Подключение виртуальной сети в канал ExpressRoute с помощью Azure CLI

В этой статье показано, как связать виртуальные сети с каналами Azure ExpressRoute с помощью Azure CLI. С помощью Azure CLI можно связывать только виртуальные сети, созданные по модели развертывания с помощью Resource Manager. Они могут входить в одну и ту же подписку или в разные подписки. Для подключения виртуальной сети к каналу ExpressRoute можно использовать другие методы, информация о которых приводится в статьях из следующего списка:

• Портал Azure
• PowerShell
• Azure CLI
• PowerShell (классическая модель)

Необходимые компоненты

• Требуется последняя версия интерфейса командной строки (CLI). Дополнительные сведения см. в статье Установка Azure CLI.

• Прежде чем приступить к настройке, изучите предварительные требования, требования к маршрутизации и рабочие процессы.

• Вам потребуется активный канал ExpressRoute.

  • Следуйте инструкциям, чтобы создать канал ExpressRoute и включить его на стороне поставщика услуг подключения.
  • Убедитесь, что для вашего канала настроен частный пиринг Azure. Инструкции по маршрутизации см. в статье Настройка маршрутизации.
  • Убедитесь, что настроен частный пиринг Azure. Кроме того, для создания сквозного подключения потребуется пиринг BGP между вашей сетью и сетью Майкрософт.
  • Вам необходимо создать и полностью подготовить виртуальную сеть и шлюз виртуальной сети. Следуйте инструкциям по созданию шлюза виртуальной сети для ExpressRoute. Обязательно используйте --gateway-type ExpressRoute.

• К стандартному каналу ExpressRoute можно подключить не более 10 виртуальных сетей. Если используется стандартный канал ExpressRoute, все виртуальные сети должны находиться в одном геополитическом регионе.

• Отдельную виртуальную сеть можно связать максимум с 16 каналами ExpressRoute. Для создания объекта подключения для каждого канала ExpressRoute, к которому вы подключаетесь, используйте процесс, описанный ниже. Каналы ExpressRoute могут быть размещены в той же подписке, в других подписках или и там, и там.

• Если вы включите надстройку ExpressRoute Premium, вы сможете подключить к каналу ExpressRoute виртуальные сети из другого геополитического региона. Надстройка Premium также позволяет подключить к каналу ExpressRoute более 10 виртуальных сетей (в зависимости от выбранной пропускной способности). Дополнительную информацию о надстройке Premium см. в разделе Вопросы и ответы.

• Чтобы можно было создать подключение из канала ExpressRoute к целевому шлюзу виртуальной сети ExpressRoute, количество диапазонов адресов, объявленных в локальной или пиринговой виртуальной сети, не должно превышать 200. После успешного создания подключения в локальную или одноранговую виртуальную сеть можно добавить дополнительные диапазоны адресов (до 1000).

• Ознакомьтесь с рекомендациями по организации подключения между виртуальными сетями через ExpressRoute.

Подключение к каналу виртуальной сети в той же подписке

Вы можете связать шлюз виртуальной сети с каналом ExpressRoute, используя приведенный ниже пример. Прежде чем выполнять эту команду, убедитесь, что шлюз виртуальной сети существует и готов к связыванию.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Подключение к каналу виртуальной сети в другой подписке

Канал ExpressRoute может совместно использоваться несколькими подписками. На рисунке ниже схематично показан способ совместного использования каналов ExpressRoute несколькими подписками.

Примечание.

Подключение виртуальных сетей между национальными облаками Azure и общедоступным облаком Azure не поддерживается. В одном облаке можно связывать только виртуальные сети из разных подписок.

Каждое маленькое облако внутри большого облака представляет подписки, принадлежащие различным подразделениям одной организации. Любое подразделение в организации может использовать свою собственную подписку для развертывания служб. Кроме того, подразделения могут совместно использовать один канал ExpressRoute для подключения к локальной сети. Владельцем канала ExpressRoute может выступать одно подразделение (в данном примере — ИТ-подразделение). Другие подписки в организации также могут использовать канал ExpressRoute.

Примечание.

Плата за подключение и использование пропускной способности выделенного канала взимается с владельца канала ExpressRoute. Полоса пропускания распределяется между всеми виртуальными сетями.

Администрирование: владельцы и пользователи канала

Владельцем канала считается уполномоченный опытный пользователь ресурса канала ExpressRoute. Владелец канала может создавать разрешения, которые будут использовать пользователи канала. Пользователи канала являются владельцами шлюзов виртуальных сетей, не включенных в подписку, к которой относится канал ExpressRoute. Пользователи канала могут использовать разрешения (по одному разрешению на виртуальную сеть).

Владелец канала имеет право в любой момент изменить или отменить эти разрешения. Отмена разрешения приводит к удалению всех связывающих подключений из подписки, для которой был отменен доступ.

Примечание.

Владелец канала не является встроенной ролью RBAC или определен в ресурсе ExpressRoute. Определение владельца канала является любой ролью со следующим доступом:

• Microsoft.Network/expressRouteCircuits/authorizations/write
• Microsoft.Network/expressRouteCircuits/authorizations/read
• Microsoft.Network/expressRouteCircuits/authorizations/delete

Сюда входят встроенные роли, такие как участник, владелец и участник сети. Подробное описание различных встроенных ролей.

Действия владельца канала

Создание разрешения

Владелец канала создает разрешение, в результате чего создается ключ авторизации, с помощью которого пользователь канала сможет подключить шлюзы виртуальной сети к каналу ExpressRoute. Разрешение действительно только для одного подключения.

В следующем примере показано, как создать разрешение.

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

Ответ содержит ключ и состояние разрешения.

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

Просмотр разрешений

Владелец канала может просмотреть все разрешения, выданные для определенного канала, выполнив команду из следующего примера.

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

Добавление разрешений

Владелец канала может добавлять разрешения с помощью следующей команды.

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Удаление разрешений

Владелец канала может отменять и удалять разрешения, выданные пользователю, как показано в следующем примере.

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Действия пользователя канала

Пользователь канала должен получить идентификатор однорангового узла и ключ разрешения от владельца канала. Ключ разрешения представляет собой идентификатор GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

Активация разрешения на подключение

Пользователь канала может активировать разрешение на подключение, выполнив следующую команду.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Освобождение разрешения на подключение

Разрешение можно освободить, удалив подключение, связывающее канал ExpressRoute и виртуальную сеть.

Изменение подключения к виртуальной сети

Вы можете изменить определенные свойства подключения к виртуальной сети.

Изменение веса подключения

Виртуальная сеть может подключаться к нескольким каналам ExpressRoute. Одинаковый префикс может быть получен из нескольких каналов ExpressRoute. Чтобы выбрать подключение для отправки трафика, предназначенного для этого префикса, можно изменить значение RoutingWeight подключения. Трафик будет отправляться через подключение с самым высоким значением RoutingWeight.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

Диапазон значений RoutingWeight: 0 до 32 000. Значение по умолчанию равно 0.

Настройка ExpressRoute FastPath

Вы можете включить ExpressRoute FastPath, если используете сверхвысокопроизводительный шлюз или шлюз ErGw3AZ. FastPath повышает производительность передачи данных, то есть такие показатели, как количество пакетов в секунду и подключений в секунду между локальной и виртуальной сетями.

Настройка FastPath для нового подключения

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Обновление существующего подключения для включения FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

Примечание.

Вы можете использовать Монитор подключений и убедиться, что трафик достигает места назначения через FastPath.

Регистрация для работы с функциями ExpressRoute FastPath (предварительная версия)

Поддержка FastPath для пиринга виртуальных сетей теперь доступна в общедоступной предварительной версии. Регистрация доступна только с помощью Azure PowerShell. Инструкции по регистрации см. в разделе "Предварительные версии функций FastPath".

Примечание.

Все подключения, настроенные для FastPath в целевой подписке, будут зарегистрированы в этой предварительной версии. Мы не рекомендуем использовать эту предварительную версию в производственных подписках. Если вы уже настроили FastPath и хотите зарегистрироваться для работы с предварительной версией функции, выполните следующие действия:

1. Зарегистрируйтесь в предварительной версии функции FastPath с помощью приведенной выше команды Azure PowerShell.
2. Отключите и снова включите FastPath в целевом подключении.

Очистка ресурсов

Если вам больше не нужно подключение ExpressRoute, выполните команду az network vpn-connection delete из подписки, в которой расположен шлюз, чтобы удалить подключение между шлюзом и каналом.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

Следующие шаги

Из этого руководства вы узнали, как подключить виртуальную сеть к каналу в одной или разных подписках. Дополнительные сведения о шлюзах виртуальных сетей ExpressRoute см. в этой статье.

Чтобы узнать, как настроить фильтры маршрутов для пиринга Майкрософт с помощью Azure CLI, перейдите к следующему руководству.

Настройка фильтров маршрутов для пиринга Майкрософт