又到了写博客的季节了,写博客的过程同时也是学习和复习的过程,这次准备先来从简单的做起,先来玩一玩虚拟网络Peering,虚拟网络(V、DDN、E、T不知道为啥被屏蔽,只能叫个拗口的名字了)Peering有的人可能会说太简单了,是个人就会,其实这么说倒是也没错,不过不知道你们有没有玩过跨subscription,跨tenant的虚拟网络Peering,这个听起来就稍微高端了那么一丁点。
跨subscription的虚拟网络 Peering其实Azure China也能做,而且也属于比较常见的架构,但是跨tenant的一直以来还是还有Azure Global能做,因为这个东西要基于Azure B、2、B来做的,虽然据说中国已经有雏形要上了,不过目前我还没试过
所以这次的测试还是继续在Azure Global来做,先看下实验环境
Azure账号两个
虚拟网络两个,分属不同账号
虚机两台
1.VR 10.10.0.0/16 East Asia
2.PLTEST 10.120.0.0/24 Korea Central
Tenant两个
在文档介绍里可以看到中国区的文档写的是可以跨Azure Active Directory 租户,不过我印象中好像几年前就是这么写的,所以有想在中国做的最好自己提前试下
https://docs.azure.cn/zh-cn/virtual-network/virtual-network-peering-overview?WT.mc_id=AZ-MVP-5001235
中国区的文档这方面貌似和Global基本没啥区别,不过实际功能还是谁测谁知道
接下来看下实际操作步骤,首先如果想创建虚拟网络Peering,需要确保两端的账号有权限操作对端的虚拟网络,所以需要先授予账号权限,在跨tenant的场景中,这也是为了把对方邀请到自己的tenant里
首先在SS-虚拟网络添加对方为network contributor
添加完成
这时候实际上邮箱里会收到一封邮件,邀请加入到tenant中
需要授予一定的权限
之后用这个用户登录,就能看到刚才添加权限的虚拟网络了,但是其他资源还是看不到的
同理,也在PLTEST-虚拟网络里把对端的账户加进来,过程不过多描述
权限准备好之后,接下来就可以添加peering了,找到一个虚拟网络,在Peering这里点击Add
这里因为不是一个订阅,所以没办法直接看到,需要选择I know my resource ID,然后输入对端的resource ID,然后选择对应的directory(如果之前没添加权限的话,就没办法看到directory)
PL-SS创建完成
跨tenant的情况,两端的peering都需要手动建
下边创建SS-PL的peering
可以看到状态已经是connected了
登录到虚机里测试,可以看到两边就都连在一起了,实际测试也可以ping通
这样跨tenant的虚拟网络Peering就做好了,其实步骤还是很简单,只是要搞清楚这里边需要准备的步骤,接下来准备继续写点别的内容,敬请期待