虚拟网络对等互连

虚拟网络对等互联使您能够在 Azure Stack Hub 环境中无缝连接虚拟网络。 出于连接目的，两个虚拟网络会显示为一个。 虚拟机之间的流量使用基础 SDN 基础结构。 与同一网络中虚拟机之间的流量一样，流量仅通过 Azure Stack Hub 专用网络进行路由。

Azure Stack Hub 不支持全局对等互连，因为“区域”的概念不适用。

使用虚拟网络对等互连的优点如下：

• 同一 Azure Stack Hub 标记中不同虚拟网络中的资源之间的低延迟、高带宽连接。
• 一个虚拟网络中的资源能够与同一 Azure Stack Hub 标记中不同虚拟网络中的资源通信。
• 能够在同一个Microsoft Entra 租户中跨不同订阅的虚拟网络之间传输数据。
• 在创建对等互连之时或之后，虚拟网络中的资源不会出现停机的现象。

对等虚拟网络之间的网络流量是专用的。 虚拟网络之间的流量保留在基础结构层中。 虚拟网络之间的通信不需要公共 Internet、网关或加密。

连接性

对于对等互连的虚拟网络，任一虚拟网络中的虚拟机资源可直接连接到对等互连虚拟网络中的资源。

同一区域中对等互连虚拟网络上的虚拟机之间的网络延迟与单个虚拟网络中的延迟相同。 网络吞吐量取决于可供虚拟机使用的与其大小成比例的带宽。 对等互连的带宽没有任何其他限制。

对等互连虚拟网络中的虚拟机之间的流量通过 SDN 层直接路由，而不是通过网关或公共 Internet 进行路由。

可以在虚拟网络中应用网络安全组，以阻止访问其他虚拟网络或子网。 配置虚拟网络对等互连时，可以打开或关闭虚拟网络之间的网络安全组规则。 如果在对等互连的虚拟网络之间建立了完全连接，则可以应用网络安全组来阻止或拒绝特定的访问。 完全连接是默认选项。 若要详细了解网络安全组，请参阅安全组。

服务链

使用服务链，可以通过用户定义的路由将流量从一个虚拟网络定向到对等互连网络中的虚拟设备或网关。

若要启用服务链，请将指向对等互连虚拟网络中虚拟机的用户定义的路由配置为下一跃点 IP 地址。

可以部署中心 辐射 型网络，其中中心虚拟网络托管基础结构组件，例如网络虚拟设备或 VPN 网关。 然后，可将所有分支虚拟网络对等互连到中心虚拟网络。 流量流经中心虚拟网络中的网络虚拟设备或 VPN 网关。

通过虚拟网络对等互连，用户定义的路由中的下一个跃点可以成为对等虚拟网络中虚拟机的 IP 地址。 若要深入了解用户定义的路由，请参阅用户定义的路由概述。 若要了解如何创建中心辐射型网络拓扑，请参阅 Azure 中的中心辐射型网络拓扑。

网关和本地连接

每个虚拟网络（包括对等互连的虚拟网络）都可以有自身的网关。 虚拟网络可以使用其网关连接到本地网络。 请查看 Azure Stack Hub 虚拟网络网关文档。

您还可以将对等虚拟网络中的网关配置为连接到本地网络的中转点。 在这种情况下，使用远程网关的虚拟网络不能有自身的网关。 虚拟网络只有一个网关。 网关是对等连接的虚拟网络中的本地网关或远程网关，如下图所示：

请注意，在对等互连中启用“UseRemoteGateways”选项之前，必须在 VPN 网关中创建“连接”对象。

虚拟网络对等互连配置

允许虚拟网络访问： 通过启用虚拟网络之间的通信，连接到任一虚拟网络的资源可以相互通信，其带宽和延迟与连接到同一虚拟网络时一样。 两个虚拟网络中资源之间的所有通信都通过内部 SDN 层进行路由。

不启用网络访问的一个原因可能是你已将一个虚拟网络与另一个虚拟网络对等互连，但有时想要禁用这两个虚拟网络之间的流量流动。 你会发现，启用/禁用比删除并重新创建对等互连更加方便。 禁用此设置后，流量不会在对等互连的虚拟网络之间流动。

允许转发流量：选中此框将允许某个虚拟网络中通过网络虚拟设备转发的（不是从该虚拟网络发起的）流量通过对等互连流动到此虚拟网络。 例如，假设有三个名为 Spoke1、Spoke2 和 Hub 的虚拟网络。 每个分支虚拟网络与中心虚拟网络之间存在一个对等互连，但各个分支虚拟网络之间不存在对等互连。 一个网络虚拟设备部署在中心虚拟网络中，用户定义的路由应用于通过该网络虚拟设备在各个子网之间路由流量的每个分支虚拟网络。 如果未选中此复选框以实现每个分支虚拟网络与中心虚拟网络之间的对等互连，则流量不会在分支虚拟网络之间流动，因为中心未转发虚拟网络之间的流量。 虽然启用此功能即可通过对等互连转发流量，但不会创建任何用户定义的路由或网络虚拟设备。 用户定义的路由和网络虚拟设备是单独创建的。 了解 用户定义的路由。 如果通过 VPN 网关在虚拟网络之间转发流量，则无需检查此设置。

允许网关传输： 如果已将虚拟网络网关附加到此虚拟网络，并且希望允许来自对等虚拟网络的流量流经网关，请选中此框。 例如，此虚拟网络可能通过虚拟网络网关附加到本地网络。 选中此框可允许来自对等互连虚拟网络的流量流经附加到此虚拟网络的网关流向本地网络。 如果选中此框，则已对等互连的虚拟网络不能有已配置的网关。 设置从另一虚拟网络到此虚拟网络的对等互连时，必须选中对等互连的虚拟网络的“使用远程网关”框。 如果将此框保留为未选中状态（默认值），来自对等互连虚拟网络的流量仍会流向此虚拟网络，但无法通过附加到此虚拟网络的虚拟网络网关流动。

使用远程网关：选中此框可允许来自此虚拟网络的流量流经附加到正与之对等互连的虚拟网络的虚拟网络网关。 例如，正与之对等互连的虚拟网络附加了一个 VPN 网关，可实现与本地网络的通信。 选中此框可允许来自此虚拟网络的流量流经附加到对等虚拟网络的 VPN 网关。 如果选中此框，已对等互连的虚拟网络必须附加有虚拟网关，并且必须已选中“允许网关传输”框。 如果将此框保留为未选中状态（默认值），来自对等虚拟网络的流量仍可流向此虚拟网络，但无法流经连接到该虚拟网络的虚拟网络网关。

如果已在虚拟网络中配置了网关，则无法使用远程网关。

权限

请确保在同一 Microsoft Entra 租户中的不同订阅中使用 VNET 创建对等互连时，帐户至少拥有网络参与者角色。

虚拟网络对等互连常见问题解答 (FAQ)

什么是虚拟网络对等互连？

使用虚拟网络对等互连可连接虚拟网络。 虚拟网络之间的 VNet 对等互连使您可以通过 IPv4 地址在它们之间私密路由流量。 对等互连 VNet 中的虚拟机可以相互通信，就像它们位于同一网络中一样。 还可以跨同一 Microsoft Entra 租户中的多个订阅创建 VNet 对等互连连接。

Azure Stack Hub 是否支持全球 VNET 对等互连？

Azure Stack Hub 不支持全局对等互连，因为“区域”的概念不适用。

虚拟网络对等互连在哪次 Azure Stack Hub 更新中提供？

从 2008 更新开始，Azure Stack Hub 中提供了虚拟网络对等互连。

能否将 Azure Stack Hub 中的虚拟网络与 Azure 中的虚拟网络对等互连？

不能，目前不支持在 Azure 与 Azure Stack Hub 之间建立对等互连。

是否可以将 Azure Stack Hub1 中的虚拟网络与 Azure Stack Hub2 中的虚拟网络互联？

不能，只能在一个 Azure Stack Hub 系统中的虚拟网络之间创建对等互连。 有关如何从不同标记连接两个虚拟网络的详细信息，请参阅 在 Azure Stack Hub 中建立 VNET 到 VNET 连接。

如果虚拟网络所属的订阅位于不同的 Microsoft Entra 租户中，能否启用对等互连？

否。 如果订阅属于不同的 Microsoft Entra 租户，则无法建立 VNet 对等互连。 这是 Azure Stack Hub 的特定限制。

能否将我的虚拟网络与另一订阅中的虚拟网络对等互连？

是的。 如果不同的订阅属于同一个 Microsoft Entra 租户，则可以跨这些不同订阅建立虚拟网络对等互连。

对等互连连接是否存在带宽限制？

否。 虚拟网络对等互连不会施加任何带宽限制。 带宽仅受 VM 或计算资源的限制。

我的虚拟网络对等互连连接处于“已启动”状态，为什么我不能连接？

如果对等互连连接处于“已启动”状态，则意味着只创建了一个链路。 必须创建双向链接才能建立成功的连接。 例如，若要将 VNet A 对等互连到 VNet B，必须创建从 VNet A 到 VNet B 的链接，以及从 VNet B 到 VNet A 的链接。创建这两个链接会将状态更改为 “已连接”。

虚拟网络对等互连连接处于 断开连接 状态，为什么无法创建对等互连连接？

如果虚拟网络对等互连连接处于 “断开连接 ”状态，则表示已删除创建的链接之一。 要重新建立对等互连连接，请删除该链路并重新创建它。

虚拟网络对等互连流量是否已加密？

否。 对等互连虚拟网络中的资源之间的流量是专用的，是隔离的。 它完全保留在 Azure Stack Hub 系统的 SDN 层中。

如果将 VNet A 对等互连到 VNet B，并将 VNet B 对等互连到 VNet C，那么这是否就意味着 VNet A 和 VNet C 也对等互连了？

否。 不支持可传递对等互连。 必须将 VNet A 与 VNet C 对等互连。

后续步骤

• 关于 Azure 虚拟网络
• 用户定义的路由概述
• Azure 中的中心辐射型网络拓扑