Sanal ağ eşlemesi için VPN ağ geçidi aktarımını yapılandırma
Bu makale, sanal ağ eşlemesi için ağ geçidi aktarımını yapılandırmanıza yardımcı olur. Sanal ağ eşlemesi, iki Azure sanal ağını sorunsuzca bağlar ve bağlantı amacıyla iki sanal ağı tek bir ağda birleştirir. Ağ geçidi geçiş, bir sanal ağın şirket içi ve sanal ağdan sanal ağa bağlantı için eşli sanal ağ içinde VPN ağ geçidini kullanmasını sağlayan bir eşleme özelliğidir. Aşağıdaki diyagramda sanal ağ eşlemesi ile ağ geçidi aktarımının nasıl çalıştığı gösterilmiştir.
Diyagramda, ağ geçidi aktarımı eşlenmiş sanal ağların Hub-RM içinde Azure VPN ağ geçidi kullanmasına olanak tanır. S2S, P2S ve sanal ağlar arası bağlantılar dahil VPN ağ geçidinde kullanılabilen bağlantılar, üç sanal ağ için de geçerlidir. Geçiş seçeneği aynı veya farklı dağıtım modelleri arasında eşleme için kullanılabilir. Farklı dağıtım modelleri arasında geçiş yapılandırıyorsanız, hub sanal ağı ve sanal ağ geçidi klasik dağıtım modeli Resource Managerdağıtım modelinde olmalıdır.
Merkez-uç ağ mimarisinde ağ geçidi aktarımı, uç sanal ağların her uç sanal ağdaki VPN ağ geçitlerini dağıtmak yerine merkezdeki VPN ağ geçidini paylaşmasına olanak tanır. Ağ geçidine bağlı sanal ağların veya şirket içi ağların yolları, ağ geçidi aktarımı kullanılarak eşlenmiş sanal ağların yönlendirme tablolarına yayılır. VPN ağ geçidinden otomatik yol yaymayı devre dışı bırakabilirsiniz. "BGP yol yaymayı devre dışı bırak" seçeneği ile bir yönlendirme tablosu oluşturun ve yönlendirme tablosunu alt ağlarla ilişkilendirerek bu alt ağlara yol dağıtımını engelleyin. Daha fazla bilgi için bkz. Sanal ağ yönlendirme tablosu.
Bu makalede iki senaryo vardır:
- Aynı dağıtım modeli: Her iki sanal ağ da dağıtım Resource Manager oluşturulur.
- Farklı dağıtım modelleri: Bağlı sunucu sanal ağı klasik dağıtım modelinde oluşturulur ve merkez sanal ağı ve ağ geçidi, Resource Manager modelindedir.
Not
Ağ topolojisinde bir değişiklik yaptıysanız ve Windows VPN istemcileriniz varsa, değişikliklerin istemciye uygulanması için Windows istemcileri için VPN istemci paketinin yeniden indirildikten ve yükleniyor olması gerekir.
Önkoşullar
Başlamadan önce aşağıdaki sanal ağlara ve izinlere sahip olduğunu doğrulayın:
Sanal ağlar
| Sanal Ağ | Dağıtım modeli | Sanal ağ geçidi |
|---|---|---|
| Merkez-RM | Resource Manager | Evet |
| Spoke-RM | Resource Manager | No |
| Uç-Klasik | Klasik | No |
Izin
Sanal ağ eşlemesi için kullandığınız hesaplar gerekli rol veya izinlere sahip olmalıdır. Aşağıdaki örnekte Hub-RM ve Spoke-Classic adlı iki sanal ağı eşlerken hesabınız her sanal ağ için aşağıdaki rollere veya izinlere sahip olmalıdır:
| Sanal Ağ | Dağıtım modeli | Rol | İzinler |
|---|---|---|---|
| Merkez-RM | Resource Manager | Ağ Katılımcısı | Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write |
| Klasik | Klasik Ağ Katılımcısı | Yok | |
| Uç-Klasik | Resource Manager | Ağ Katılımcısı | Microsoft.Network/virtualNetworks/peer |
| Klasik | Klasik Ağ Katılımcısı | Microsoft.ClassicNetwork/virtualNetworks/peer |
Yerleşik roller ve özel rollere (yalnızca Resource Manager) belirli izinlerin atanması hakkında daha fazla bilgi edinin.
Aynı dağıtım modeli
Bu senaryoda, sanal ağların her ikisi de Resource Manager modelindedir. Ağ geçidi geçişlerini etkinleştirmek üzere sanal ağ eşlemelerini oluşturmak veya güncelleştirmek için aşağıdaki adımları kullanın.
Eşleme eklemek ve geçişi etkinleştirmek için
Sanal Azure portalHub-RM'den sanal ağ eşlemesi oluşturun veya güncelleştirin. Hub-RM sanal ağına gidin. Eşlemeler'i ve ardından + Ekle'yi seçerek Eşleme ekle'yi açın.
Eşleme ekle sayfasında Bu sanal ağ için değerleri yapılandırabilirsiniz.
Eşleme bağlantısı adı: Bağlantıyı olarak ad girin. Örnek: HubRMToSpokeRM
Uzak sanal ağa trafik: İzin Ver
Uzak sanal ağdan iletili trafik: İzin Ver
Sanal ağ geçidi: Bu sanal ağın ağ geçidini kullanın
Aynı sayfada, Uzak sanal ağ için değerleri yapılandırmaya devam edin.
Eşleme bağlantısı adı: Bağlantıyı olarak ad girin. Örnek: SpokeRMtoHubRM
Dağıtım modeli: Resource Manager
Sanal Ağ: Spoke-RM
Uzak sanal ağa trafik: İzin Ver
Uzak sanal ağdan iletili trafik: İzin Ver
Sanal ağ geçidi: Uzak sanal ağın ağ geçidini kullanın
Eşlemeyi oluşturmak için Ekle'yi seçin.
Eşleme durumunu her iki sanal ağ üzerinde De bağlı olarak doğrulayın.
Mevcut eşlemeyi geçiş için değiştirmek için
Eşleme önceden oluşturulmuşsa, eşlemeyi geçiş için değiştirebilirsiniz.
Sanal ağa gidin. Eşlemeler'i seçin ve değiştirmek istediğiniz eşlemeyi seçin.
Sanal ağ eşlemesini güncelleştirin.
Uzak sanal ağa trafik: İzin Ver
Sanal ağa iletili trafik; İzin Ver
Sanal ağ geçidi: Uzak sanal ağın ağ geçidini kullanın
Eşleme ayarlarını kaydedin.
PowerShell örneği
Yukarıdaki örnekle eşleme oluşturmak veya güncelleştirmek için PowerShell’i de kullanabilirsiniz. Değişkenleri, sanal ağlarınızın ve kaynak gruplarınızın adlarıyla değiştirin.
$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name SpokeRMtoHubRM `
-VirtualNetwork $spokermvnet `
-RemoteVirtualNetworkId $hubrmvnet.Id `
-UseRemoteGateways
Add-AzVirtualNetworkPeering `
-Name HubRMToSpokeRM `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId $spokermvnet.Id `
-AllowGatewayTransit
Farklı dağıtım modelleri
Bu yapılandırmada, spoke VNet Spoke-Classic klasik dağıtım modelindedir ve hub VNet Hub-RM de Resource Manager modelindedir. Dağıtım modelleri arasında geçiş yapılandırılırken, sanal ağ geçidinin klasik sanal ağ için değil Resource Manager sanal ağ için yapılandırılması gerekir.
Bu yapılandırma için yalnızca hub-RM sanal ağını yapılandırmanız gerekir. Bağlı olan klasik VNET üzerinde herhangi bir şeyi yapılandırmanız gerekmez.
Azure portal hub-RM sanal ağına gidin, eşlemeler ' i seçin ve + Ekle' yi seçin.
Eşleme Ekle sayfasında, aşağıdaki değerleri yapılandırın:
Eşleme bağlantı adı: bağlantıyı adlandırın. Örnek: Hubrmtoclassic
Uzak sanal ağa giden trafik: Izin ver
Uzak sanal ağdan iletilen trafik: Izin ver
Sanal ağ geçidi: Bu sanal ağın ağ geçidini kullan
Uzak sanal ağ: Klasik
Aboneliğin doğru olduğundan emin olun, sonra açılan menüden sanal ağı seçin.
Eşlemeyi eklemek için Ekle ' yi seçin.
Hub-RM sanal ağında bağlı olarak eşleme durumunu doğrulayın.
Bu yapılandırma için, bağlı olan-klasik sanal ağ üzerinde herhangi bir şeyi yapılandırmanız gerekmez. Durum bağlı' ı gösterdiğinde, bağlı olan sanal ağ, hub sanal ağındaki VPN ağ geçidi üzerinden bağlantıyı kullanabilir.
PowerShell örneği
Yukarıdaki örnekle eşleme oluşturmak veya güncelleştirmek için PowerShell’i de kullanabilirsiniz. Değişkenleri ve abonelik kimliğini sanal ağınızın, kaynak grubunuzun ve aboneliğinizin değerleri ile değiştirin. Yalnızca merkez sanal ağı üzerinde sanal ağ eşlemesi oluşturmanız gerekir.
$HubRG = "HubRG1"
$HubRM = "Hub-RM"
$hubrmvnet = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG
Add-AzVirtualNetworkPeering `
-Name HubRMToClassic `
-VirtualNetwork $hubrmvnet `
-RemoteVirtualNetworkId "/subscriptions/<subscription Id>/resourceGroups/Default-Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/Spoke-Classic" `
-AllowGatewayTransit
Sonraki adımlar
- Üretimde kullanım için sanal ağ eşlemesi oluşturmadan önce sanal ağ eşleme kısıtlamaları ve davranışları ile sanal ağ eşleme ayarları hakkında daha fazla bilgi edinin.
- Sanal ağ eşleme ve ağ geçidi aktarımı ile merkez ve uç ağ topolojisi oluşturma hakkında bilgi edinin.
- Aynı dağıtım modeliyle sanal ağ eşlemesi oluşturun.
- Farklı dağıtım modelleriyle sanal ağ eşlemesi oluşturun.