VPN-gatewayoverdracht configureren voor peering voor virtuele netwerken
Dit artikel helpt u bij het configureren van gatewayoverdracht voor peering voor virtuele netwerken. Peering voor virtuele netwerken maakt naadloos een verbinding tussen twee virtuele Azure-netwerken, waarbij de twee virtuele netwerken worden samengevoegd tot één netwerk voor connectiviteitsdoeleinden. Gateway-doorvoer is een peering-eigenschap waarmee één virtueel netwerk de VPN-gateway in het peered virtuele netwerk kan gebruiken voor cross-premises of VNet-naar-VNet-connectiviteit. Het volgende diagram toont hoe gatewayoverdracht werkt met peering voor virtuele netwerken.
In het diagram zorgt gatewayoverdracht dat de als peer ingestelde virtuele netwerken de Azure VPN-gateway kunnen gebruiken in Hub-RM. De connectiviteit beschikbaar op de VPN-gateway, met inbegrip van de S2S-, P2S- en VNet-naar-VNet-verbindingen, geldt voor alle drie de virtuele netwerken. De transitoptie is beschikbaar voor peering tussen dezelfde of verschillende implementatiemodellen. Als u de doorvoer tussen verschillende implementatiemodellen configureert, moet het virtuele hubnetwerk en de virtuele netwerkgateway zich in het Resource Manager-implementatiemodel, niet het klassieke implementatiemodel.
In de hub en spoke-netwerkarchitectuur zorgt gatewayoverdracht dat spoke virtuele netwerken de VPN-gateway in de hub kunnen delen, in plaats van VPN-gateways in elk spoke virtueel netwerk te moeten implementeren. Routes naar met de gateway verbonden virtuele netwerken of on-premises netwerken worden doorgegeven aan de routeringstabellen voor de als peer ingestelde virtuele netwerken met behulp van gatewayoverdracht. U kunt de automatische routedoorgifte van de VPN-gateway uitschakelen. Maak een routeringstabel met de optie Doorgifte van BGP-route uitschakelen en koppel de routeringstabel met de subnets om de routedistributie naar die subnetten te voorkomen. Zie Tabel voor routering van virtuele netwerken voor meer informatie.
Er zijn twee scenario's in dit artikel:
- Hetzelfde implementatiemodel: beide virtuele netwerken worden gemaakt in het Resource Manager implementatiemodel.
- Verschillende implementatiemodellen: Het virtuele spoke-netwerk wordt gemaakt in het klassieke implementatiemodel en het virtuele hubnetwerk en de gateway maken Resource Manager implementatiemodel.
Notitie
Als u de topologie van uw netwerk wijzigt en Windows VPN-clients hebt, moet het VPN-clientpakket voor Windows-clients worden gedownload en opnieuw worden geïnstalleerd om de wijzigingen op de client toe te kunnen voeren.
Vereisten
Controleer voordat u begint of u de volgende virtuele netwerken en machtigingen hebt:
Virtuele netwerken
| VNet | Implementatiemodel | Gateway van een virtueel netwerk |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Klassieke | No |
Machtigingen
De accounts die u gebruikt voor het maken van peering voor virtuele netwerken, moeten de benodigde rollen of machtigingen hebben. Als u in het onderstaande voorbeeld de twee virtuele netwerken met de naam Hub-RM en Spoke-Classic peert, moet uw account de volgende rollen of machtigingen hebben voor elk virtueel netwerk:
| VNet | Implementatiemodel | Rol | Machtigingen |
|---|---|---|---|
| Hub-RM | Resource Manager | Inzender voor netwerken | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klassiek | Inzender voor klassieke netwerken | N.v.t. | |
| Spoke-Classic | Resource Manager | Inzender voor netwerken | Microsoft.Network/virtualNetworks/peer |
| Klassiek | Inzender voor klassieke netwerken | Microsoft.ClassicNetwork/virtualNetworks/peer |
Meer informatie over ingebouwde rollen en het toewijzen van specifieke machtigingen voor aangepaste rollen (alleen Resource Manager).
Hetzelfde implementatiemodel
In dit scenario zijn de virtuele netwerken beide in het Resource Manager implementatiemodel. Gebruik de volgende stappen om de peerings voor het virtuele netwerk te maken of bij te werken om gateway-overdracht in teschakelen.
Een peering toevoegen en doorvoer inschakelen
Maak of werk Azure Portalvirtuele netwerk-peering uit de Hub-RM in de Azure Portal bij. Navigeer naar het virtuele netwerk Hub-RM. Selecteer Peerings en vervolgens + Toevoegen om Peering toevoegen te openen.
Configureer op de pagina Peering toevoegen de waarden voor Dit virtuele netwerk.
Naam van peeringkoppeling: noem de koppeling. Voorbeeld: HubRMToSpokeRM
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat wordt doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway: gebruik de gateway van dit virtuele netwerk
Ga op dezelfde pagina verder met het configureren van de waarden voor het externe virtuele netwerk.
Naam van peeringkoppeling: noem de koppeling. Voorbeeld: SpokeRMtoHubRM
Implementatiemodel: Resource Manager
Virtual Network: Spoke-RM
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat wordt doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway: gebruik de gateway van het externe virtuele netwerk
Selecteer Toevoegen om de peering te maken.
Controleer de peeringstatus op beide virtuele netwerken als Verbonden.
Een bestaande peering voor overdracht wijzigen
Als de peering al is gemaakt, kunt u de peering voor doorvoer wijzigen.
Navigeer naar het virtuele netwerk. Selecteer Peerings en selecteer de peering die u wilt wijzigen.
Werk de VNet-peering bij.
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat wordt doorgestuurd naar het virtuele netwerk; Toestaan
Virtuele netwerkgateway: gateway van extern virtueel netwerk gebruiken
Sla de peering-instellingen op.
Voorbeeld van PowerShell
U kunt ook PowerShell gebruiken voor het maken of bijwerken van de peering in het bovenstaande voorbeeld. Vervang de variabelen door de namen van uw virtuele netwerken en resourcegroepen.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Verschillende implementatiemodellen
In deze configuratie maakt de spoke-spoke-classic van het spoke-model gebruik van het klassieke implementatiemodel en maakt de hub VNet Hub-RM gebruik van Resource Manager implementatiemodel. Bij het configureren van de doorvoer tussen implementatiemodellen moet de gateway van het virtuele netwerk worden geconfigureerd voor Resource Manager VNet, niet voor het klassieke VNet.
Voor deze configuratie hoeft u alleen het virtuele netwerk Hub-RM te configureren. U hoeft niets te configureren op het spoke-classic VNet.
Navigeer Azure Portal het virtuele netwerk Hub-RM, selecteer Peerings en selecteer vervolgens + Toevoegen.
Configureer op de pagina Peering toevoegen de volgende waarden:
Naam van peeringkoppeling: noem de koppeling. Voorbeeld: HubRMToClassic
Verkeer naar extern virtueel netwerk: Toestaan
Verkeer dat wordt doorgestuurd vanuit een extern virtueel netwerk: Toestaan
Virtuele netwerkgateway: gebruik de gateway van dit virtuele netwerk
Extern virtueel netwerk: klassiek
Controleer of het abonnement juist is en selecteer vervolgens het virtuele netwerk in de vervolgkeuzekeuze.
Selecteer Toevoegen om de peering toe te voegen.
Controleer de peeringstatus op Verbonden in het virtuele netwerk Hub-RM.
Voor deze configuratie hoeft u niets te configureren op het virtuele spoke-classic netwerk. Zodra de status Verbonden toont, kan het virtuele spoke-netwerk de connectiviteit gebruiken via de VPN-gateway in het virtuele hubnetwerk.
Voorbeeld van PowerShell
U kunt ook PowerShell gebruiken voor het maken of bijwerken van de peering in het bovenstaande voorbeeld. Vervang de variabelen en de abonnements-ID door de waarden van uw virtuele netwerk, resourcegroepen en abonnement. U hoeft alleen peering voor virtuele netwerken te maken op het hub virtuele netwerk.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Volgende stappen
- Raadpleeg beperkingen en gedrag van peering voor virtuele netwerken en instellingen voor peering voor virtuele netwerken voordat u peering voor virtuele netwerken instelt voor gebruik in productie.
- Meer informatie over het maken van een hub en spoke netwerktopologie met peering voor virtuele netwerken en gatewayoverdracht
- Maak peering voor virtuele netwerken met hetzelfde implementatiemodel.
- Peering voor virtuele netwerken maken met verschillende implementatiemodellen.