你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本指南提供了有关在 Azure 运营商关系中更新 ExpressRoute 线路的授权密钥的分步说明。 该过程可确保本地网络与 Azure 资源之间的持续安全连接。
先决条件
在继续关键更新之前,请确保满足以下先决条件:
标识网络结构控制器 (NFC):找到要为其更新 ExpressRoute 授权密钥的网络结构控制器 (NFC)。
验证 ExpressRoute 连接:确保有 4 个正常运行的 ExpressRoute 连接(2 个用于基础结构 ER GW,2 个用于租户 ER GW),通往 4 条 ExpressRoute 线路。
生成新的授权密钥:获取要更新的所有线路的新授权密钥。
过程
步骤 1:登录到 Azure
打开终端或命令提示符。
运行以下命令以登录到你的 Azure 帐户:
az login为 Azure CLI 会话设置活动订阅:
az account set -s <Subscription ID>
将 <Subscription ID> 替换为你的 Azure 订阅 ID。
步骤 2:检索现有授权密钥
使用以下命令检索当前授权密钥:
az network express-route auth list \ --resource-group <resource-group> \ --circuit-name <circuit-name>
请将 <resource-group> 和 <circuit-name> 替换为特定的资源组和线路名称。
现有授权密钥
| 连接类型 | ExpressRoute 线路名称 | 授权密钥 |
|---|---|---|
| 基础结构 | er-circuit-A | er-authz-key-a1 |
| 基础结构 | er-circuit-B | er-authz-key-b1 |
| 工作负荷 | er-circuit-C | er-authz-key-c1 |
| 工作负荷 | er-circuit-D | er-authz-key-d1 |
注意
有 4 条 ExpressRoute 线路,每条线路都有现有连接。
必须对每条线路重复此步骤,以便为每条线路生成新的授权密钥。
此处提供的授权密钥是示例值,不应用作实际密钥。
步骤 3:生成授权密钥
- 使用以下命令为 ExpressRoute 线路生成新的授权密钥:
az network express-route auth create \
--resource-group <resource-group> \
--circuit-name <circuit-name> \
--name <authorization-name>
请将 <resource-group> 和 <circuit-name> 替换为特定的资源组和线路名称。
新授权密钥
| 连接类型 | ExpressRoute 线路名称 | 授权密钥 |
|---|---|---|
| 基础结构 | er-circuit-A | er-authz-key-a20 |
| 基础结构 | er-circuit-B | er-authz-key-b20 |
| 工作负荷 | er-circuit-C | er-authz-key-c20 |
| 工作负荷 | er-circuit-D | er-authz-key-d20 |
注意
有 4 条 ExpressRoute 线路,每条线路都有现有连接。
必须对每条线路重复此步骤,以便为每条线路生成新的授权密钥。
此处提供的授权密钥是示例值,不应用作实际密钥。
步骤 4:更新授权密钥
有 4 条 ExpressRoute 线路,每条线路都有现有连接。 按照以下步骤更新基础结构和工作负载连接的密钥,一次更新一个。
注意
授权密钥轮换将导致临时网络连接丢失。 请仔细规划更新,以最大程度地减少中断。
步骤 4.1:更新第一个基础结构授权密钥
运行以下命令,更新第一个基础结构授权密钥:
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A",expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b1"}]' \ --debug
后期检查:验证 er-circuit-A 的新连接是否正常运行。
步骤 4.2:更新第二个基础结构授权密钥
运行以下命令,更新第二个基础结构授权密钥:
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --infra-er-connections '[{expressRouteCircuitId:"er-circuit-A,expressRouteAuthorizationKey:"er-authz-key-a20"},{expressRouteCircuitId:"er-circuit-B",expressRouteAuthorizationKey:"er-authz-key-b20"}]' \ --debug
后期检查:验证 er-circuit-B 的新连接是否正常运行。
步骤 4.3:更新第一个工作负载授权密钥
运行以下命令,更新第一个工作负载授权密钥:
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d1"}]' \ --debug
后期检查:验证 er-circuit-C 的新连接是否正常运行。
步骤 4.4:更新第二个工作负载授权密钥
运行以下命令,更新第二个工作负载授权密钥:
az networkfabric controller update \ --resource-group 'nfc resource group' \ --resource-name 'nfc_name' \ --workload-er-connections '[{expressRouteCircuitId:"er-circuit-C",expressRouteAuthorizationKey:"er-authz-key-c20"},{expressRouteCircuitId:"er-circuit-D",expressRouteAuthorizationKey:"er-authz-key-d20"}]' \ --debug
后期检查:验证 er-circuit-D 的新连接是否正常运行。
监视 ExpressRoute 网关指标
使用 ExpressRoute 网关中的指标监视更新过程中连接的运行状况。
关键指标:从对等机获知的路由计数
在更新期间,你可能会观察到获知的路由计数临时下降。 完成更新后,获知的路由计数应恢复。
每个连接有 2 个对等机。 通过筛选 BGP(边界网关协议)对等机的指标,可以确认更新期间受影响的特定连接。 有关监视的更多详细信息。
