Criar um emparelhamento de rede virtual - Resource Manager, diferentes assinaturas e locatários do Microsoft Entra
Artigo
Neste tutorial, você aprende a criar um emparelhamento de rede virtual entre redes virtuais criadas por meio do Resource Manager. As redes virtuais existem em diferentes assinaturas que podem pertencer a diferentes locatários do Microsoft Entra. O emparelhamento de duas redes virtuais permite que recursos em diferentes redes virtuais se comuniquem com a mesma largura de banda e latência, como se os recursos estivessem na mesma rede virtual. Saiba mais sobre Emparelhamento de rede virtual.
Dependendo de se as redes virtuais estão na mesma assinatura ou em assinaturas diferentes, as etapas para criar um peering de rede virtual são diferentes. As etapas para emparelhar redes criadas com o modelo de implantação clássico são diferentes. Para saber mais sobre os modelos de implantação, confira Modelo de implantação do Azure.
Saiba como criar um emparelhamento de rede virtual em outros cenários selecionando o cenário na tabela a seguir:
Não é possível criar um emparelhamento de rede virtual entre duas redes virtuais implantadas por meio do modelo de implantação clássico. Se você precisar conectar redes virtuais que foram criadas por meio do modelo de implantação clássico, poderá usar um Gateway de VPN do Azure para conectar as redes virtuais.
Uma conta do Azure com permissões em duas assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar a obrigação de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como um convidado no locatário oposto e lhe atribua uma função de Colaborador de Rede da rede virtual. Esse procedimento se aplica as redes virtuais que estiverem em diferentes assinaturas e locatários do Active Directory.
Para estabelecer um emparelhamento de rede quando você não pretende separar o tarefa de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, lhe atribua a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede a partir de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede de cada assinatura.
Uma conta do Azure com permissões em duas assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar a obrigação de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como um convidado no locatário oposto e lhe atribua uma função de Colaborador de Rede da rede virtual. Esse procedimento se aplica as redes virtuais que estiverem em diferentes assinaturas e locatários do Active Directory.
Para estabelecer um emparelhamento de rede quando você não pretende separar o tarefa de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, lhe atribua a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede a partir de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede de cada assinatura.
Cada usuário precisa aceitar o convite do usuário convidado do locatário oposto do Microsoft Entra.
O Azure PowerShell instalado localmente ou o Azure Cloud Shell.
Entre no Azure PowerShell e selecione a assinatura com a qual deseja usar esse recurso. Para obter mais informações, veja Entrar com o Azure PowerShell.
Verifique se o módulo Az.Network é da versão 4.3.0 ou posterior. Para verificar o módulo instalado, use o comando Get-InstalledModule -Name "Az.Network". Se o módulo exigir uma atualização, use o comando Update-Module -Name Az.Network se necessário.
Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 5.4.1 ou posterior. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure.
Uma conta do Azure com permissões em duas assinaturas ou uma conta em cada assinatura com as permissões adequadas para criar um emparelhamento de rede virtual. Para obter uma lista de permissões, consulte Permissões de emparelhamento de rede virtual.
Para separar a obrigação de gerenciar a rede pertencente a cada locatário, adicione o usuário de cada locatário como um convidado no locatário oposto e lhe atribua uma função de Colaborador de Rede da rede virtual. Esse procedimento se aplica as redes virtuais que estiverem em diferentes assinaturas e locatários do Active Directory.
Para estabelecer um emparelhamento de rede quando você não pretende separar o tarefa de gerenciar a rede pertencente a cada locatário, adicione o usuário do locatário A como convidado no locatário oposto. Em seguida, lhe atribua a função de Colaborador de Rede para iniciar e conectar o emparelhamento de rede a partir de cada assinatura. Com essas permissões, o usuário pode estabelecer o emparelhamento de rede de cada assinatura.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Este artigo de instruções exige a versão 2.31.0 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.
Nas etapas a seguir, saiba como emparelhar redes virtuais em diferentes assinaturas e locatários do Microsoft Entra.
Você pode usar a mesma conta que tem permissões em duas assinaturas ou pode usar contas separadas para cada assinatura para configurar o emparelhamento. Uma conta com permissões em duas assinaturas pode concluir todas as etapas sem sair e entrar no portal e atribuir permissões.
Os seguintes recursos e exemplos de conta são usados nas etapas deste artigo:
Conta de usuário
Resource group
Subscription
Rede virtual
usuário-1
test-rg
assinatura-1
vnet-1
usuário-2
test-rg-2
assinatura-2
vnet-2
Criar uma rede virtual: vnet-1
Observação
Se você estiver usando uma única conta para concluir as etapas, poderá ignorar as etapas para sair do portal e atribuir outras permissões de usuário às redes virtuais.
O Azure implanta recursos em uma sub-rede dentro de uma rede virtual, portanto, é necessário criar uma sub-rede. Criar uma configuração de sub-rede chamada sub-rede-1 com o Add-AzVirtualNetworkSubnetConfig:
az group create \
--name test-rg \
--location eastus2
Criar a rede virtual
Crie uma rede virtual e uma sub-rede com az network vnet create. Esse exemplo cria uma rede virtual sub-rede-1 chamada vnet-1 no local Oeste dos EUA 3.
Uma conta de usuário na outra assinatura com a qual você deseja emparelhar deve ser adicionada à rede criada anteriormente. Se você estiver usando uma única conta para duas assinaturas, ignore esta seção.
Use Get-AzADUser para obter a ID do objeto para o usuário-2.
O usuário-2 é usado nesse exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-2 ao qual você quer atribuir permissões para a vnet-1. Você pode ignorar esta etapa se estiver usando a mesma conta para duas assinaturas.
Use az ad user list para obter a ID do objeto para o usuário-2.
O usuário-2 é usado nesse exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-2 ao qual você quer atribuir permissões para a vnet-1. Você pode ignorar esta etapa se estiver usando a mesma conta para duas assinaturas.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-1.
Em Configurações, selecione Propriedades.
Copie as informações no campo ID do Recurso e salve para as etapas posteriores. A ID do recurso é semelhante ao exemplo a seguir: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.
Saia do portal como usuário-1.
A ID do recurso da vnet-1 é necessária para configurar a conexão de peering da vnet-2 para a vnet-1. Use Get-AzVirtualNetwork para obter a ID do recurso para a vnet-1.
A ID do recurso da vnet-1 é necessária para configurar a conexão de peering da vnet-2 para a vnet-1. Use az network vnet show para obter a ID do recurso para a vnet-1.
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
Criar uma rede virtual: vnet-2
Nessa seção, você entra como usuário-2 e cria uma rede virtual para a conexão de peering com a vnet-1.
O Azure implanta recursos em uma sub-rede dentro de uma rede virtual, portanto, é necessário criar uma sub-rede. Criar uma configuração de sub-rede chamada sub-rede-1 com o Add-AzVirtualNetworkSubnetConfig:
az group create \
--name test-rg-2 \
--location eastus2
Criar a rede virtual
Crie uma rede virtual e uma sub-rede com az network vnet create. Esse exemplo cria uma rede virtual sub-rede-1 chamada vnet-2 no local Oeste dos EUA 3.
Uma conta de usuário na outra assinatura com a qual você deseja emparelhar deve ser adicionada à rede criada anteriormente. Se você estiver usando uma única conta para duas assinaturas, ignore esta seção.
Use Get-AzADUser para obter a ID do objeto para usuário-1.
O usuário-1 é usado nesse exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-1 ao qual você quer atribuir permissões para a vnet-2. Você pode ignorar esta etapa se estiver usando a mesma conta para duas assinaturas.
Use az ad user list para obter a ID do objeto para o usuário-1.
O usuário-1 é usado nesse exemplo para a conta de usuário. Substitua esse valor pelo nome de exibição do usuário da assinatura-1 ao qual você quer atribuir permissões para a vnet-2. Você pode ignorar esta etapa se estiver usando a mesma conta para duas assinaturas.
Anote a ID do objeto do user-1 no campo id. Neste exemplo, é bbbbbbbb-1111-2222-3333-cccccccccccc.
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
--role "Network Contributor" \
--scope $vnetid
Obter a ID de recurso da vnet-2
A ID do recurso da vnet-2 é necessária para configurar a conexão de peering da vnet-1 para a vnet-2. Use as etapas a seguir para obter a ID do recurso da vnet-2.
Na caixa de pesquisa na parte superior do portal, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione vnet-2.
Em Configurações, selecione Propriedades.
Copie as informações no campo ID do Recurso e salve para as etapas posteriores. A ID do recurso é semelhante ao exemplo a seguir: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.
Saia do portal como usuário-2.
A ID do recurso da vnet-2 é necessária para configurar a conexão de peering da vnet-1 para a vnet-2. Use Get-AzVirtualNetwork para obter a ID do recurso para a vnet-2.
A ID do recurso da vnet-2 é necessária para configurar a conexão de peering da vnet-1 para a vnet-2. Use az network vnet show para obter a ID do recurso para a vnet-2.
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
Criar a conexão de peering: da vnet-1 para a vnet-2
Você precisa da ID do Recurso para a vnet-2 das etapas anteriores para configurar a conexão de peering.
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
A conexão de emparelhamento é mostrada em Emparelhamentos em um estado Iniciado. Para concluir o peering, uma conexão correspondente deve ser configurada navnet-2.
Criar a conexão de peering: da vnet-2 para a vnet-1
Você precisa das IDs do Recurso para a vnet-1 das etapas anteriores para configurar a conexão de peering.
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
O emparelhamento é estabelecido com êxito após a exibição de Conectado na coluna Status de emparelhamento de ambas as redes virtuais no emparelhamento. Todos os recursos do Azure criados na rede virtual agora podem se comunicar entre si por meio de seus endereços IP. Se você estiver usando a resolução de nomes do Azure para as redes virtuais, os recursos nas redes virtuais não poderão resolver nomes entre as redes virtuais. Se você desejar resolver nomes entre redes virtuais em um emparelhamento, deverá criar seu próprio servidor DNS (Sistema de Nomes de Domínio) ou use o DNS do Azure.