Konfigurace průchodu bránou VPN pro partnerský vztah virtuální sítě

Tento článek vám pomůže nakonfigurovat průchod bránou pro partnerský vztah virtuální sítě. Partnerský vztah virtuální sítě umožňuje hladké připojení ke dvěma virtuálním sítím Azure a pro účely připojení je sloučí do jedné. Průchod bránou je vlastnost partnerského vztahu, která umožňuje jedné virtuální síti používat bránu VPN v partnerské virtuální síti pro připojení mezi místními sítěmi nebo virtuálními sítěmi. Následující diagram znázorňuje, jak funguje průchod bránou s využitím partnerského vztahu virtuální sítě.

V diagramu průchod bránou umožňuje partnerským virtuálním sítím používat službu Azure VPN Gateway v centrálním Resource Manageru (Hub-RM). Možnosti připojení dostupné u brány VPN, včetně připojení S2S, P2S a připojení mezi virtuálními sítěmi, platí pro všechny tři virtuální sítě. Možnost přenosu je dostupná pro partnerský vztah mezi stejnými nebo různými modely nasazení. Pokud konfigurujete průchod mezi různými modely nasazení, virtuální síť rozbočovače a brána virtuální sítě musí být v modelu nasazení Resource Manager,nikoli v modelu nasazení Classic.

V hvězdicové síťové architektuře průchod bránou umožňuje koncovým virtuálním sítím sdílet bránu VPN v centrálním uzlu a není tedy nutné nasazovat brány VPN do každé koncové virtuální sítě. Pomocí průchodu bránou se trasy do virtuálních sítí připojených k bráně nebo do místních sítí rozšíří do směrovacích tabulek partnerských virtuálních sítí. Automatické rozšíření tras z brány VPN můžete zakázat. Vytvořte směrovací tabulku s možností Zakázat šíření tras protokolu BGP a přidružte směrovací tabulku k podsítím, abyste zabránili distribuci tras do těchto podsítí. Další informace najdete v článku o směrovací tabulce virtuální sítě.

V tomto článku jsou dva scénáře:

• Stejný model nasazení: Obě virtuální sítě se vytvářejí v modelu Resource Manager nasazení.
• Různé modely nasazení: Paprsková virtuální síť se vytvoří v modelu nasazení Classic a centrální virtuální síť a brána jsou v modelu nasazení Resource Manager nasazení.

Požadavky

Než začnete, ověřte, že máte následující virtuální sítě a oprávnění:

Virtuální sítě

Oprávnění

Účty použité k vytvoření partnerského uzlu virtuální sítě musí mít nezbytné role a oprávnění. Pokud jste v následujícím příkladu navzájem protáhlé virtuální sítě s názvem Hub-RM a Spoke-Classic, váš účet musí mít pro každou virtuální síť následující role nebo oprávnění:

Přečtěte si další informace o integrovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím (platí pouze pro Resource Manager).

Stejný model nasazení

V tomto scénáři jsou virtuální sítě v modelu nasazení Resource Manager počítače. Pomocí následujících kroků vytvořte nebo aktualizujte partnerské vztahy virtuálních sítí a povolte průchod bránou.

Přidání partnerského vztahu a povolení průchodu

1. V Azure Portalvytvořte nebo aktualizujte partnerský vztah virtuální sítě z Hub-RM. Přejděte k virtuální síti Hub-RM. Vyberte Peerings (Partnerské vztah) a pak + Add (+ Přidat). Otevře se okno Add peering (Přidat partnerský vztah).

2. Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro tuto virtuální síť.

   • Název propojení partnerského vztahu: Pojmete propojení. Příklad: HubRMToSpokeRM

   • Provoz do vzdálené virtuální sítě: Povolit

   • Provoz předáný ze vzdálené virtuální sítě: Povolit

   • Brána virtuální sítě: Použijte bránu této virtuální sítě.

     

3. Na stejné stránce pokračujte a nakonfigurujte hodnoty pro vzdálenou virtuální síť.

   • Název propojení partnerského vztahu: Pojmete propojení. Příklad: SpokerMtoHubRM

   • Model nasazení: Resource Manager

   • Virtual Network: Spoke-RM

   • Provoz do vzdálené virtuální sítě: Povolit

   • Provoz předáný ze vzdálené virtuální sítě: Povolit

   • Brána virtuální sítě: Použijte bránu vzdálené virtuální sítě.

     

4. Vyberte Přidat a vytvořte partnerský vztah.

5. Ověřte stav partnerského vztahu v obou virtuálních sítích jako Připojeno.

Úprava existujícího partnerského vztahu pro přenos

Pokud už byl partnerský vztah vytvořený, můžete ho upravit pro přenos.

1. Přejděte k virtuální síti. Vyberte Partnerské vztahy a vyberte partnerský vztah, který chcete upravit.

   

2. Aktualizujte partnerský vztah virtuálních sítí.

   • Provoz do vzdálené virtuální sítě: Povolit

   • Přenosy předáné do virtuální sítě Povolit

   • Brána virtuální sítě: Použití brány vzdálené virtuální sítě

     

3. Uložte nastavení partnerského vztahu.

Ukázka PowerShellu

K vytvoření nebo aktualizaci partnerského uzlu v uvedeném příkladu můžete použít také PowerShell. Nahraďte proměnné názvy virtuálních sítí a skupin prostředků.

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

Různé modely nasazení

V této konfiguraci je paprsková virtuální síť Spoke-Classic v modelu nasazení Classic a centrální virtuální síť VNet Hub-RM je v modelu nasazení Resource Manager nasazení. Při konfiguraci průchodu mezi modely nasazení musí být brána virtuální sítě nakonfigurovaná pro virtuální Resource Manager virtuální síť, nikoli pro klasickou virtuální síť.

Pro tuto konfiguraci stačí nakonfigurovat virtuální síť hub-RM . Nemusíte nic konfigurovat pro virtuální síť paprsků-Classic .

1. V Azure Portal přejděte do virtuální sítě hub-RM , vyberte partnerské vztahy a pak vyberte + Přidat.

2. Na stránce Přidat partnerský vztah nakonfigurujte následující hodnoty:

   • Název propojení partnerského vztahu: název odkazu. Příklad: HubRMToClassic

   • Provoz do vzdálené virtuální sítě: Povolení

   • Přenosy předané ze vzdálené virtuální sítě: Povolení

   • Brána virtuální sítě: použít tuto bránu virtuální sítě

   • Vzdálená virtuální síť: klasický

     

3. Ověřte, že je předplatné správné, a pak v rozevíracím seznamu vyberte virtuální síť.

4. Vyberte Přidat a přidejte partnerský vztah.

5. Ověřte stav partnerského vztahu připojeného ve virtuální síti hub-RM.

Pro tuto konfiguraci nemusíte konfigurovat žádné součásti na virtuální síti paprsk-Classic . Jakmile se stav zobrazí jako připojeno, může virtuální síť paprsků používat připojení prostřednictvím brány VPN ve virtuální síti rozbočovače.

Ukázka PowerShellu

K vytvoření nebo aktualizaci partnerského uzlu v uvedeném příkladu můžete použít také PowerShell. Nahraďte proměnné a ID předplatného hodnotami vaší virtuální sítě a skupin prostředků a příslušným předplatným. Partnerský vztah virtuální sítě je třeba vytvořit pouze u centrální virtuální sítě.

$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name HubRMToClassic `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
  -AllowGatewayTransit

Další kroky

• Než se pustíte do vytváření partnerského vztahu virtuální sítě pro použití v produkčním prostředí, přečtěte si další informace o omezeních a chování partnerského uzlu virtuální sítě a nastavení partnerského vztahu virtuální sítě.
• Přečtěte si, jak vytvořit topologii centrální a koncové sítě s partnerským vztahem virtuální sítě a průchodem bránou.
• Vytvořte partnerský vztah virtuálních sítí se stejným modelem nasazení.
• Vytvořte partnerský vztah virtuálních sítí s různými modely nasazení.