Azure Lei Zhang的博客

weibo: LeiZhang的微博/QQ: 185165016/QQ群:319036205/邮箱:leizhang1984@outlook.com/TeL:139-161-22926

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

  《Windows Azure Platform 系列文章目录

 

  之前做项目正好遇到,在这里记录一下。

 

  以下这几种情况,都具备跨租户间的vnet peering使用场景:

  1.当我们的母公司和子公司,使用2个不同的Azure 租户。在特殊情况下,需要通过内网互联传输数据。

  2.当我们的第三方运维公司的Azure环境,和多个甲方客户的Azure环境,需要通过内网互联进行系统维护。

 

  前提条件:

  1.在两个租户下,至少存在1个账户,对2个VNet都具有peering的权限

  2.租户间的VNet IP Range不能重叠

 

  具体操作步骤:

  1.在租户B里,把租户A的某一个用户设置为Guest User

  2.在租户B里,把登录租户B的连接,发送给该Guest User

  3.在租户B的资源组里,把Tenant A的用户设置好RBAC权限,使其对Tenant B的某一个VNet具备peering权限

  4.新开一个浏览器,把步骤2的连接打开,同时以租户A的身份,登录Azure Portal  

  5.登录完毕后,以租户A的身份可以在Azure Portal,同时浏览到2个租户信息(租户A和租户B)

  6.我们以租户A的身份,设置两个VNet之前的Peering

 

  接下来我们详细介绍一下:

  假设我们有2个租户:

租户 目录 用户名 资源组 虚拟网络名称 VNet IP Range 前提条件
A contosoAAA userA@contosoAAA.partner.onmschina.cn A-RG A-VNet 10.0.0.0/24 用户A有对A-VNet的peering权限
B contosoBBB userB@contosoBBB.partner.onmschina.cn B-RG B-VNet 192.168.0.0/24 用户B有对B-VNet的peering权限

  以上环境,请大家提前准备好。  

 

 

 

  1.在租户B里,我们以用户名:userB@contosoBBB.partner.onmschina.cn,登录Azure Portal。步骤略。

  2.在租户B里,我们点击Azure Active Directory,点击新来宾用户。如下图:

  

  3.在租户B里,把租户A的用户名:userA@contosoAAA.partner.onmschina.cn,设置为来宾用户:

  

  4.设置完毕后,我们可以在租户B里,查看到这个来宾用户(userA@contosoAAA.partner.onmschina.cn)。我们点击该用户名。页面跳转

  

  在跳转的页面中,点击重新发送邀请,

  

  5.请把下图中的邀请URL保存在记事本上,这个步骤非常关键。

  

  

  6.在租户B里,我们选择B-VNet所在资源组,对这个来宾用户(userA@contosoAAA.partner.onmschina.cn)设置RBAC权限,这里我们设置角色为Contributor,步骤略。

  

  上面的操作完毕后,来宾用户(userA@contosoAAA.partner.onmschina.cn)可以同时对2个目录contosoAAA和contosoBBB同时具备权限。

 

  7.我们新开一个浏览器,把步骤5中的邀请URL地址打开。输入userA@contosoAAA.partner.onmschina.cn这个用户的密码。

  在弹出的审查许可中,选择接受。截图略。

  8.登录完毕后,我们在同一个浏览器里新开一个连接:https://portal.azure.cn/,就可以以用户userA@contosoAAA.partner.onmschina.cn,查看到目录:contosoAAA和contosoBBB

  

  9.我们以用户userA@contosoAAA.partner.onmschina.cn,点击资源组A-RG,点击虚拟网络A-VNet,点击对等互联,点击添加。如下图

  

  10.我们以用户userA@contosoAAA.partner.onmschina.cn,输入Peering的相关信息。

  请注意,我们在远程虚拟网络中,输入目录contosoBBB的虚拟网络B-VNet的资源ID。

  点击身份验证,然后需要再次对目录contosoBB进行身份验证:

  

 

  11.身份验证完毕后,我们点击添加。就完成了A-VNet (10.0.0.0/24)到B-VNet (192.168.0.0.0/24)之间的Peering

  

 

 

  

 

 

  如果大家觉得操作比较繁琐,可以用下面的PowerShell

#前提条件:
#执行下面的PowerShell,需要把上面截图部分的的步骤1-6先操作完毕
#即某1个账户可以同时访问2个Tenant,且对2个Tenant下的VNet都具备peering权限

#先登录Azure China环境
Add-AzAccount -Environment AzureChinaCloud

#选择当前用户所在的订阅ID
$subid_a = 'aaaaaaaa'
Select-AzSubscription -SubscriptionId subid_a

#选择设置该目录下的虚拟网络ID
$vnet1 = '/subscriptions/aaaaaaaa/resourceGroups/A-RG/providers/Microsoft.Network/virtualNetworks/A-VNet'

#远端目录下的vnet
$vnet2 = '/subscriptions/bbbbbbbb/resourceGroups/B-RG/providers/Microsoft.Network/virtualNetworks/B-VNet'

#AllowGatewayTransit表示使用本地网关,请按照具体环境配置
Add-AzVirtualNetworkPeering -Name A-to-B -VirtualNetwork $vnet1 -RemoteVirtualNetworkId $vnet2 -AllowGatewayTransit -AllowForwardedTraffic



#再选择另外一个目录下的订阅ID
$subid_b = 'bbbbbbbb'
Select-AzSubscription -SubscriptionId subid_b

#选择设置该目录下的虚拟网络ID
$vnet1 = '/subscriptions/bbbbbbbb/resourceGroups/B-RG/providers/Microsoft.Network/virtualNetworks/B-VNet'

#远端目录下的vnet
$vnet2 = '/subscriptions/aaaaaaaa/resourceGroups/A-RG/providers/Microsoft.Network/virtualNetworks/A-VNet'

#UseRemoteGateways表示使用远程虚拟网络的网关,请按照具体环境配置
Add-AzVirtualNetworkPeering -Name B-toA -VirtualNetwork $vnet1 -RemoteVirtualNetworkId $vnet2 -UseRemoteGateways -AllowForwardedTraffic

 

 

 

  

posted on 2021-06-26 21:57  Lei Zhang的博客  阅读(600)  评论(0编辑  收藏  举报