Konfigurera VPN-gatewayöverföring för peer-kopplade virtuella nätverk
Den här artikeln beskriver hur du konfigurerar gatewayöverföring för peer-kopplade virtuella nätverk. Peer-kopplade virtuella nätverk syftar på två virtuella Azure-nätverk som kopplats ihop och slagits samman för anslutningsändamål. Gateway-överföring är en peering-egenskap som gör att ett virtuellt nätverk kan använda VPN-gatewayen i det peerkopplade virtuella nätverket för anslutning mellan olika platser eller mellan virtuella nätverk. Följande diagram illustrerar hur gatewayöverföring fungerar med peer-kopplade virtuella nätverk.
I diagrammet gör gatewayöverföringen att de peer-kopplade virtuella nätverken kan använda Azure VPN-gatewayen i Hub-RM. Anslutningar som är tillgängliga på VPN-gatewayen, inklusive S2S, P2S och anslutningar mellan virtuella nätverk gäller för alla tre virtuella nätverk. Överföringsalternativet är tillgängligt för peering mellan samma eller olika distributionsmodeller. Om du konfigurerar överföring mellan olika distributionsmodeller måste det virtuella hubbnätverket och den virtuella nätverksgatewayen finnas i Resource Manager-distributionsmodellen, inte den klassiska distributionsmodellen.
I nätverksarkitekturer av typen ”nav och eker” (hub-and-spoke) innebär gatewayöverföring att virtuella ekernätverk kan dela VPN-gatewayen i navet, i stället för att en VPN-gateway distribueras i varje virtuellt ekernätverk. Vägarna till de gatewayanslutna virtuella nätverken eller till de lokala nätverken distribueras till de peer-kopplade virtuella nätverkens routningstabeller med hjälp av gatewayöverföring. Du kan inaktivera den automatiska distributionen av vägar från VPN-gatewayen. Skapa en routningstabell med alternativet ”Inaktivera spridning av BGP-väg” och associera routningstabellen till undernäten om du vill förhindra distribution av vägar till dessa undernät. Mer information finns i routningstabellen för virtuella nätverk.
Det finns två scenarier i den här artikeln:
- Samma distributionsmodell: Båda de virtuella nätverken skapas i Resource Manager distributionsmodellen.
- Olika distributionsmodeller: Det virtuella ekernätverket skapas i den klassiska distributionsmodellen och det virtuella hubbnätverket och gatewayen finns i Resource Manager distributionsmodellen.
Anteckning
Om du gör en ändring i nätverkets topologi och har Windows VPN-klienter måste VPN-klientpaketet för Windows-klienter laddas ned och installeras igen för att ändringarna ska tillämpas på klienten.
Förutsättningar
Innan du börjar kontrollerar du att du har följande virtuella nätverk och behörigheter:
Virtuella nätverk
| Virtuellt nätverk | Distributionsmodell | Virtuell nätverksgateway |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Spoke-RM | Resource Manager | No |
| Spoke-Classic | Klassiska | No |
Behörigheter
De konton som du använder för att skapa peer-kopplade virtuella nätverk måste ha nödvändiga roller eller behörigheter. Om du i exemplet nedan peer-använder de två virtuella nätverken Hub-RM och Spoke-Classic måste ditt konto ha följande roller eller behörigheter för varje virtuellt nätverk:
| Virtuellt nätverk | Distributionsmodell | Roll | Behörigheter |
|---|---|---|---|
| Hub-RM | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klassisk | Klassisk nätverksdeltagare | Ej tillämpligt | |
| Spoke-Classic | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/peer |
| Klassisk | Klassisk nätverksdeltagare | Microsoft.ClassicNetwork/virtualNetworks/peer |
Lär dig mer om inbyggda roller och hur du tilldelar särskilda behörigheter till anpassade roller (endast Resource Manager).
Samma distributionsmodell
I det här scenariot finns båda de virtuella nätverken i Resource Manager distributionsmodellen. Använd följande steg för att skapa eller uppdatera peer-anslutningar för virtuella nätverk för att aktivera gateway-överföring.
Lägga till en peering och aktivera överföring
I Azure Portaldu eller uppdaterar peering för virtuella nätverk från Hub-RM. Gå till det virtuella nätverket Hub-RM. Välj Peerings och sedan + Lägg till för att öppna Lägg till peering.
På sidan Lägg till peering konfigurerar du värdena för Det här virtuella nätverket.
Peeringlänkens namn: Namnge länken. Exempel: HubRMToSpokeRM
Trafik till fjärranslutet virtuellt nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway: Använd det här virtuella nätverkets gateway
På samma sida fortsätter du med att konfigurera värdena för det virtuella fjärrnätverket.
Peeringlänkens namn: Namnge länken. Exempel: SpokeRMtoHubRM
Distributionsmodell: Resource Manager
Virtual Network: Spoke-RM
Trafik till fjärranslutet virtuellt nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway: Använd det virtuella fjärrnätverkets gateway
Välj Lägg till för att skapa peering.
Kontrollera peering-statusen som Ansluten i båda virtuella nätverken.
Ändra en befintlig peering för överföring
Om peering redan har skapats kan du ändra peering för överföring.
Gå till det virtuella nätverket. Välj Peerings och välj den peering som du vill ändra.
Uppdatera VNet-peering.
Trafik till fjärranslutet virtuellt nätverk: Tillåt
Trafik som vidarebefordras till virtuellt nätverk; Tillåt
Virtuell nätverksgateway: Använd den virtuella fjärrnätverksgatewayen
Spara peering-inställningarna.
PowerShell-exempel
Du kan också använda PowerShell för att skapa eller uppdatera peer-kopplingen i exemplet ovan. Ersätt variablerna med namnen på dina virtuella nätverk och resursgrupper.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Olika distributionsmodeller
I den här konfigurationen finns spoke-VNet Spoke-Classic i den klassiska distributionsmodellen och det virtuella hubbnätverket Hub-RM finns i Resource Manager distributionsmodellen. När du konfigurerar överföring mellan distributionsmodeller måste den virtuella nätverksgatewayen konfigureras för Resource Manager virtuella nätverket, inte det klassiska virtuella nätverket.
För den här konfigurationen behöver du bara konfigurera det virtuella nätverket Hub-RM. Du behöver inte konfigurera något i det virtuella nätverket Spoke-Classic.
I den Azure Portal du till det virtuella nätverket Hub-RM, väljer Peerings och väljer sedan + Lägg till.
Konfigurera följande värden på sidan Lägg till peering:
Peeringlänkens namn: Namnge länken. Exempel: HubRMToClassic
Trafik till fjärranslutet virtuellt nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway: Använd det här virtuella nätverkets gateway
Virtuellt fjärrnätverk: Klassisk
Kontrollera att prenumerationen är korrekt och välj sedan det virtuella nätverket i listrutan.
Välj Lägg till för att lägga till peering.
Kontrollera peering-statusen som Ansluten i det virtuella nätverket Hub-RM.
För den här konfigurationen behöver du inte konfigurera något i det virtuella nätverket Spoke-Classic. När statusen visar Ansluten kan det virtuella ekernätverket använda anslutningen via VPN-gatewayen i det virtuella navnätverket.
PowerShell-exempel
Du kan också använda PowerShell för att skapa eller uppdatera peer-kopplingen i exemplet ovan. Ersätt variablerna och prenumerations-ID:t med värdena för ditt virtuella nätverk, dina resursgrupper och din prenumeration. Du behöver bara skapa peer-kopplingen för det virtuella navnätverket.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Nästa steg
- Lär dig mer om begränsningar och beteenden vid peer-koppling av virtuella nätverk samt om inställningar för peer-koppling av virtuella nätverk innan du skapar en peer-koppling av virtuella nätverk för användning i produktion.
- Lär dig hur du skapar topologin för ett nav- och ekernätverk med peer-koppling av virtuella nätverk och gatewayöverföring.
- Skapa peering för virtuella nätverk med samma distributionsmodell.
- Skapa peering för virtuella nätverk med olika distributionsmodeller.