Kurz: Připojení virtuální sítě do okruhu ExpressRoute

Tento článek vám pomůže propojit virtuální sítě (VNet) Azure ExpressRoute okruhy pomocí modelu nasazení Resource Manager a PowerShellu. Virtuální sítě mohou být buď ve stejném předplatném, nebo v jiném předplatném. Tento článek také ukazuje, jak aktualizovat propojení virtuální sítě.

• Můžete propojit až 10 virtuálních sítí se standardním okruhem ExpressRoute. Při použití standardního okruhu ExpressRoute musí být všechny virtuální sítě ve stejné geopolitické oblasti.

• Jedna virtuální síť může být propojená až s 16 okruhy ExpressRoute. Pomocí kroků v tomto článku vytvořte nový objekt připojení pro každý okruh ExpressRoute, ke který se připojujete. Okruhy ExpressRoute mohou být ve stejném předplatném, v různých předplatných nebo v kombinaci obojího.

• Pokud povolíte doplněk ExpressRoute Premium, můžete propojit virtuální sítě mimo geopolitickou oblast okruhu ExpressRoute. Doplněk Premium vám také umožní připojit k okruhu ExpressRoute více než 10 virtuálních sítí v závislosti na zvolené šířce pásma. Další podrobnosti o doplňku Premium najdete v nejčastějších dotazech.

• Aby bylo možné vytvořit připojení z okruhu ExpressRoute k cílové bráně virtuální sítě ExpressRoute, musí být počet adresových prostorů inzerovaných z místních nebo partnerských virtuálních sítí roven nebo menší než 200. Po úspěšném vytvoření připojení můžete do místních nebo partnerských virtuálních sítí přidat další adresní prostory až do 1 000 adres.

V tomto kurzu se naučíte:

Požadavky

• Než začnete s konfigurací, zkontrolujtepožadavky na směrování a pracovní postupy.

• Musí mít aktivní okruh ExpressRoute.

  • Postupujte podle pokynů k vytvoření okruhu ExpressRoute a jeho povolení poskytovatelem připojení.
  • Ujistěte se, že máte pro svůj okruh nakonfigurovaný privátní partnerský vztah Azure. Pokyny ke směrování najdete v článku o konfiguraci směrování.
  • Ujistěte se, že je nakonfigurovaný privátní partnerský vztah Azure, a navážte partnerský vztah protokolu BGP mezi vaší sítí a Microsoftem pro zajištění vzájemného připojení.
  • Ujistěte se, že máte vytvořenou a plně zřízenou virtuální síť a bránu virtuální sítě. Postupujte podle pokynů k vytvoření brány virtuální sítě pro ExpressRoute. Brána virtuální sítě pro ExpressRoute používá typ brány ExpressRoute, nikoli SÍŤ VPN.

Práce s Azure PowerShell

Postup a příklady v tomto článku se používají Azure PowerShell AZ Modules. Informace o instalaci nástroje AZ modules lokálně do počítače naleznete v tématu install Azure PowerShell. Další informace o novém modulu AZ Module najdete v tématu Úvod do nového Azure PowerShell AZ Module. Rutiny PowerShellu se často aktualizují. Pokud nepoužíváte nejnovější verzi, hodnoty uvedené v pokynech mohou selhat. Pokud chcete ve svém systému najít nainstalované verze PowerShellu, použijte Get-Module -ListAvailable Az rutinu.

Ke spuštění většiny rutin PowerShellu a příkazů rozhraní příkazového řádku můžete použít Azure Cloud Shell a nemusíte místně instalovat Azure PowerShell nebo rozhraní příkazového řádku. Azure Cloud Shell je bezplatné interaktivní prostředí, které má předinstalované běžné nástroje Azure a je nakonfigurované pro použití s vaším účtem. Chcete-li spustit libovolný kód obsažený v tomto článku v Azure Cloud Shell, otevřete relaci Cloud Shell, pomocí tlačítka kopírování na bloku kódu kód zkopírujte a vložte jej do relace Cloud shell s kombinací kláves CTRL + SHIFT + v v systémech Windows a Linux nebo Cmd + Shift + v v MacOS. Vkládaný text není automaticky spuštěn, stisknutím klávesy ENTER spustíte kód.

Existuje několik způsobů, jak Cloud Shell spustit:

Možnost	Odkaz
Klikněte na Vyzkoušet v pravém horním rohu bloku kódu.
Otevřete Cloud Shell ve vašem prohlížeči.
V nabídce v pravém horním rohu Azure Portal klikněte na tlačítko Cloud Shell .

Připojení virtuální sítě ve stejném předplatném k okruhu

Bránu virtuální sítě k okruhu ExpressRoute můžete připojit pomocí následující rutiny. Před spuštěním rutiny se ujistěte, že je brána virtuální sítě vytvořená a připravená k propojení:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute

Připojení virtuální sítě jiného předplatného k okruhu

Okruh ExpressRoute můžete sdílet mezi několika předplatných. Následující obrázek znázorňuje jednoduché schéma, jak funguje sdílení pro okruhy ExpressRoute napříč několika předplatných.

Každý z menších cloudů ve velkém cloudu se používá k reprezentaci předplatných, která patří různým oddělením v rámci organizace. Každé oddělení v organizaci používá k nasazení svých služeb vlastní předplatné, ale může sdílet jeden okruh ExpressRoute pro připojení zpět k vaší místní síti. Okruh ExpressRoute může vlastnit jedno oddělení (v tomto příkladu IT). Ostatní předplatná v rámci organizace mohou používat okruh ExpressRoute.

Správa – vlastníci okruhů a uživatelé okruhů

Vlastník okruhu je autorizovaným uživatelem napájení prostředku okruhu ExpressRoute. Vlastník okruhu může vytvořit autorizace, které mohou uplatnit uživatelé okruhu. Uživatelé okruhu jsou vlastníci bran virtuální sítě, které nejsou ve stejném předplatném jako okruh ExpressRoute. Uživatelé okruhů mohou uplatnit autorizace (jednu autorizaci na virtuální síť).

Vlastník okruhu má oprávnění kdykoli upravit a odvolat. Odvolání autorizace vede k odstranění všech propojení připojení z předplatného, jehož přístup byl odvolán.

Operace vlastníka okruhu

Vytvoření autorizace

Vlastník okruhu vytvoří autorizaci, která vytvoří autorizační klíč, který bude používat uživatel okruhu k připojení bran virtuální sítě k okruhu ExpressRoute. Autorizace je platná jenom pro jedno připojení.

Následující fragment kódu rutiny ukazuje, jak vytvořit autorizaci:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"

Odpověď na předchozí příkazy bude obsahovat autorizační klíč a stav:

Name                   : MyAuthorization1
Id                     : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag                   : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 
AuthorizationKey       : ####################################
AuthorizationUseStatus : Available
ProvisioningState      : Succeeded

Kontrola autorizací

Vlastník okruhu může zkontrolovat všechny autorizace vydané pro konkrétní okruh spuštěním následující rutiny:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Přidání autorizací

Vlastník okruhu může přidat autorizace pomocí následující rutiny:

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit

Odstranění autorizací

Vlastník okruhu může uživateli odvolat nebo odstranit autorizace spuštěním následující rutiny:

Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit

Operace uživatelů okruhu

Uživatel okruhu potřebuje ID partnerského okruhu a autorizační klíč od vlastníka okruhu. Autorizační klíč je identifikátor GUID.

ID partnerského vztahu je možné zkontrolovat pomocí následujícího příkazu:

Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"

Uplatnění autorizace připojení

Uživatel okruhu může spuštěním následující rutiny uplatnit autorizaci odkazu:

$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"    
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Uvolnění autorizace připojení

Autorizaci můžete uvolnit odstraněním připojení, které pro propojení okruhu ExpressRoute s virtuální sítí.

Úprava připojení k virtuální síti

Některé vlastnosti připojení virtuální sítě můžete aktualizovat.

Aktualizace váhy připojení

Vaše virtuální síť může být připojená k několika okruhům ExpressRoute. Můžete získat stejnou předponu z více než jednoho okruhu ExpressRoute. Pokud chcete zvolit, které připojení má odesílat provoz určený pro tuto předponu, můžete u připojení změnit hodnotu RoutingWeight (Tloušťka směrování). Provoz se bude odesílat na připojení s nejvyšší tloušťkou směrování.

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Rozsah váhy směrování je 0 až 32 000. Výchozí hodnota je 0.

Konfigurace ExpressRoute FastPath

ExpressRoute FastPath můžete povolit, pokud je brána virtuální sítě Ultra Performance nebo ErGw3AZ. FastPath zlepšuje výkon cesty k datům, jako jsou pakety za sekundu a připojení za sekundu mezi vaší místní sítí a virtuální sítí.

Konfigurace FastPath pro nové připojení

$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG" 
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG" 
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation" 

Aktualizace existujícího připojení pro povolení FastPath

$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" 
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection

Registrace funkcí ExpressRoute FastPath (Preview)

Podpora fastpath pro partnerský vztah virtuálních sítí je teď ve verzi Public Preview.

FastPath a peering virtuálních sítí

Pomocí FastPath a partnerského vztahu virtuálních sítí můžete povolit připojení ExpressRoute přímo k virtuálním počítačům v místní nebo partnerské virtuální síti a obejít tak bránu virtuální sítě ExpressRoute v cestě k datům.

Pokud se chcete zaregistrovat do této verze Preview, spusťte následující Azure PowerShell v cílovém předplatném Azure:

Register-AzProviderFeature -FeatureName ExpressRouteVnetPeeringGatewayBypass -ProviderNamespace Microsoft.Network

Vyčištění prostředků

Pokud už připojení ExpressRoute nepotřebujete, z předplatného, ve kterém se brána nachází, použijte příkaz k odebrání propojení mezi bránou a Remove-AzVirtualNetworkGatewayConnection okruhem.

Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.