创建、更改或删除虚拟网络对等互连

  • 项目

了解如何创建、更改或删除虚拟网络对等互连。 借助虚拟网络对等互连,可以通过 Azure 主干网络连接同一区域或不同区域的虚拟网络(也称为全局虚拟网络对等互连)。 对等互连后,这些虚拟网络仍将作为单独的资源进行管理。 如果不熟悉虚拟网络对等互连,可以通过阅读虚拟网络对等互连概述或完成虚拟网络对等互连教程来了解其详细信息。

先决条件

如果没有具备有效订阅的 Azure 帐户,请创建一个试用帐户。 在开始学习本文的余下内容之前,请完成以下任务之一:

使用具有所需权限的 Azure 帐户登录 Azure 门户,以使用对等互连。

创建对等互连

创建对等互连之前,请熟悉要求和约束以及所需权限

  1. 在 Azure 门户顶部的搜索框中,输入“虚拟网络”。 在搜索结果中,选择“虚拟网络”。

  2. 在“虚拟网络”中,选择要为其创建对等互连的网络。

  3. 在“设置”中选择“对等互连”。

  4. 选择“+ 添加”。

  5. 为以下设置输入或选择值,然后选择“添加”。

    设置 说明
    此虚拟网络
    对等互连链接名称 来自本地虚拟网络的对等互连的名称。 名称在虚拟网络中必须唯一。
    允许“vnet-1”访问“vnet-2” 默认情况下,将选中此选项。

    - 若要通过默认的 VirtualNetwork 流在两个虚拟网络之间启用通信,请选择“允许‘vnet-1’访问‘vnet-2’(默认设置)”。 这样,连接到任一虚拟网络的资源就可以通过 Azure 专用网络相互通信。 选择此设置时,网络安全组的 VirtualNetwork 服务标记包含虚拟网络和对等互连的虚拟网络。 若要详细了解服务标记,请参阅 Azure 服务标记
    允许“vnet-1”接收来自“vnet-2”的转发流量 默认未选择此选项。

    - 若要允许来自对等互连虚拟网络的转发流量,请选择“允许‘vnet-1’接收来自‘vnet-2’的转发流量”。 如果你希望允许非源自 vnet-2 的流量进入 vnet-1,可以选择此设置。 例如,如果 vnet-2 的 NVA 接收来自 vnet-2 外部的流量,而这些流量将转发到 vnet-1,则你可以选择此设置,以允许该流量从 vnet-2 进入 vnet-1。 虽然启用此功能可允许通过对等互连转发流量,但它并不会创建任何用户定义的路由或网络虚拟设备。 用户定义的路由和网络虚拟设备是单独创建的。 了解用户定义的路由

    注意:如果不选择“允许‘vnet-1’接收来自‘vnet-2’的转发流量”设置,则只会更改 VirtualNetwork 服务标记的定义。这样不会完全阻止流量在对等连接上流动,如此设置说明中所述。
    允许“vnet-1”中的网关将流量转发到“vnet-2” 默认未选择此选项。

    -如果你希望 vnet-2 接收来自 vnet-1 网关/路由服务器的流量,请选择“允许‘vnet-1’中的网关将流量转发到‘vnet-2’”。 vnet-1 必须包含网关才能启用此选项。
    允许“vnet-1”使用“vnet-2”远程网关 默认未选择此选项。

    - 如果你希望 vnet-1 使用 vnet-2 的网关或路由服务器,请选择“允许‘vnet-1’使用‘vnet-2’远程网关”。 vnet-1 只能从一个对等连接使用远程网关或路由服务器。 vnet-2 必须具有网关或路由服务器才能选择此选项。 例如,要与之对等互连的虚拟网络有一个 VPN 网关,可实现与本地网络的通信。 选中此设置可允许来自此虚拟网络的流量流经对等互连虚拟网络中的 VPN 网关。

    如果你希望此虚拟网络使用远程路由服务器来交换路由,请参阅 Azure 路由服务器

    注意:如果已经在虚拟网络中配置了网关,则不能使用远程网关。要了解有关使用网关进行传输的详细信息,请参阅在虚拟网络对等互连中配置 VPN 网关以进行传输
    远程虚拟网络
    对等互连链接名称 来自远程虚拟网络的对等互连的名称。 名称在虚拟网络中必须唯一。
    虚拟网络部署模型 选择要对等互连的虚拟网络是通过哪种部署模型来进行部署的。
    我知道我的资源 ID 如果对要进行对等互连的虚拟网络拥有读取访问权限,请保留取消选中此复选框。 如果对要与之对等互连的虚拟网络或订阅没有读取访问权限,请选中此复选框。
    资源 ID 选中“我知道我的资源 ID”复选框时,将显示此字段。 输入的虚拟网络资源 ID 必须与此虚拟网络位于同一 Azure 区域,或受支持的不同 Azure 区域。
    完整资源 ID 类似于 /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>

    可以通过查看虚拟网络的属性,获取虚拟网络的资源 ID。 若要了解如何查看虚拟网络的属性,请参阅管理虚拟网络。 如果订阅与不同的 Microsoft Entra 租户(而不是要对等互连的虚拟网络的订阅)相关联,则必须分配用户权限。 将每个租户中的用户添加为相反租户中的来宾用户
    订阅 选择要进行对等互连的虚拟网络的订阅。 将列出一个或多个订阅,具体取决于帐户可以通过读取方式访问多少个订阅。 如果选中“我知道我的资源 ID”复选框,则此设置不可用。
    虚拟网络 选择要进行对等互连的虚拟网络。 可以选择通过任一 Azure 部署模型创建的虚拟网络。 如果要选择不同区域中的虚拟网络,必须选择受支持区域中的虚拟网络。 必须能够通过读取方式访问虚拟网络,该虚拟网络才会显示在列表中。 如果列出了某个虚拟网络,但显示为灰色,则可能是因为该虚拟网络的地址空间与此虚拟网络的地址空间重叠。 如果虚拟网络地址空间重叠,则它们无法进行对等互连。 如果选中“我知道我的资源 ID”复选框,则此设置不可用。
    允许“vnet-2”访问“vnet-1” 默认情况下,将选中此选项。

    - 如果你希望通过默认的 VirtualNetwork 流在两个虚拟网络之间启用通信,请选择“允许‘vnet-2’访问‘vnet-1’”。 启用虚拟网络之间的通信允许连接到任一虚拟网络的资源通过 Azure 专用网络相互通信。 在此设置设置为选中时,网络安全组的VirtualNetwork服务标记会包含该虚拟网络和已对等互连的虚拟网络。 若要详细了解服务标记,请参阅 Azure 服务标记
    允许“vnet-2”接收来自“vnet-1”的转发流量 默认未选择此选项。

    -若要允许来自对等互连虚拟网络的转发流量,请选择“允许‘vnet-2’接收来自‘vnet-1’的转发流量”。 如果你希望允许非源自 vnet-1 的流量进入 vnet-2,可以选择此设置。 例如,如果 vnet-1 的 NVA 接收来自 vnet-1 外部的流量,而这些流量将转发到 vnet-2,则你可以选择此设置,以允许该流量从 vnet-1 进入 vnet-2。 虽然启用此功能可允许通过对等互连转发流量,但它并不会创建任何用户定义的路由或网络虚拟设备。 用户定义的路由和网络虚拟设备是单独创建的。 了解用户定义的路由

    注意:如果不选择“允许‘vnet-1’接收来自‘vnet-2’的转发流量”设置,则只会更改 VirtualNetwork 服务标记的定义。这样不会完全阻止流量在对等连接上流动,如此设置说明中所述。
    允许“vnet-2”中的网关将流量转发到“vnet-1” 默认未选择此选项。

    -如果你希望 vnet-1 接收来自 vnet-2 网关/路由服务器的流量,请选择“允许‘vnet-2’中的网关将流量转发到‘vnet-1’”。 vnet-2 必须包含网关才能启用此选项。
    允许“vnet-2”使用“vnet-1”远程网关 默认未选择此选项。

    - 如果你希望 vnet-2 使用 vnet-1 的网关或路由服务器,请选择“允许‘vnet-2’使用‘vnet-1’远程网关”。 vnet-2 只能从一个对等连接使用远程网关或路由服务器。 vnet-1 必须具有网关或路由服务器才能选择此选项。 例如,要与之对等互连的虚拟网络有一个 VPN 网关,可实现与本地网络的通信。 选中此设置可允许来自此虚拟网络的流量流经对等互连虚拟网络中的 VPN 网关。

    如果你希望此虚拟网络使用远程路由服务器来交换路由,请参阅 Azure 路由服务器

    此方案要求实现用户定义的路由来将虚拟网络网关指定为下一个跃点类型。 了解用户定义的路由。 只能将 VPN 网关指定为用户定义的路由中的下一跃点类型,不能将 ExpressRoute 网关指定为用户定义的路由中的下一跃点类型。

    注意:如果已经在虚拟网络中配置了网关,则不能使用远程网关。要了解有关使用网关进行传输的详细信息,请参阅在虚拟网络对等互连中配置 VPN 网关以进行传输

    “对等互连配置”页的屏幕截图。

    注意

    如果使用虚拟网络网关将本地流量通过可传递的方式发送到对等互连虚拟网络,则必须将本地 VPN 设备的对等互连虚拟网络 IP 范围设置为“关注”流量。 你可能需要将所有 Azure 虚拟网络的 CIDR 地址添加到本地 VPN 设备上的站点到站点 IPSec VPN 隧道配置。 CIDR 地址包括“中心”、分支和点到站点 IP 地址池等资源。 否则,本地资源将无法与对等互连 VNet 中的资源进行通信。 关注流量将通过阶段 2 安全关联进行通信。 安全关联为每个指定的子网创建专用 VPN 隧道。 本地和 Azure VPN 网关层必须支持相同数量的站点到站点 VPN 隧道和 Azure VNet 子网。 否则,本地资源将无法与对等互连 VNet 中的资源进行通信。 有关为每个指定 Azure VNet 子网创建阶段 2 安全关联的说明,请参阅本地 VPN 文档。

  6. 几秒钟后,选择“刷新”按钮,对等连接状态将从“正在更新”更改为“已连接”。

    对等互连页上的虚拟网络对等互连状态的屏幕截图。

有关在不同订阅和部署模型中的虚拟网络之间实现对等互连的分步说明,请参阅后续步骤

查看或更改对等互连设置

更改对等互连之前,请熟悉要求和约束以及所需权限

  1. 在 Azure 门户顶部的搜索框中,输入“虚拟网络”。 在搜索结果中,选择“虚拟网络”。

  2. 选择要在虚拟网络中查看或更改其对等互连设置的虚拟网络。

  3. 在“设置”下选择“对等互连”,然后选择要查看或更改设置的对等互连。

    选择要从虚拟网络中更改设置的对等互连的屏幕截图。

  4. 更改相应的设置。 针对每个设置的相关选项,请参阅“创建对等互连”部分的第 4 步。 然后选择“保存”,以完成配置更改。

    更改虚拟网络对等互连设置的屏幕截图。

删除对等互连

删除对等互连之前,请熟悉要求和约束以及所需权限

删除两个虚拟网络之间的对等互连后,流量便不能再在这两个虚拟网络之间流动。 如果希望虚拟网络偶尔进行通信,而非始终通信,与其删除对等互连,不如取消选中“允许流向远程虚拟网络的流量”设置,以禁止流动到远程虚拟网络的流量”。 你会发现,禁用和启用网络访问比删除并重新创建对等互连更加容易。

  1. 在 Azure 门户顶部的搜索框中,输入“虚拟网络”。 在搜索结果中,选择“虚拟网络”。

  2. 选择要在虚拟网络中查看或更改其对等互连设置的虚拟网络。

  3. 在“设置”中选择“对等互连”。

    选择要从虚拟网络中删除的对等互连的屏幕截图。

  4. 在要删除的对等互连的右侧,选择“...”,然后选择“删除”。

    从虚拟网络中删除对等互连的屏幕截图。

  5. 选择“是”以确认要删除对等互连和对应的对等机。

    确认删除对等互连的屏幕截图。

    注意

    从虚拟网络中删除虚拟网络对等互连时,也会删除远程虚拟网络中的对等互连。

要求和约束

  • 可在相同区域或不同区域中的虚拟网络之间建立对等互连。 不同区域中的对等互连虚拟网络也称为“全球虚拟网络对等互连”。

  • 创建全球对等互连时,对等互连的虚拟网络可以存在于任何由世纪互联运营的 Azure 区域中。 不能跨云进行对等互连。 例如,Azure 公有云中的虚拟网络不能与由世纪互联云运营的 Azure 云中的虚拟网络对等互连。

  • 一个虚拟网络中的资源无法与全球对等互连虚拟网络中基本负载均衡器(内部或公共)的前端 IP 地址通信。 对基本负载均衡器的支持仅存在于同一区域内。 虚拟网络对等互连和全球虚拟网络对等互连都支持标准负载均衡器。 使用基本负载均衡器的某些服务无法通过全局虚拟网络对等互连正常工作。 有关详细信息,请参阅与全球虚拟网络对等互连和负载均衡器相关的约束

  • 可以使用远程网关或允许全局对等虚拟网络和本地对等虚拟网络中的网关传输。

  • 虚拟网络可以位于相同或不同的订阅中。 如果对等虚拟网络位于不同的订阅中,两个订阅可关联到同一个或不同的 Microsoft Entra 租户。 如果还没有 AD 租户,可以创建一个

  • 进行对等互连的虚拟网络的 IP 地址空间不得重叠。

  • 可以对等互连两个通过 Resource Manager 部署的虚拟网络,或对等互连一个通过 Resource Manager 部署的虚拟网络与一个通过经典部署模型部署的虚拟网络。 不能对等互连两个通过经典部署模型创建的虚拟网络。 如果不熟悉 Azure 部署模型,请阅读了解 Azure 部署模型一文。 可以使用 VPN 网关来连接两个通过经典部署模型创建的虚拟网络。

  • 对等互连两个通过资源管理器创建的虚拟网络时,必须为对等互连中的每个虚拟网络都配置对等互连。 将看到以下类型的对等互连状态之一:

    • 已启动:创建第一个对等互连时,状态为“已启动”。

    • 已连接:创建第二个对等互连时,两个对等互连的对等互连状态变为“已连接”。 直到两个虚拟网络对等互连的对等互连状态均为“已连接”时,对等互连才成功建立。

  • 将一个通过 Resource Manager 创建的虚拟网络与一个通过经典部署模型创建的虚拟网络对等互连时,只需为通过 Resource Manager 部署的虚拟网络配置对等互连。 无法为虚拟网络(经典)配置对等互连,或在两个通过经典部署模型部署的虚拟网络之间配置对等互连。 创建从 Resource Manager 虚拟网络到经典虚拟网络的对等互连时,对等互连状态先为“正在更新”,随后很快更改为“已连接”。

  • 对等互连是在两个虚拟网络之间建立的。 对等互连本身不是可传递的。 如果在以下虚拟网络之间创建对等互连:

    • VirtualNetwork1 和 VirtualNetwork2

    • VirtualNetwork2 和 VirtualNetwork3

      不会通过 VirtualNetwork2 在 VirtualNetwork1 和 VirtualNetwork3 之间形成连接。 如果希望 VirtualNetwork1 和 VirtualNetwork3 直接通信,则必须在 VirtualNetwork1 和 VirtualNetwork3 之间创建显式对等互连,或者通过中心网络中的 NVA 来通信。 要了解详细信息,请参阅 Azure 中的中心辐射型网络拓扑

  • 无法使用默认 Azure 名称解析来解析已对等互连的虚拟网络中的名称。 若要解析其他虚拟网络中的名称,必须使用 Azure 专用 DNS,或使用自定义 DNS 服务器。 若要了解如何设置自己的 DNS 服务器,请参阅使用自己的 DNS 服务器进行名称解析

  • 同一区域中对等互连虚拟网络中的资源可以互相之间以相同的延迟进行通信,就如同资源是位于同一个虚拟网络中一样。 网络吞吐量取决于可供虚拟机使用的与其大小成比例的带宽。 对等互连的带宽没有任何其他限制。 每种虚拟机大小都有其自己的最大网络带宽。 若要深入了解不同虚拟机大小的最大网络带宽,请参阅 Azure 中虚拟机的大小

  • 一个虚拟网络可以对等互连到另一个虚拟网络,也可以通过 Azure 虚拟网关连接到另一个虚拟网络。 当虚拟网络同时通过对等互连和网关连接时,虚拟网络的流量会根据对等互连配置流动,而不是通过网关流动。

  • 在成功配置虚拟网络对等互连之后,必须重新下载点到站点 VPN 客户端,以确保将新路由下载到客户端。

  • 对于利用虚拟网络对等互连的入口和出口流量,有少许收费。 有关详细信息,请参阅定价页

权限

必须向以下角色分配用于进行虚拟网络对等互连的帐户:

如果未将帐户分配给上述角色之一,则必须将其分配给分配有下表中的必要操作的自定义角色

操作 名称
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write 创建从虚拟网络 A 到虚拟网络 B 的对等互连时必需。虚拟网络 A 必须是虚拟网络(资源管理器)
Microsoft.Network/virtualNetworks/peer/action 创建从虚拟网络 B(资源管理器)到虚拟网络 A 的对等互连时必需
Microsoft.ClassicNetwork/virtualNetworks/peer/action 创建从虚拟网络 B(经典)到虚拟网络 A 的对等互连时必需
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read 读取虚拟网络对等互连
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete 删除虚拟网络对等互连

后续步骤

  • 可在通过相同或不同订阅中的相同或不同部署模型创建的虚拟网络之间创建虚拟网络对等互连。 完成适用于以下方案之一的教程:

    Azure 部署模型 订阅
    都是资源管理器模型 相同
    不同
    一个是资源管理器模型,一个是经典模型 相同
    不同

  • 使用 PowerShellAzure CLI 示例脚本或使用 Azure 资源管理器模板创建虚拟网络对等互连

  • 为虚拟网络创建和分配 Azure Policy 定义