虚拟网络对等互连使您能够跨不同订阅和 Microsoft Entra 租户连接 Azure 虚拟网络。 本教程介绍如何在不同订阅中,通过资源管理器创建的虚拟网络之间实现虚拟网络对等互连。 对等互连两个虚拟网络使得不同虚拟网络中的资源能够以相同的带宽和延迟进行通信,就像资源位于同一虚拟网络中一样。 详细了解 虚拟网络对等连接。
根据虚拟网络是在相同订阅还是不同订阅中,创建虚拟网络对等连接的步骤是不同的。 使用经典部署模型创建的对等网络的步骤会有所不同。 有关部署模型的详细信息,请参阅 Azure 部署模型。
通过从下表中选择场景,了解如何在其他场景中创建虚拟网络对等互连。
无法在通过经典部署模型部署的两个虚拟网络之间创建虚拟网络对等互连。 如果需要连接通过经典部署模型创建的虚拟网络,可以使用 Azure VPN Gateway 连接虚拟网络。
本教程将在同一区域中的虚拟网络之间建立对等互连。 还可以在不同受支持的区域之间对接虚拟网络。 在对等互连虚拟网络之前,请熟悉对等互连的要求和约束。
先决条件
具有两个活动订阅的Azure帐户或帐户。
创建帐户。
具有在两个订阅中拥有权限的Azure帐户,或在每个订阅中拥有创建虚拟网络对等互连适当权限的帐户。 权限列表请参阅 虚拟网络对等互联权限。
若要分离管理属于每个租户的网络的职责,请将每个租户中的用户添加为相对租户中的来宾,并将“网络贡献者角色”分配给该虚拟网络。 如果虚拟网络位于不同的订阅和Active Directory租户中,则此过程适用。
在无需单独管理每个租户的网络的情况下要建立网络对等互连,可以将租户 A 的用户添加为对方租户的来宾。 然后,为其分配网络贡献者角色,以启动和连接每个订阅的网络对等连接。 有了这些权限,用户就可以从每个订阅建立网络对等连接。
有关来宾用户的详细信息,请参阅 在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
每位用户都必须接受来自对立的 Microsoft Entra 租户的宾客用户邀请。
在本地安装Azure PowerShell。
登录到Azure PowerShell,然后选择要使用此功能的订阅。 有关详细信息,请参阅 Sign with Azure PowerShell。
请确保 Az.Network 模块是 4.3.0 或更高版本。 若要验证已安装的模块,请使用命令 Get-InstalledModule -Name "Az.Network"。 如果模块需要更新,必要时请使用命令 Update-Module -Name Az.Network。
如果选择在本地安装和使用 PowerShell,本文需要 Azure PowerShell 模块版本 5.4.1 或更高版本。 运行 Get-Module -ListAvailable Az 查找已安装的版本。 如果需要升级,请参阅 Install Azure PowerShell 模块。 如果在本地运行 PowerShell,则还需要运行 Connect-AzAccount -Environment AzureChinaCloud 来创建与Azure的连接。
具有两个活动订阅的 Azure 帐户或多个帐户。
创建帐户。
具有两个订阅中权限的Azure帐户,或者在每个订阅中具有创建虚拟网络对等互联适当权限的账户。 有关权限列表,请参阅 虚拟网络对等互连权限。
若要分离管理属于每个租户的网络的职责,请将每个租户中的用户添加为相反租户中的来宾,并将“网络参与者”角色分配给虚拟网络。 如果虚拟网络位于不同的订阅和Active Directory租户中,则此过程适用。
在无需单独管理每个租户的网络的情况下要建立网络对等互连,可以将租户 A 的用户添加为对方租户的来宾。 然后,为其分配网络贡献者角色,以启动和连接每个订阅的网络对等连接。 有了这些权限,用户就可以从每个订阅建立网络对等连接。
有关来宾用户的详细信息,请参阅在 Azure portal 中的 添加 Microsoft Entra B2B 协作用户。
每位用户都必须接受来自对立的 Microsoft Entra 租户的宾客用户邀请。
如果希望在本地运行 CLI 引用命令,install Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行Azure CLI。 有关详细信息,请参阅 如何在 Docker 容器中运行Azure CLI。
本作说明文章需要 2.31.0 或更高版本的Azure CLI。
以下步骤说明如何将不同订阅和 Microsoft Entra 租户中的虚拟网络对等互连。
可以使用在两个订阅中均具有权限的同一帐户,或者为每个订阅分别使用不同的帐户来设置对等互联。 在两个订阅中都具有权限的帐户可以完成所有步骤,而无需注销和登录到门户并分配权限。
本文中的步骤使用以下资源和帐户示例:
| 用户帐户 |
资源组 |
订阅 |
虚拟网络 |
|
user-1 |
test-rg |
subscription-1 |
vnet-1 |
|
user-2 |
test-rg-2 |
订阅-2 |
vnet-2 |
创建虚拟网络 - vnet-1
注意事项
如果使用单个帐户来完成这些步骤,则可以跳过从门户注销并向虚拟网络分配其他用户权限的步骤。
以下过程将创建一个包含资源子网的虚拟网络。
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在 Basics 选项卡上的 Create virtual network,输入或选择以下信息:
| 设置 |
值 |
|
项目详细信息 |
|
| 订阅 |
选择订阅。 |
| 资源组 |
选择“新建”。
在“名称”中输入“test-rg”。
选择“确定”。 |
|
实例详细信息 |
|
| 名称 |
输入“vnet-1”。 |
| 区域 |
选择“美国东部 2”。 |
选择“下一步”,转到“安全性”选项卡。
选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
| 设置 |
值 |
| 子网用途 |
保留默认值“默认”。 |
| 名称 |
输入“subnet-1”。 |
其余设置保留为默认值。 选择“保存”。
选择“保存”。
选择屏幕底部的“查看 + 创建”,然后在验证通过时选择“创建”。
登录到 subscription-1
使用 Connect-AzAccount -Environment AzureChinaCloud 登录到 subscription-1。
Connect-AzAccount -Environment AzureChinaCloud
如果两个订阅都使用一个帐户,请登录到该帐户,并使用 Set-AzContext 将订阅上下文更改为 subscription-1
Set-AzContext -Subscription subscription-1
创建资源组 - test-rg
Azure资源组是部署和管理Azure资源的逻辑容器。
使用 New-AzResourceGroup 创建资源组:
$rsg = @{
Name = 'test-rg'
Location = 'eastus2'
}
New-AzResourceGroup @rsg
创建虚拟网络
使用 New-AzVirtualNetwork 创建virtual network。 此示例在位于 美国西部 3 的位置创建名为 vnet-1 的 subnet-1 虚拟网络。
$vnet = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
Location = 'eastus2'
AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet
添加子网
Azure将资源部署到virtual network中的子网,因此需要创建子网。 使用 Add-AzVirtualNetworkSubnetConfig 创建名为 subnet-1 的子网配置:
$subnet = @{
Name = 'subnet-1'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
将子网关联到虚拟网络
可以使用 Set-AzVirtualNetwork 将子网配置写入virtual network。 此命令创建子网:
$virtualNetwork | Set-AzVirtualNetwork
登录到 subscription-1
使用 az sign-in 登录到 subscription-1。
az login
如果您使用一个帐户进行两个订阅,请登录该帐户,并使用 az account set 将订阅上下文更改为 subscription-1。
az account set --subscription "subscription-1"
创建资源组 - test-rg
Azure资源组是部署和管理Azure资源的逻辑容器。
使用 az group create 创建资源组:
az group create \
--name test-rg \
--location eastus2
创建虚拟网络
使用 az network vnet create 创建virtual network和子网。 此示例在美国西部 3区域创建名为vnet-1的子网-1虚拟网络。
az network vnet create \
--resource-group test-rg\
--location eastus2 \
--name vnet-1 \
--address-prefixes 10.0.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.0.0.0/24
为 user-2 分配权限
想要与之连接的其他订阅中的用户帐户必须添加到您之前创建的网络中。 如果两个订阅都使用单个帐户,则可以跳过此部分。
保持以 user-1 身份登录到门户。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-1”。
选择 Access control (IAM)。
选择+ 添加 ->添加角色分配。
在“角色”选项卡中的“添加角色指派”中,选择“网络贡献者”。
选择“下一步”。
在“成员”选项卡上,选择“+ 选择成员”。
在搜索框中的“选择成员”中,输入 user-2。
选择选择。
选择“查看 + 分配”。
选择“查看 + 分配”。
使用 Get-AzVirtualNetwork 获取 vnet-1 的资源 ID。 使用 New-AzRoleAssignment 将 user-2 从 subscription-2 分配到 vnet-1。
使用 Get-AzadUser 获取 user-2 的对象 ID。
在本示例中,user-2 用于用户帐户。 将此值替换为要向 vnet-1 分配权限的 subscription-2 中的用户的显示名称。 如果对两个订阅使用相同的帐户,则可以跳过此步骤。
$id = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @id
$obj = Get-AzADUser -DisplayName 'user-2'
$role = @{
ObjectId = $obj.id
RoleDefinitionName = 'Network Contributor'
Scope = $vnet.id
}
New-AzRoleAssignment @role
使用 az network vnet show 获取 vnet-1 的资源 ID。 请使用 az role assignment create 将 user-2 从 subscription-2 分配到 vnet-1。
使用 az ad 用户列表获取 user-2 的对象 ID。
在本示例中,user-2 用于用户帐户。 将此值替换为要向 vnet-1 分配权限的 subscription-2 中的用户的显示名称。 如果对两个订阅使用相同的帐户,则可以跳过此步骤。
az ad user list --display-name user-2
[
{
"businessPhones": [],
"displayName": "user-2",
"givenName": null,
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"jobTitle": null,
"mail": "user-2@fabrikam.com",
"mobilePhone": null,
"officeLocation": null,
"preferredLanguage": null,
"surname": null,
"userPrincipalName": "user-2_fabrikam.com#EXT#@contoso.partner.onmschina.cn"
}
]
请记录字段 id 中 user-2 的对象 ID。在此示例中,它是 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb。
vnetid=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
az role assignment create \
--assignee aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb \
--role "Network Contributor" \
--scope $vnetid
将 --assignee 中的示例 GUID 替换为 user-2 的实际对象 ID。
获取 vnet-1 的资源 ID
保持以 user-1 身份登录到门户。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-1”。
在“设置”中,选择“属性” 。
复制“资源 ID”字段中的信息,并保存以供后续步骤使用。 资源 ID 类似于以下示例:/subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1。
以 user-1 身份注销门户。
需要 vnet-1 的资源 ID 才能设置从 vnet-2 到 vnet-1 的对等连接。 使用 Get-AzVirtualNetwork 获取 vnet-1 的资源 ID。
$id = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @id
$vnetA.id
需要 vnet-1 的资源 ID 才能设置从 vnet-2 到 vnet-1 的对等连接。 使用 az network vnet show 获取 vnet-1 的资源 ID。
vnetidA=$(az network vnet show \
--name vnet-1 \
--resource-group test-rg \
--query id \
--output tsv)
echo $vnetidA
创建虚拟网络 - vnet-2
在本部分中,你将以 user-2 身份登录,并为与 vnet-1 的对等连接创建虚拟网络。
通过重复上一节中的步骤,按照以下值创建第二个虚拟网络。
| 设置 |
值 |
| 订阅 |
订阅-2 |
| 资源组 |
test-rg-2 |
| 名称 |
vnet-2 |
| 地址空间 |
10.1.0.0/16 |
| 子网名称 |
subnet-1 |
| 子网地址范围 |
10.1.0.0/24 |
登录到订阅-2
使用 Connect-AzAccount 登入 subscription-2。
Connect-AzAccount -Environment AzureChinaCloud
如果两个订阅都使用一个帐户,请登录到该帐户,并使用 Set-AzContext 将订阅上下文更改为 subscription-2。
Set-AzContext -Subscription subscription-2
创建资源组 - test-rg-2
Azure资源组是部署和管理Azure资源的逻辑容器。
使用 New-AzResourceGroup 创建资源组:
$rsg = @{
Name = 'test-rg-2'
Location = 'eastus2'
}
New-AzResourceGroup @rsg
创建虚拟网络
使用 New-AzVirtualNetwork 创建virtual network。 此示例在美国西部 3位置创建一个名为vnet-2的虚拟网络,并包含一个子网 subnet-1。
$vnet = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
Location = 'chinaeast2'
AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet
添加子网
Azure将资源部署到virtual network中的子网,因此需要创建子网。 使用 Add-AzVirtualNetworkSubnetConfig 创建名为 subnet-1 的子网配置:
$subnet = @{
Name = 'subnet-1'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
将子网关联到虚拟网络
可以使用 Set-AzVirtualNetwork 将子网配置写入virtual network。 此命令创建子网:
$virtualNetwork | Set-AzVirtualNetwork
登录到订阅-2
使用 az sign-in 登录到 subscription-1。
az login
如果您对两个订阅都使用同一帐户,请登录到该帐户,并使用 az account set 命令将订阅上下文更改为 subscription-2。
az account set --subscription "subscription-2"
创建资源组 - test-rg-2
Azure资源组是部署和管理Azure资源的逻辑容器。
使用 az group create 创建资源组:
az group create \
--name test-rg-2 \
--location chinaeast2
创建虚拟网络
使用 az network vnet create 创建virtual network和子网。 在China East 2位置,此示例创建了一个名为vnet-2的虚拟网络,其中包含“子网-1”。
az network vnet create \
--resource-group test-rg-2\
--location chinaeast2 \
--name vnet-2 \
--address-prefixes 10.1.0.0/16 \
--subnet-name subnet-1 \
--subnet-prefixes 10.1.0.0/24
为 user-1 分配权限
想要与之连接的其他订阅中的用户帐户必须添加到您之前创建的网络中。 如果两个订阅都使用单个帐户,则可以跳过此部分。
保持以 user-2 身份登录到门户。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-2”。
选择 Access control (IAM)。
选择+ 添加 ->添加角色分配。
在“角色”选项卡中的“添加角色指派”中,选择“网络贡献者”。
选择“下一步”。
在“成员”选项卡上,选择“+ 选择成员”。
在搜索框中的“选择成员”中,输入 user-1。
选择选择。
选择“查看 + 分配”。
选择“查看 + 分配”。
使用 Get-AzVirtualNetwork 获取 vnet-1 的资源 ID。 使用 New-AzRoleAssignment 将 user-1 从 subscription-1 分配到 vnet-2。
使用 Get-AzadUser 获取 user-1 的对象 ID。
在本示例中,user-1 用于用户帐户。 将此值替换为要向 vnet-2 分配权限的 subscription-1 中的用户的显示名称。 如果对两个订阅使用相同的帐户,则可以跳过此步骤。
$id = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnet = Get-AzVirtualNetwork @id
$obj = Get-AzADUser -DisplayName 'user-1'
$role = @{
ObjectId = $obj.id
RoleDefinitionName = 'Network Contributor'
Scope = $vnet.id
}
New-AzRoleAssignment @role
使用 az network vnet show 获取 vnet-2 的资源 ID。 使用 az role assignment create 将 user-1 从 subscription-1 分配到 vnet-2。
使用 az ad 用户列表获取 user-1 的对象 ID。
在本示例中,user-1 用于用户帐户。 将此值替换为要向 vnet-2 分配权限的 subscription-1 中的用户的显示名称。 如果对两个订阅使用相同的帐户,则可以跳过此步骤。
az ad user list --display-name user-1
[
{
"businessPhones": [],
"displayName": "user-1",
"givenName": null,
"id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
"jobTitle": null,
"mail": "user-1@contoso.com",
"mobilePhone": null,
"officeLocation": null,
"preferredLanguage": null,
"surname": null,
"userPrincipalName": "user-1_contoso.com#EXT#@fabrikam.partner.onmschina.cn"
}
]
请记下字段 id 中 user-1 的对象 ID。在此示例中,它是 bbbbbbbb-1111-2222-3333-cccccccccccc。
vnetid=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
az role assignment create \
--assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
--role "Network Contributor" \
--scope $vnetid
获取 vnet-2 的资源 ID
要设置从 vnet-1 到 vnet-2 的对等连接需要 vnet-2 的资源 ID。 使用以下步骤获取 vnet-2 的资源 ID。
保持以 user-2 身份登录到门户。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-2”。
在“设置”中,选择“属性” 。
复制“资源 ID”字段中的信息,并保存以供后续步骤使用。 资源 ID 类似于以下示例:/subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2。
以 user-2 身份注销门户。
要设置从 vnet-1 到 vnet-2 的对等连接需要 vnet-2 的资源 ID。 使用 Get-AzVirtualNetwork 获取 vnet-2 的资源 ID。
$id = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @id
$vnetB.id
要设置从 vnet-1 到 vnet-2 的对等连接需要 vnet-2 的资源 ID。 使用 az network vnet show 获取 vnet-2 的资源 ID。
vnetidB=$(az network vnet show \
--name vnet-2 \
--resource-group test-rg-2 \
--query id \
--output tsv)
echo $vnetidB
创建对等互连连接 - vnet-1 到 vnet-2
你需要从之前的步骤中获取 vnet-2 的 资源 ID 来设置对等互连。
以 user-1Azure portal>。 如果对两个订阅使用一个帐户,请在门户中更改为 subscription-1。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-1”。
选择“对等互连”。
选择“+ 添加”。
在“添加对等连接”中输入或选择以下信息:
| 设置 |
值 |
|
远程虚拟网络摘要 |
|
| 对等连接名称 |
vnet-2-to-vnet-1 |
| 虚拟网络 部署模型 |
Resource Manager |
| 我知道我的资源 ID |
选择相应的框 |
| 资源 ID |
输入 vnet-2 的资源 ID |
| 目录 |
选择与 vnet-2 和 user-2 对应的 Microsoft Entra ID 目录,但使用 user-1 |
|
远程虚拟网络的对等互连设置 |
|
| 允许“对等虚拟网络”访问“vnet-1” |
保留默认值“启用” |
| 允许“对等的虚拟网络”接收来自“vnet-1”的转发流量 |
选择相应的框 |
|
本地虚拟网络摘要 |
|
| 对等连接名称 |
vnet-1-to-vnet-2 |
|
本地虚拟网络对等互连设置 |
|
| 允许“vnet-1”访问“对等虚拟网络” |
保留默认值“启用” |
| 允许“vnet-1”接收来自“对等虚拟网络”的转发流量 |
选择相应的框 |
选择 添加 。
以 user-1 身份注销门户。
登录到 subscription-1
使用 Connect-AzAccount 登录到订阅服务 subscription-1。
Connect-AzAccount -Environment AzureChinaCloud
如果两个订阅都使用一个帐户,请登录到该帐户,并使用 Set-AzContext 将订阅上下文更改为 subscription-1
Set-AzContext -Subscription subscription-1
登录到订阅-2
验证 subscription-2 的身份,以便可以设置对等连接。
使用 Connect-AzAccount 登入 subscription-2。
Connect-AzAccount -Environment AzureChinaCloud
更改为订阅-1(可选)
你可能需要切换回 subscription-1 才能继续执行 subscription-1 中的操作。
将上下文更改为 subscription-1。
Set-AzContext -Subscription subscription-1
创建对等连接
使用 Add-AzVirtualNetworkPeering 在 vnet-1 和 vnet-2 之间创建对等互连连接。
$netA = @{
Name = 'vnet-1'
ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @netA
$peer = @{
Name = 'vnet-1-to-vnet-2'
VirtualNetwork = $vnetA
RemoteVirtualNetworkId = '/subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2'
}
Add-AzVirtualNetworkPeering @peer
使用 Get-AzVirtualNetworkPeering 获取从 vnet-1 到 vnet-2 的对等互连连接的状态。
$status = @{
ResourceGroupName = 'test-rg'
VirtualNetworkName = 'vnet-1'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
VirtualNetworkName PeeringState
------------------ ------------
vnet-1 Initiated
登录到 subscription-1
使用 az sign-in 登录到 subscription-1。
az login
如果您使用一个帐户进行两个订阅,请登录该帐户,并使用 az account set 将订阅上下文更改为 subscription-1。
az account set --subscription "subscription-1"
登录到订阅-2
验证 subscription-2 的身份,以便可以设置对等连接。
使用 az sign-in 登录 subscription-2。
az login
更改为订阅-1(可选)
你可能需要切换回 subscription-1 才能继续执行 subscription-1 中的操作。
将上下文更改为 subscription-1。
az account set --subscription "subscription-1"
创建对等连接
使用 az network vnet peering create 在 vnet-1 和 vnet-2 之间创建对等互连连接。
az network vnet peering create \
--name vnet-1-to-vnet-2 \
--resource-group test-rg \
--vnet-name vnet-1 \
--remote-vnet /subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/VirtualNetworks/vnet-2 \
--allow-vnet-access
使用 az network vnet peering list 从 vnet-1 到 vnet-2 获取对等连接的状态。
az network vnet peering list \
--resource-group test-rg \
--vnet-name vnet-1 \
--output table
对等互连连接显示在“对等互连”中,状态为“已启动”。 若要完成对等互连,必须在 vnet-2 中设置相应的连接。
创建对等连接 - vnet-2 到 vnet-1
你需要前面步骤中 vnet-1 的资源 ID 来设置对等互连连接。
以 user-2 身份登录到 Azure portal。 如果对两个订阅使用一个帐户,请在门户中更改为 subscription-2。
在门户顶部的搜索框中,输入 Virtual network。 在搜索结果中,选择“虚拟网络”。
选择“vnet-2”。
选择“对等互连”。
选择“+ 添加”。
在“添加对等连接”中输入或选择以下信息:
| 设置 |
值 |
|
远程虚拟网络摘要 |
|
| 对等连接名称 |
vnet-1-to-vnet-2 |
| 虚拟网络部署模型 |
Resource Manager |
| 我知道我的资源 ID |
选择相应的框 |
| 资源 ID |
输入 vnet-1 的资源 ID |
| 目录 |
选择与 vnet-1 和 user-1 对应的Microsoft Entra ID目录,但使用 user-2 |
|
远程虚拟网络对等设置 |
|
| 允许“对等虚拟网络”访问“vnet-1” |
保留默认值“启用” |
| 允许“对等的虚拟网络”接收来自“vnet-1”的转发流量 |
选择相应的框 |
|
本地虚拟网络摘要 |
|
| 对等连接名称 |
vnet-1-to-vnet-2 |
|
本地虚拟网络对等互连设置 |
|
| 允许“vnet-1”访问“对等虚拟网络” |
保留默认值“启用” |
| 允许“vnet-1”接收来自“对等互连的虚拟网络”的转发流量 |
选择相应的框 |
选择 添加 。
在下拉框中,选择与 vnet-1 和 user-1 对应的目录。
选择“身份验证”。
选择 添加 。
登录到订阅-2
使用 Connect-AzAccount 登入 subscription-2。
Connect-AzAccount -Environment AzureChinaCloud
如果两个订阅都使用一个帐户,请登录到该帐户,并使用 Set-AzContext 将订阅上下文更改为 subscription-2。
Set-AzContext -Subscription subscription-2
登录到 subscription-1
向 subscription-1 进行身份验证,以便可以设置对等互连。
使用 Connect-AzAccount 登录到订阅服务 subscription-1。
Connect-AzAccount -Environment AzureChinaCloud
更改为订阅-2(可选)
你可能需要切换回 subscription-2 才能继续执行在 subscription-2 中的操作。
将上下文更改为 subscription-2。
Set-AzContext -Subscription subscription-2
创建对等连接
使用 Add-AzVirtualNetworkPeering 在 vnet-2 和 vnet-1 之间创建对等互连连接。
$netB = @{
Name = 'vnet-2'
ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @netB
$peer = @{
Name = 'vnet-2-to-vnet-1'
VirtualNetwork = $vnetB
RemoteVirtualNetworkId = '/subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1'
}
Add-AzVirtualNetworkPeering @peer
使用 Get-AzVirtualNetworkPeering 获取从 vnet-2 到 vnet-1 的对等互连连接的状态。
$status = @{
ResourceGroupName = 'test-rg-2'
VirtualNetworkName = 'vnet-2'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState
VirtualNetworkName PeeringState
------------------ ------------
vnet-2 Connected
登录到订阅-2
使用 az sign-in 登录 subscription-2。
az login
如果您对两个订阅都使用同一帐户,请登录到该帐户,并使用 az account set 命令将订阅上下文更改为 subscription-2。
az account set --subscription "subscription-2"
登录到 subscription-1
向 subscription-1 进行身份验证,以便可以设置对等互连。
使用 az sign-in 登录到 subscription-1。
az login
更改为订阅-2(可选)
你可能需要切换回 subscription-2 才能继续执行在 subscription-2 中的操作。
将上下文更改为 subscription-2。
az account set --subscription "subscription-2"
创建对等连接
使用 az network vnet peering create 在 vnet-2 和 vnet-1 之间创建对等互连连接。
az network vnet peering create \
--name vnet-2-to-vnet-1 \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--remote-vnet /subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/VirtualNetworks/vnet-1 \
--allow-vnet-access
使用 az network vnet peering list 从 vnet-2 列出到 vnet-1 的对等互连连接状态。
az network vnet peering list \
--resource-group test-rg-2 \
--vnet-name vnet-2 \
--output table
当对等互连中两个虚拟网络的“对等互连状态”列显示为“已连接”时,即表示对等互连已成功建立。 在任一virtual network中创建的任何Azure资源现在都可以通过其 IP 地址相互通信。 如果使用 Azure 名称解析,虚拟网络中的资源将无法在跨虚拟网络之间解析名称。 如果要在对等互连中跨虚拟网络解析名称,则必须创建自己的 DNS(域名系统)服务器或使用Azure DNS。
有关使用自己的 DNS 进行名称解析的详细信息,请参阅使用自己的 DNS 服务器进行名称解析。
有关Azure DNS的详细信息,请参阅 什么是 Azure DNS?
后续步骤
