Een virtueel netwerk verbinden met een ExpressRoute-circuit met behulp van PowerShell (klassiek)

  • Artikel

Dit artikel helpt u bij het koppelen van virtuele netwerken (VNets) aan Azure ExpressRoute-circuits met behulp van PowerShell. Eén VNet kan aan maximaal vier ExpressRoute-circuits worden gekoppeld. Gebruik de stappen in dit artikel om een nieuwe koppeling te maken naar elk ExpressRoute-circuit waarmee u verbinding maakt. De ExpressRoute-circuits kunnen zich in hetzelfde abonnement, in verschillende abonnementen of in een combinatie van beide bevinden. Dit artikel is van toepassing op virtuele netwerken die zijn gemaakt met het klassieke implementatiemodel.

U kunt maximaal 10 virtuele netwerken koppelen aan een ExpressRoute-circuit. Alle virtuele netwerken moeten zich in dezelfde geopolitieke regio bevinden. U kunt een groter aantal virtuele netwerken koppelen aan uw ExpressRoute-circuit of virtuele netwerken koppelen die zich in andere geopolitieke regio's bevinden als u de Premium-invoegtoepassing voor ExpressRoute inschakelt. Raadpleeg de veelgestelde vragen voor meer informatie over de Premium-invoegtoepassing.

Belangrijk

Vanaf 1 maart 2017 kunt u geen nieuwe ExpressRoute-circuits meer maken in het klassieke implementatiemodel.

  • U kunt een bestaand ExpressRoute-circuit van het klassieke implementatiemodel naar het Resource Manager-implementatiemodel verplaatsen zonder onderbreking van de connectiviteit. Zie Een bestaand circuit verplaatsen voor meer informatie.
  • U kunt verbinding maken met virtuele netwerken in het klassieke implementatiemodel door allowClassicOperations in te stellen op TRUE.

Gebruik de volgende koppelingen om ExpressRoute-circuits in het implementatiemodel van Resource Manager te maken en beheren:

Over Azure-implementatiemodellen

Azure werkt momenteel in combinatie met twee implementatiemodellen: Resource Manager en klassiek. De twee modellen zijn niet volledig compatibel met elkaar. Voordat u begint, moet u bepalen met welk model u wilt werken. Zie Implementatiemodellen begrijpen voor meer informatie over de implementatiemodellen. Als u niet bekend bent met Azure, raden we u aan het Resource Manager-implementatiemodel te gebruiken.

Configuratievereisten

  • Bekijk de vereisten, de routeringsvereisten en de werkstromen voordat u begint met de configuratie.
  • U moet een actief ExpressRoute-circuit hebben.
    • Volg de instructies om een ExpressRoute-circuit te maken en uw connectiviteitsprovider het circuit in te schakelen.
    • Zorg ervoor dat u persoonlijke Azure-peering voor uw circuit hebt geconfigureerd. Zie het artikel Routering configureren voor instructies voor routering.
    • Zorg ervoor dat persoonlijke Azure-peering is geconfigureerd en dat de BGP-peering tussen uw netwerk en Microsoft is ingeschakeld, zodat u end-to-end-connectiviteit kunt inschakelen.
    • U moet een virtueel netwerk en een virtuele netwerkgateway hebben gemaakt en volledig zijn ingericht. Volg de instructies voor het configureren van een virtueel netwerk voor ExpressRoute.

De nieuwste PowerShell-cmdlets downloaden

Installeer de nieuwste versie van de Azure SM (Service Management) PowerShell-modules en de Azure ExpressRoute-module. U kunt de Azure CloudShell-omgeving niet gebruiken om SM-modules uit te voeren.

  1. Volg de instructies in het artikel De Service Management-module installeren artikel voor het installeren van de Azure Service Management-module. Als de Az- of RM-module al is geïnstalleerd, gebruikt u -AllowClobber.

  2. Importeer de geïnstalleerde modules. Wanneer u het volgende voorbeeld gebruikt, past u het pad aan de locatie en versie van de geïnstalleerde PowerShell-modules aan.

    Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'

  3. Als u zich wilt aanmelden bij uw Azure-account, opent u de PowerShell-console met verhoogde rechten en maakt u verbinding met uw account. Gebruik het volgende voorbeeld om verbinding te maken met behulp van de Service Management-module:

    Add-AzureAccount

Een virtueel netwerk in hetzelfde abonnement verbinden met een circuit

U kunt een virtueel netwerk koppelen aan een ExpressRoute-circuit met behulp van de volgende cmdlet. Zorg ervoor dat de virtuele netwerkgateway is gemaakt en gereed is voor koppeling voordat u de cmdlet uitvoert.

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"
Provisioned

U kunt een virtuele netwerkkoppeling naar een ExpressRoute-circuit verwijderen met behulp van de volgende cmdlet. Zorg ervoor dat het huidige abonnement is geselecteerd voor het opgegeven virtuele netwerk.

Remove-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Een virtueel netwerk in een ander abonnement verbinden met een circuit

U kunt een ExpressRoute-circuit delen tussen meerdere abonnementen. De volgende afbeelding is een schematische weergave van hoe delen tussen meerdere abonnementen werkt voor ExpressRoute-circuits.

Elk van de kleinere clouds in de grote cloud staan voor abonnementen die tot verschillende afdelingen binnen een organisatie behoren. Alle afdelingen binnen de organisatie kunnen hun eigen abonnement gebruiken voor het implementeren van hun services, maar de afdelingen kunnen één ExpressRoute-circuit delen om verbinding te maken met uw on-premises netwerk. Eén afdeling (in dit voorbeeld: IT) kan eigenaar zijn van het ExpressRoute-circuit. Andere abonnementen binnen de organisatie kunnen het ExpressRoute-circuit gebruiken.

Notitie

Kosten voor connectiviteit- en bandbreedte voor het toegewezen circuit zijn in rekening gebracht bij de eigenaar van het ExpressRoute-circuit. Alle virtuele netwerken delen dezelfde bandbreedte.

Connectiviteit tussen abonnementen

Beheer

De circuiteigenaar is de beheerder/medebeheerder van het abonnement waarin het ExpressRoute-circuit is gemaakt. De circuiteigenaar kan beheerders/medebeheerders van andere abonnementen, ook wel circuitgebruikers genoemd, machtigen om het toegewezen circuit te gebruiken waarvan ze eigenaar zijn. Circuitgebruikers die gemachtigd zijn om het ExpressRoute-circuit van de organisatie te gebruiken, kunnen het virtuele netwerk in hun abonnement koppelen aan het ExpressRoute-circuit nadat ze zijn geautoriseerd.

De circuiteigenaar heeft de bevoegdheid om autorisaties op elk gewenst moment te wijzigen en in te trekken. Als u een autorisatie intrekt, worden alle koppelingen verwijderd uit het abonnement waarvan de toegang is ingetrokken.

Notitie

Circuiteigenaar is geen ingebouwde RBAC-rol of gedefinieerd in de ExpressRoute-resource. De definitie van de circuiteigenaar is elke rol met de volgende toegang:

  • Microsoft.Network/expressRouteCircuits/authorizations/write
  • Microsoft.Network/expressRouteCircuits/authorizations/read
  • Microsoft.Network/expressRouteCircuits/authorizations/delete

Dit omvat de ingebouwde rollen, zoals Inzender, Eigenaar en Netwerkbijdrager. Gedetailleerde beschrijving voor de verschillende ingebouwde rollen.

Bewerkingen door circuiteigenaars

Een autorisatie maken

De circuiteigenaar autoriseert de beheerders van andere abonnementen om het opgegeven circuit te gebruiken. In het volgende voorbeeld stelt de beheerder van het circuit (Contoso IT) de beheerder van een ander abonnement (Dev-Test) in staat om maximaal twee virtuele netwerken aan het circuit te koppelen. De IT-beheerder van Contoso schakelt deze autorisatie in door de Dev-Test Microsoft-id op te geven. De cmdlet verzendt geen e-mail naar de opgegeven Microsoft-id. De circuiteigenaar moet de andere abonnementseigenaar expliciet informeren dat de autorisatie is voltooid.

New-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -Description "Dev-Test Links" -Limit 2 -MicrosoftIds 'devtest@contoso.com'

retourneren:

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : **********************************
MicrosoftIds        : devtest@contoso.com
Used                : 0

Autorisaties controleren

De circuiteigenaar kan alle autorisaties controleren die voor een bepaald circuit worden uitgegeven, door de volgende cmdlet uit te voeren:

Get-AzureDedicatedCircuitLinkAuthorization -ServiceKey: "**************************"

retourneren:

Description         : EngineeringTeam
Limit               : 3
LinkAuthorizationId : ####################################
MicrosoftIds        : engadmin@contoso.com
Used                : 1

Description         : MarketingTeam
Limit               : 1
LinkAuthorizationId : @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
MicrosoftIds        : marketingadmin@contoso.com
Used                : 0

Description         : Dev-Test Links
Limit               : 2
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : salesadmin@contoso.com
Used                : 2

Autorisaties bijwerken

De circuiteigenaar kan autorisaties wijzigen met behulp van de volgende cmdlet:

Set-AzureDedicatedCircuitLinkAuthorization -ServiceKey "**************************" -AuthorizationId "&&&&&&&&&&&&&&&&&&&&&&&&&&&&"-Limit 5

retourneren:

Description         : Dev-Test Links
Limit               : 5
LinkAuthorizationId : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
MicrosoftIds        : devtest@contoso.com
Used                : 0

Autorisaties verwijderen

De circuiteigenaar kan autorisaties intrekken/verwijderen door de volgende cmdlet uit te voeren:

Remove-AzureDedicatedCircuitLinkAuthorization -ServiceKey "*****************************" -AuthorizationId "###############################"

Bewerkingen door circuitgebruikers

Autorisaties controleren

De circuitgebruiker kan autorisaties controleren met behulp van de volgende cmdlet:

Get-AzureAuthorizedDedicatedCircuit

retourneren:

Bandwidth                        : 200
CircuitName                      : ContosoIT
Location                         : Washington DC
MaximumAllowedLinks              : 2
ServiceKey                       : &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
ServiceProviderName              : equinix
ServiceProviderProvisioningState : Provisioned
Status                           : Enabled
UsedLinks                        : 0

Koppelingsautorisaties inwisselen

De circuitgebruiker kan de volgende cmdlet uitvoeren om een autorisatie voor een koppeling in te wisselen:

New-AzureDedicatedCircuitLink –servicekey "&&&&&&&&&&&&&&&&&&&&&&&&&&" –VnetName 'SalesVNET1'

retourneren:

State VnetName
----- --------
Provisioned SalesVNET1

Voer deze opdracht uit in het zojuist gekoppelde abonnement voor het virtuele netwerk:

New-AzureDedicatedCircuitLink -ServiceKey "*****************************" -VNetName "MyVNet"

Volgende stappen

Zie de Veelgestelde vragen over ExpressRoute voor meer informatie over ExpressRoute.