Konfigurera VPN-gatewayöverföring för peer-kopplade virtuella nätverk
Den här artikeln beskriver hur du konfigurerar gatewayöverföring för peer-kopplade virtuella nätverk. Peer-kopplade virtuella nätverk syftar på två virtuella Azure-nätverk som kopplats ihop och slagits samman för anslutningsändamål. Gatewayöverföring är en peering-egenskap som gör att ett virtuellt nätverk kan använda VPN-gatewayen i det peerkopplade virtuella nätverket för anslutningar mellan platser eller VNet-till-VNet.
Följande diagram illustrerar hur gatewayöverföring fungerar med peer-kopplade virtuella nätverk. I diagrammet gör gatewayöverföringen att de peer-kopplade virtuella nätverken kan använda Azure VPN-gatewayen i Hub-RM. Anslutningar som är tillgängliga på VPN-gatewayen, inklusive S2S, P2S och anslutningar mellan virtuella nätverk gäller för alla tre virtuella nätverk.
Överföringsalternativet är tillgängligt för peering mellan samma eller olika distributionsmodeller och kan användas med alla VPN Gateway-SKU:er utom basic-SKU:n. Om du konfigurerar överföring mellan olika distributionsmodeller måste det virtuella hubbnätverket och den virtuella nätverksgatewayen finnas i Resource Manager-distributionsmodellen, inte i den äldre klassiska distributionsmodellen.
I nätverksarkitekturer av typen ”nav och eker” (hub-and-spoke) innebär gatewayöverföring att virtuella ekernätverk kan dela VPN-gatewayen i navet, i stället för att en VPN-gateway distribueras i varje virtuellt ekernätverk. Vägar till gatewayanslutna virtuella nätverk eller lokala nätverk sprids till routningstabellerna för peerkopplade virtuella nätverk med gatewayöverföring.
Du kan inaktivera den automatiska distributionen av vägar från VPN-gatewayen. Skapa en routningstabell med alternativet ”Inaktivera spridning av BGP-väg” och associera routningstabellen till undernäten om du vill förhindra distribution av vägar till dessa undernät. Mer information finns i routningstabellen för virtuella nätverk.
Det finns två scenarier i den här artikeln. Välj det scenario som gäller för din miljö. De flesta använder samma distributionsmodellscenario . Om du inte arbetar med ett klassiskt distributionsmodell-VNet (äldre VNet) som redan finns i din miljö behöver du inte arbeta med scenariot med olika distributionsmodeller .
- Samma distributionsmodell: Båda de virtuella nätverken skapas i Resource Manager-distributionsmodellen.
- Olika distributionsmodeller: Det virtuella ekernätverket skapas i den klassiska distributionsmodellen och det virtuella hubbnätverket och gatewayen finns i Resource Manager-distributionsmodellen. Det här scenariot är användbart när du behöver ansluta ett äldre VNet som redan finns i den klassiska distributionsmodellen.
Kommentar
Om du ändrar topologin för nätverket och har Windows VPN-klienter måste VPN-klientpaketet för Windows-klienter laddas ned och installeras igen för att ändringarna ska tillämpas på klienten.
Förutsättningar
Den här artikeln kräver följande virtuella nätverk och behörigheter. Om du inte arbetar med det olika distributionsmodellscenariot behöver du inte skapa det klassiska virtuella nätverket.
Virtuella nätverk
| Virtuellt nätverk | Konfigurationssteg | Virtuell nätverksgateway |
|---|---|---|
| Hub-RM | Resource Manager | Ja |
| Eker-RM | Resource Manager | Nej |
| Spoke-Classic | Klassisk | Nej |
Behörigheter
De konton som du använder för att skapa peer-kopplade virtuella nätverk måste ha nödvändiga roller eller behörigheter. Om du i exemplet nedan peerkopplar de två virtuella nätverken med namnet Hub-RM och Spoke-Classic måste ditt konto ha följande roller eller behörigheter för varje virtuellt nätverk:
| Virtuellt nätverk | Distributionsmodell | Roll | Behörigheter |
|---|---|---|---|
| Hub-RM | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klassisk | Klassisk nätverksdeltagare | Ej tillämpligt | |
| Spoke-Classic | Resource Manager | Nätverksdeltagare | Microsoft.Network/virtualNetworks/peer |
| Klassisk | Klassisk nätverksdeltagare | Microsoft.ClassicNetwork/virtualNetworks/peer |
Lär dig mer om inbyggda roller och hur du tilldelar särskilda behörigheter till anpassade roller (endast Resource Manager).
Samma distributionsmodell
Det här är det vanligaste scenariot. I det här scenariot finns de virtuella nätverken båda i Resource Manager-distributionsmodellen. Använd följande steg för att skapa eller uppdatera peerings för virtuella nätverk för att aktivera gatewayöverföring.
Så här lägger du till en peering och aktiverar överföring
Skapa eller uppdatera peering för virtuella nätverk från Hub-RM i Azure-portalen. Gå till det virtuella Hub-RM-nätverket . Välj Peerings och sedan + Lägg till för att öppna Lägg till peering.
På sidan Lägg till peering konfigurerar du värdena för Det här virtuella nätverket.
Namn på peeringlänk: Namnge länken. Exempel: HubRMToSpokeRM
Trafik till fjärranslutna virtuella nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway: Använd det här virtuella nätverkets gateway eller routningsserver
På samma sida fortsätter du med att konfigurera värdena för det virtuella fjärrnätverket.
Namn på peeringlänk: Namnge länken. Exempel: SpokeRMtoHubRM
Distributionsmodell för virtuellt nätverk: Resource Manager
Jag känner till mitt resurs-ID: Lämna tomt. Du behöver bara välja detta om du inte har läsbehörighet till det virtuella nätverk eller den prenumeration som du vill peer-koppla med.
Prenumeration: Välj prenumerationen.
Virtuellt nätverk: Spoke-RM
Trafik till fjärranslutna virtuella nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway: Använd det virtuella fjärrnätverkets gateway eller routningsserver
Välj Lägg till för att skapa peering.
Kontrollera peeringstatusen som Anslut på båda de virtuella nätverken.
Ändra en befintlig peering för överföring
Om du redan har en befintlig peering kan du ändra peering för överföring.
Gå till det virtuella nätverket. Välj Peerings och välj den peering som du vill ändra. I det virtuella nätverket Spoke-RM väljer du till exempel SpokeRMtoHubRM-peering.
Uppdatera VNet-peering.
- Trafik till fjärranslutna virtuella nätverk: Tillåt
- Trafiken vidarebefordras till det virtuella nätverket. Tillåta
- Virtuell nätverksgateway eller routningsserver: Använd det virtuella fjärrnätverkets gateway eller routningsserver
Spara peering-inställningarna.
PowerShell-exempel
Du kan också använda PowerShell för att skapa eller uppdatera peering. Ersätt variablerna med namnen på dina virtuella nätverk och resursgrupper.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Olika distributionsmodeller
I den här konfigurationen finns eker-VNet Spoke-Classic i den klassiska distributionsmodellen och hubben VNet Hub-RM finns i Resource Manager-distributionsmodellen. När du konfigurerar överföring mellan distributionsmodeller måste den virtuella nätverksgatewayen konfigureras för det virtuella Resource Manager-nätverket, inte för det klassiska virtuella nätverket.
För den här konfigurationen behöver du bara konfigurera det virtuella Hub-RM-nätverket . Du behöver inte konfigurera något på det ekerklassikerbaserade virtuella nätverket.
I Azure-portalen går du till det virtuella hubb-RM-nätverket , väljer Peerings och sedan + Lägg till.
På sidan Lägg till peering konfigurerar du följande värden:
Namn på peeringlänk: Namnge länken. Exempel: HubRMToClassic
Trafik till fjärranslutna virtuella nätverk: Tillåt
Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk: Tillåt
Virtuell nätverksgateway eller routningsserver: Använd det här virtuella nätverkets gateway eller routningsserver
Namn på peeringlänk: Det här värdet försvinner när du väljer Klassisk för den virtuella nätverksdistributionsmodellen.
Distributionsmodell för virtuellt nätverk: Klassisk
Jag känner till mitt resurs-ID: Lämna tomt. Du behöver bara välja detta om du inte har läsbehörighet till det virtuella nätverk eller den prenumeration som du vill peer-koppla med.
Kontrollera att prenumerationen är korrekt och välj sedan det virtuella nätverket i listrutan.
Välj Lägg till för att lägga till peering.
Kontrollera peeringstatusen som Anslut i det virtuella Hub-RM-nätverket.
För den här konfigurationen behöver du inte konfigurera något i det virtuella ekerklassikernätverket. När statusen visas Anslut kan det virtuella ekernätverket använda anslutningen via VPN-gatewayen i det virtuella hubbnätverket.
PowerShell-exempel
Du kan också använda PowerShell för att skapa eller uppdatera peering. Ersätt variablerna och prenumerations-ID:t med värdena för ditt virtuella nätverk, dina resursgrupper och din prenumeration. Du behöver bara skapa peer-kopplingen för det virtuella navnätverket.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Nästa steg
- Lär dig mer om begränsningar och beteenden vid peer-koppling av virtuella nätverk samt om inställningar för peer-koppling av virtuella nätverk innan du skapar en peer-koppling av virtuella nätverk för användning i produktion.
- Lär dig hur du skapar topologin för ett nav- och ekernätverk med peer-koppling av virtuella nätverk och gatewayöverföring.
- Skapa peering för virtuella nätverk med samma distributionsmodell.
- Skapa peering för virtuella nätverk med olika distributionsmodeller.