使用 Azure 门户将虚拟网络连接到 ExpressRoute 线路
本文可帮助你使用 Azure 门户创建连接来将虚拟网络链接到 Azure ExpressRoute 线路。 连接到 Azure ExpressRoute 线路的虚拟网络可以在同一订阅中,也可以属于另一订阅。
先决条件
必须有一个活动的 ExpressRoute 线路。
请按说明创建 ExpressRoute 线路,并通过连接提供商启用该线路。
请确保为线路配置 Azure 专用对等互连。 有关对等互连和路由说明,请参阅为 ExpressRoute 线路创建和修改对等互连一文。
确保已配置 Azure 专用对等互连,并建立网络和 Microsoft 之间的 BGP 对等互连,以便进行端到端连接。
确保已创建并完全预配一个虚拟网络和一个虚拟网络网关。 按照说明创建 ExpressRoute 的虚拟网络网关。 ExpressRoute 的虚拟网关使用 GatewayType
ExpressRoute,而不是 VPN。
最多可以将 10 个虚拟网络链接到一条标准 ExpressRoute 线路。 使用标准 ExpressRoute 线路时,所有虚拟网络必须都位于同一地缘政治区域。
单个虚拟网络最多可连接到 16 条 ExpressRoute 线路。 使用以下流程为要连接的每条 ExpressRoute 线路创建新的连接对象。 ExpressRoute 线路可在同一订阅、不同订阅或两者兼有。
如果启用 ExpressRoute 高级版加载项,则可以链接 ExpressRoute 线路的地缘政治区域外部的虚拟网络。 通过高级版加载项,你还可以根据所选带宽,将 10 个以上的虚拟网络连接到 ExpressRoute 线路。 有关高级外接程序的更多详细信息,请参阅常见问题解答。
请查看通过 ExpressRoute 在虚拟网络之间建立连接的指南。
将虚拟网络连接到线路 - 同一订阅
注意
如果第 3 层提供商配置了对等互连,则将不会显示 BGP 配置信息。 如果线路处于已预配状态,应该能够创建连接。
创建连接
登录到 Azure 门户。
确保已成功配置 ExpressRoute 线路和 Azure 专用对等互连。 按照创建 ExpressRoute 线路和创建和修改 ExpressRoute 线路的对等互连中的说明操作。 ExpressRoute 线路应如下图所示:
现在可以开始预配连接,以便将虚拟网络网关链接到 ExpressRoute 线路。 选择“连接”>“添加”,以打开“创建连接”页面。
输入连接的名称,然后选择“下一步: 设置 >”。
选择要链接到线路的虚拟网络中的网关,然后选择“查看 + 创建”。 然后在验证完成后,选择“创建”。
成功配置连接之后,连接对象会显示连接的信息。
将虚拟网络连接到线路 - 不同订阅
用户可以在多个订阅之间共享 ExpressRoute 线路。 下图是在多个订阅之间共享 ExpressRoute 线路的简单示意图。
大型云中的每个较小云用于表示属于组织中不同部门的订阅。 组织内的每个部门使用自己的订阅部署其服务,但可以共享单个 ExpressRoute 线路以连接回本地网络。 单个部门(在此示例中为 IT 部门)可以拥有 ExpressRoute 线路。 组织内的其他订阅可以使用 ExpressRoute 线路。
注意
- 不支持在 Azure 主权云和公共 Azure 云之间连接虚拟网络。 只能链接来自同一云中不同订阅的虚拟网络。
- 专用线路的连接和带宽费用将应用于 ExpressRoute 线路所有者。 所有虚拟网络共享相同的带宽。
管理 - 关于线路所有者和线路用户
“线路所有者”是 ExpressRoute 线路资源的已授权超级用户。 线路所有者可以创建可由线路用户兑换的授权。 线路用户是虚拟网络网关的所有者(这些网关与 ExpressRoute 线路位于不同的订阅中)。 线路用户可以兑换授权(每个虚拟网络需要一个授权)。
线路所有者有权随时修改和撤消授权。 撤消授权会导致从已撤消访问权限的订阅中删除所有链路连接。
注意
线路所有者不是内置的 RBAC 角色,也不是在 ExpressRoute 资源上定义的。 线路所有者的定义是具有以下访问权限的任何角色:
- Microsoft.Network/expressRouteCircuits/authorizations/write
- Microsoft.Network/expressRouteCircuits/authorizations/read
- Microsoft.Network/expressRouteCircuits/authorizations/delete
这包括内置角色,例如参与者、所有者和网络参与者。 不同内置角色的详细说明。
线路所有者操作
若要创建连接授权
线路所有者创建授权,这将创建授权密钥,供线路用户用于将其虚拟网络网关连接到 ExpressRoute 线路。 一个授权只可用于一个连接。
注意
每个连接都需要单独授权。
在 ExpressRoute 页面中,选择“授权”,然后键入授权的名称并选择“保存” 。
保存配置后,复制“资源 ID”和“授权密钥”。
若要删除连接授权
可为连接的授权密钥选择“删除”图标来删除该连接。
如果要删除连接,但想要保留授权密钥,可从线路的连接页面中删除此连接。
注意
要查看网关连接,请转到 Azure 门户中的 ExpressRoute 线路。 从此处导航到 ExpressRoute 线路“设置”下的“连接”。 这会显示线路连接到的每个 ExpressRoute 网关。 如果网关位于与线路不同的订阅中,则“对等机”字段将会显示线路授权密钥。
线路用户操作
线路用户需有资源 ID 以及线路所有者提供的授权密钥。
若要兑换连接授权
选择“+ 创建资源” 按钮。 搜索“连接”,然后选择“创建” 。
确保“连接类型”设置为“ExpressRoute”。 选择“资源组”和“位置”,然后在“基本信息”页面中选择“确定” 。
注意
该位置必须与你要为其创建连接的虚拟网络网关位置相匹配。
在“设置”页面中,选择“虚拟网络网关”并选中“兑换授权”复选框。 输入“授权密钥”和“对等线路 URI”,并为连接命名。 选择“确定” 。
注意
对等线路 URI 是 ExpressRoute 线路的资源 ID(可以在 ExpressRoute 线路的“属性设置”窗格下找到)。
在“摘要”页面中复查信息,并选择“确定” 。
清理资源
可以通过在你的连接的页面上单击“删除”图标来取消虚拟网络到 ExpressRoute 的链接。
下一步
在本教程中,你已了解如何将虚拟网络连接到同一订阅和不同订阅中的线路。 有关 ExpressRoute 网关的详细信息,请参阅:ExpressRoute 虚拟网络网关。
若要了解如何使用 Azure 门户为 Microsoft 对等互连配置路由筛选器,请转到下一个教程。