Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как связать виртуальные сети с каналами Azure ExpressRoute с помощью Azure CLI. С помощью Azure CLI можно связывать только виртуальные сети, созданные по модели развертывания с помощью Resource Manager. Они могут входить в одну и ту же подписку или в разные подписки. Для подключения виртуальной сети к каналу ExpressRoute можно использовать другие методы, информация о которых приводится в статьях из следующего списка:
Предварительные условия
Требуется последняя версия интерфейса командной строки (CLI). Дополнительные сведения см. в статье Установка Azure CLI.
Прежде чем приступить к настройке, изучите предварительные требования, требования к маршрутизации и рабочие процессы.
Вам потребуется активный канал ExpressRoute.
- Следуйте инструкциям, чтобы создать канал ExpressRoute и включить его на стороне поставщика услуг подключения.
- Убедитесь, что для вашего канала настроен частный пиринг Azure. Инструкции по маршрутизации см. в статье Настройка маршрутизации.
- Убедитесь, что настроен частный пиринг Azure. Для включения сквозного подключения необходимо установить пиринг BGP между вашей сетью и сетью Майкрософт.
- Вам необходимо создать и полностью подготовить виртуальную сеть и шлюз виртуальной сети. Следуйте инструкциям по созданию шлюза виртуальной сети для ExpressRoute. Обязательно используйте
--gateway-type ExpressRoute.
К стандартному каналу ExpressRoute можно подключить не более 10 виртуальных сетей. Если используется стандартный канал ExpressRoute, все виртуальные сети должны находиться в одном геополитическом регионе.
Отдельную виртуальную сеть можно связать максимум с 16 каналами ExpressRoute. Для создания объекта подключения для каждого канала ExpressRoute, к которому вы подключаетесь, используйте процесс, описанный ниже. Каналы ExpressRoute могут находиться в одной подписке, в разных подписках или в комбинации из обеих.
Если вы включите надстройку ExpressRoute Premium, вы сможете подключить к каналу ExpressRoute виртуальные сети из другого геополитического региона. Надстройка Premium также позволяет подключить к каналу ExpressRoute более 10 виртуальных сетей (в зависимости от выбранной пропускной способности). Дополнительную информацию о надстройке Premium см. в разделе Вопросы и ответы.
Чтобы можно было создать подключение из канала ExpressRoute к целевому шлюзу виртуальной сети ExpressRoute, количество диапазонов адресов, рекламируемых из локальных или пиринговых виртуальных сетей, не должно превышать 200. После успешного создания подключения в локальную или одноранговую виртуальную сеть можно добавить дополнительные диапазоны адресов (до 1000).
Ознакомьтесь с рекомендациями по организации подключения между виртуальными сетями через ExpressRoute.
Подключите виртуальную сеть из той же подписки к каналу
Вы можете связать шлюз виртуальной сети с каналом ExpressRoute, используя приведенный ниже пример. Прежде чем выполнять эту команду, убедитесь, что шлюз виртуальной сети существует и готов к связыванию.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Подключите виртуальную сеть в другой подписке к каналу
Канал ExpressRoute может совместно использоваться несколькими подписками. На следующем рисунке показана простая схема работы совместного использования цепей ExpressRoute несколькими подписками.
Примечание.
Подключение виртуальных сетей между независимыми облаками Azure и глобальным облаком Azure не поддерживается. В одном облаке можно связывать только виртуальные сети из разных подписок.
Каждое маленькое облако внутри большого облака представляет подписки, принадлежащие различным подразделениям одной организации. Любое подразделение в организации может использовать свою собственную подписку для развертывания служб. Кроме того, подразделения могут совместно использовать один канал ExpressRoute для подключения к локальной сети. Владельцем канала ExpressRoute может выступать одно подразделение (в данном примере — ИТ-подразделение). Другие подписки в организации также могут использовать канал ExpressRoute.
Примечание.
Плата за подключение и использование пропускной способности выделенного канала взимается с владельца канала ExpressRoute. Все виртуальные сети разделяют одну и ту же полосу пропускания.
Администрирование: владельцы и пользователи канала
Владельцем канала считается уполномоченный опытный пользователь ресурса канала ExpressRoute. Владелец цепи может создавать разрешения, которые могут быть погашены пользователями цепи. Пользователи канала являются владельцами шлюзов виртуальных сетей, не включенных в подписку, к которой относится канал ExpressRoute. Пользователи сети могут использовать авторизации (по одной авторизации на виртуальную сеть).
Владелец канала имеет право в любой момент изменить или отменить эти разрешения. Отмена разрешения приводит к удалению всех связывающих подключений из подписки, для которой был отменен доступ.
Примечание.
Владелец канала не является встроенной ролью RBAC или определен в ресурсе ExpressRoute. Определение владельца цепи – это любая роль со следующим доступом:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
Сюда входят встроенные роли, такие как участник, владелец и участник сети. Подробное описание различных встроенных ролей.
Операции владельца цепи
Создание разрешения
Владелец канала создает разрешение, в результате чего создается ключ авторизации, с помощью которого пользователь канала сможет подключить шлюзы виртуальной сети к каналу ExpressRoute. Разрешение действительно только для одного подключения.
В следующем примере показано, как создать разрешение.
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization
Ответ содержит ключ и состояние разрешения.
"authorizationKey": "0a7f3020-541f-4b4b-844a-5fb43472e3d7",
"authorizationUseStatus": "Available",
"etag": "W/\"010353d4-8955-4984-807a-585c21a22ae0\"",
"id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ExpressRouteResourceGroup/providers/Microsoft.Network/expressRouteCircuits/MyCircuit/authorizations/MyAuthorization1",
"name": "MyAuthorization1",
"provisioningState": "Succeeded",
"resourceGroup": "ExpressRouteResourceGroup"
Просмотр разрешений
Владелец канала может просмотреть все разрешения, выданные для определенного канала, выполнив команду из следующего примера.
az network express-route auth list --circuit-name MyCircuit -g ExpressRouteResourceGroup
Создание разрешения
Владелец схемы может создать авторизацию, используя следующий пример:
az network express-route auth create --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Удаление разрешений
Владелец канала может отменять и удалять разрешения, выданные пользователю, как показано в следующем примере.
az network express-route auth delete --circuit-name MyCircuit -g ExpressRouteResourceGroup -n MyAuthorization1
Операции пользователя цепи
Пользователю схемы необходимо получить идентификатор однорангового узла и ключ авторизации от владельца схемы. Ключ авторизации представляет собой идентификатор GUID.
az network express-route show -n MyCircuit -g ExpressRouteResourceGroup
Активация разрешения на подключение
Пользователь канала может активировать разрешение на подключение, выполнив следующую команду.
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit --authorization-key "^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
Освобождение разрешения на подключение
Разрешение можно освободить, удалив подключение, связывающее канал ExpressRoute и виртуальную сеть.
Изменение подключения к виртуальной сети
Вы можете изменить определенные свойства подключения к виртуальной сети.
Чтобы обновить вес соединения
Виртуальная сеть может подключаться к нескольким каналам ExpressRoute. Одинаковый префикс может быть получен из нескольких каналов ExpressRoute. Чтобы выбрать подключение для отправки трафика, предназначенного для этого префикса, можно изменить значение RoutingWeight подключения. Трафик будет отправляться через подключение с самым высоким значением RoutingWeight.
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --routing-weight 100
Диапазон значений RoutingWeight: 0 до 32 000. Значение по умолчанию равно 0.
Настройка ExpressRoute FastPath
Вы можете включить ExpressRoute FastPath, если ваш шлюз виртуальной сети — это Ultra Performance или ErGw3AZ. FastPath повышает производительность передачи данных, то есть такие показатели, как количество пакетов в секунду и подключений в секунду между локальной и виртуальной сетями.
Настройка FastPath для нового подключения
az network vpn-connection create --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true --vnet-gateway1 VNet1GW --express-route-circuit2 MyCircuit
Обновление существующего подключения для включения FastPath
az network vpn-connection update --name ERConnection --resource-group ExpressRouteResourceGroup --express-route-gateway-bypass true
Примечание.
Вы можете использовать Монитор подключений и убедиться, что трафик достигает места назначения через FastPath.
Очистка ресурсов
Если вам больше не нужно подключение ExpressRoute, выполните команду az network vpn-connection delete из подписки, в которой расположен шлюз, чтобы удалить подключение между шлюзом и каналом.
az network vpn-connection delete --name ERConnection --resource-group ExpressRouteResourceGroup
Следующие шаги
Из этого руководства вы узнали, как подключить виртуальную сеть к цепи или контуру в рамках одной и другой подписки. Дополнительные сведения о шлюзах виртуальных сетей ExpressRoute см. в этой статье.
Чтобы узнать, как настроить фильтры маршрутов для Microsoft Peering с помощью Azure CLI, переходите к следующему уроку.