Collegare una rete virtuale a un circuito ExpressRoute usando PowerShell (versione classica)

Questo articolo illustra come collegare reti virtuali a circuiti di Azure ExpressRoute usando PowerShell. Una singola rete virtuale può essere collegata a un massimo di quattro circuiti ExpressRoute. Seguire la procedura in questo articolo per creare un nuovo collegamento a ogni circuito ExpressRoute a cui si esegue la connessione. I circuiti ExpressRoute possono essere nella stessa sottoscrizione, diverse sottoscrizioni o una combinazione di entrambe le situazioni. Questo articolo è applicabile alle reti virtuali create usando il modello di distribuzione classica.

È possibile collegare fino a 10 reti virtuali a un circuito ExpressRoute. Tutte le reti virtuali devono trovarsi nella stessa area geopolitica. È possibile collegare un numero maggiore di reti virtuali al circuito ExpressRoute o collegare reti virtuali che non sono presenti in altre aree geopolitiche se si abilita il componente aggiuntivo ExpressRoute Premium. Per altre informazioni sul componente aggiuntivo Premium, vedere le domande frequenti.

Importante

A partire dall'1 marzo 2017, non è possibile creare nuovi circuiti di ExpressRoute nel modello di distribuzione classica.

  • È possibile spostare un circuito di ExpressRoute esistente dal modello di distribuzione classica al modello di distribuzione Resource Manager senza eventuali tempi di inattività della connessione. Per altre informazioni, vedere Spostare un circuito esistente.
  • È possibile connettersi alle reti virtuali nel modello di distribuzione classica impostando allowClassicOperations su TRUE.

Usare i collegamenti seguenti per creare e gestire circuiti di ExpressRoute nel modello di distribuzione Resource Manager:

Informazioni sui modelli di distribuzione di AzureAbout Azure deployment models

Azure attualmente funziona con due modelli di distribuzione: Azure Resource Manager e classica. I due modelli non sono completamente compatibili tra loro. Prima di iniziare, è necessario conoscere il modello da usare. Per informazioni, vedere l'articolo contenente le informazioni sui modelli di distribuzione. Se non si ha familiarità con Azure, è consigliabile usare il modello di distribuzione Resource Manager.

Prerequisiti di configurazione

  • Verificare i prerequisiti, i requisiti di routing e i flussi di lavoro.
  • È necessario avere un circuito ExpressRoute attivo.
    • Seguire le istruzioni per creare un circuito ExpressRoute e fare in modo che il circuito venga abilitato dal provider di connettività.
    • Assicurarsi di disporre del peering privato di Azure configurato per il circuito. Vedere l'articolo relativo alla configurazione del routing per istruzioni relative al routing.
    • Per abilitare la connettività end-to-end, assicurarsi che sia configurato il peering privato di Azure e sia attivo il peering BGP tra la rete e Microsoft.
    • È necessario disporre di una rete virtuale e di un gateway di rete virtuale creati e con provisioning completo. Seguire le istruzioni per configurare una rete virtuale per ExpressRoute.

Scaricare i cmdlet di PowerShell più recenti

Installare le versioni più recenti dei moduli di PowerShell per Gestione dei servizi di Azure e il modulo ExpressRoute. Non è possibile usare l'ambiente Azure CloudShell per eseguire moduli di Gestione dei servizi.

  1. Per installare il modulo di Gestione dei servizi di Azure, seguire le istruzioni riportate nell'articolo Installazione del modulo di Gestione dei servizi. Se è già installato il modulo Az o di Resource Manager, assicurarsi di usare "-AllowClobber".

  2. Importare i moduli installati. Quando si usa l'esempio seguente, modificare il percorso in base alla posizione e alla versione dei moduli di PowerShell installati.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
    
  3. Per accedere all'account Azure, aprire la console di PowerShell con diritti elevati e connettersi all'account. Usare l'esempio seguente per connettersi tramite il modulo di Gestione dei servizi:

    Add-AzureAccount
    

Collegare una rete virtuale della stessa sottoscrizione a un circuito

È possibile collegare una rete virtuale a un circuito ExpressRoute usando il cmdlet seguente. Prima di eseguire il cmdlet, assicurarsi che il gateway di rete virtuale sia stato creato e sia pronto per il collegamento.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

È possibile rimuovere un collegamento di rete virtuale da un circuito ExpressRoute usando il cmdlet seguente. Assicurarsi che sia selezionata la sottoscrizione corrente per la rete virtuale specificata.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Collegare una rete virtuale di un'altra sottoscrizione a un circuito

È possibile condividere un circuito ExpressRoute tra più sottoscrizioni. La figura seguente mostra un semplice schema del funzionamento della condivisione di circuiti ExpressRoute tra più sottoscrizioni.

Ciascuno dei cloud più piccoli nel cloud di grandi dimensioni viene usato per rappresentare le sottoscrizioni appartenenti a reparti diversi di un'organizzazione. Ciascun reparto dell'organizzazione può usare la propria sottoscrizione per distribuire i servizi, ma i reparti possono condividere un singolo circuito ExpressRoute per la connessione alla rete locale. Un singolo reparto (in questo esempio, IT) può possedere il circuito ExpressRoute. Altre sottoscrizioni all'interno dell'organizzazione possono usare il circuito ExpressRoute.

Nota

I costi relativi a connettività e larghezza di banda per il circuito dedicato saranno addebitati al proprietario del circuito ExpressRoute. Tutte le reti virtuali condividono la stessa larghezza di banda.

Cross-subscription connectivity

Amministrazione

Il proprietario del circuito è l'amministratore o il coamministratore della sottoscrizione in cui viene creato il circuito ExpressRoute. Il proprietario del circuito può autorizzare gli amministratori o i coamministratori di altre sottoscrizioni, indicati come utenti del circuito, a usare il proprio circuito dedicato. Gli utenti del circuito autorizzati a usare il circuito ExpressRoute dell'organizzazione possono collegare la rete virtuale della propria sottoscrizione al circuito ExpressRoute dopo aver ricevuto l'autorizzazione.

Il proprietario del circuito ha la facoltà di modificare e revocare le autorizzazioni in qualsiasi momento. La revoca dell'autorizzazione comporterà l'eliminazione di tutti i collegamenti dalla sottoscrizione a cui è stato revocato l'accesso.

Nota

Il proprietario del circuito non è un ruolo Controllo degli accessi in base al ruolo predefinito o definito nella risorsa ExpressRoute. La definizione del proprietario del circuito è qualsiasi ruolo con l'accesso seguente:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Sono inclusi i ruoli predefiniti, ad esempio Collaboratore, Proprietario e Collaboratore di rete. Vedere la descrizione dettagliata dei diversi ruoli predefiniti.

Operazioni del proprietario del circuito

Creazione di un'autorizzazione

Il proprietario del circuito autorizza gli amministratori di altre sottoscrizioni a usare il circuito specificato. Nell'esempio seguente l'amministratore del circuito (Contoso IT) abilita l'amministratore di un'altra sottoscrizione (sviluppo/test) per collegare fino a due reti virtuali al circuito. L'amministratore IT di Contoso abilita questa autorizzazione specificando l'ID Microsoft di sviluppo/test (Dev-Test). Il cmdlet non invia messaggi di posta elettronica all'ID di Microsoft specificato. Il proprietario del circuito deve indicare in modo esplicito al proprietario dell'altra sottoscrizione che l'autorizzazione è stata completata.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

Valore restituito:

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Verifica delle autorizzazioni

Il proprietario del circuito può esaminare tutte le autorizzazioni rilasciate in un particolare circuito eseguendo il cmdlet seguente:

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

Valore restituito:

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Aggiornamento delle autorizzazioni

Il proprietario del circuito può modificare le autorizzazioni usando il cmdlet seguente:

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

Valore restituito:

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Eliminazione delle autorizzazioni

Il proprietario del circuito può revocare o eliminare le autorizzazioni dell'utente eseguendo il cmdlet seguente:

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Operazioni dell'utente del circuito

Verifica delle autorizzazioni

L'utente del circuito può esaminare le autorizzazioni usando il cmdlet seguente:

Get-AzureAuthorizedDedicatedCircuit

Valore restituito:

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Riscatto delle autorizzazioni dei collegamenti

L'utente del circuito può eseguire il cmdlet seguente per riscattare un'autorizzazione di collegamento:

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

Valore restituito:

State VnetName
----- --------
Provisioned SalesVNET1

Eseguire questo comando nella sottoscrizione appena collegata per la rete virtuale:

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Passaggi successivi

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute.