerk können die Abteilungen jedoch eine einzelne gemeinsam genutzte ExpressRoute-Verbindung verwenden. Eine einzelne Abteilung (in diesem Beispiel: IT) kann die ExpressRoute-Verbindung besitzen. Andere Abonnements innerhalb der Organisation können die ExpressRoute-Verbindung nutzen.

Hinweis

Konnektivitäts- und Bandbreitengebühren für die dedizierte Verbindung werden dem Besitzer der ExpressRoute-Verbindung in Rechnung gestellt. Alle virtuellen Netzwerke verwenden gemeinsam dieselbe Bandbreite.

Abonnementübergreifende Konnektivität

Verwaltung

Der Verbindungsbesitzer ist der Administrator/Co-Administrator des Abonnements, in dem die ExpressRoute-Verbindung erstellt wird. Der Besitzer der Verbindung kann Administratoren/Co-Administratoren anderer Abonnements ( Verbindungsbenutzergenannt) für die Nutzung der dedizierten Verbindung in seinem Besitz autorisieren. Verbindungsbenutzer, die für die Nutzung der ExpressRoute-Verbindung einer Organisation autorisiert sind, können ein virtuelles Netzwerk in ihrem Abonnement mit der ExpressRoute-Verbindung verknüpfen, sobald sie autorisiert wurden.

Der Besitzer der Verbindung hat die Möglichkeit, Autorisierungen jederzeit zu ändern und aufzuheben. Das Aufheben einer Autorisierung führt dazu, dass alle Verbindungen aus dem Abonnement gelöscht werden, deren Zugriff aufgehoben wurde.

Hinweis

Der Leitungsbesitzer ist keine integrierte RBAC-Rolle oder in der ExpressRoute-Ressource definiert. Als Leitungsbesitzer kann jede Rolle mit den folgenden Zugriffsrechten definiert werden:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Dies schließt die integrierten Rollen „Mitwirkender“, „Besitzer“ und „Netzwerkmitwirkender“ ein. Eine ausführliche Beschreibung der verschiedenen integrierten Rollen finden Sie hier.

Aktionen als Verbindungsbesitzer

Erstellen einer Autorisierung

Der Verbindungsbesitzer autorisiert die Administratoren anderer Abonnements für die Nutzung der angegebenen Verbindung. Im folgenden Beispiel ermöglicht der Administrator der Verbindung (Contoso IT) dem Administrator eines anderen Abonnements (Dev-Test) das Verknüpfen von bis zu zwei virtuellen Netzwerken mit der Verbindung. Der Contoso-IT-Administrator ermöglicht diese Autorisierung durch die Angabe der Microsoft-ID von Dev-Test. Das Cmdlet sendet keine E-Mail an die angegebene Microsoft-ID. Der Verbindungsbesitzer muss den Besitzer des anderen Abonnements explizit darüber benachrichtigen, dass die Autorisierung erfolgt ist.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

Rückgabe:

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Überprüfen von Autorisierungen

Mit dem folgenden Cmdlet kann der Besitzer einer Verbindung alle für eine bestimmte Verbindung ausgestellten Autorisierungen überprüfen:

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

Rückgabe:

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Aktualisieren von Autorisierungen

Mit dem folgenden Cmdlet kann der Besitzer einer Verbindung die Autorisierungen bearbeiten:

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

Rückgabe:

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Löschen von Autorisierungen

Mit dem folgenden Cmdlet kann der Besitzer einer Verbindung Autorisierungen für einen Benutzer widerrufen oder löschen:

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Aktionen als Verbindungsbenutzer

Überprüfen von Autorisierungen

Mit dem folgenden Cmdlet können Benutzer einer Verbindung Autorisierungen überprüfen.

Get-AzureAuthorizedDedicatedCircuit

Rückgabe:

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Abrufen von Verknüpfungsautorisierungen

Mit dem folgenden Cmdlet können Benutzer einer Verbindung eine Verknüpfungsautorisierung abrufen:

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

Rückgabe:

State VnetName
----- --------
Provisioned SalesVNET1

Führen Sie diesen Befehl im neu verknüpften Abonnement für das virtuelle Netzwerk aus:

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Nächste Schritte

Weitere Informationen über ExpressRoute finden Sie unter ExpressRoute – FAQ.