Konfigurace průchodu bránou VPN pro partnerský vztah virtuální sítě
Tento článek vám pomůže nakonfigurovat průchod bránou pro partnerský vztah virtuální sítě. Partnerský vztah virtuální sítě umožňuje hladké připojení ke dvěma virtuálním sítím Azure a pro účely připojení je sloučí do jedné. Průchod bránou je vlastnost partnerského vztahu, která umožňuje jedné virtuální síti používat bránu VPN v partnerské virtuální síti pro připojení mezi místními sítěmi nebo připojení typu VNet-to-VNet.
Následující diagram znázorňuje, jak funguje průchod bránou s využitím partnerského vztahu virtuální sítě. V diagramu průchod bránou umožňuje partnerským virtuálním sítím používat službu Azure VPN Gateway v centrálním Resource Manageru (Hub-RM). Možnosti připojení dostupné u brány VPN, včetně připojení S2S, P2S a připojení mezi virtuálními sítěmi, platí pro všechny tři virtuální sítě.
Možnost přenosu je dostupná pro partnerský vztah mezi stejnými nebo různými modely nasazení a dá se použít se všemi skladovými položkami služby VPN Gateway s výjimkou skladové položky Basic. Pokud konfigurujete průchod mezi různými modely nasazení, musí být virtuální síť rozbočovače a brána virtuální sítě v modelu nasazení Resource Manager, nikoli starší model nasazení Classic.
V hvězdicové síťové architektuře průchod bránou umožňuje koncovým virtuálním sítím sdílet bránu VPN v centrálním uzlu a není tedy nutné nasazovat brány VPN do každé koncové virtuální sítě. Trasy do virtuálních sítí připojených k bráně nebo místních sítí se šíří do směrovacích tabulek pro partnerské virtuální sítě pomocí průchodu bránou.
Automatické rozšíření tras z brány VPN můžete zakázat. Vytvořte směrovací tabulku s možností Zakázat šíření tras protokolu BGP a přidružte směrovací tabulku k podsítím, abyste zabránili distribuci tras do těchto podsítí. Další informace najdete v článku o směrovací tabulce virtuální sítě.
Tento článek obsahuje dva scénáře. Vyberte scénář, který se vztahuje na vaše prostředí. Většina lidí používá stejný scénář modelu nasazení. Pokud nepracujete s virtuální sítí modelu nasazení Classic (starší verze virtuální sítě), která už ve vašem prostředí existuje, nebudete muset pracovat se scénářem Různých modelů nasazení.
- Stejný model nasazení: Obě virtuální sítě se vytvářejí v modelu nasazení Resource Manager.
- Různé modely nasazení: Paprsková virtuální síť je vytvořená v modelu nasazení Classic a virtuální síť a brána centra jsou v modelu nasazení Resource Manager. Tento scénář je užitečný, když potřebujete připojit starší virtuální síť, která už existuje v modelu nasazení Classic.
Poznámka:
Pokud provedete změnu topologie sítě a máte klienty VPN systému Windows, musí se balíček klienta VPN pro klienty Windows stáhnout a nainstalovat znovu, aby se změny použily u klienta.
Požadavky
Tento článek vyžaduje následující virtuální sítě a oprávnění. Pokud nepracujete s jiným scénářem modelu nasazení, nemusíte vytvářet klasickou virtuální síť.
Virtuální sítě
| Virtuální síť | Kroky konfigurace | Brána virtuální sítě |
|---|---|---|
| Hub-RM | Resource Manager | Ano |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Klasické | No |
Oprávnění
Účty použité k vytvoření partnerského uzlu virtuální sítě musí mít nezbytné role a oprávnění. Pokud jste v následujícím příkladu vytvořili partnerský vztah mezi dvěma virtuálními sítěmi s názvem Hub-RM a Spoke-Classic, váš účet musí mít pro každou virtuální síť následující role nebo oprávnění:
| Virtuální síť | Model nasazení | Role | Oprávnění |
|---|---|---|---|
| Hub-RM | Správce zdrojů | Přispěvatel sítě | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klasické | Přispěvatel klasických sítí | – | |
| Spoke-Classic | Správce zdrojů | Přispěvatel sítě | Microsoft.Network/virtualNetworks/peer |
| Klasické | Přispěvatel klasických sítí | Microsoft.ClassicNetwork/virtualNetworks/peer |
Přečtěte si další informace o integrovaných rolích a přiřazení konkrétních oprávnění k vlastním rolím (platí pouze pro Resource Manager).
Stejný model nasazení
Toto je nejběžnější scénář. V tomto scénáři se virtuální sítě nacházejí v modelu nasazení Resource Manager. Pomocí následujících kroků vytvořte nebo aktualizujte partnerské vztahy virtuálních sítí a povolte průchod bránou.
Přidání partnerského vztahu a povolení přenosu
Na webu Azure Portal vytvořte nebo aktualizujte partnerský vztah virtuálních sítí z hub-RM. Přejděte do virtuální sítě Hub-RM . Vyberte Peerings (Partnerské vztahy) a pak + Add (Přidat) a otevřete Add Peering (Přidat partnerský vztah).
Na stránce Přidat partnerský vztah nakonfigurujte hodnoty pro tuto virtuální síť.
Název odkazu peeringu: Pojmenujte odkaz. Příklad: HubRMToSpokeRM
Přenosy do vzdálené virtuální sítě: Povolit
Přenosy přesměrované ze vzdálené virtuální sítě: Povolit
Brána virtuální sítě: Použijte bránu této virtuální sítě nebo směrovací server.
Na stejné stránce pokračujte v konfiguraci hodnot pro vzdálenou virtuální síť.
Název odkazu peeringu: Pojmenujte odkaz. Příklad: SpokeRMtoHubRM
Model nasazení virtuální sítě: Resource Manager
Vím, že id prostředku: Ponechejte prázdné. Tuto možnost musíte vybrat jenom v případě, že nemáte přístup pro čtení k virtuální síti nebo předplatnému, se kterým chcete vytvořit partnerský vztah.
Předplatné: Vyberte předplatné.
Virtuální síť: Spoke-RM
Přenosy do vzdálené virtuální sítě: Povolit
Přenosy přesměrované ze vzdálené virtuální sítě: Povolit
Brána virtuální sítě: Použijte bránu vzdálené virtuální sítě nebo směrovací server.
Vyberte Přidat a vytvořte partnerský vztah.
Ověřte stav partnerského vztahu jako Připojení v obou virtuálních sítích.
Úprava existujícího partnerského vztahu pro průchod
Pokud už máte partnerský vztah, můžete změnit partnerský vztah pro průchod.
Přejděte do virtuální sítě. Vyberte Partnerské vztahy a vyberte partnerský vztah, který chcete upravit. Například ve virtuální síti Spoke-RM vyberte partnerský vztah SpokeRMtoHubRM.
Aktualizujte partnerský vztah virtuálních sítí.
- Přenosy do vzdálené virtuální sítě: Povolit
- Přenosy předávané do virtuální sítě; Povolit
- Brána virtuální sítě nebo směrovací server: Použijte bránu vzdálené virtuální sítě nebo směrovací server.
Uložte nastavení partnerského vztahu.
Ukázka PowerShellu
K vytvoření nebo aktualizaci partnerského vztahu můžete použít také PowerShell. Nahraďte proměnné názvy virtuálních sítí a skupin prostředků.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Různé modely nasazení
V této konfiguraci je paprsková virtuální síť Spoke-Classic v modelu nasazení Classic a centrum VNet Hub-RM je v modelu nasazení Resource Manager. Při konfiguraci přenosu mezi modely nasazení musí být brána virtuální sítě nakonfigurovaná pro virtuální síť Resource Manageru, nikoli pro klasickou virtuální síť.
Pro tuto konfiguraci stačí nakonfigurovat pouze virtuální síť Hub-RM . Nemusíte nic konfigurovat ve virtuální síti Spoke-Classic .
Na webu Azure Portal přejděte do virtuální sítě Hub-RM , vyberte Partnerské vztahy a pak vyberte + Přidat.
Na stránce Přidat partnerský vztah nakonfigurujte následující hodnoty:
Název odkazu peeringu: Pojmenujte odkaz. Příklad: HubRMToClassic
Přenosy do vzdálené virtuální sítě: Povolit
Přenosy přesměrované ze vzdálené virtuální sítě: Povolit
Brána virtuální sítě nebo směrovací server: Použijte bránu této virtuální sítě nebo směrovací server.
Název propojení partnerského vztahu: Tato hodnota zmizí, když pro model nasazení virtuální sítě vyberete Classic.
Model nasazení virtuální sítě: Classic
Vím, že id prostředku: Ponechejte prázdné. Tuto možnost musíte vybrat jenom v případě, že nemáte přístup pro čtení k virtuální síti nebo předplatnému, se kterým chcete vytvořit partnerský vztah.
Ověřte správnost předplatného a v rozevíracím seznamu vyberte virtuální síť.
Chcete-li přidat partnerský vztah, vyberte Přidat .
Ověřte stav partnerského vztahu jako Připojení ve virtuální síti Hub-RM.
Pro tuto konfiguraci nemusíte konfigurovat nic ve virtuální síti Spoke-Classic . Jakmile se stav zobrazí Připojení, paprsková virtuální síť může používat připojení prostřednictvím brány VPN v centrální virtuální síti.
Ukázka PowerShellu
K vytvoření nebo aktualizaci partnerského vztahu můžete použít také PowerShell. Nahraďte proměnné a ID předplatného hodnotami vaší virtuální sítě a skupin prostředků a příslušným předplatným. Partnerský vztah virtuální sítě je třeba vytvořit pouze u centrální virtuální sítě.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Další kroky
- Než se pustíte do vytváření partnerského vztahu virtuální sítě pro použití v produkčním prostředí, přečtěte si další informace o omezeních a chování partnerského uzlu virtuální sítě a nastavení partnerského vztahu virtuální sítě.
- Přečtěte si, jak vytvořit topologii centrální a koncové sítě s partnerským vztahem virtuální sítě a průchodem bránou.
- Vytvořte partnerský vztah virtuálních sítí se stejným modelem nasazení.
- Vytvoření partnerského vztahu virtuálních sítí s různými modely nasazení