本文介绍使用适用于 Azure 通信网关的 VNet 注入将 Azure 通信网关连接到自己的虚拟网络所需的步骤(预览版)。 此过程需要将 Azure 通信网关部署到你控制的子网中,并在将本地网络与 ExpressRoute 专用对等互连或通过 Azure VPN 网关连接时使用。 Azure 通信网关具有两个具有自身连接的服务区域,这意味着需要在其中每个区域提供虚拟网络和子网。
下图概述了使用 VNet 注入部署的 Azure 通信网关。 面向网络的 Azure 通信网关上的网络接口将部署到子网中,而面向后端通信服务的网络接口仍由Microsoft进行管理。
先决条件
- 将您的 Azure 订阅启用为 Azure 通信网关。
- 通知入职团队,你打算使用自己的虚拟网络。
- 在要用作 Azure 通信网关 服务区域的每个 Azure 区域中创建一个 Azure 虚拟网络。 了解如何创建 虚拟网络。
- 在每个 Azure 虚拟网络中创建一个子网,供 Azure 通信网关独占使用。 这些子网必须至少有 16 个 IP 地址(/28 IPv4 范围或更大)。 其他任何东西都不能使用此子网。 了解如何创建 子网。
- 确保 Azure 帐户在虚拟网络上具有“网络参与者”角色或此角色的父角色。
- 将所选的连接解决方案(例如 ExpressRoute)部署到 Azure 订阅中,并确保它已准备好使用。
小窍门
实验室部署只有一个服务区域,因此只需在此过程期间设置单个区域。
委托虚拟网络子网
若要将虚拟网络与 Azure 通信网关配合使用,需要 将子网委托 给 Azure 通信网关。 子网委派为 Azure 通信网关提供显式权限,以在子网中创建特定于服务的资源,例如网络接口(NIC)。
按照以下步骤委托子网,以便与 Azure 通信网关一起使用:
转到 虚拟网络 ,选择要在 Azure 通信网关的第一个服务区域中使用的虚拟网络。
选择“子网”。
选择要委托给 Azure 通信网关的子网。
重要
使用的子网必须专用于 Azure 通信网关。
在 将子网委托给服务中,选择 Microsoft.AzureCommunicationsGateway/networkSettings,然后选择“ 保存”。
验证 Microsoft.AzureCommunicationsGateway/networkSettings 是否显示在子网 的“委派到” 列中。
对其他 Azure 通信网关服务区域中的虚拟网络和子网重复上述步骤。
配置网络安全组
将 Azure 通信网关连接到虚拟网络时,需要配置网络安全组(NSG),以允许来自网络的流量访问 Azure 通信网关。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。
可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。 NSG 更改可能需要长达 10 分钟才能生效。
重要
如果未配置网络安全组,流量将无法访问 Azure 通信网关网络接口。
网络安全组配置由两个步骤组成,可在每个服务区域中执行:
- 创建允许所需流量的网络安全组。
- 将网络安全组与虚拟网络子网相关联。
可以在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。 可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。
有关 NSG 的详细信息,请访问什么是 NSG。
创建相关的网络安全组
请与载入团队协作,确定虚拟网络的正确网络安全组配置。 此配置取决于连接选择(例如 ExpressRoute)和虚拟网络拓扑。
网络安全组配置必须允许流量流向 Azure 通信网关使用的必要端口范围。
小窍门
可以使用 网络安全组的建议 来帮助确保配置符合安全最佳做法。
将子网与网络安全组相关联
- 转到网络安全组,然后选择“子网”。
- 从顶部菜单栏中选择“+ 关联”。
- 对于“虚拟网络”,请选择虚拟网络。
- 对于“子网”,请选择虚拟网络子网。
- 选择“确定”将虚拟网络子网与网络安全组相关联。
- 对其他服务区域重复这些步骤。