Zelfstudie: Een virtueel netwerk verbinden met een ExpressRoute-circuit
Dit artikel helpt u bij het koppelen van VNet’s (virtuele netwerken) aan Azure ExpressRoute-circuits met behulp van het Resource Manager-implementatiemodel en PowerShell. Virtuele netwerken kunnen zich in hetzelfde abonnement bevinden of deel uitmaken van een ander abonnement. In dit artikel ziet u ook hoe u een koppeling naar een virtueel netwerk kunt bijwerken.
U kunt tot 10 virtuele netwerken koppelen aan een standaard ExpressRoute-circuit. Alle virtuele netwerken moeten zich in dezelfde geopolitieke regio bevinden wanneer een standaard ExpressRoute-circuit wordt gebruikt.
Eén VNet kan worden gekoppeld aan maximaal 16 ExpressRoute-circuits. Gebruik de stappen in dit artikel om een nieuw verbindingsobject te maken voor elk ExpressRoute-circuit waarmee u verbinding maakt. De ExpressRoute-circuits kunnen zich in hetzelfde abonnement, in verschillende abonnementen of in een combinatie van beide bevinden.
Als u de ExpressRoute Premium-invoegtoepassing inschakelt, kunt u virtuele netwerken koppelen die zich buiten de geopolitieke regio van het ExpressRoute-circuit bevinden. De Premium-invoegtoepassing biedt u ook de mogelijkheid om meer dan 10 virtuele netwerken te verbinden met uw ExpressRoute-circuit, afhankelijk van de gekozen bandbreedte. Raadpleeg de Veelgestelde vragen voor meer informatie over de Premium-invoegtoepassing.
Als u de verbinding van het ExpressRoute-circuit met de virtuele expressRoute-doelnetwerkgateway wilt maken, moet het aantal adresruimten dat wordt geadverteerd vanuit de lokale of peered virtuele netwerken gelijk zijn aan of kleiner zijn dan 200. Zodra de verbinding is gemaakt, kunt u extra adresruimten (maximaal 1000) toevoegen aan de lokale of peered virtuele netwerken.
In deze zelfstudie leert u het volgende:
- Een virtueel netwerk in hetzelfde abonnement verbinden met een circuit
- Een virtueel netwerk in een ander abonnement verbinden met een circuit
- Een virtuele netwerkverbinding wijzigen
- ExpressRoute FastPath configureren
Vereisten
Bekijk de vereisten, de routeringsvereisten en de werkstromen voordat u begint met de configuratie.
U moet een actief ExpressRoute-circuit hebben.
- Volg de instructies voor het maken van een ExpressRoute-circuit en laat het circuit inschakelen door de connectiviteitsprovider.
- Zorg ervoor dat u persoonlijke Azure-peering voor uw circuit hebt geconfigureerd. In het artikel Routering configureren vindt u instructies voor routering.
- Zorg ervoor dat persoonlijke Azure-peering is geconfigureerd en dat BGP-peering tussen uw netwerk en Microsoft wordt ingesteld voor end-to-end-connectiviteit.
- Zorg ervoor dat u een virtueel netwerk en een virtuele netwerkgateway hebt gemaakt en volledig hebt ingericht. Volg de instructies om een virtuele netwerkgateway voor ExpressRoute te maken. Een virtuele netwerkgateway voor ExpressRoute maakt gebruik van het GatewayType 'ExpressRoute', niet VPN.
Werken met Azure PowerShell
In de stappen en voorbeelden in dit artikel wordt gebruikgemaakt van Azure PowerShell Az-modules. Zie Azure PowerShell installeren als u de Az-modules lokaal op uw computer wilt installeren. Zie Introductie van de nieuwe Az-module van Azure PowerShell voor meer informatie over de Az-module. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u niet de nieuwste versie uitvoert, kunnen de in de instructies opgegeven waarden mislukken. Gebruik de cmdlet Get-Module -ListAvailable Az om de geïnstalleerde versies van PowerShell op uw systeem te vinden.
U kunt Azure Cloud Shell gebruiken om de meeste PowerShell-cmdlets en CLI-opdrachten uit te voeren. U hoeft Azure PowerShell of CLI niet lokaal te installeren. Azure Cloud Shell is een gratis, interactieve shell waarop algemene Azure-hulpprogramma's vooraf zijn geïnstalleerd. Het is geconfigureerd voor gebruik met uw account. Als u een code uit dit artikel wilt uitvoeren in Azure Cloud Shell, opent u een Cloud Shell-sessie, gebruikt u de knop Kopiëren in een codeblok om de code te kopiëren en plakt u deze als volgt in de Cloud Shell-sessie: in Windows en Linux met Ctrl+Shift+V; in macOS met Cmd+Shift+V. Geplakte tekst wordt niet automatisch uitgevoerd. Druk op Enter om code uit te voeren.
U kunt Cloud Shell op verschillende manieren starten:
| Optie | Koppeling |
|---|---|
| Klik op Nu uitproberen in de rechterbovenhoek van een codeblok. |  |
| Open Cloud Shell in uw browser. |  |
| Klik op de knop Cloud Shell in het menu rechtsboven in Azure Portal. |  |
Een virtueel netwerk in hetzelfde abonnement verbinden met een circuit
U kunt een virtueel netwerk met een ExpressRoute-circuit verbinden door de volgende cmdlet te gebruiken. Zorg ervoor dat de virtuele netwerkgateway is gemaakt en dat deze gereed is om te worden gekoppeld, voordat u de cmdlet uitvoert:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "MyRG" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute
Een virtueel netwerk in een ander abonnement verbinden met een circuit
U kunt een ExpressRoute-circuit delen tussen meerdere abonnementen. De volgende afbeelding is een schematische weergave van hoe delen tussen meerdere abonnementen werkt voor ExpressRoute-circuits.
Notitie
Het verbinden van virtuele netwerken tussen onafhankelijke Azure-clouds en openbare Azure-cloud wordt niet ondersteund. U kunt alleen virtuele netwerken uit verschillende abonnementen in dezelfde cloud koppelen.
Elk van de kleinere clouds in de grote cloud staan voor abonnementen die tot verschillende afdelingen binnen een organisatie behoren. Elk van de afdelingen in de organisatie gebruikt een eigen abonnement voor het implementeren van hun services, maar ze kunnen één ExpressRoute-circuit delen om verbinding te maken terug naar uw on-premises netwerk. Eén afdeling (in dit voorbeeld: IT) kan eigenaar zijn van het ExpressRoute-circuit. Andere abonnementen binnen de organisatie kunnen gebruikmaken van het ExpressRoute-circuit.
Notitie
Kosten voor connectiviteit en bandbreedte voor het ExpressRoute-circuit worden in rekening gebracht bij de eigenaar van het abonnement. Alle virtuele netwerken delen dezelfde bandbreedte.
Beheer: circuiteigenaars en circuitgebruikers
De 'circuiteigenaar' is een geautoriseerde hoofdgebruiker van de ExpressRoute-circuitresource. De circuiteigenaar kan autorisaties maken die kunnen worden ingewisseld door 'circuitgebruikers'. Circuitgebruikers zijn eigenaren van virtuele netwerkgateways die zich niet in hetzelfde abonnement bevinden als het ExpressRoute-circuit. Circuitgebruikers kunnen autorisaties inwisselen (één autorisatie per virtueel netwerk).
De circuiteigenaar heeft de bevoegdheid om autorisaties op elk gewenst moment te wijzigen en in te trekken. Het intrekken van een autorisatie heeft tot gevolg dat alle koppelingsverbindingen uit het abonnement waarvan de toegangsrechten zijn ingetrokken, worden verwijderd.
Bewerkingen door circuiteigenaars
Een autorisatie maken
De circuiteigenaar maakt een autorisatie, waarmee een autorisatiesleutel wordt gemaakt die door een circuitgebruiker moet worden gebruikt om de virtuele netwerkgateways te verbinden met het ExpressRoute-circuit. Een autorisatie is slechts voor één verbinding geldig.
In het volgende cmdlet-fragment ziet u hoe u een autorisatie kunt maken:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$auth1 = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization1"
Het antwoord op de vorige opdrachten bevatten de autorisatiesleutel en status:
Name : MyAuthorization1
Id : /subscriptions/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/CrossSubTest/authorizations/MyAuthorization1
Etag : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
AuthorizationKey : ####################################
AuthorizationUseStatus : Available
ProvisioningState : Succeeded
Autorisaties controleren
De circuiteigenaar kan alle autorisaties controleren die voor een bepaald circuit worden uitgegeven, door de volgende cmdlet uit te voeren:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Autorisaties toevoegen
De circuiteigenaar kan autorisaties toevoegen met behulp van de volgende cmdlet:
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Add-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit -Name "MyAuthorization2"
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$authorizations = Get-AzExpressRouteCircuitAuthorization -ExpressRouteCircuit $circuit
Autorisaties verwijderen
De circuiteigenaar kan autorisaties intrekken/verwijderen door de volgende cmdlet uit te voeren:
Remove-AzExpressRouteCircuitAuthorization -Name "MyAuthorization2" -ExpressRouteCircuit $circuit
Set-AzExpressRouteCircuit -ExpressRouteCircuit $circuit
Bewerkingen door circuitgebruikers
De circuitgebruiker heeft de peer-id en een autorisatiesleutel nodig van de circuiteigenaar. De autorisatiesleutel is een GUID.
De peer-id kan worden gecontroleerd met de volgende opdracht:
Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
Een autorisatie voor een verbinding inwisselen
De circuitgebruiker kan de volgende cmdlet uitvoeren om een autorisatie voor een koppeling in te wisselen:
$id = "/subscriptions/********************************/resourceGroups/ERCrossSubTestRG/providers/Microsoft.Network/expressRouteCircuits/MyCircuit"
$gw = Get-AzVirtualNetworkGateway -Name "ExpressRouteGw" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName "RemoteResourceGroup" -Location "East US" -VirtualNetworkGateway1 $gw -PeerId $id -ConnectionType ExpressRoute -AuthorizationKey "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Een autorisatie voor een verbinding vrijgeven
U kunt een autorisatie vrijgeven door de verbinding waarmee het ExpressRoute-circuit aan het virtuele netwerk wordt gekoppeld, te verwijderen.
Een virtuele netwerkverbinding wijzigen
U kunt bepaalde eigenschappen van een virtuele netwerkverbinding bijwerken.
Het gewicht van de verbinding bijwerken
Uw virtuele netwerk kan worden verbonden met meerdere ExpressRoute-circuits. U kunt hetzelfde voorvoegsel van meer dan één ExpressRoute-circuit ontvangen. Als u wilt kiezen via welke verbinding verkeer voor dit voorvoegsel moet worden verzonden, kunt u RoutingWeight voor een verbinding wijzigen. Verkeer wordt verzonden via de verbinding met het hoogste RoutingWeight.
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyVirtualNetworkConnection" -ResourceGroupName "MyRG"
$connection.RoutingWeight = 100
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Het bereik van RoutingWeight is 0 tot 32.000. De standaardwaarde is 0.
ExpressRoute FastPath configureren
U kunt ExpressRoute FastPath inschakelen als uw virtuele netwerkgateway Ultra Performance of ErGw3AZ is. FastPath verbetert de prestaties van het gegevenspad, zoals pakketten per seconde en verbindingen per seconde tussen uw on-premises netwerk en het virtuele netwerk.
FastPath configureren voor een nieuwe verbinding
$circuit = Get-AzExpressRouteCircuit -Name "MyCircuit" -ResourceGroupName "MyRG"
$gw = Get-AzVirtualNetworkGateway -Name "MyGateway" -ResourceGroupName "MyRG"
$connection = New-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG" -ExpressRouteGatewayBypass -VirtualNetworkGateway1 $gw -PeerId $circuit.Id -ConnectionType ExpressRoute -Location "MyLocation"
Een bestaande verbinding bijwerken om FastPath te kunnen gebruiken
$connection = Get-AzVirtualNetworkGatewayConnection -Name "MyConnection" -ResourceGroupName "MyRG"
$connection.ExpressRouteGatewayBypass = $True
Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection
Notitie
U kunt Verbindingsmonitor controleren of uw verkeer de bestemming bereikt met behulp van FastPath.
Registreren voor ExpressRoute FastPath-functies (preview)
FastPath-ondersteuning voor peering voor virtuele netwerken is nu beschikbaar als openbare preview.
FastPath- en virtueel-netwerk-peering
Met FastPath en peering voor virtuele netwerken kunt u ExpressRoute-connectiviteit rechtstreeks naar VM's inschakelen in een lokaal of peered virtueel netwerk, waardoor de gateway van het virtuele ExpressRoute-netwerk in het gegevenspad wordt omzeild.
Voer de volgende opdracht uit om u in te schrijven voor Azure PowerShell preview-versie in het Azure-doelabonnement:
Register-AzProviderFeature -FeatureName ExpressRouteVnetPeeringGatewayBypass -ProviderNamespace Microsoft.Network
Notitie
Alle verbindingen die zijn geconfigureerd voor FastPath in het doelabonnement, worden ingeschreven in deze preview. U wordt niet geadviseerd om deze preview in te stellen in productieabonnementen. Als u FastPath al hebt geconfigureerd en u zich wilt registreren voor de preview-functie, moet u het volgende doen:
- Schrijf u in voor de FastPath Preview-functie met de Azure PowerShell opdracht hierboven.
- Schakel FastPath uit en schakel vervolgens opnieuw in op de doelverbinding.
Resources opschonen
Als u de ExpressRoute-verbinding niet meer nodig hebt, gebruikt u de opdracht Remove-AzVirtualNetworkGatewayConnection om de koppeling tussen de gateway en het circuit te verwijderen uit het abonnement waar de gateway zich bevindt.
Remove-AzVirtualNetworkGatewayConnection "MyConnection" -ResourceGroupName "MyRG"
Volgende stappen
Voor meer informatie over ExpressRoute raadpleegt u de Veelgestelde vragen over ExpressRoute.