Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure 虚拟网络对等互连允许您在 Azure 中无缝连接两个或多个虚拟网络,使它们在连接时看起来像一个网络。 借助此功能,可以在虚拟网络之间创建安全高性能连接,同时将所有流量保留在Microsoft的专用主干基础结构上,而无需公共 Internet 路由。
本文将介绍的内容:
虚拟网络对等连接的工作原理及其关键优势
不同类型的对等互连(本地和全局)
如何实现连接和服务链
排查常见的对等互连问题
无论是设计中心辐射型拓扑还是跨区域连接网络,本指南都有助于您了解虚拟网络对等互联的功能和限制。
默认情况下,一个虚拟网络可以与多达 500 个其他虚拟网络进行对等互连。 通过使用 Azure 虚拟网络管理器的连接配置,可以将此限制增加到单个虚拟网络与最多 1,000 个虚拟网络进行对等连接。 例如,借助这种更大的规模,可以创建一个具有 1,000 个分支虚拟网络的中心辐射型拓扑。 还可以创建一个包含 1,000 个分支虚拟网络的网格,其中所有分支虚拟网络直接互连。
Azure支持以下类型的对等互连:
虚拟网络对等互连:连接同一 Azure 区域内的虚拟网络。
全球虚拟网络对等互连:连接跨Azure区域的虚拟网络。
使用虚拟网络对等互连(本地或全局)的好处包括:
不同虚拟网络中资源之间的连接延迟低且带宽高。
一个虚拟网络中的资源可以与其他虚拟网络中的资源进行通信。
能够跨Azure订阅、Microsoft Entra 租户、部署模型和Azure区域在虚拟网络之间传输数据。
能够将通过Azure Resource Manager创建的虚拟网络对等互连。
能够将通过资源管理器创建的虚拟网络对等互连到通过经典部署模型创建的虚拟网络。 若要详细了解Azure部署模型,请参阅 Understand Azure 部署模型。
创建对等互连时或创建对等互连后,任一虚拟网络中的资源不会停机。
对等虚拟网络之间的网络流量是专用的。 虚拟网络之间的流量仅限于 Microsoft 主干网络。 在虚拟网络之间通信不需公共 Internet、网关或加密。
我们最近在虚拟网络对等互连的基础上引入了额外的灵活性 - “子网对等互连”。
这是在virtual network对等互连的基础上构建的附加灵活性,用户可以选择需要跨虚拟网络对等互连的特定子网。 用户可以指定/输入他们希望进行对等互连的虚拟网络中的子网列表。 相比之下,在常规虚拟网络对等互连中,虚拟网络中的整个地址空间/子网都会对等连接。 有关详细信息,请参阅如何配置子网对等互连。
连接性
对于互联的虚拟网络,任一虚拟网络中的资源都可以直接连接到互联虚拟网络中的资源。
在同一区域中,对等互连虚拟网络中的虚拟机之间的网络延迟与单个虚拟网络中的延迟相同。 网络吞吐量取决于可供虚拟机使用的与其大小成比例的带宽。 在对等互连的带宽上没有任何额外的限制。
在对等虚拟网络中,虚拟机之间的流量通过 Azure 主干基础结构直接路由,而不是通过网关或公共 Internet。
可以在任一虚拟网络中应用网络安全组,以阻止对其他虚拟网络或子网的访问。 在配置虚拟网络对等互连(Peering)时,请启用或禁用虚拟网络之间的网络安全组规则。 如果启用对等互连的虚拟网络之间的完整连接,则可以应用网络安全组来阻止或拒绝特定访问。 完全连接是默认选项。 若要详细了解网络安全组,请参阅安全组。
服务链
通过服务链,您可以通过用户定义的路由(UDR)将流量从一个虚拟网络定向到对等网络中的虚拟设备或网关。
若要启用服务链,请将指向对等虚拟网络中虚拟机的 UDR 配置为 next hop IP 地址。 UDR 还可以指向虚拟网络网关以启用服务链。
可以部署中心辐射型网络,其中中心虚拟网络托管基础设施组件,例如网络虚拟设备或 VPN 网关。 然后,所有辐射虚拟网络都可以与中心虚拟网络对等互连。 流量通过集线器虚拟网络的网络虚拟设备或 VPN 网关流动。
虚拟网络对等互连使得在UDR中的下一跃点可以是对等虚拟网络中的虚拟机的IP地址,或是VPN网关。 不能在虚拟网络之间使用指定 Azure ExpressRoute 网关作为下一跃点类型的 UDR 进行路由。 若要深入了解用户定义的路由,请参阅用户定义的路由概述。
网关和本地连接
每个虚拟网络(包括对等互连的虚拟网络)都可以有自己的网关。 虚拟网络可以使用其网关连接到本地网络。 还可以使用网关来配置虚拟网络到虚拟网络的连接,甚至对于对等连接的虚拟网络也是如此。
当您为虚拟网络互联配置这两个选项时,虚拟网络之间的流量会通过对等配置流动。 流量使用Azure主干。
还可以将对等虚拟网络中的网关配置为通往本地网络的中继点。 在这种情况下,使用远程网关的virtual network不能有自己的网关。 虚拟网络只能有一个网关。 网关应该是对等互连的虚拟网络中的本地网关或远程网关,如下图所示。
虚拟网络对等互连和全球虚拟网络对等互连都支持网关传输。
支持在通过不同部署模型创建的虚拟网络之间进行网关传输。 网关必须位于Azure Resource Manager模型中的virtual network中。 若要详细了解如何使用网关进行过境传输,请参阅在虚拟网络对等互连中配置用于过境传输的VPN网关。
对等互连共享单个 ExpressRoute 连接的虚拟网络时,这些虚拟网络之间的流量将通过对等互连关系流动。 该流量使用Azure主干网络。 仍可以使用每个virtual network中的本地网关连接到本地线路。 否则,可以使用共享网关,并为本地连接配置传输。
故障排除
要确认虚拟网络是否已对等互连,可以检查有效路由。 检查虚拟网络中任何子网内的网络接口的路由。 如果存在虚拟网络对等互连,每个对等虚拟网络的地址空间中的所有子网都有一种跃点类型为虚拟网络对等互连的路由。 有关详细信息,请参阅诊断虚拟机路由问题。
还可以使用 Azure Network Watcher 排查在对等互连的虚拟网络中虚拟机的连接性问题。 可以通过连接性检查来确定流量如何从源虚拟机的网络接口路由到目标虚拟机的网络接口。 有关详细信息,请参阅 使用 Azure portal 和 Azure Network Watcher 排查连接问题。
还可以查看 排查虚拟网络对等互连问题。
对等互连虚拟网络的约束
仅当虚拟网络全局对等互连时,以下约束适用:
在一个虚拟网络中的资源无法与全局对等连接的虚拟网络中基本(内部或公共)负载均衡器的前端IP地址进行通信。
使用基本负载均衡器的某些服务无法在全局虚拟网络对等互连中工作。 有关详细信息,请参阅 与全局虚拟网络对等互连和负载均衡器相关的限制有哪些?
不能在 PUT 虚拟网络操作中执行虚拟网络对等互连。
有关详细信息,请参阅要求和约束。 如需进一步了解支持的对等连接数,请参阅 网络限制。
权限
若要了解创建虚拟网络对等互连所需的权限,请参阅 权限。
定价
使用虚拟网络对等互连连接的入口和出口流量会收取一定的名义费用。 有关详细信息,请参阅 虚拟网络定价。
网关传输是一个对等互连属性,使虚拟网络能够在对等互连的虚拟网络中使用虚拟专用网络或 ExpressRoute 网关。 网关传输适用于跨界连接和网络间的连接。 对等虚拟网络中的网关(入口或出口)的流量会对从属虚拟网络(或没有VPN网关的虚拟网络)产生虚拟网络对等互连费用。 有关详细信息,请参阅 Azure VPN Gateway 定价,了解 VPN 网关费用和 ExpressRoute 网关费用。
注释
本文档的早期版本指出,虚拟网络对等互连费用不适用于具有网关传输的辐射虚拟网络(或非网关虚拟网络)。 本文档现在根据定价页反映准确的定价。
后续步骤
准备好实现虚拟网络对等连接? 选择场景:
开始使用教程
- 在同一订阅中创建对等连接 - 非常适合测试与开发环境
- 跨订阅创建对等互连 - 非常适合具有多个订阅的企业场景
高级配置
- 管理对等连接设置 – 各种对等连接选项的全面指南
需要帮助?
- 虚拟网络对等连接常见问题与解答 - 常见问题与解答