创建、更改或删除虚拟网络对等互连

项目
09/10/2024

了解如何创建、更改或删除虚拟网络对等互连。借助虚拟网络对等互连，可以通过 Azure 主干网络连接同一区域或不同区域的虚拟网络（也称为全局虚拟网络对等互连）。对等互连后，这些虚拟网络仍将作为单独的资源进行管理。如果不熟悉虚拟网络对等互连，可以通过阅读虚拟网络对等互连概述或完成虚拟网络对等互连教程来了解其详细信息。

先决条件

如果没有具备有效订阅的 Azure 帐户，请创建一个试用帐户。在开始学习本文的余下内容之前，请完成以下任务之一：

使用具有所需权限的 Azure 帐户登录 Azure 门户，以使用对等互连。

如果在本地运行 Azure CLI，请使用 Azure CLI 2.0.31 或更高版本。运行 az --version 查找已安装的版本。如果需要进行安装或升级，请参阅安装 Azure CLI。运行 az login 以使用具有所需权限的帐户登录 Azure，以处理 VNet 对等互连。

必须将连接到 Azure 所用的帐户分配给网络参与者角色或分配有“权限”中所列的适当操作的自定义角色。

创建对等互连

创建对等互连之前，请熟悉要求和约束以及所需权限。

在 Azure 门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。
在“虚拟网络”中，选择要为其创建对等互连的网络。
在“设置”中选择“对等互连”。
选择“+ 添加”。

为以下设置输入或选择值，然后选择“添加”。

设置	说明
远程虚拟网络摘要
对等互连链接名称	来自本地虚拟网络的对等互连的名称。名称在虚拟网络中必须唯一。
虚拟网络部署模型	选择要对等互连的虚拟网络是通过哪种部署模型来进行部署的。
我知道我的资源 ID	如果对要进行对等互连的虚拟网络拥有读取访问权限，请保留取消选中此复选框。如果对要与之对等互连的虚拟网络或订阅没有读取访问权限，请选中此复选框。
资源 ID	选中“我知道我的资源 ID”复选框时，将显示此字段。输入的虚拟网络资源 ID 必须与此虚拟网络位于同一 Azure 区域，或受支持的不同 Azure 区域。完整资源 ID 类似于 `/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>`。可以通过查看虚拟网络的属性，获取虚拟网络的资源 ID。若要了解如何查看虚拟网络的属性，请参阅管理虚拟网络。如果订阅与不同的 Microsoft Entra 租户（而不是要对等互连的虚拟网络的订阅）相关联，则必须分配用户权限。将每个租户中的用户添加为相反租户中的来宾用户。
订阅	选择要进行对等互连的虚拟网络的订阅。将列出一个或多个订阅，具体取决于帐户可以通过读取方式访问多少个订阅。
虚拟网络	选择远程虚拟网络。
远程虚拟网络对等互连设置
允许对等互连虚拟网络访问“vnet-1”	默认情况下，将选中此选项。 - 选择此选项可允许从对等互连虚拟网络到“vnet-1”的流量。此设置允许中心辐射型网络拓扑中的中心和辐射之间的通信，并允许对等互连虚拟网络中的 VM 与“vnet-1”中的 VM 通信。选择此设置时，网络安全组的 VirtualNetwork 服务标记包含虚拟网络和对等互连的虚拟网络。若要详细了解服务标记，请参阅 Azure 服务标记。
允许对等互连虚拟网络接收来自“vnet-1”的转发流量	默认情况下未选择此选项。 - 启用此选项将允许对等虚拟网络接收来自对等互连到“vnet-1”的虚拟网络的流量。例如，如果 vnet-2 的 NVA 接收来自 vnet-2 外部的流量，而这些流量将转发到 vnet-1，则你可以选择此设置，以允许该流量从 vnet-2 进入 vnet-1。虽然启用此功能可允许通过对等互连转发流量，但它并不会创建任何用户定义的路由或网络虚拟设备。用户定义的路由和网络虚拟设备是单独创建的。
允许对等互连虚拟网络中的网关或路由服务器将流量转发到“vnet-1”	默认未选择此选项。 - 启用此设置将允许“vnet-1”接收来自对等互连虚拟网络的网关或路由服务器的流量。若要启用此选项，对等互连的虚拟网络必须包含网关或路由服务器。
启用对等互连虚拟网络以使用“vnet-1”远程网关或路由服务器	默认情况下未选中此选项。 - 仅当“vnet-1”具有远程网关或路由服务器且“vnet-1”启用了“允许 'vnet-1' 中的网关将流量转发到对等互连虚拟网络”时，才能启用此选项。此选项只能在一个对等互连虚拟网络的对等互连中启用。如果你希望此虚拟网络使用远程路由服务器来交换路由，请参阅 Azure 路由服务器。注意：如果已在虚拟网络中配置了网关，则无法使用远程网关。若要了解有关使用网关进行传输的详细信息，请参阅配置 VPN 网关以在虚拟网络对等互连中传输。
本地虚拟网络摘要
对等互连链接名称	来自远程虚拟网络的对等互连的名称。名称在虚拟网络中必须唯一。
本地虚拟网络对等互连设置
允许“vnet-1”访问对等互连的虚拟网络	默认情况下，将选中此选项。 - 选择此选项可允许从“vnet-1”到对等互连虚拟网络的流量。此设置允许中心辐射型网络拓扑中的中心和辐射之间的通信，并允许“vnet-1”中的 VM 与对等互连虚拟网络中的 VM 通信。
允许“vnet-1”接收来自对等互连虚拟网络的转发流量	默认情况下未选择此选项。 - 启用此选项将允许“vnet-1”接收来自与对等虚拟网络对等互连的虚拟网络的流量。例如，如果 vnet-2 的 NVA 接收来自 vnet-2 外部的流量，而这些流量将转发到 vnet-1，则你可以选择此设置，以允许该流量从 vnet-2 进入 vnet-1。虽然启用此功能可允许通过对等互连转发流量，但它并不会创建任何用户定义的路由或网络虚拟设备。用户定义的路由和网络虚拟设备是单独创建的。
允许“vnet-1”中的网关或路由服务器将流量转发到对等互连的虚拟网络	默认未选择此选项。 - 启用此设置将允许对等互连的虚拟网络接收来自“vnet-1”的网关或路由服务器的流量。若要启用此选项，“vnet-1”必须包含网关或路由服务器。
启用“vnet-1”以使用对等互连虚拟网络的远程网关或路由服务器	默认情况下未选择此选项。 - 仅当对等互连虚拟网络具有远程网关或路由服务器且对等互连虚拟网络启用了“允许对等互连虚拟网络中的网关将流量转发到 'vnet-1'”时，才能启用此选项。此选项只能在“vnet-1”的一个对等互连中启用。

“对等互连配置”页的屏幕截图。

注意

如果使用虚拟网络网关将本地流量通过可传递的方式发送到对等互连虚拟网络，则必须将本地 VPN 设备的对等互连虚拟网络 IP 范围设置为“关注”流量。你可能需要将所有 Azure 虚拟网络的 CIDR 地址添加到本地 VPN 设备上的站点到站点 IPSec VPN 隧道配置。 CIDR 地址包括“中心”、分支和点到站点 IP 地址池等资源。否则，本地资源将无法与对等互连 VNet 中的资源进行通信。关注流量将通过阶段 2 安全关联进行通信。安全关联为每个指定的子网创建专用 VPN 隧道。本地和 Azure VPN 网关层必须支持相同数量的站点到站点 VPN 隧道和 Azure VNet 子网。否则，本地资源将无法与对等互连 VNet 中的资源进行通信。有关为每个指定 Azure VNet 子网创建阶段 2 安全关联的说明，请参阅本地 VPN 文档。

几秒钟后，选择“刷新”按钮，对等连接状态将从“正在更新”更改为“已连接”。

有关在不同订阅和部署模型中的虚拟网络之间实现对等互连的分步说明，请参阅后续步骤。

使用 Add-AzVirtualNetworkPeering 创建虚拟网络对等互连。

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

使用 az network vnet peering create 创建虚拟网络对等互连。

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

查看或更改对等互连设置

更改对等互连之前，请熟悉要求和约束以及所需权限。

在 Azure 门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。
选择要在虚拟网络中查看或更改其对等互连设置的虚拟网络。
在“设置”下选择“对等互连”，然后选择要查看或更改设置的对等互连。
更改相应的设置。针对每个设置的相关选项，请参阅“创建对等互连”部分的第 4 步。然后选择“保存”，以完成配置更改。

使用 Get-AzVirtualNetworkPeering 列出虚拟网络的对等互连及其设置。

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

使用 Set-AzVirtualNetworkPeering 更改对等互连设置。

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

使用 az network vnet peering list 列出虚拟网络的对等互连。

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

使用 az network vnet peering show 显示特定对等互连的设置。

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

使用 az network vnet peering update 更改对等互连设置。

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

删除对等互连

删除对等互连之前，请熟悉要求和约束以及所需权限。

删除两个虚拟网络之间的对等互连后，流量便不能再在这两个虚拟网络之间流动。如果希望虚拟网络偶尔进行通信，而非始终通信，与其删除对等互连，不如取消选中“允许流向远程虚拟网络的流量”设置，以禁止流动到远程虚拟网络的流量”。你会发现，禁用和启用网络访问比删除并重新创建对等互连更加容易。

在 Azure 门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。
选择要在虚拟网络中查看或更改其对等互连设置的虚拟网络。
在“设置”中选择“对等互连”。
选中要删除的对等互连旁边的框，然后选择“删除”。
在“删除对等互连”的确认框中输入“删除”，然后选择“删除”。

注意

从虚拟网络中删除虚拟网络对等互连时，也会删除远程虚拟网络中的对等互连。
在“确认删除”中选择“删除”以确认删除。

使用 Remove-AzVirtualNetworkPeering 删除虚拟网络对等互连

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

使用 az network vnet peering delete 删除虚拟网络对等互连。

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

要求和约束

可在相同区域或不同区域中的虚拟网络之间建立对等互连。不同区域中的对等互连虚拟网络也称为“全球虚拟网络对等互连”。
创建全球对等互连时，对等互连的虚拟网络可以存在于任何由世纪互联运营的 Azure 区域中。不能跨云进行对等互连。例如，Azure 公有云中的虚拟网络不能与由世纪互联云运营的 Azure 云中的虚拟网络对等互连。
作为对等互连的一部分时，虚拟网络无法移动。如果需要将虚拟网络移动到其他资源组或订阅，则必须删除对等互连，移动虚拟网络，然后重新创建对等互连。
一个虚拟网络中的资源无法与全球对等互连虚拟网络中基本负载均衡器（内部或公共）的前端 IP 地址通信。对基本负载均衡器的支持仅存在于同一区域内。虚拟网络对等互连和全球虚拟网络对等互连都支持标准负载均衡器。使用基本负载均衡器的某些服务无法通过全局虚拟网络对等互连正常工作。有关详细信息，请参阅与全球虚拟网络对等互连和负载均衡器相关的约束。
可以使用远程网关或允许全局对等虚拟网络和本地对等虚拟网络中的网关传输。
虚拟网络可以位于相同或不同的订阅中。如果对等虚拟网络位于不同的订阅中，两个订阅可关联到同一个或不同的 Microsoft Entra 租户。如果还没有 AD 租户，可以创建一个。
进行对等互连的虚拟网络的 IP 地址空间不得重叠。
可以对等互连两个通过 Resource Manager 部署的虚拟网络，或对等互连一个通过 Resource Manager 部署的虚拟网络与一个通过经典部署模型部署的虚拟网络。不能对等互连两个通过经典部署模型创建的虚拟网络。如果不熟悉 Azure 部署模型，请阅读了解 Azure 部署模型一文。可以使用 VPN 网关来连接两个通过经典部署模型创建的虚拟网络。
对等互连两个通过资源管理器创建的虚拟网络时，必须为对等互连中的每个虚拟网络都配置对等互连。将看到以下类型的对等互连状态之一：
- 已启动：创建第一个对等互连时，状态为“已启动”。
- 已连接：创建第二个对等互连时，两个对等互连的对等互连状态变为“已连接”。直到两个虚拟网络对等互连的对等互连状态均为“已连接”时，对等互连才成功建立。
将一个通过 Resource Manager 创建的虚拟网络与一个通过经典部署模型创建的虚拟网络对等互连时，只需为通过 Resource Manager 部署的虚拟网络配置对等互连。无法为虚拟网络（经典）配置对等互连，或在两个通过经典部署模型部署的虚拟网络之间配置对等互连。创建从 Resource Manager 虚拟网络到经典虚拟网络的对等互连时，对等互连状态先为“正在更新”，随后很快更改为“已连接”。
对等互连是在两个虚拟网络之间建立的。对等互连本身不是可传递的。如果在以下虚拟网络之间创建对等互连：
- VirtualNetwork1 和 VirtualNetwork2
- VirtualNetwork2 和 VirtualNetwork3
  
  不会通过 VirtualNetwork2 在 VirtualNetwork1 和 VirtualNetwork3 之间形成连接。如果希望 VirtualNetwork1 和 VirtualNetwork3 直接通信，则必须在 VirtualNetwork1 和 VirtualNetwork3 之间创建显式对等互连，或者通过中心网络中的 NVA 来通信。要了解详细信息，请参阅 Azure 中的中心辐射型网络拓扑。
无法使用默认 Azure 名称解析来解析已对等互连的虚拟网络中的名称。若要解析其他虚拟网络中的名称，必须使用 Azure 专用 DNS，或使用自定义 DNS 服务器。若要了解如何设置自己的 DNS 服务器，请参阅使用自己的 DNS 服务器进行名称解析。
同一区域中对等互连虚拟网络中的资源可以互相之间以相同的延迟进行通信，就如同资源是位于同一个虚拟网络中一样。网络吞吐量取决于可供虚拟机使用的与其大小成比例的带宽。对等互连的带宽没有任何其他限制。每种虚拟机大小都有其自己的最大网络带宽。若要深入了解不同虚拟机大小的最大网络带宽，请参阅 Azure 中虚拟机的大小。
一个虚拟网络可以对等互连到另一个虚拟网络，也可以通过 Azure 虚拟网关连接到另一个虚拟网络。当虚拟网络同时通过对等互连和网关连接时，虚拟网络的流量会根据对等互连配置流动，而不是通过网关流动。
在成功配置虚拟网络对等互连之后，必须重新下载点到站点 VPN 客户端，以确保将新路由下载到客户端。
对于利用虚拟网络对等互连的入口和出口流量，有少许收费。有关详细信息，请参阅定价页。

权限

必须向以下角色分配用于进行虚拟网络对等互连的帐户：

网络参与者：对于通过资源管理器部署的虚拟网络。
经典网络参与者：对于通过经典部署模型部署的虚拟网络。

如果未将帐户分配给上述角色之一，则必须将其分配给分配有下表中的必要操作的自定义角色：

操作	名称
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	创建从虚拟网络 A 到虚拟网络 B 的对等互连时必需。虚拟网络 A 必须是虚拟网络（资源管理器）
Microsoft.Network/virtualNetworks/peer/action	创建从虚拟网络 B（资源管理器）到虚拟网络 A 的对等互连时必需
Microsoft.ClassicNetwork/virtualNetworks/peer/action	创建从虚拟网络 B（经典）到虚拟网络 A 的对等互连时必需
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	读取虚拟网络对等互连
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	删除虚拟网络对等互连

后续步骤

可在通过相同或不同订阅中的相同或不同部署模型创建的虚拟网络之间创建虚拟网络对等互连。完成适用于以下方案之一的教程：

Azure 部署模型订阅

都是资源管理器模型相同

不同

一个是资源管理器模型，一个是经典模型相同

不同
使用 PowerShell 或 Azure CLI 示例脚本或使用 Azure 资源管理器模板创建虚拟网络对等互连
为虚拟网络创建和分配 Azure Policy 定义

Azure 部署模型	订阅
都是资源管理器模型	相同
	不同
一个是资源管理器模型，一个是经典模型	相同
	不同

通过