Пиринг между виртуальными сетями позволяет подключать виртуальные сети Azure между различными подписками и клиентами Microsoft Entra. В этом руководстве описано, как создать пиринг между виртуальными сетями, созданными с помощью Resource Manager, которые существуют в разных подписках. Установление пиринга между двумя виртуальными сетями позволяет ресурсам в разных виртуальных сетях взаимодействовать друг с другом с такими же пропускной способностью и задержкой, как если бы эти ресурсы находились в одной виртуальной сети. Узнайте больше о пиринге виртуальных сетей.
В зависимости от того, находятся виртуальные сети в одной подписке или в разных, действия по созданию пирингового соединения виртуальных сетей будут различаться. Шаги для одноранговых сетей, созданных с помощью классической модели развертывания, различаются. Дополнительные сведения о моделях развертывания см. в статье "Модель развертывания Azure".
Узнайте, как создать пиринг виртуальных сетей в других сценариях, выбрав сценарий в следующей таблице.
Создать пиринг между двумя виртуальными сетями, развернутыми с помощью классической модели развертывания, невозможно. Если вам необходимо подключить виртуальные сети, созданные с помощью классической модели развертывания, можно использовать VPN-шлюз Azure.
Это руководство создает пиринг для виртуальных сетей в одном регионе. Пиринг можно создавать между виртуальными сетями в разных поддерживаемых регионах. Ознакомьтесь с требованиями и ограничениями пиринга перед пирингом виртуальных сетей.
Prerequisites
Учетная запись или учетные записи Azure с двумя активными подписками.
Создайте учетную запись бесплатно .
Учетная запись Azure с разрешениями в обеих подписках или учетная запись в каждой подписке с необходимыми разрешениями для создания пиринга виртуальной сети. Список разрешений см. в разделе Виртуальные права пиринговой сети.
Чтобы разделить обязанности по управлению сетью, принадлежащей каждому клиенту, добавьте пользователя из каждого клиента в качестве гостя в противоположном клиенте и назначьте им роль участника сети виртуальной сети. Эта процедура применяется, если виртуальные сети находятся в разных подписках и клиентах Active Directory.
Чтобы установить пиринг сети, если вы не планируете разделять обязанности по управлению сетью, принадлежащей каждому арендатору, добавьте пользователя из арендатора A в качестве гостя в противоположной организации. Затем назначьте им роль участника сети, чтобы инициировать и подключить сетевой пиринг из каждой подписки. С этими разрешениями пользователь может установить сетевой пиринг из каждой подписки.
Дополнительные сведения о гостевых пользователях см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.
Каждый пользователь должен принять приглашение гостевого пользователя от другого арендатора Microsoft Entra.
Войдите на портал Azure.
Учетная запись Azure или несколько учетных записей с двумя активными подписками.
Создайте учетную запись бесплатно .
Учетная запись Azure с разрешениями в обеих подписках или учетная запись в каждой подписке с необходимыми разрешениями для создания пиринга виртуальной сети. Список разрешений см. в разделе Виртуальные права пиринговой сети.
Чтобы разделить обязанности по управлению сетью, принадлежащей каждому клиенту, добавьте пользователя из каждого клиента в качестве гостя в противоположном клиенте и назначьте им роль участника сети виртуальной сети. Эта процедура применяется, если виртуальные сети находятся в разных подписках и клиентах Active Directory.
Чтобы установить пиринг сети, если вы не планируете разделять обязанности по управлению сетью, принадлежащей каждому арендатору, добавьте пользователя из арендатора A в качестве гостя в противоположной организации. Затем назначьте им роль участника сети, чтобы инициировать и подключить сетевой пиринг из каждой подписки. С этими разрешениями пользователь может установить сетевой пиринг из каждой подписки.
Дополнительные сведения о гостевых пользователях см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.
Каждый пользователь должен принять приглашение гостевого пользователя от другого арендатора Microsoft Entra.
Локальная установка Azure PowerShell или Azure Cloud Shell.
Войдите в Azure PowerShell и выберите подписку, с которой вы хотите использовать эту функцию. Дополнительные сведения см. в статье Вход с помощью Azure PowerShell.
Убедитесь, что используется модуль Az.Network версии 4.3.0 или выше. Чтобы проверить установленный модуль, используйте команду Get-InstalledModule -Name "Az.Network". Если модуль требует обновления, используйте команду Update-Module -Name Az.Network.
Чтобы установить и использовать PowerShell локально, для работы с этой статьей вам понадобится модуль Azure PowerShell 5.4.1 или более поздней версии. Выполните команду Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.
Учетная запись Azure или учетные записи с двумя активными подписками.
Создайте учетную запись бесплатно .
Учетная запись Azure с разрешениями в обеих подписках или учетная запись в каждой подписке с необходимыми разрешениями для создания пиринга виртуальной сети. Список разрешений см. в разделе Виртуальные права пиринговой сети.
Чтобы разделить обязанности по управлению сетью, принадлежащей каждому клиенту, добавьте пользователя из каждого клиента в качестве гостя в противоположном клиенте и назначьте им роль участника сети виртуальной сети. Эта процедура применяется, если виртуальные сети находятся в разных подписках и клиентах Active Directory.
Чтобы установить пиринг сети, если вы не планируете разделять обязанности по управлению сетью, принадлежащей каждому арендатору, добавьте пользователя из арендатора A в качестве гостя в противоположной организации. Затем назначьте им роль участника сети, чтобы инициировать и подключить сетевой пиринг из каждой подписки. С этими разрешениями пользователь может установить сетевой пиринг из каждой подписки.
Дополнительные сведения о гостевых пользователях см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.
Каждый пользователь должен принять приглашение гостевого пользователя от другого арендатора Microsoft Entra.
- Для работы с этим практическим руководством требуется Azure CLI версии 2.31.0 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
В следующих шагах вы узнаете, как пиринговать виртуальные сети в разных подписках и клиентах Microsoft Entra.
Вы можете использовать одну и ту же учетную запись с разрешениями в обеих подписках или использовать отдельные учетные записи для каждой подписки для настройки пиринга. Учетная запись с разрешениями в обеих подписках может выполнить все действия без выхода и входа на портал и назначения разрешений.
Следующие примеры ресурсов и учетных записей используются в шагах, описанных в этой статье:
| Учетная запись пользователя |
Группа ресурсов |
Subscription |
Виртуальная сеть |
|
user-1 |
test-rg |
subscription-1 |
vnet-1 |
|
user-2 |
test-rg-2 |
subscription-2 |
vnet-2 |
Создание виртуальной сети — vnet-1
Note
Если вы используете одну учетную запись для выполнения действий, можно пропустить шаги для выхода из портала и назначения другим пользователям разрешений на виртуальные сети.
Следующая процедура создает виртуальную сеть с подсетью ресурсов.
На портале найдите и выберите "Виртуальные сети".
На странице Виртуальные сети выберите команду + Создать.
На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:
| Setting |
Value |
|
Сведения о проекте |
|
| Subscription |
Выберите свою подписку. |
| Группа ресурсов |
Выберите Создать новый.
Введите test-rg в Имя.
Нажмите кнопку ОК. |
|
Сведения об инстанции |
|
| Name |
Введите vnet-1. |
| Region |
Выберите регион Восточная часть США 2. |
Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
Выберите Далее, чтобы перейти на вкладку IP-адреса.
В поле адресного пространства в подсетях выберите подсеть по умолчанию .
В разделе "Изменить подсеть" введите или выберите следующие сведения:
| Setting |
Value |
| Назначение подсети |
Оставьте значение по умолчанию. |
| Name |
Введите subnet-1. |
Оставьте остальные параметры своими значениями по умолчанию. Нажмите кнопку "Сохранить".
Нажмите кнопку "Сохранить".
Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".
Вход в подписку-1
Используйте Connect-AzAccount для входа в подписку-1.
Connect-AzAccount
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-1 с Set-AzContext.
Set-AzContext -Subscription subscription-1
Создание группы ресурсов — test-rg
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Создайте группу ресурсов с New-AzResourceGroup:
$rsg = @{
Name = 'test-rg'
Location = 'eastus2'
}
New-AzResourceGroup @rsg
Создание виртуальной сети
Создайте виртуальную сеть с помощью командлета New-AzVirtualNetwork. В этом примере создается виртуальная сеть "подсеть-1" с именем vnet-1 в регионе Запад США 3.
$vnet = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
Location = 'eastus2'
AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet
Добавление подсети
Azure развертывает ресурсы в подсети виртуальной сети, поэтому необходимо создать подсеть. Создайте конфигурацию подсети с именем subnet-1 с add-AzVirtualNetworkSubnetConfig:
$subnet = @{
Name = 'subnet-1'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
Связка подсети с виртуальной сетью
Вы можете записать конфигурацию подсети в виртуальную сеть с помощью командлета Set-AzVirtualNetwork. Эта команда создает подсеть:
$virtualNetwork | Set-AzVirtualNetwork
Вход в подписку-1
Используйте az sign-in для входа в подписку-1.
az login
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-1 с помощью az account set.
az account set --subscription "subscription-1"
Создание группы ресурсов — test-rg
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Создайте группу ресурсов с помощью команды az group create:
az group create \
--name test-rg \
--location eastus2
Создание виртуальной сети
Создайте виртуальную сеть и подсеть, используя az network vnet create. В этом примере создается виртуальная сеть с подсетью-1 с именем vnet-1 в расположении Западная часть США 3.
az network vnet create \
--resource-group test-rg\
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
Назначение разрешений для пользователя-2
Учетная запись пользователя в другой подписке, с которой требуется выполнить пиринг, должна быть добавлена в созданную ранее сеть. Если вы используете одну учетную запись для обеих подписок, можно пропустить этот раздел.
Оставаться в системе на портале как user-1.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите vnet-1.
Выберите Управление доступом (IAM).
Выберите +Добавить ->Добавить назначение роли.
На вкладке Роли в Добавить назначение роли выберите Сетевой участник.
Нажмите кнопку Далее.
На вкладке "Члены" выберите +Выбрать участников.
В поле поиска выберите участников , введите user-2.
Выберите Выбрать.
Выберите Проверить + назначить.
Выберите Проверить + назначить.
Используйте Get-AzVirtualNetwork , чтобы получить идентификатор ресурса для виртуальной сети-1. Назначьте пользователя-2 из подписки-2 в сеть-1 с помощью New-AzRoleAssignment.
Используйте Get-AzADUser для получения идентификатора объекта для пользователя-2.
User-2 используется в этом примере для учетной записи пользователя. Замените это значение на отображаемое имя пользователя из subscription-2, которому вы хотите назначить разрешения на vnet-1. Этот шаг можно пропустить, если вы используете одну и ту же учетную запись для обеих подписок.
$id = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @id
$obj = Get-AzADUser -DisplayName 'user-2'
$role = @{
ObjectId = $obj.id
RoleDefinitionName = 'Network Contributor'
Scope = $vnet.id
}
New-AzRoleAssignment @role
Используйте az network vnet show , чтобы получить идентификатор ресурса для виртуальной сети-1. Назначьте user-2 из subscription-2 в vnet-1 с помощью az role assignment create.
Используйте az ad user list , чтобы получить идентификатор объекта для пользователя-2.
User-2 используется в этом примере для учетной записи пользователя. Замените это значение на отображаемое имя пользователя из subscription-2, которому вы хотите назначить разрешения на vnet-1. Этот шаг можно пропустить, если вы используете одну и ту же учетную запись для обеих подписок.
az ad user list --display-name user-2
[
{
"businessPhones": [],
"displayName": "user-2",
"givenName": null,
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"jobTitle": null,
"mail": "user-2@fabrikam.com",
"mobilePhone": null,
"officeLocation": null,
"preferredLanguage": null,
"surname": null,
"userPrincipalName": "user-2_fabrikam.com#EXT#@contoso.onmicrosoft.com"
}
]
Запишите идентификатор объекта user-2 в поле id. В этом примере он aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb.
vnetid=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
az role assignment create \
--assignee aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb \
--role "Network Contributor" \
--scope $vnetid
Замените пример GUID в --assignee на идентификатор реального объекта для пользователя-2.
Получение идентификатора ресурса виртуальной сети-1
Оставаться в системе на портале как user-1.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите vnet-1.
В разделе Параметры выберите Свойства.
Скопируйте сведения в поле "Идентификатор ресурса" и сохраните их для последующих действий. ИД ресурса будет выглядеть примерно так: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Выйдите из портала как пользователь-1.
Идентификатор ресурса vnet-1 необходим для настройки подключения пиринга из vnet-2 к vnet-1. Используйте Get-AzVirtualNetwork , чтобы получить идентификатор ресурса для виртуальной сети-1.
$id = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @id
$vnetA.id
Идентификатор ресурса виртуальной сети-1 необходим для настройки подключения пиринга из виртуальной сети-2 к виртуальной сети-1. Используйте az network vnet show , чтобы получить идентификатор ресурса для виртуальной сети-1.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Создание виртуальной сети — vnet-2
В этом разделе войдите как пользователь-2 и создайте виртуальную сеть для подключения пиринга к виртуальной сети-1.
Создайте вторую виртуальную сеть со следующими значениями, повторив действия, описанные в предыдущем разделе.
| Setting |
Value |
| Subscription |
subscription-2 |
| Группа ресурсов |
test-rg-2 |
| Name |
vnet-2 |
| Адресное пространство |
10.1.0.0/16 |
| Имя подсети |
subnet-1 |
| Диапазон адресов подсети |
10.1.0.0/24 |
Вход в подписку-2
Используйте Connect-AzAccount для входа в подписку-2.
Connect-AzAccount
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-2 с помощью команды Set-AzContext.
Set-AzContext -Subscription subscription-2
Создание группы ресурсов — test-rg-2
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Создайте группу ресурсов с New-AzResourceGroup:
$rsg = @{
Name = 'test-rg-2'
Location = 'eastus2'
}
New-AzResourceGroup @rsg
Создание виртуальной сети
Создайте виртуальную сеть с помощью командлета New-AzVirtualNetwork. В этом примере создается подсеть-1 виртуальной сети с именем vnet-2 в регионе Западная часть США 3.
$vnet = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
Location = 'eastus2'
AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet
Добавление подсети
Azure развертывает ресурсы в подсети виртуальной сети, поэтому необходимо создать подсеть. Создайте конфигурацию подсети с именем subnet-1 с add-AzVirtualNetworkSubnetConfig:
$subnet = @{
Name = 'subnet-1'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
Связка подсети с виртуальной сетью
Вы можете записать конфигурацию подсети в виртуальную сеть с помощью командлета Set-AzVirtualNetwork. Эта команда создает подсеть:
$virtualNetwork | Set-AzVirtualNetwork
Вход в подписку-2
Используйте az sign-in для входа в подписку-2.
az login
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-2 с помощью команды az account set.
az account set --subscription "subscription-2"
Создание группы ресурсов — test-rg-2
Группа ресурсов Azure — это логический контейнер, в котором выполняется развертывание ресурсов Azure и управление ими.
Создайте группу ресурсов с помощью команды az group create:
az group create \
--name test-rg-2 \
--location eastus2
Создание виртуальной сети
Создайте виртуальную сеть и подсеть, используя az network vnet create. В этом примере создается виртуальная сеть с подсетью-1 под именем vnet-2 в расположении Западная часть США 3.
az network vnet create \
--resource-group test-rg-2\
--location eastus2 \
--name vnet-2 \
--address-prefixes 10.1.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.1.0.0/24
Назначение разрешений для пользователя-1
Учетная запись пользователя в другой подписке, с которой требуется выполнить пиринг, должна быть добавлена в созданную ранее сеть. Если вы используете одну учетную запись для обеих подписок, можно пропустить этот раздел.
Оставайтесь на портале как user-2.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите VNet-2.
Выберите Управление доступом (IAM).
Выберите +Добавить ->Добавить назначение роли.
На вкладке Роли в Добавить назначение роли выберите Сетевой участник.
Нажмите кнопку Далее.
На вкладке "Члены" выберите +Выбрать участников.
В поле поиска выберите участников , введите user-1.
Выберите Выбрать.
Выберите Проверить + назначить.
Выберите Проверить + назначить.
Используйте Get-AzVirtualNetwork , чтобы получить идентификатор ресурса для виртуальной сети-2. Назначьте пользователя-1 из подписки-1 в виртуальную сеть-2 с помощью New-AzRoleAssignment.
Используйте Get-AzADUser для получения идентификатора объекта для пользователя-1.
User-1 используется в этом примере для учетной записи пользователя. Замените это значение на отображаемое имя пользователя из подписки-1, которому вы хотите предоставить разрешения для vnet-2. Этот шаг можно пропустить, если вы используете одну и ту же учетную запись для обеих подписок.
$id = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnet = Get-AzVirtualNetwork @id
$obj = Get-AzADUser -DisplayName 'user-1'
$role = @{
ObjectId = $obj.id
RoleDefinitionName = 'Network Contributor'
Scope = $vnet.id
}
New-AzRoleAssignment @role
Используйте az network vnet show , чтобы получить идентификатор ресурса для виртуальной сети-2. Назначьте пользователя-1 из подписки-1 к vnet-2, используя az role assignment create.
Используйте az ad user list , чтобы получить идентификатор объекта для пользователя-1.
User-1 используется в этом примере для учетной записи пользователя. Замените это значение на отображаемое имя пользователя из подписки-1, которому вы хотите назначить разрешения для vnet-2. Этот шаг можно пропустить, если вы используете одну и ту же учетную запись для обеих подписок.
az ad user list --display-name user-1
[
{
"businessPhones": [],
"displayName": "user-1",
"givenName": null,
"id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
"jobTitle": null,
"mail": "user-1@contoso.com",
"mobilePhone": null,
"officeLocation": null,
"preferredLanguage": null,
"surname": null,
"userPrincipalName": "user-1_contoso.com#EXT#@fabrikam.onmicrosoft.com"
}
]
Запишите идентификатор объекта user-1 в поле id. В этом примере это bbbbbbbb-1111-2222-3333-cccccccccccc.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
--role "Network Contributor" \
--scope $vnetid
Получение идентификатора ресурса виртуальной сети-2
Идентификатор ресурса vnet-2 необходим для настройки подключения пиринга из vnet-1 к vnet-2. Чтобы получить идентификатор ресурса виртуальной сети-2, выполните следующие действия.
Оставайтесь на портале как user-2.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите VNet-2.
В разделе Параметры выберите Свойства.
Скопируйте сведения в поле "Идентификатор ресурса" и сохраните их для последующих действий. ИД ресурса будет выглядеть примерно так: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Выйдите из портала как пользователь 2.
Идентификатор ресурса внет-2 необходим для настройки подключения пиринга из внет-1 к внет-2. Используйте Get-AzVirtualNetwork , чтобы получить идентификатор ресурса для виртуальной сети-2.
$id = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @id
$vnetB.id
Идентификатор ресурса виртуальной сети-2 необходим для настройки подключения пиринга из виртуальной сети-1 к виртуальной сети-2. Используйте az network vnet show , чтобы получить идентификатор ресурса для виртуальной сети-2.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Создание подключения пиринга — vnet-1 к vnet-2
Чтобы настроить пиринговое подключение, необходим идентификатор ресурса для vnet-2 из предыдущих шагов.
Войдите в портал Azure как пользователь-1. Если вы используете одну учетную запись для обеих подписок, перейдите на подписку-1 на портале.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите vnet-1.
Выберите пиринги.
Выберите Добавить.
Введите или выберите следующие сведения в разделе "Добавление пиринга".
| Setting |
Value |
|
Сводка по удаленной виртуальной сети |
|
| Имя пиринговой связи |
vnet-2-to-vnet-1 |
| Модель развертывания виртуальной сети |
Resource Manager |
| Я знаю идентификатор ресурса |
Выберите поле |
| ИД ресурса |
Введите идентификатор ресурса для виртуальной сети-2 |
| Directory |
Выберите каталог Microsoft Entra ID, соответствующий vnet-2 и user-2, а аутентификация будет выполнена с помощью user-1 |
|
Параметры пиринга удаленной виртуальной сети |
|
| Разрешить "пиринговой виртуальной сети" получить доступ к "vnet-1" |
Оставьте значение по умолчанию включено |
| Разрешить "пиринговой виртуальной сети" принимать пересылаемый трафик из "vnet-1" |
Выберите поле |
|
Сводка по локальной виртуальной сети |
|
| Имя пиринговой связи |
vnet-1-to-vnet-2 |
|
Параметры пиринга локальной виртуальной сети |
|
| Разрешить "vnet-1" получить доступ к "одноранговой виртуальной сети" |
Оставьте значение по умолчанию включено |
| Разрешить "vnet-1" получать перенаправленный трафик из одноранговой виртуальной сети. |
Выберите поле |
Нажмите кнопку "Добавить".
Выйдите из портала как пользователь-1.
Вход в подписку-1
Используйте Connect-AzAccount для входа в подписку-1.
Connect-AzAccount
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-1 с Set-AzContext.
Set-AzContext -Subscription subscription-1
Вход в подписку-2
Выполните проверку подлинности в подписке-2 , чтобы можно было настроить пиринг.
Используйте Connect-AzAccount для входа в подписку-2.
Connect-AzAccount
Переход на подписку-1 (необязательно)
Возможно, вам придется вернуться к подписке-1 , чтобы продолжить действия в подписке-1.
Измените контекст на подписка-1.
Set-AzContext -Subscription subscription-1
Создание пирингового подключения
Используйте Add-AzVirtualNetworkPeering для создания пирингового подключения между виртуальной сетью-1 и виртуальной сетью-2.
$netA = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @netA
$peer = @{
Name = 'vnet-1-to-vnet-2'
VirtualNetwork = $vnetA
RemoteVirtualNetworkId = '/subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2'
}
Add-AzVirtualNetworkPeering @peer
Используйте Get-AzVirtualNetworkPeering, чтобы получить состояние пиринговых подключений из vnet-1 в vnet-2.
$status = @{
ResourceGroupName = 'test-rg'
VirtualNetworkName = 'vnet-1'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
VirtualNetworkName PeeringState
------------------ ------------
vnet-1 Initiated
Вход в подписку-1
Используйте az sign-in для входа в подписку-1.
az login
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-1 с помощью az account set.
az account set --subscription "subscription-1"
Вход в подписку-2
Выполните проверку подлинности в подписке-2 , чтобы можно было настроить пиринг.
Используйте az sign-in для входа в подписку-2.
az login
Переход на подписку-1 (необязательно)
Возможно, вам придется вернуться к подписке-1 , чтобы продолжить действия в подписке-1.
Измените контекст на подписка-1.
az account set --subscription "subscription-1"
Создание пирингового подключения
Используйте az network vnet peering create для создания подключения пиринга между vnet-1 и vnet-2.
az network vnet peering create \
--name vnet-1-to-vnet-2 \
--resource-group test-rg \
--vnet-name vnet-1 \
--remote-vnet /subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/VirtualNetworks/vnet-2 \
--allow-vnet-access
Используйте az network vnet peering list , чтобы получить состояние пиринговых подключений из виртуальной сети-1 в vnet-2.
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
Подключение пиринга отображается в Peerings в состоянии Инициировано. Чтобы завершить одноранговое подключение, необходимо настроить соответствующее подключение в vnet-2.
Создание пирингового подключения — vnet-2 к vnet-1
Для настройки подключения к пирингу вам необходимы идентификаторы ресурсов для vnet-1 из предыдущих шагов.
Войдите в портал Azure как пользователь-2. Если вы используете одну учетную запись для обеих подписок, перейдите на подписку-2 на портале.
В поле поиска в верхней части портала введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите VNet-2.
Выберите пиринги.
Выберите Добавить.
Введите или выберите следующие сведения в разделе "Добавление пиринга".
| Setting |
Value |
|
Сводка по удаленной виртуальной сети |
|
| Имя пиринговой связи |
vnet-1-to-vnet-2 |
| Модель развертывания виртуальной сети |
Resource Manager |
| Я знаю идентификатор ресурса |
Выберите поле |
| ИД ресурса |
Введите идентификатор ресурса для виртуальной сети-1 |
| Directory |
Выберите каталог Microsoft Entra ID, соответствующий виртуальной сети-1 и пользователю-1, но аутентифицируйтесь с использованием пользователь-2. |
|
Параметры пиринга удаленной виртуальной сети |
|
| Разрешить "пиринговой виртуальной сети" получить доступ к "vnet-1" |
Оставьте значение по умолчанию включено |
| Разрешить "пиринговой виртуальной сети" принимать пересылаемый трафик из "vnet-1" |
Выберите поле |
|
Сводка по локальной виртуальной сети |
|
| Имя пиринговой связи |
vnet-1-to-vnet-2 |
|
Параметры пиринга локальной виртуальной сети |
|
| Разрешить "vnet-1" получить доступ к "одноранговой виртуальной сети" |
Оставьте значение по умолчанию включено |
| Разрешить "vnet-1" получать перенаправленный трафик из одноранговой виртуальной сети. |
Выберите поле |
Нажмите кнопку "Добавить".
В раскрывающемся списке выберите каталог, соответствующий vnet-1 и user-1.
Выберите "Проверка подлинности".
Нажмите кнопку "Добавить".
Вход в подписку-2
Используйте Connect-AzAccount для входа в подписку-2.
Connect-AzAccount
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-2 с помощью команды Set-AzContext.
Set-AzContext -Subscription subscription-2
Вход в подписку-1
Выполните аутентификацию в подписке-1, чтобы можно было настроить пиринг.
Используйте Connect-AzAccount для входа в подписку-1.
Connect-AzAccount
Изменение подписки-2 (необязательно)
Возможно, вам придется вернуться к подписке-2 , чтобы продолжить действия в подписке-2.
Измените контекст на подписку-2.
Set-AzContext -Subscription subscription-2
Создание пирингового подключения
Используйте Add-AzVirtualNetworkPeering для создания пирингового подключения между виртуальной сетью-2 и виртуальной сетью-1.
$netB = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @netB
$peer = @{
Name = 'vnet-2-to-vnet-1'
VirtualNetwork = $vnetB
RemoteVirtualNetworkId = '/subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1'
}
Add-AzVirtualNetworkPeering @peer
Используйте Get-AzVirtualNetworkPeering, чтобы получить состояние пиринговых подключений из vnet-2 в vnet-1.
$status = @{
ResourceGroupName = 'test-rg-2'
VirtualNetworkName = 'vnet-2'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
VirtualNetworkName PeeringState
------------------ ------------
vnet-2 Connected
Вход в подписку-2
Используйте az sign-in для входа в подписку-2.
az login
Если вы используете одну учетную запись для обеих подписок, войдите в эту учетную запись и измените контекст подписки на подписку-2 с помощью команды az account set.
az account set --subscription "subscription-2"
Вход в подписку-1
Выполните проверку подлинности в подписке-1 , чтобы можно было настроить пиринг.
Используйте az sign-in для входа в подписку-1.
az login
Изменение подписки-2 (необязательно)
Возможно, вам придется вернуться к подписке-2, чтобы продолжить операции в подписке-2.
Измените контекст на подписка-2.
az account set --subscription "subscription-2"
Создание пирингового подключения
Используйте az network vnet peering create, чтобы создать соединение пиринга между vnet-2 и vnet-1.
az network vnet peering create \
--name vnet-2-to-vnet-1 \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--remote-vnet /subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/VirtualNetworks/vnet-1 \
--allow-vnet-access
Используйте az network vnet peering list , чтобы получить состояние пиринговых подключений из виртуальной сети-2 в vnet-1.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
Пиринг успешно установлен после того как вы увидите Подключено в столбце Статус пиринга для обеих виртуальных сетей в пиринге. Теперь все ресурсы Azure, созданные в любой из виртуальных сетей, могут взаимодействовать друг с другом, используя свои IP-адреса. Если вы используете разрешение имен Azure для виртуальных сетей, ресурсы в этих сетях не могут разрешать имена между виртуальными сетями. Если вы хотите разрешить имена между виртуальными сетями в пиринге, необходимо создать собственный сервер DNS (система доменных имен) или использовать Azure DNS.
Дополнительные сведения об использовании собственного DNS для разрешения имен см. в статье "Разрешение имен" с помощью собственного DNS-сервера.
Дополнительные сведения о Azure DNS см. в статье "Что такое Azure DNS"?
Дальнейшие шаги
