Hub-Spoke-Netzwerktopologie in AzureHub-spoke network topology in Azure

Diese Referenzarchitektur zeigt, wie eine Hub-Spoke-Topologie in Azure implementiert wird.This reference architecture shows how to implement a hub-spoke topology in Azure. Bei einem Hub handelt es sich um ein virtuelles Netzwerk (VNET) in Azure, das als zentraler Konnektivitätspunkt für Ihr lokales Netzwerk fungiert.The hub is a virtual network (VNet) in Azure that acts as a central point of connectivity to your on-premises network. Spokes sind VNETs, die eine Peeringverbindung mit dem Hub herstellen und zur Isolierung von Workloads verwendet werden können.The spokes are VNets that peer with the hub, and can be used to isolate workloads. Der Datenverkehr wird über eine ExpressRoute- oder VPN-Gatewayverbindung zwischen dem lokalen Rechenzentrum und dem Hub weitergeleitet.Traffic flows between the on-premises datacenter and the hub through an ExpressRoute or VPN gateway connection. Stellen Sie diese Lösung bereit.Deploy this solution.

00

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture

Diese Topologie bietet unter anderem folgende Vorteile:The benefits of this topology include:

  • Kosteneinsparungen durch die Zentralisierung von Diensten, die von mehreren Workloads (z.B. Network Virtual Appliances, kurz NVAs, und DNS-Servern) an einem einzigen Standort gemeinsam genutzt werden könnenCost savings by centralizing services that can be shared by multiple workloads, such as network virtual appliances (NVAs) and DNS servers, in a single location.
  • Umgehung von Abonnementbeschränkungen durch die Herstellung von Peeringverbindungen zwischen VNETs verschiedener Abonnements und dem zentralen HubOvercome subscriptions limits by peering VNets from different subscriptions to the central hub.
  • Trennung der Belange zwischen zentralen IT-Vorgängen (SecOps, InfraOps) und Workloads (DevOps)Separation of concerns between central IT (SecOps, InfraOps) and workloads (DevOps).

Typische Einsatzmöglichkeiten für diese Architektur sind Folgende:Typical uses for this architecture include:

  • Workloads, die in verschiedenen Umgebungen wie Entwicklungs-, Test- und Produktionsumgebungen eingesetzt werden und gemeinsame Dienste wie DNS, IDS, NTP oder AD DS erfordernWorkloads deployed in different environments, such as development, testing, and production, that require shared services such as DNS, IDS, NTP, or AD DS. Gemeinsame Dienste werden im Hub-VNET platziert, während die einzelnen Umgebungen in einem Spoke bereitgestellt werden, um die Isolation beizubehalten.Shared services are placed in the hub VNet, while each environment is deployed to a spoke to maintain isolation.
  • Workloads, bei denen keine Konnektivität untereinander bestehen muss, die jedoch Zugriff auf gemeinsame Dienste erfordernWorkloads that do not require connectivity to each other, but require access to shared services.
  • Unternehmen, die auf eine zentrale Steuerung von Sicherheitsmechanismen (z.B. eine Firewall im Hub als DMZ) und eine getrennte Verwaltung von Workloads in den einzelnen Spokes angewiesen sindEnterprises that require central control over security aspects, such as a firewall in the hub as a DMZ, and segregated management for the workloads in each spoke.

ArchitectureArchitecture

Die Architektur umfasst die folgenden Komponenten.The architecture consists of the following components.

  • Lokales Netzwerk.On-premises network. Ein in einer Organisation betriebenes privates lokales Netzwerk.A private local-area network running within an organization.

  • VPN-Gerät:VPN device. Ein Gerät oder ein Dienst, der externe Konnektivität mit dem lokalen Netzwerk bereitstellt.A device or service that provides external connectivity to the on-premises network. Bei dem VPN-Gerät kann es sich um ein Hardwaregerät oder eine Softwarelösung wie den Routing- und RAS-Dienst (RRAS) unter Windows Server 2012 handeln.The VPN device may be a hardware device, or a software solution such as the Routing and Remote Access Service (RRAS) in Windows Server 2012. Eine Liste der unterstützten VPN-Geräte und Informationen zur Konfiguration ausgewählter VPN-Geräte für die Verbindung mit Azure finden Sie unter Informationen zu VPN-Geräten für VPN Gateway-Verbindungen zwischen Standorten.For a list of supported VPN appliances and information on configuring selected VPN appliances for connecting to Azure, see About VPN devices for Site-to-Site VPN Gateway connections.

  • VPN-Gateway für ein virtuelles Netzwerk oder ExpressRoute-Gateway:VPN virtual network gateway or ExpressRoute gateway. Über das Gateway für virtuelle Netzwerke kann das VNET zur Konnektivität mit Ihrem lokalen Netzwerk eine Verbindung mit dem VPN-Gerät oder eine ExpressRoute-Verbindung herstellen.The virtual network gateway enables the VNet to connect to the VPN device, or ExpressRoute circuit, used for connectivity with your on-premises network. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem Microsoft Azure Virtual Network.For more information, see Connect an on-premises network to a Microsoft Azure virtual network.

Hinweis

In den Bereitstellungsskripts für diese Referenzarchitektur werden ein VPN-Gateway für die Konnektivität und ein VNET in Azure verwendet, um Ihr lokales Netzwerk zu simulieren.The deployment scripts for this reference architecture use a VPN gateway for connectivity, and a VNet in Azure to simulate your on-premises network.

  • Hub-VNET:Hub VNet. Das Azure-VNET, das als Hub in der Hub-Spoke-Topologie verwendet wird.Azure VNet used as the hub in the hub-spoke topology. Der Hub ist der zentrale Konnektivitätspunkt für Ihr lokales Netzwerk, mit dem Sie Dienste hosten, die von den verschiedenen in den Spoke-VNETs gehosteten Workloads genutzt werden können.The hub is the central point of connectivity to your on-premises network, and a place to host services that can be consumed by the different workloads hosted in the spoke VNets.

  • Gatewaysubnetz:Gateway subnet. Die Gateways für virtuelle Netzwerke befinden sich in demselben Subnetz.The virtual network gateways are held in the same subnet.

  • Spoke-VNETs:Spoke VNets. Ein oder mehrere Azure-VNETs, die als Spokes in der Hub-Spoke-Topologie verwendet werden.One or more Azure VNets that are used as spokes in the hub-spoke topology. Spokes können verwendet werden, um Workloads in ihren eigenen VNETs, die getrennt von anderen Spokes verwaltet werden, zu isolieren.Spokes can be used to isolate workloads in their own VNets, managed separately from other spokes. Jede Workload kann mehrere Schichten umfassen, wobei mehrere Subnetze über Azure Load Balancer verbunden sind.Each workload might include multiple tiers, with multiple subnets connected through Azure load balancers. Weitere Informationen zur Anwendungsinfrastruktur finden Sie unter Ausführen von Windows-VM-Workloads und Ausführen von Linux-VM-Workloads.For more information about the application infrastructure, see Running Windows VM workloads and Running Linux VM workloads.

  • VNET-Peering:VNet peering. Zwei VNETs können über eine Peeringverbindung miteinander verbunden werden.Two VNets can be connected using a peering connection. Peeringverbindungen sind nicht-transitive Verbindungen zwischen VNETs mit niedrigen Latenzen.Peering connections are non-transitive, low latency connections between VNets. Sobald eine Peeringverbindung hergestellt wurde, tauschen die VNETs ohne Einsatz eines Routers Datenverkehr über den Azure-Backbone aus.Once peered, the VNets exchange traffic by using the Azure backbone, without the need for a router. In einer Hub-Spoke-Netzwerktopologie wird durch VNET-Peering eine Verbindung zwischen dem Hub und den einzelnen Spokes hergestellt.In a hub-spoke network topology, you use VNet peering to connect the hub to each spoke. Sie können virtuelle Netzwerke in derselben Region oder in verschiedenen Regionen per Peering verknüpfen.You can peer virtual networks in the same region, or different regions. Weitere Informationen finden Sie unter Anforderungen und Einschränkungen.For more information, see Requirements and constraints.

Hinweis

In diesem Artikel werden ausschließlich Resource Manager-Bereitstellungen behandelt, Sie können jedoch auch eine Verbindung zwischen einem klassischen VNET und einem Resource Manager-VNET im selben Abonnement herstellen.This article only covers Resource Manager deployments, but you can also connect a classic VNet to a Resource Manager VNet in the same subscription. Auf diese Weise können Ihre Spokes klassische Bereitstellungen hosten und trotzdem von gemeinsamen Diensten im Hub profitieren.That way, your spokes can host classic deployments and still benefit from services shared in the hub.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

RessourcengruppenResource groups

Das Hub-VNET und die einzelnen Spoke-VNETS können in verschiedenen Ressourcengruppen und sogar in verschiedenen Abonnements implementiert werden.The hub VNet, and each spoke VNet, can be implemented in different resource groups, and even different subscriptions. Wenn Sie eine Peerverbindung zwischen virtuellen Netzwerken in verschiedenen Abonnements herstellen, können beide Abonnements demselben oder einem anderen Azure Active Directory-Mandanten zugeordnet sein.When you peer virtual networks in different subscriptions, both subscriptions can be associated to the same or different Azure Active Directory tenant. Dies ermöglicht nicht nur eine dezentralisierte Verwaltung der einzelnen Workloads, sondern auch die Verwaltung gemeinsamer Dienste im Hub-VNET.This allows for a decentralized management of each workload, while sharing services maintained in the hub VNet.

VNET und GatewaySubnetVNet and GatewaySubnet

Erstellen Sie ein Subnetz mit dem Namen GatewaySubnet mit dem Adressbereich /27.Create a subnet named GatewaySubnet, with an address range of /27. Dieses Subnetz ist für das Gateway für virtuelle Netzwerke erforderlich.This subnet is required by the virtual network gateway. Durch Zuweisung von 32 Adressen zu diesem Subnetz wird eine künftige Überschreitung von Beschränkungen der Gatewaygröße verhindert.Allocating 32 addresses to this subnet will help to prevent reaching gateway size limitations in the future.

Weitere Informationen zum Einrichten des Gateways finden Sie abhängig von Ihrem Verbindungstyp in den folgenden Referenzarchitekturen:For more information about setting up the gateway, see the following reference architectures, depending on your connection type:

Um eine höhere Verfügbarkeit zu erzielen, können Sie ExpressRoute mit einem VPN für Failoverzwecke kombinieren.For higher availability, you can use ExpressRoute plus a VPN for failover. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit Azure unter Verwendung von ExpressRoute mit VPN-Failover.See Connect an on-premises network to Azure using ExpressRoute with VPN failover.

Eine Hub-Spoke-Topologie kann auch ohne Gateway verwendet werden, wenn keine Konnektivität mit Ihrem lokalen Netzwerk erforderlich ist.A hub-spoke topology can also be used without a gateway, if you don't need connectivity with your on-premises network.

VNet-PeeringVNet peering

Beim VNET-Peering wird eine nicht-transitive Beziehung zwischen zwei VNETs hergestellt.VNet peering is a non-transitive relationship between two VNets. Wenn Sie eine Verbindung zwischen Spokes herstellen möchten, sollten Sie eventuell eine separate Peeringverbindung zwischen diesen Spokes herstellen.If you require spokes to connect to each other, consider adding a separate peering connection between those spokes.

Wenn jedoch zwischen mehreren Spokes eine Verbindung hergestellt werden muss, werden die möglichen Peeringverbindungen sehr schnell zur Neige gehen, da die Anzahl der VNET-Peerings pro VNET begrenzt ist.However, if you have several spokes that need to connect with each other, you will run out of possible peering connections very quickly due to the limitation on number of VNets peerings per VNet. In diesem Szenario sollten Sie die Verwendung von benutzerdefinierten Routen (User Defined Routes, UDRs) in Erwägung ziehen, um zu erzwingen, dass der für einen Spoke vorgesehene Datenverkehr an Azure Firewall oder eine NVA, die als Router im Hub-VNET fungiert, gesendet wird.In this scenario, consider using user defined routes (UDRs) to force traffic destined to a spoke to be sent to Azure Firewall or an NVA acting as a router at the hub VNet. Hierdurch können die Spokes miteinander verbunden werden.This will allow the spokes to connect to each other.

Sie können Spokes auch für die Kommunikation mit Remotenetzwerken über das Gateway für das Hub-VNET konfigurieren.You can also configure spokes to use the hub VNet gateway to communicate with remote networks. Damit der Gatewaydatenverkehr zwischen den Spokes und dem Hub weitergeleitet und eine Verbindung mit Remotenetzwerken hergestellt werden kann, müssen Sie folgende Schritte durchführen:To allow gateway traffic to flow from spoke to hub, and connect to remote networks, you must:

  • Konfigurieren Sie die VNET-Peeringverbindung im Hub dahingehend, dass Gatewaytransit zugelassen wird.Configure the VNet peering connection in the hub to allow gateway transit.
  • Konfigurieren Sie die VNET-Peeringverbindung in den einzelnen Spokes dahingehend, dass Remotegateways verwendet werden.Configure the VNet peering connection in each spoke to use remote gateways.
  • Konfigurieren Sie alle VNET-Peeringverbindungen dahingehend, dass weitergeleiteter Datenverkehr zugelassen wird.Configure all VNet peering connections to allow forwarded traffic.

ÜberlegungenConsiderations

Konnektivität zwischen SpokesSpoke connectivity

Wenn Konnektivität zwischen Spokes hergestellt werden muss, sollten Sie Azure Firewall oder eine NVA für das Routing im Hub implementieren und UDRs im Spoke zur Weiterleitung des Datenverkehrs an den Hub verwenden.If you require connectivity between spokes, consider deploying Azure Firewall or an NVA for routing in the hub, and using UDRs in the spoke to forward traffic to the hub. Die folgenden Bereitstellungsschritte enthalten einen optionalen Schritt, mit dem diese Konfiguration eingerichtet wird.The deployment steps below include an optional step that sets up this configuration.

22

In diesem Szenario müssen Sie die Peeringverbindungen dahingehend konfigurieren, dass weitergeleiteter Verkehr zugelassen wird.In this scenario, you must configure the peering connections to allow forwarded traffic.

Berücksichtigen Sie auch die Dienste, die im Hub gemeinsam genutzt werden, um sicherzustellen, dass sich der Hub für eine größere Anzahl von Spokes skalieren lässt.Also consider what services are shared in the hub, to ensure the hub scales for a larger number of spokes. Wenn Ihr Hub beispielsweise Firewalldienste bereitstellt, sollten Sie beim Hinzufügen mehrerer Spokes die Bandbreitenbeschränkungen Ihrer Firewalllösung berücksichtigen.For instance, if your hub provides firewall services, consider the bandwidth limits of your firewall solution when adding multiple spokes. Es wird empfohlen, einige dieser gemeinsamen Dienste auf eine zweite Hubebene zu verlagern.You might want to move some of these shared services to a second level of hubs.

Bereitstellen der LösungDeploy the solution

Eine Bereitstellung für diese Architektur ist auf GitHub verfügbar.A deployment for this architecture is available on GitHub. Bei dieser werden zum Testen der Konnektivität VMs in jedem VNET verwendet.It uses VMs in each VNet to test connectivity. Es werden zwei Instanzen jeder Jumpbox bereitgestellt — eine Linux-VM und eine Windows-VM.Two instances of each jumpbox are deployed — one Linux VM and one Windows VM. In einer realen Bereitstellung würden Sie einen einzelnen Typ bereitstellen.In a real deployment, you would deploy a single type.

Im Hub werden keine gemeinsamen Dienste bereitgestellt.No shared services are deployed in the hub. Eine Version mit gemeinsamen Diensten wird unter Hub-Spoke-Netzwerktopologie mit gemeinsamen Diensten in Azure beschrieben.For a version that includes shared services, see Hub-spoke network topology with shared services in Azure.

Die Bereitstellung erstellt die folgenden Ressourcengruppen in Ihrem Abonnement:The deployment creates the following resource groups in your subscription:

  • hub-vnet-rghub-vnet-rg
  • onprem-jb-rgonprem-jb-rg
  • onprem-vnet-rgonprem-vnet-rg
  • spoke1-vnet-rgspoke1-vnet-rg
  • spoke2-vnet-rgspoke2-vnet-rg

VoraussetzungenPrerequisites

  1. Klonen oder Forken Sie das GitHub-Repository Referenzarchitekturen, oder laden Sie die entsprechende ZIP-Datei herunter.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Installieren Sie Azure CLI 2.0.Install Azure CLI 2.0.

  3. Installieren Sie Node und NPM.Install Node and NPM

  4. Installieren Sie das npm-Paket mit den Azure Bausteinen.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  5. Melden Sie sich über eine Eingabeaufforderung, eine Bash-Eingabeaufforderung oder die PowerShell-Eingabeaufforderung folgendermaßen bei Ihrem Azure-Konto an:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Bereitstellen der ReferenzarchitekturDeploy the reference architecture

Führen Sie diese Schritte aus, um die Architektur bereitzustellen:Follow these steps to deploy the architecture:

  1. Navigieren Sie zum hybrid-networking/hub-spoke-Ordner des Repositorys für Referenzarchitekturen.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Öffnen Sie die Datei hub-spoke.json .Open the hub-spoke.json file.

  3. Ersetzen Sie die Werte für alle Instanzen von [replace-with-username] und [replace-with-password].Replace the values for all instances of [replace-with-username] and [replace-with-password].

    "adminUsername": "[replace-with-username]",
    "adminPassword": "[replace-with-password]",
    
  4. Suchen Sie beide Instanzen von [replace-with-shared-key], und geben Sie einen gemeinsam genutzten Schlüssel für die VPN-Verbindung ein.Find both instances of [replace-with-shared-key] and enter a shared key for the VPN connection. Die Werte müssen übereinstimmen.The values must match.

    "sharedKey": "[replace-with-shared-key]",
    
  5. Speichern Sie die Datei .Save the file.

  6. Führen Sie den folgenden Befehl aus:Run the following command:

    azbb -s <subscription_id> -g onprem-vnet-rg -l <location> -p hub-spoke.json --deploy
    
  7. Warten Sie, bis die Bereitstellung abgeschlossen ist.Wait for the deployment to finish. In dieser Bereitstellung werden vier virtuelle Netzwerke, acht VMs und zwei VPN-Gateways erstellt, es wird die Verbindung zwischen den beiden VPN-Gateways hergestellt, und das Peering virtueller Netzwerke wird konfiguriert.This deployment creates four virtual networks, eight VMs, two VPN gateways, the connection between the two VPN gateways, and configures virtual network peering. Das Erstellen der VPN-Gateways kann etwa 40 Minuten dauern.It can take about 40 minutes to create the VPN gateways.

Testen der Konnektivität — WindowsTest connectivity — Windows

Führen Sie die folgenden Schritte aus, um die Konnektivität der simulierten lokalen Umgebung mit dem Hub und Spokes unter Verwendung von Windows zu testen:To test connectivity from the simulated on-premises environment to the hub and spokes using Windows, follow these steps:

  1. Suchen Sie im Azure-Portal die VM namens jb-vm1 in der onprem-jb-rg-Ressourcengruppe.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Klicke Sie auf Connect, um eine Remotedesktopsitzung mit der VM zu öffnen.Click Connect to open a remote desktop session to the VM. Verwenden Sie das Kennwort, das Sie in der hub-spoke.json-Parameterdatei angegeben haben.Use the password that you specified in the hub-spoke.json parameter file.

  3. Öffnen Sie auf der VM eine PowerShell-Konsole, und verwenden Sie das Test-NetConnection-Cmdlet, um sicherzustellen, dass Sie eine Verbindung mit der Jumpbox-VM im Hub herstellen können.Open a PowerShell console in the VM, and use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in the hub.

    Test-NetConnection 10.0.0.36 -CommonTCPPort RDP
    

    Die Ausgabe sollte in etwa wie folgt aussehen:The output should look similar to the following:

    ComputerName     : 10.0.0.36
    RemoteAddress    : 10.0.0.36
    RemotePort       : 3389
    InterfaceAlias   : Ethernet 2
    SourceAddress    : 192.168.1.000
    TcpTestSucceeded : True
    
  4. Stellen Sie mithilfe des Test-NetConnection-Cmdlets sicher, dass Sie eine Verbindung mit den Jumpbox-VMs in den Spokes herstellen können.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VMs in the spokes.

    Test-NetConnection 10.1.0.36 -CommonTCPPort RDP
    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Hinweis

Standardmäßig lassen Windows Server-VMs in Azure keine ICMP-Antworten zu.By default, Windows Server VMs do not allow ICMP responses in Azure. Wenn Sie ping zum Testen der Konnektivität nutzen möchten, aktivieren Sie für jede VM ICMP-Datenverkehr in der erweiterten Windows-Firewall.If you want to use ping to test connectivity, enable ICMP traffic in the Windows Advanced Firewall for each VM.

Testen der Konnektivität — LinuxTest connectivity — Linux

Führen Sie die folgenden Schritte aus, um die Konnektivität der simulierten lokalen Umgebung mit dem Hub und Spokes unter Verwendung von Linux zu testen:To test connectivity from the simulated on-premises environment to the hub and spokes using Linux, follow these steps:

  1. Suchen Sie im Azure-Portal die VM namens jbl-vm1 in der onprem-jb-rg-Ressourcengruppe.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Klicken Sie auf Connect, und kopieren Sie den im Portal angezeigten ssh-Befehl.Click Connect and copy the ssh command shown in the portal.

  3. Führen Sie ssh aus, um die Verbindung mit der simulierten lokalen Umgebung herzustellen.Run ssh to connect to the simulated on-premises environment. Verwenden Sie das Kennwort, das Sie in der hub-spoke.json-Parameterdatei angegeben haben.Use the password that you specified in the hub-spoke.json parameter file.

  4. Testen Sie mit dem Befehl nc die Konnektivität mit der Jumpbox-VM im Hub:Use the nc command to test connectivity to the jumpbox VM in the hub:

    nc -vzw 1 10.0.0.37 22
    

    Die Ausgabe sollte in etwa wie folgt aussehen:The output should look similar to the following:

    Connection to 10.0.0.37 22 port [tcp/ssh] succeeded!
    
  5. Verwenden Sie den Befehl nc, um die Konnektivität mit den Jumpbox-VMs in den einzelnen Spokes zu testen:Use the nc command to test connectivity to the jumpbox VMs in each spoke:

    nc -vzw 1 10.1.0.37 22
    nc -vzw 1 10.2.0.37 22
    

Herstellen von Konnektivität zwischen SpokesAdd connectivity between spokes

Dieser Schritt ist optional.This step is optional. Wenn Sie zulassen möchten, dass Spokes Verbindungen miteinander herstellen können, verwenden Sie Azure Firewall, um zu erzwingen, dass Datenverkehr von den Spokes über den Router verläuft, wenn versucht wird, eine Verbindung mit anderen Spokes herzustellen.If you want to allow spokes to connect to each other, use Azure Firewall to force traffic from spokes to the router when trying to connect to another spoke. Führen Sie die folgenden Schritte aus, um Azure Firewall und Firewallregeln bereitzustellen, um RDP und SSH zuzulassen, sowie benutzerdefinierte (UDRs), um eine Verbindung zwischen den beiden Spoke-VNets zu ermöglichen:Perform the following steps to deploy Azure Firewall, firewall rules to allow RDP and SSH, and user-defined routes (UDRs) to allow the two spoke VNets to connect:

  1. Navigieren Sie zum hybrid-networking/hub-spoke-Ordner des Repositorys für Referenzarchitekturen.Navigate to the hybrid-networking/hub-spoke folder of the reference architectures repository.

  2. Führen Sie den folgenden Befehl aus:Run the following command:

    azbb -s <subscription_id> -g hub-vnet-rg -l <location> -p hub-firewall.json --deploy
    

Hinweis

Die private IP-Adresse der Azure Firewall ist auf 10.0.0.132 festgelegt.The private IP address of the Azure Firewall is set to 10.0.0.132. Wegen der Zuordnung privater IP-Adressen durch Azure ist dies die IP-Adresse für diese Bereitstellung.This will be the IP address for this deployment due to the way Azure allocates private IP addresses. Änderungen an dieser Bereitstellung können eine Änderung dieser Standardadresse bewirken.Any modifications to this deployment may change this default address. Bearbeiten Sie in einem solche Fall die hub-firewall.json-Routingtabellen, und ersetzen Sie alle Instanzen von nextHop in den Routen, sodass sie auf die richtige private IP-Adresse von Azure Firewall zeigen.In that situation, edit the hub-firewall.json route tables and replace all instances of nextHop in the routes to point to the correct private IP address of Azure Firewall.

Testen der Konnektivität zwischen Spokes — WindowsTest connectivity between spokes — Windows

Wenn Sie die Spokes verbunden haben, führen Sie diese Schritte aus, um die Konnektivität mit Windows zu überprüfen:If you connected the spokes, perform these steps to verify connectivity using Windows:

  1. Suchen Sie im Azure-Portal die VM namens jb-vm1 in der onprem-jb-rg-Ressourcengruppe.Use the Azure portal to find the VM named jb-vm1 in the onprem-jb-rg resource group.

  2. Klicke Sie auf Connect, um eine Remotedesktopsitzung mit der VM zu öffnen.Click Connect to open a remote desktop session to the VM. Verwenden Sie das Kennwort, das Sie in der hub-spoke.json-Parameterdatei angegeben haben.Use the password that you specified in the hub-spoke.json parameter file.

  3. Öffnen Sie in dieser Remotedesktop-Sitzung eine weitere Remotedesktop-Sitzung mit 10.1.0.36.From inside this remote desktop session, open another remote desktop session to 10.1.0.36. Dies ist die private IP-Adresse der Jumpbox in Spoke 1.That's the private IP address of the jumpbox in spoke 1.

  4. Öffnen Sie in der zweiten Remotedesktop-Sitzung eine PowerShell-Konsole.From the second remote desktop session, open a PowerShell console. Stellen Sie mithilfe des Test-NetConnection-Cmdlets sicher, dass Sie eine Verbindung mit der Jumpbox-VM in Spoke 2 herstellen können.Use the Test-NetConnection cmdlet to verify that you can connect to the jumpbox VM in spoke 2.

    Test-NetConnection 10.2.0.36 -CommonTCPPort RDP
    

Testen der Konnektivität zwischen Spokes — LinuxTest connectivity between spokes — Linux

Wenn Sie die Spokes verbunden haben, führen Sie diese Schritte aus, um die Konnektivität mit Linux zu überprüfen:If you connected the spokes, perform these steps to verify connectivity using Linux:

  1. Suchen Sie im Azure-Portal die VM namens jbl-vm1 in der onprem-jb-rg-Ressourcengruppe.Use the Azure portal to find the VM named jbl-vm1 in the onprem-jb-rg resource group.

  2. Klicken Sie auf Connect, und kopieren Sie den im Portal angezeigten ssh-Befehl.Click Connect and copy the ssh command shown in the portal.

  3. Führen Sie in einer Linux-Eingabeaufforderung ssh zum Herstellen der Verbindung mit der simulierten lokalen Umgebung aus.From a Linux prompt, run ssh to connect to the simulated on-premises environment. Verwenden Sie das Kennwort, das Sie in der hub-spoke.json-Parameterdatei angegeben haben.Use the password that you specified in the hub-spoke.json parameter file.

  4. Suchen Sie im Azure-Portal die VM namens s1jbl-vm1 in der spoke1-vnet-rg-Ressourcengruppe.Use the Azure portal to find the VM named s1jbl-vm1 in the spoke1-vnet-rg resource group.

  5. Klicken Sie auf Connect, und kopieren Sie den im Portal angezeigten ssh-Befehl.Click Connect and copy the ssh command shown in the portal.

  6. Führen Sie in der in Schritt 3 erstellten SSH-Sitzung ssh aus, um eine Verbindung mit der Jumpbox von Spoke 1 herzustellen.In the ssh session created in step 3, run ssh to connect to the spoke-1 jumpbox. Verwenden Sie das Kennwort, das Sie in der hub-spoke.json-Parameterdatei angegeben haben.Use the password that you specified in the hub-spoke.json parameter file.

  7. Testen Sie mit dem Befehl nc die Konnektivität mit der Jumpbox-VM in Spoke 2:Use the nc command to test connectivity to the jumpbox VM in spoke 2:

    nc -vzw 1 10.2.0.37 22
    

Nächste SchritteNext steps

Eine Version dieser Architektur, in der gemeinsame Identitäts- und Sicherheitsdienste bereitgestellt werden, finden Sie unter Hub-Spoke-Netzwerktopologie mit gemeinsamen Diensten in Azure.For a version of this architecture that deploys shared identity and security services, see Hub-spoke network topology with shared services in Azure.