排查虚拟网络对等互连问题

本故障排除指南提供帮助你解决大多数虚拟网络对等互连问题的步骤。

在两个虚拟网络之间配置虚拟网络对等互连

虚拟网络是在同一订阅中还是在不同的订阅中？

虚拟网络位于同一订阅中

若要为同一订阅中的虚拟网络配置虚拟网络对等互连，请使用以下文章中所述的方法：

• 如果虚拟网络位于同一区域，请参阅创建对等互连。
• 如果虚拟网络位于不同的区域，请参阅虚拟网络对等互连。

有关详细信息，请参阅全局对等互连的要求和约束。

虚拟网络位于不同的订阅或 Active Directory 租户中

若要为不同订阅或 Active Directory 租户中的虚拟网络配置虚拟网络对等互连，请参阅在不同的订阅之间创建虚拟网络对等互连。

为使用本地资源的中心辐射型拓扑配置虚拟网络对等互连

对于站点到站点连接或 ExpressRoute 连接

遵循以下文章中的步骤：针对虚拟网络对等互连配置 VPN 网关传输。

对于点到站点连接

1. 遵循以下文章中的步骤：针对虚拟网络对等互连配置 VPN 网关传输。
2. 建立或更改虚拟网络对等互连后，下载并重新安装点到站点包，使点到站点客户端能够获取指向辐射虚拟网络的更新路由。

为中心辐射型拓扑虚拟网络配置虚拟网络对等互连

虚拟网络位于同一区域

1. 在中心虚拟网络中配置网络虚拟设备 (NVA)。
2. 在辐射虚拟网络中，应用下一跃点类型为“网络虚拟设备”的用户定义路由。

有关详细信息，请参阅服务链接。

在排查 NVA 设备设置和路由问题时如需帮助，请参阅 Azure 中的网络虚拟设备问题。

虚拟网络位于不同的区域

现在支持通过全球虚拟网络对等互连进行传输。 对于以下资源，无法通过全球虚拟网络对等互连建立连接：

• 基本 ILB SKU 后面的 VM
• Redis 缓存（使用基本 ILB SKU）
• 应用程序网关（使用基本 ILB SKU）
• 规模集（使用基本 ILB SKU）
• Service Fabric 群集（使用基本 ILB SKU）
• SQL Server Always-on（使用基本 ILB SKU）
• 应用服务环境（使用基本 ILB SKU）
• API 管理（使用基本 ILB SKU）
• Microsoft Entra 域服务（使用基本 ILB SKU）

若要详细了解全球对等互连要求和约束，请参阅虚拟网络对等互连。

排查两个对等互连虚拟网络之间的连接问题

使用具有必要角色和权限的帐户登录到 Azure 门户。 选择该虚拟网络，选择“对等互连”，然后检查“状态”字段。 状态是什么？

对等互连状态为“已连接”

若要排查此问题，请执行以下操作：

1. 检查网络流量流：

   在源 VM 到目标 VM 之间进行连接故障排除和 IP 流验证，确定是否某个 NSG 或 UDR 导致流量流受到干扰。

   如果使用防火墙或 NVA，请执行以下操作：

   1. 记录 UDR 参数，以便在完成此步骤后可以还原这些参数。
   2. 从源 VM 子网或 NIC 中删除指向 NVA（充当下一跃点）的 UDR。 验证绕过 NVA 的从源 VM 到目标的直接连接。 如果此步骤不起作用，请参阅 NVA 故障排除。

2. 进行网络跟踪：

   1. 在目标 VM 上启动网络跟踪。 对于 Windows，可以使用 Netsh。 对于 Linux，请使用 TCPDump。

   2. 运行从源到目标 IP 的 TcpPing 或 PsPing。

      这是 TcpPing 命令的一个示例：tcping64.exe -t <destination VM address> 3389

   3. 完成 TcpPing 后，停止目标上的网络跟踪。

   4. 如果从源传入的数据包抵达目标，则表示没有网络问题。 检查 VM 防火墙以及侦听该端口的应用程序以找出配置问题。

   注意

   无法通过全球虚拟网络对等互连（虚拟网络位于不同的区域中）连接到以下资源类型：

   • 基本 ILB SKU 后面的 VM
   • Redis 缓存（使用基本 ILB SKU）
   • 应用程序网关（使用基本 ILB SKU）
   • 规模集（使用基本 ILB SKU）
   • Service Fabric 群集（使用基本 ILB SKU）
   • SQL Server Always-on（使用基本 ILB SKU）
   • 应用服务环境（使用基本 ILB SKU）
   • API 管理（使用基本 ILB SKU）
   • Microsoft Entra 域服务（使用基本 ILB SKU）

有关详细信息，请参阅全局对等互连的要求和约束。

对等互连状态为“已断开连接”

若要解决此问题，请从两个虚拟网络中删除对等互连，然后重新创建对等互连。

排查中心辐射型虚拟网络与本地资源之间的连接问题

网络是否使用了第三方 NVA 或 VPN 网关？

我的网络使用了第三方 NVA 或 VPN 网关

若要排查影响第三方 NVA 或 VPN 网关的连接问题，请参阅以下文章：

• NVA 故障排除
• 服务链

我的网络未使用第三方 NVA 或 VPN 网关

中心虚拟网络和辐射虚拟网络是否使用了 VPN 网关？

中心虚拟网络和辐射虚拟网络都使用了 VPN 网关

不支持使用远程网关。

如果辐射虚拟网络已有 VPN 网关，则辐射虚拟网络不支持“使用远程网关”选项。 这是因为虚拟网络对等互连存在限制。

中心虚拟网络和辐射虚拟网络都不使用 VPN 网关

对于站点到站点连接或 Azure ExpressRoute 连接，请检查以下主要原因，这些原因会导致从本地连接到远程虚拟网络时出现问题：

• 在具有网关的虚拟网络上，验证是否选中了“允许转发的流量”复选框。
• 在没有网关的虚拟网络上，验证是否选中了“使用远程网关”复选框。
• 让网络管理员检查你的本地设备，验证是否为所有这些设备添加了远程虚拟网络地址空间。

对于点到站点连接：

• 在具有网关的虚拟网络上，验证是否选中了“允许转发的流量”复选框。
• 在没有网关的虚拟网络上，验证是否选中了“使用远程网关”复选框。
• 下载并重新安装点到站点客户端包。 新对等互连的虚拟网络路由不会自动将路由添加到点到站点客户端。

排查同一区域中辐射虚拟网络之间的中心辐射型网络连接问题

中心网络必须包含 NVA。 在已将 NVA 设置为下一跃点的辐射虚拟网络中配置 UDR，并在中心虚拟网络中启用“允许转发的流量”。

有关详细信息，请参阅服务链接，并与所选的 NVA 供应商讨论这些要求。

排查不同区域中辐射虚拟网络之间的中心辐射型网络连接问题

现在支持通过全球虚拟网络对等互连进行传输。 对于以下资源，无法通过全局虚拟网络对等互连建立连接：

• 基本 ILB SKU 后面的 VM
• Redis 缓存（使用基本 ILB SKU）
• 应用程序网关（使用基本 ILB SKU）
• 规模集（使用基本 ILB SKU）
• Service Fabric 群集（使用基本 ILB SKU）
• SQL Server Always-on（使用基本 ILB SKU）
• 应用服务环境（使用基本 ILB SKU）
• API 管理（使用基本 ILB SKU）
• Microsoft Entra 域服务（使用基本 ILB SKU）

有关详细信息，请参阅全球对等互连的要求和约束，以及不同的 VPN 拓扑。

排查 Web 应用与辐射虚拟网络之间的中心辐射型网络连接问题

若要排查此问题，请执行以下操作：

1. 登录到 Azure 门户。
2. 在 Web 应用中选择“网络”，然后选择“VNet 集成”。
3. 检查是否可以看到远程虚拟网络。 手动输入远程虚拟网络地址空间（“同步网络”和“添加路由”）。

有关详细信息，请参阅以下文章：

• 将应用与 Azure 虚拟网络集成
• 关于点到站点 VPN 路由

排查出现虚拟网络对等互连配置错误消息的问题

当前租户 <TENANT ID> 无权访问链接的订阅

若要解决此问题，请参阅在不同的订阅之间创建虚拟网络对等互连。

未连接

若要解决此问题，请从两个虚拟网络中删除对等互连，然后重新创建对等互连。

无法对等互连 Databricks 虚拟网络

若要解决此问题，请在“Azure Databricks”下配置虚拟网络对等互连，然后使用“资源 ID”指定目标虚拟网络。 有关详细信息，请参阅将 Databricks 虚拟网络对等互连到远程虚拟网络。

远程虚拟网络缺少网关

如果对等互连了不同租户中的虚拟网络，然后配置了 Use Remote Gateways，则会出现此问题。 Azure 门户存在的一个限制是，它无法验证另一租户的虚拟网络中是否存在虚拟网络网关。

可通过两种方式解决此问题：

• 删除对等互连，并在创建新对等互连时激活 Use Remote Gateways 选项。
• 使用 PowerShell 或 CLI（而不要使用 Azure 门户）启用 Use Remote Gateways。

后续步骤

• 排查 Azure VM 间的连接问题