Skapa en peering för virtuella nätverk – Resource Manager, olika prenumerationer Azure Active Directory klientorganisation

Artikel
07/02/2021
15 minuter för att läsa

I den här självstudien lär du dig att skapa en peering för virtuella nätverk mellan virtuella nätverk som skapats via Resource Manager. De virtuella nätverken finns i olika prenumerationer som kan tillhöra Azure Active Directory (Azure AD). Peering av två virtuella nätverk gör det möjligt för resurser i olika virtuella nätverk att kommunicera med varandra med samma bandbredd och svarstid som om resurserna fanns i samma virtuella nätverk. Läs mer om peering för virtuella nätverk.

Stegen för att skapa en peering för virtuella nätverk skiljer sig åt beroende på om de virtuella nätverken finns i samma eller olika prenumerationer och vilken Azure-distributionsmodell de virtuella nätverken skapas via. Lär dig hur du skapar en peering för virtuella nätverk i andra scenarier genom att välja scenariot i följande tabell:

Azure-distributionsmodell	Azure-prenumeration
Båda Resource Manager	Samma
En Resource Manager, en klassisk	Samma
En Resource Manager, en klassisk	Olika

Det går inte att skapa en peering för virtuella nätverk mellan två virtuella nätverk som distribueras via den klassiska distributionsmodellen. Om du behöver ansluta virtuella nätverk som båda har skapats via den klassiska distributionsmodellen kan du använda en Azure-VPN Gateway för att ansluta de virtuella nätverken.

Den här självstudien peer-lar virtuella nätverk i samma region. Du kan också peer-hantera virtuella nätverk i olika regioner som stöds. Vi rekommenderar att du bekantar dig med peering-kraven och -begränsningarna innan du peer-erar virtuella nätverk.

Du kan använda Azure Portal,Azure-kommandoradsgränssnittet (CLI), Azure PowerShelleller en Azure Resource Manager mall för att skapa en peering för virtuella nätverk. Välj någon av föregående verktygslänkar för att gå direkt till stegen för att skapa en virtuell nätverks-peering med val av verktyg.

Om de virtuella nätverken finns i olika prenumerationer och prenumerationerna är associerade med olika Azure Active Directory ska du utföra följande steg innan du fortsätter:

Lägg till användaren från varje Active Directory-klientorganisation som gästanvändare i motsatt Azure Active Directory klientorganisation.
Varje användare måste acceptera gästanvändarinbjudan från den andra Azure Active Directory-klientorganisationen.

Skapa peering – Azure Portal

I följande steg används olika konton för varje prenumeration. Om du använder ett konto som har behörighet till båda prenumerationerna kan du använda samma konto för alla steg, hoppa över stegen för att logga ut från portalen och hoppa över stegen för att tilldela ytterligare användarbehörigheter till de virtuella nätverken.

Logga in på Azure Portal userA. Det konto som du loggar in med måste ha de behörigheter som krävs för att skapa en virtuell nätverks-peering. En lista över behörigheter finns i Peering-behörigheter för virtuella nätverk.
Välj + Skapa en resurs, välj Nätverk och välj sedan Virtuellt nätverk.
Välj eller ange följande exempelvärden för följande inställningar och välj sedan Skapa:
- Namn: myVnetA
- Adressutrymme: 10.0.0.0/16
- Undernätsnamn: standard
- Adressintervall för undernätet: 10.0.0.0/24
- Prenumeration: Välj prenumeration A.
- Resursgrupp: Välj Skapa ny och ange myResourceGroupA
- Plats: USA, östra
I rutan Sök efter resurser högst upp i portalen skriver du myVnetA. Välj myVnetA när det visas i sökresultaten.
Välj Åtkomstkontroll (IAM) i den lodräta listan med alternativ till vänster.
Tilldela rollen Nätverksdeltagare till UserB med hjälp av proceduren som finns i Tilldela Azure-roller med hjälp av Azure Portal.
Under myVnetA – Åtkomstkontroll (IAM) väljer du Egenskaper från den lodräta listan med alternativ till vänster. Kopiera RESURS-ID, som används i ett senare steg. Resurs-ID:t liknar följande exempel: /subscriptions/<Subscription Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/virtualNetworks/myVnetA .
Logga ut från portalen som AnvändareA och logga sedan in som UserB.
Slutför steg 2–3, ange eller välj följande värden i steg 3:
- Namn: myVnetB
- Adressutrymme: 10.1.0.0/16
- Undernätsnamn: standard
- Adressintervall för undernätet: 10.1.0.0/24
- Prenumeration: Välj prenumeration B.
- Resursgrupp: Välj Skapa ny och ange myResourceGroupB
- Plats: USA, östra
I rutan Sök efter resurser högst upp i portalen skriver du myVnetB. Välj myVnetB när det visas i sökresultaten.
Under myVnetB väljer du Egenskaper från den lodräta listan med alternativ till vänster. Kopiera RESURS-ID, som används i ett senare steg. Resurs-ID:t liknar följande exempel: /subscriptions/<Subscription ID>/resourceGroups/myResourceGroupB/providers/Microsoft.ClassicNetwork/virtualNetworks/myVnetB .
Välj Åtkomstkontroll (IAM) under myVnetB och tilldela sedan rollen Nätverksdeltagare till AnvändareA med hjälp av proceduren som finns i Tilldela Azure-roller med hjälp av Azure Portal.
Logga ut från portalen som UserB och logga in som AnvändareA.
I rutan Sök efter resurser högst upp i portalen skriver du myVnetA. Välj myVnetA när det visas i sökresultaten.
Välj myVnetA.
Under INSTÄLLNINGAR väljer du Peerings.
Under myVnetA – Peerings väljer du + Lägg till
Under Lägg till peering anger eller väljer du följande alternativ och väljer sedan OK:
- Namn: myVnetAToMyVnetB
- Distributionsmodell för virtuellt nätverk: Välj Resource Manager.
- Jag känner till mitt resurs-ID: Markera den här kryssrutan.
- Resurs-ID: Ange resurs-ID från steg 14.
- Tillåt åtkomst till virtuellt nätverk: Kontrollera att Aktiverad har valts. Inga andra inställningar används i den här självstudien. Mer information om alla peering-inställningar finns i Hantera peering för virtuella nätverk.
Den peering som du skapade visas en kort stund när du har valt OK i föregående steg. Initierad visas i kolumnen PEERING-STATUS för den myVnetAToMyVnetB-peering som du skapade. Du har peer-peerat myVnetA till myVnetB, men nu måste du peer-peer-använda myVnetB till myVnetA. Peering måste skapas i båda riktningarna för att resurser i de virtuella nätverken ska kunna kommunicera med varandra.
Logga ut från portalen som AnvändareA och logga in som UserB.
Slutför steg 17–21 igen för myVnetB. I steg 21 ger du peering myVnetBToMyVnetA ett namn, väljer myVnetA för virtuellt nätverk och anger ID från steg 10 i rutan Resurs-ID.
Några sekunder efter att du har valt OK för att skapa peering för myVnetB visas den myVnetBToMyVnetA-peering som du nyss skapade med Ansluten i kolumnen PEERING-STATUS.
Logga ut från portalen som UserB och logga in som AnvändareA.
Slutför steg 17–19 igen. PEERING-STATUSen för myVnetAToVNetB-peering är nu också Ansluten. Peering har upprättats när du ser Ansluten i kolumnen PEERING-STATUS för båda virtuella nätverken i peer-koppling. Alla Azure-resurser som du skapar i något av de virtuella nätverken kan nu kommunicera med varandra via deras IP-adresser. Om du använder Azure-standardnamnmatchning för de virtuella nätverken kan resurserna i de virtuella nätverken inte matcha namn i de virtuella nätverken. Om du vill matcha namn mellan virtuella nätverk i en peering måste du skapa en egen DNS-server. Lär dig hur du ställer in namnmatchning med hjälp av din egen DNS-server.
Valfritt: Även om det inte går att skapa virtuella datorer i den här självstudien kan du skapa en virtuell dator i varje virtuellt nätverk och ansluta från en virtuell dator till en annan för att verifiera anslutningen.
Valfritt: Om du vill ta bort de resurser som du skapar i den här självstudien slutför du stegen i avsnittet Ta bort resurser i den här artikeln.

Skapa peering – Azure CLI

I den här självstudien används olika konton för varje prenumeration. Om du använder ett konto som har behörighet till båda prenumerationerna kan du använda samma konto för alla steg, hoppa över stegen för att logga ut från Azure och ta bort de rader med skript som skapar tilldelningar av användarroller. Ersätt UserA@azure.com UserB@azure.com och i alla följande skript med de användarnamn som du använder för UserA och UserB.

Följande skript:

Kräver Azure CLI version 2.0.4 eller senare. Kör az --version för att hitta versionen. Om du behöver uppgradera kan du gå till Installera Azure CLI.
Fungerar i ett Bash-gränssnitt. Läs mer om körningsalternativ för Azure CLI-skript i Windows-klienter i informationen om att installera Azure CLI för Windows.

I stället för att installera CLI och dess beroenden kan du använda Azure Cloud Shell. Azure Cloud Shell är ett kostnadsfritt Bash-gränssnitt som du kan köra direkt i Azure-portalen. Den har Azure CLI förinstallerat och har konfigurerats för användning med ditt konto. Välj knappen Prova i skriptet som följer, som anropar en Cloud Shell som du kan logga in på ditt Azure-konto med.

Öppna en CLI-session och logga in på Azure som UserA med azure login kommandot . Det konto som du loggar in med måste ha de behörigheter som krävs för att skapa en virtuell nätverks-peering. En lista över behörigheter finns i Peering-behörigheter för virtuella nätverk.

Kopiera följande skript till en textredigerare på datorn, ersätt med ID:t för SubscriptionA, kopiera det ändrade skriptet, klistra in det i <SubscriptionA-Id> CLI-sessionen och tryck på Enter . Om du inte känner till ditt prenumerations-ID anger du az account show kommandot . Värdet för ID i utdata är ditt prenumerations-ID.

# Create a resource group.
az group create \
  --name myResourceGroupA \
  --location eastus

# Create virtual network A.
az network vnet create \
  --name myVnetA \
  --resource-group myResourceGroupA \
  --location eastus \
  --address-prefix 10.0.0.0/16

# Assign UserB permissions to virtual network A.
az role assignment create \
  --assignee UserB@azure.com \
  --role "Network Contributor" \
  --scope /subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/VirtualNetworks/myVnetA

Logga ut från Azure som UserA med az logout kommandot och logga sedan in på Azure som UserB. Det konto som du loggar in med måste ha de behörigheter som krävs för att skapa en virtuell nätverks-peering. En lista över behörigheter finns i Peering-behörigheter för virtuella nätverk.
Skapa myVnetB. Kopiera skriptinnehållet i steg 2 till en textredigerare på datorn. Ersätt <SubscriptionA-Id> med ID för SubscriptionB. Ändra 10.0.0.0/16 till 10.1.0.0/16, ändra alla Som till B och alla B:er till A. Kopiera det ändrade skriptet, klistra in det i CLI-sessionen och tryck på Enter .
Logga ut från Azure som UserB och logga in på Azure som UserA.

Skapa en peering för virtuella nätverk från myVnetA till myVnetB. Kopiera följande skriptinnehåll till en textredigerare på datorn. Ersätt <SubscriptionB-Id> med ID för SubscriptionB. Om du vill köra skriptet kopierar du det ändrade skriptet, klistrar in det i CLI-sessionen och trycker på Retur.

    # Get the id for myVnetA.
    vnetAId=$(az network vnet show \
      --resource-group myResourceGroupA \
      --name myVnetA \
      --query id --out tsv)

    # Peer myVNetA to myVNetB.
    az network vnet peering create \
      --name myVnetAToMyVnetB \
      --resource-group myResourceGroupA \
      --vnet-name myVnetA \
      --remote-vnet /subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/VirtualNetworks/myVnetB \
      --allow-vnet-access

Visa peeringtillståndet för myVnetA.
```
az network vnet peering list \
  --resource-group myResourceGroupA \
  --vnet-name myVnetA \
  --output table
```
Tillståndet är Initierad. Den ändras till Ansluten när du har skapat peering till myVnetA från myVnetB.
Logga ut UserA från Azure och logga in på Azure som UserB.
Skapa peering från myVnetB till myVnetA. Kopiera skriptinnehållet i steg 6 till en textredigerare på datorn. Ersätt <SubscriptionB-Id> med ID:t för SubscriptionA och ändra alla Som till B och alla B:er till A. När du har gjort ändringarna kopierar du det ändrade skriptet, klistrar in det i CLI-sessionen och trycker på Enter .
Visa peeringtillståndet för myVnetB. Kopiera skriptinnehållet i steg 7 till en textredigerare på datorn. Ändra A till B för resursgruppen och namn på virtuella nätverk, kopiera skriptet, klistra in det ändrade skriptet i CLI-sessionen och tryck sedan på Enter . Peering-tillståndet är Ansluten. Peering-tillståndet för myVnetA ändras till Ansluten när du har skapat peering från myVnetB till myVnetA. Du kan logga in UserA i Azure igen och slutföra steg 7 igen för att kontrollera peeringtillståndet för myVnetA.

Anteckning

Peering upprättas inte förrän peering-tillståndet är Anslutet för båda virtuella nätverken.
Valfritt: Även om det inte går att skapa virtuella datorer i den här självstudien kan du skapa en virtuell dator i varje virtuellt nätverk och ansluta från en virtuell dator till en annan för att verifiera anslutningen.
Valfritt: Om du vill ta bort de resurser som du skapar i den här självstudien slutför du stegen i Ta bort resurser i den här artikeln.

Alla Azure-resurser som du skapar i något av de virtuella nätverken kan nu kommunicera med varandra via deras IP-adresser. Om du använder Azure-standardnamnmatchning för de virtuella nätverken kan resurserna i de virtuella nätverken inte matcha namn i de virtuella nätverken. Om du vill matcha namn mellan virtuella nätverk i en peering måste du skapa en egen DNS-server. Lär dig hur du ställer in namnmatchning med hjälp av din egen DNS-server.

Skapa peering – PowerShell

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Kontrollera att du har Azure PowerShell version 1.0.0 eller senare. Du kan göra detta genom att köra Get-Module -Name Az Vi rekommenderar att du installerar den senaste versionen av PowerShell Az-modulen. Om du inte har använt Azure PowerShell kan du läsa Översikt över Azure PowerShell.
Starta en PowerShell-session.
I PowerShell loggar du in på Azure som UserA genom att ange Connect-AzAccount kommandot . Det konto som du loggar in med måste ha de behörigheter som krävs för att skapa en virtuell nätverks-peering. En lista över behörigheter finns i Peering-behörigheter för virtuella nätverk.

Skapa en resursgrupp och ett virtuellt nätverk A. Kopiera följande skript till en textredigerare på datorn. Ersätt <SubscriptionA-Id> med ID för SubscriptionA. Om du inte känner till ditt prenumerations-ID anger du kommandot Get-AzSubscription för att visa det. Värdet för Id i de returnerade utdata är ditt prenumerations-ID. Kör skriptet genom att kopiera det ändrade skriptet, klistra in det i PowerShell och sedan trycka på Enter .

# Create a resource group.
New-AzResourceGroup `
  -Name MyResourceGroupA `
  -Location eastus

# Create virtual network A.
$vNetA = New-AzVirtualNetwork `
  -ResourceGroupName MyResourceGroupA `
  -Name 'myVnetA' `
  -AddressPrefix '10.0.0.0/16' `
  -Location eastus

# Assign UserB permissions to myVnetA.
New-AzRoleAssignment `
  -SignInName UserB@azure.com `
  -RoleDefinitionName "Network Contributor" `
  -Scope /subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/VirtualNetworks/myVnetA

Logga ut UserA från Azure och logga in UserB. Det konto som du loggar in med måste ha de behörigheter som krävs för att skapa en virtuell nätverks-peering. En lista över behörigheter finns i Peering-behörigheter för virtuella nätverk.
Kopiera skriptinnehållet i steg 4 till en textredigerare på datorn. Ersätt <SubscriptionA-Id> med ID för prenumeration B. Ändra 10.0.0.0/16 till 10.1.0.0/16. Ändra alla som till B och alla B:er till A. Kör skriptet genom att kopiera det ändrade skriptet, klistra in det i PowerShell och sedan trycka på Enter .
Logga ut UserB från Azure och logga in UserA.

Skapa peering från myVnetA till myVnetB. Kopiera följande skript till en textredigerare på datorn. Ersätt <SubscriptionB-Id> med ID för prenumeration B. Kör skriptet genom att kopiera det ändrade skriptet, klistra in det i PowerShell och sedan trycka på Enter .

# Peer myVnetA to myVnetB.
$vNetA=Get-AzVirtualNetwork -Name myVnetA -ResourceGroupName myResourceGroupA
Add-AzVirtualNetworkPeering `
  -Name 'myVnetAToMyVnetB' `
  -VirtualNetwork $vNetA `
  -RemoteVirtualNetworkId "/subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/virtualNetworks/myVnetB"

Visa peeringtillståndet för myVnetA.

Get-AzVirtualNetworkPeering `
  -ResourceGroupName myResourceGroupA `
  -VirtualNetworkName myVnetA `
  | Format-Table VirtualNetworkName, PeeringState

Tillståndet är Initierad. Den ändras till Ansluten när du har ställt in peering till myVnetA från myVnetB.

Logga ut UserA från Azure och logga in UserB.
Skapa peering från myVnetB till myVnetA. Kopiera skriptinnehållet i steg 8 till en textredigerare på datorn. Ersätt <SubscriptionB-Id> med ID för prenumeration A och ändra alla Som till B och alla B:er till A. Kör skriptet genom att kopiera det ändrade skriptet, klistra in det i PowerShell och sedan trycka på Enter .
Visa peeringtillståndet för myVnetB. Kopiera skriptinnehållet i steg 9 till en textredigerare på datorn. Ändra A till B för resursgruppen och namnen på virtuella nätverk. Om du vill köra skriptet klistrar du in det ändrade skriptet i PowerShell och trycker sedan på Enter . Tillståndet är Ansluten. Peering-tillståndet för myVnetA ändras till Ansluten när du har skapat peering från myVnetB till myVnetA. Du kan logga in UserA i Azure igen och slutföra steg 9 igen för att verifiera peeringtillståndet för myVnetA.

Anteckning

Peering upprättas inte förrän peering-tillståndet är Anslutet för båda virtuella nätverken.

Alla Azure-resurser som du skapar i något av de virtuella nätverken kan nu kommunicera med varandra via deras IP-adresser. Om du använder Azure-standardnamnmatchning för de virtuella nätverken kan resurserna i de virtuella nätverken inte matcha namn i de virtuella nätverken. Om du vill matcha namn mellan virtuella nätverk i en peering måste du skapa en egen DNS-server. Lär dig hur du ställer in namnmatchning med hjälp av din egen DNS-server.
Valfritt: Även om det inte går att skapa virtuella datorer i den här självstudien kan du skapa en virtuell dator i varje virtuellt nätverk och ansluta från en virtuell dator till en annan för att verifiera anslutningen.
Valfritt: Om du vill ta bort de resurser som du skapar i den här självstudien slutför du stegen i Ta bort resurser i den här artikeln.

Skapa peering – Resource Manager mall

Om du vill skapa ett virtuellt nätverk och tilldela lämpliga behörigheter slutfördu stegen i avsnitten Portal, Azure CLIeller PowerShell i den här artikeln.

Spara texten som följer i en fil på den lokala datorn. Ersätt <subscription ID> med UserA:s prenumerations-ID. Du kan till exempel spara filen vnetpeeringA.jspå den.

{
     "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
     },
     "variables": {
     },
 "resources": [
         {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.Network/virtualNetworks/virtualNetworkPeerings",
         "name": "myVnetA/myVnetAToMyVnetB",
         "location": "[resourceGroup().location]",
         "properties": {
         "allowVirtualNetworkAccess": true,
         "allowForwardedTraffic": false,
         "allowGatewayTransit": false,
         "useRemoteGateways": false,
             "remoteVirtualNetwork": {
             "id": "/subscriptions/<subscription ID>/resourceGroups/PeeringTest/providers/Microsoft.Network/virtualNetworks/myVnetB"
             }
         }
         }
     ]
}

Logga in på Azure som UserA och distribuera mallen med hjälp av portalen, PowerShelleller Azure CLI. Ange det filnamn som du sparade json-exempeltexten i steg 2 till.
Kopiera exempel-json från steg 2 till en fil på datorn och gör ändringar i de rader som börjar med:
- name: Ändra myVnetA/myVnetAToMyVnetB till myVnetB/myVnetBToMyVnetA.
- id: Ersätt <subscription ID> med UserB:s prenumerations-ID och ändra myVnetB till myVnetA.
Slutför steg 3 igen och logga in på Azure som UserB.
Valfritt: Även om det inte går att skapa virtuella datorer i den här självstudien kan du skapa en virtuell dator i varje virtuellt nätverk och ansluta från en virtuell dator till en annan för att verifiera anslutningen.
Valfritt: Om du vill ta bort de resurser som du skapar i den här självstudien slutför du stegen i avsnittet Ta bort resurser i den här artikeln med hjälp av antingen Azure Portal, PowerShell eller Azure CLI.

Ta bort resurser

När du är klar med den här självstudien kanske du vill ta bort de resurser som du skapade i självstudien, så att du inte debiteras användningsavgifter. Om du tar bort en resursgrupp tas även alla resurser som finns i resursgruppen bort.

Azure Portal

Logga in på Azure Portal userA.
I portalens sökruta anger du myResourceGroupA. I sökresultatet väljer du myResourceGroupA.
Välj Ta bort.
Bekräfta borttagningen genom att i rutan SKRIV RESURSGRUPPENS NAMN ange myResourceGroupA och sedan välja Ta bort.
Logga ut från portalen som AnvändareA och logga in som UserB.
Slutför steg 2–4 för myResourceGroupB.

Azure CLI

Logga in på Azure som UserA och kör följande kommando:
```
az group delete --name myResourceGroupA --yes
```
Logga ut från Azure som UserA och logga in som UserB.

Kör följande kommando:

az group delete --name myResourceGroupB --yes

PowerShell

Logga in på Azure som UserA och kör följande kommando:
```
Remove-AzResourceGroup -Name myResourceGroupA -force
```
Logga ut från Azure som UserA och logga in som UserB.