Konfigurera VPN-gatewayöverföring för peer-kopplade virtuella nätverk
Den här artikeln beskriver hur du konfigurerar gatewayöverföring för peer-kopplade virtuella nätverk. Peer-kopplade virtuella nätverk syftar på två virtuella Azure-nätverk som kopplats ihop och slagits samman för anslutningsändamål. Gatewayöverföring är en peering-egenskap som gör att ett virtuellt nätverk kan använda VPN-gatewayen i det peerkopplade virtuella nätverket för anslutningar mellan platser eller VNet-till-VNet.
Följande diagram illustrerar hur gatewayöverföring fungerar med peer-kopplade virtuella nätverk. I diagrammet gör gatewayöverföringen att de peer-kopplade virtuella nätverken kan använda Azure VPN-gatewayen i Hub-RM. Anslutningar som är tillgängliga på VPN-gatewayen, inklusive S2S, P2S och anslutningar mellan virtuella nätverk gäller för alla tre virtuella nätverk.
Överföringsalternativet kan användas med alla VPN Gateway-SKU:er utom basic-SKU:n.
I nätverksarkitekturer av typen ”nav och eker” (hub-and-spoke) innebär gatewayöverföring att virtuella ekernätverk kan dela VPN-gatewayen i navet, i stället för att en VPN-gateway distribueras i varje virtuellt ekernätverk. Vägar till gatewayanslutna virtuella nätverk eller lokala nätverk sprids till routningstabellerna för peerkopplade virtuella nätverk med gatewayöverföring.
Du kan inaktivera den automatiska distributionen av vägar från VPN-gatewayen. Skapa en routningstabell med alternativet ”Inaktivera spridning av BGP-väg” och associera routningstabellen till undernäten om du vill förhindra distribution av vägar till dessa undernät. Mer information finns i routningstabellen för virtuella nätverk.
Kommentar
Om du ändrar topologin för nätverket och har Windows VPN-klienter måste VPN-klientpaketet för Windows-klienter laddas ned och installeras igen för att ändringarna ska tillämpas på klienten.
Förutsättningar
Den här artikeln kräver följande virtuella nätverk och behörigheter.
Virtuella nätverk
| Virtuellt nätverk | Konfigurationssteg | Virtuell nätverksgateway |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Eker-RM | Resource Manager | Nej |
Behörigheter
De konton som du använder för att skapa peer-kopplade virtuella nätverk måste ha nödvändiga roller eller behörigheter. Om du i exemplet nedan peerkopplar de två virtuella nätverken med namnet Hub-RM och Spoke-Classic måste ditt konto ha följande roller eller behörigheter för varje virtuellt nätverk:
| Virtuellt nätverk | Distributionsmodell | Roll | Behörigheter |
|---|---|---|---|
| Hub-RM | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Eker-RM | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/peer |
Lär dig mer om inbyggda roller och hur du tilldelar särskilda behörigheter till anpassade roller (endast Resource Manager).
Så här lägger du till en peering och aktiverar överföring
Skapa eller uppdatera peering för virtuella nätverk från Hub-RM i Azure-portalen. Gå till det virtuella Hub-RM-nätverket . Välj Peerings och sedan + Lägg till för att öppna Lägg till peering.
På sidan Lägg till peering konfigurerar du värdena för Sammanfattning av virtuella fjärrnätverk.
- Namn på peeringlänk: Namnge länken. Exempel: SpokeRMToHubRM
- Distributionsmodell för virtuellt nätverk: Resource Manager
- Jag känner till mitt resurs-ID: Lämna tomt. Du behöver bara välja detta om du inte har läsbehörighet till det virtuella nätverk eller den prenumeration som du vill peer-koppla med.
- Prenumeration: Välj prenumerationen.
- Virtuellt nätverk: Spoke-RM
På sidan Lägg till peering konfigurerar du värdena för peeringinställningar för fjärranslutna virtuella nätverk.
- Tillåt "Spoke-RM" att komma åt "Hub-RM": Låt standardvärdet vara valt.
- Tillåt att Spoke-RM tar emot vidarebefordrad trafik från Hub-RM: Markera kryssrutan.
- Tillåt att gateway- eller routningsservern i det peerkopplade virtuella nätverket vidarebefordrar trafik till "Hub-RM": Låt standardvärdet vara avmarkerat.
- Aktivera "SpokeRM" för att använda "Hub-RM:s" fjärrgateway eller routningsserver: Markera kryssrutan.
På sidan Lägg till peering konfigurerar du värdena för Sammanfattning av lokalt virtuellt nätverk.
- Namn på peeringlänk: Namnge länken. Exempel: HubRMToSpokeRM
På sidan Lägg till peering konfigurerar du värdena för Peering-inställningar för lokalt virtuellt nätverk.
- Tillåt "Hub-RM" att komma åt det peerkopplade virtuella nätverket: Låt standardvärdet vara valt.
- Tillåt att Hub-RM tar emot vidarebefordrad trafik från det peerkopplade virtuella nätverket: Markera kryssrutan.
- Tillåt att gateway- eller routningsservern i Hub-RM vidarebefordrar trafik till det peerkopplade virtuella nätverket: Markera kryssrutan.
- Aktivera "Hub-RM" för att använda det peerkopplade virtuella nätverkets fjärrgateway eller routningsserver: Låt standardvärdet vara avmarkerat.
Välj Lägg till för att skapa peering.
Kontrollera peeringstatusen som Ansluten i båda de virtuella nätverken.
Ändra en befintlig peering för överföring
Om du redan har en befintlig peering kan du ändra peering för överföring.
Gå till det virtuella nätverket. Välj Peerings och välj den peering som du vill ändra. I det virtuella nätverket Spoke-RM väljer du till exempel SpokeRMtoHubRM-peering.
Uppdatera VNet-peering.
Aktivera "Spoke-RM" för att använda "Hub-RM:s" fjärrgateway eller routningsserver: Markera kryssrutan.
Spara peering-inställningarna.
PowerShell-exempel
Du kan också använda PowerShell för att skapa eller uppdatera peering. Ersätt variablerna med namnen på dina virtuella nätverk och resursgrupper.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Nästa steg
- Lär dig mer om begränsningar och beteenden vid peer-koppling av virtuella nätverk samt om inställningar för peer-koppling av virtuella nätverk innan du skapar en peer-koppling av virtuella nätverk för användning i produktion.
- Lär dig hur du skapar topologin för ett nav- och ekernätverk med peer-koppling av virtuella nätverk och gatewayöverföring.
- Skapa peering för virtuella nätverk med samma distributionsmodell.
- Skapa peering för virtuella nätverk med olika distributionsmodeller.