Anslut ett virtuellt nätverk till en ExpressRoute-krets med Hjälp av Azure CLI

  • Artikel

Den här artikeln visar hur du länkar virtuella nätverk (VNet) till Azure ExpressRoute-kretsar med Hjälp av Azure CLI. Om du vill länka med Azure CLI måste de virtuella nätverken skapas med hjälp av Resource Manager-distributionsmodellen. De kan antingen finnas i samma prenumeration eller en del av en annan prenumeration. Om du vill använda en annan metod för att ansluta ditt virtuella nätverk till en ExpressRoute-krets kan du välja en artikel i följande lista:

Diagram showing a virtual network linked to an ExpressRoute circuit.

Förutsättningar

  • Du behöver den senaste versionen av kommandoradsgränssnittet (CLI). Mer information finns i Installera Azure CLI.

  • Granska kraven, routningskraven och arbetsflödena innan du påbörjar konfigurationen.

  • Du måste ha en aktiv ExpressRoute-krets.

    • Följ anvisningarna för att skapa en ExpressRoute-krets och få kretsen aktiverad av anslutningsleverantören.
    • Se till att du har konfigurerat azure-privat peering för din krets. Se artikeln konfigurera routning för routningsinstruktioner.
    • Kontrollera att privat Peering i Azure har konfigurerats. BGP-peering mellan ditt nätverk och Microsoft måste upprättas så att du kan aktivera anslutning från slutpunkt till slutpunkt.
    • Se till att du har ett virtuellt nätverk och en virtuell nätverksgateway skapad och helt etablerad. Följ anvisningarna för att konfigurera en virtuell nätverksgateway för ExpressRoute. Se till att använda --gateway-type ExpressRoute.

  • Du kan länka upp till 10 virtuella nätverk till en ExpressRoute-standardkrets. Alla virtuella nätverk måste finnas i samma geopolitiska region när du använder en ExpressRoute-standardkrets.

  • Ett enda virtuellt nätverk kan länkas till upp till 16 ExpressRoute-kretsar. Använd följande process för att skapa ett nytt anslutningsobjekt för varje ExpressRoute-krets som du ansluter till. ExpressRoute-kretsarna kan finnas i samma prenumeration, olika prenumerationer eller en blandning av båda.

  • Om du aktiverar ExpressRoute Premium-tillägget kan du länka virtuella nätverk utanför den geopolitiska regionen i ExpressRoute-kretsen. Premium-tillägget gör också att du kan ansluta fler än 10 virtuella nätverk till din ExpressRoute-krets beroende på vilken bandbredd som valts. Mer information om premiumtillägget finns i Vanliga frågor och svar .

  • För att kunna skapa anslutningen från ExpressRoute-kretsen till den virtuella ExpressRoute-målnätverksgatewayen måste antalet adressutrymmen som annonseras från de lokala eller peerkopplade virtuella nätverken vara lika med eller mindre än 200. När anslutningen har skapats kan du lägga till ytterligare adressutrymmen, upp till 1 000, i de lokala eller peerkopplade virtuella nätverken.

  • Läs vägledningen för anslutning mellan virtuella nätverk via ExpressRoute.

Anslut ett virtuellt nätverk i samma prenumeration på en krets

Du kan ansluta en virtuell nätverksgateway till en ExpressRoute-krets med hjälp av exemplet. Kontrollera att den virtuella nätverksgatewayen har skapats och är redo för länkning innan du kör kommandot.

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Anslut ett virtuellt nätverk i en annan prenumeration till en krets

Du kan dela en ExpressRoute-krets i flera prenumerationer. Följande bild visar ett enkelt schema över hur delning fungerar för ExpressRoute-kretsar i flera prenumerationer.

Kommentar

Anslut mellan nationella Azure-moln och offentliga Azure-moln stöds inte. Du kan bara länka virtuella nätverk från olika prenumerationer i samma moln.

Vart och ett av de mindre molnen i det stora molnet används för att representera prenumerationer som tillhör olika avdelningar inom en organisation. Var och en av avdelningarna i organisationen använder sin egen prenumeration för att distribuera sina tjänster , men de kan dela en enda ExpressRoute-krets för att ansluta tillbaka till ditt lokala nätverk. En enda avdelning (i det här exemplet: IT) kan äga ExpressRoute-kretsen. Andra prenumerationer inom organisationen kan använda ExpressRoute-kretsen.

Kommentar

Anslut ivity- och bandbreddsavgifter för den dedikerade kretsen tillämpas på ExpressRoute-kretsägaren. Alla virtuella nätverk har samma bandbredd.

Cross-subscription connectivity

Administration – Kretsägare och kretsanvändare

Kretsägaren är en auktoriserad power-användare för ExpressRoute-kretsresursen. Kretsägaren kan skapa auktoriseringar som kan lösas in av "Kretsanvändare". Kretsanvändare är ägare till virtuella nätverksgatewayer som inte ingår i samma prenumeration som ExpressRoute-kretsen. Kretsanvändare kan lösa in auktoriseringar (en auktorisering per virtuellt nätverk).

Kretsägaren har behörighet att ändra och återkalla auktoriseringar när som helst. När en auktorisering återkallas tas alla länkanslutningar bort från prenumerationen vars åtkomst återkallades.

Kommentar

Kretsägaren är inte en inbyggd RBAC-roll eller definierad på ExpressRoute-resursen. Definitionen av kretsägaren är vilken roll som helst med följande åtkomst:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Detta inkluderar inbyggda roller som Deltagare, Ägare och Nätverksdeltagare. Detaljerad beskrivning för de olika inbyggda rollerna.

Kretsägaråtgärder

Skapa en auktorisering

Kretsägaren skapar en auktorisering som skapar en auktoriseringsnyckel som ska användas av en kretsanvändare för att ansluta sina virtuella nätverksgatewayer till ExpressRoute-kretsen. En auktorisering är endast giltig för en anslutning.

I följande exempel visas hur du skapar en auktorisering:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization

Svaret innehåller auktoriseringsnyckeln och status:

"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/81ab786c-56eb-4a4d-bb5f-f60329772466/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"

Granska auktoriseringar

Kretsägaren kan granska alla auktoriseringar som utfärdas på en viss krets genom att köra följande exempel:

az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup

Lägga till auktoriseringar

Kretsägaren kan lägga till auktoriseringar med hjälp av följande exempel:

az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Ta bort auktoriseringar

Kretsägaren kan återkalla/ta bort auktoriseringar till användaren genom att köra följande exempel:

az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1

Kretsanvändaråtgärder

Kretsanvändaren behöver peer-ID:t och en auktoriseringsnyckel från kretsägaren. Auktoriseringsnyckeln är ett GUID.

az network express-route show -n MyCircuit -g ExpressRouteResourceGroup

Så här löser du in en anslutningsauktorisering

Kretsanvändaren kan köra följande exempel för att lösa in en länkauktorisering:

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"

Så här släpper du en anslutningsauktorisering

Du kan frigöra en auktorisering genom att ta bort anslutningen som länkar ExpressRoute-kretsen till det virtuella nätverket.

Ändra en anslutning till ett virtuellt nätverk

Du kan uppdatera vissa egenskaper för en virtuell nätverksanslutning.

Uppdatera anslutningsvikten

Det virtuella nätverket kan anslutas till flera ExpressRoute-kretsar. Du kan få samma prefix från mer än en ExpressRoute-krets. Om du vill välja vilken anslutning som ska skicka trafik som är avsedd för det här prefixet kan du ändra RoutingWeight för en anslutning. Trafik skickas på anslutningen med den högsta RoutingWeight.

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100

RoutingWeight-intervallet är 0 till 32 000. Standardvärdet är 0.

Configure ExpressRoute FastPath

Du kan aktivera ExpressRoute FastPath om din virtuella nätverksgateway är Ultra Performance eller ErGw3AZ. FastPath förbättrar prestanda för datasökvägar, till exempel paket per sekund och anslutningar per sekund mellan ditt lokala nätverk och ditt virtuella nätverk.

Konfigurera FastPath för en ny anslutning

az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit

Uppdatera en befintlig anslutning för att aktivera FastPath

az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true

Kommentar

Du kan använda Anslut ion Monitor för att kontrollera att trafiken når målet med FastPath.

Registrera dig i ExpressRoute FastPath-funktioner (förhandsversion)

FastPath-stöd för peering för virtuella nätverk finns nu i offentlig förhandsversion. Registreringen är endast tillgänglig via Azure PowerShell. Anvisningar om hur du registrerar finns i Funktioner för FastPath-förhandsversion.

Kommentar

Alla anslutningar som konfigurerats för FastPath i målprenumerationen registreras i den här förhandsversionen. Vi rekommenderar inte att du aktiverar den här förhandsversionen i produktionsprenumerationer. Om du redan har Konfigurerat FastPath och vill registrera dig i förhandsgranskningsfunktionen måste du göra följande:

  1. Registrera dig i funktionen Förhandsgranskning av FastPath med Azure PowerShell-kommandot ovan.
  2. Inaktivera och återaktivera sedan FastPath på målanslutningen.

Rensa resurser

Om du inte längre behöver ExpressRoute-anslutningen använder az network vpn-connection delete du kommandot för att ta bort länken mellan gatewayen och kretsen från prenumerationen där gatewayen finns.

az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup

Nästa steg

I den här självstudien har du lärt dig hur du ansluter ett virtuellt nätverk till en krets i samma prenumeration och i en annan prenumeration. Mer information om ExpressRoute-gatewayen finns i: Virtuella ExpressRoute-nätverksgatewayer.

Om du vill lära dig hur du konfigurerar routningsfilter för Microsoft-peering med Hjälp av Azure CLI går du vidare till nästa självstudie.

Konfigurera routningsfilter för Microsoft-peering