你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
虚拟网络对等互连
通过虚拟网络对等互连,可无缝连接 Azure 中的两个或更多个虚拟网络。 出于连接目的,两个虚拟网络会显示为一个。 对等互连虚拟网络中虚拟机之间的流量使用 Microsoft 主干基础结构。 与同一网络中的虚拟机之间的流量一样,这些流量仅通过 Microsoft 的专用网络路由。
默认情况下,一个虚拟网络与另外 500 个虚拟网络对等互连。 通过使用 Azure 虚拟网络管理器的连接配置,可调高此限制,允许最多 1,000 个虚拟网络与单个虚拟网络对等互连。 例如,有了这个更大的大小,可以创建一个具有 1,000 个分支虚拟网络的中心辐射型拓扑。 还可以创建一个包含 1,000 个分支虚拟网络的网格,其中所有分支虚拟网络直接互连。
Azure 支持以下类型的对等互连:
- 虚拟网络对等互连: 连接同一 Azure 区域中的虚拟网络。
- 全局虚拟网络对等互连:跨 Azure 区域连接虚拟网络。
使用虚拟网络对等互连(无论本地还是全局)的优点包括:
- 不同虚拟网络中资源之间的连接延迟低且带宽高。
- 一个虚拟网络中的资源可与另一个虚拟网络中的资源通信。
- 在跨 Azure 订阅、Microsoft Entra 租户、部署模型和 Azure 区域的虚拟网络之间传输数据的功能。
- 可以对等互连通过 Azure 资源管理器创建的虚拟网络。
- 可将通过资源管理器创建的虚拟网络对等互连到通过经典部署模型创建的虚拟网络。 若要详细了解 Azure 部署模型,请参阅了解 Azure 部署模型。
- 在创建对等互连之时或之后,虚拟网络中的资源不会出现停机的现象。
对等虚拟网络之间的网络流量是专用的。 虚拟网络之间的流量仅限于 Microsoft 主干网络。 在虚拟网络之间通信不需公共 Internet、网关或加密。
连接
对于对等互连的虚拟网络,任一虚拟网络中的虚拟机资源可直接连接到对等互连虚拟网络中的资源。
同一区域中对等互连虚拟网络上的虚拟机之间的网络延迟与单个虚拟网络中的延迟相同。 网络吞吐量取决于可供虚拟机使用的与其大小成比例的带宽。 在对等互连的带宽上没有任何额外的限制。
对等互连虚拟网络中虚拟机之间的流量直接通过 Microsoft 主干基础结构路由,而不通过网关或公共 Internet。
可以在虚拟网络中应用网络安全组,以阻止访问其他虚拟网络或子网。 配置虚拟网络对等互连时,可以打开或关闭虚拟网络之间的网络安全组规则。 如果在对等互连的虚拟网络之间建立了完全连接,则可以应用网络安全组来阻止或拒绝特定的访问。 完全连接是默认选项。 若要详细了解网络安全组,请参阅安全组。
调整对等互连的 Azure 虚拟网络的地址空间大小
可以调整对等互连的 Azure 虚拟网络的地址空间大小,而不会导致当前对等互连的地址空间出现任何故障。 当需要在缩放工作负载后调整虚拟网络的地址空间时,此功能非常有用。 调整地址空间的大小后,对等方必须与新的地址空间更改同步。 调整大小适用于 IPv4 和 IPv6 地址空间。
可通过以下方式调整地址大小:
- 修改现有地址范围的地址范围前缀(例如,将 10.1.0.0/16 更改为 10.1.0.0/18)。
- 将地址范围添加到虚拟网络。
- 从虚拟网络中删除地址范围。
支持跨租户调整地址空间的大小。
可以通过 Azure 门户或 Azure PowerShell 同步虚拟网络对等互连。 我们建议你在每次调整地址空间大小操作后运行同步操作,而不是在执行多次调整大小操作后再运行同步操作。 若要了解如何更新对等互连虚拟网络的地址空间,请参阅更新对等互连虚拟网络的地址空间。
重要
此功能不支持要更新的虚拟网络与经典虚拟网络对等互连的场景。
服务链
使用服务链,可以通过用户定义的路由 (UDR) 将流量从一个虚拟网络定向到对等互连网络中的虚拟设备或网关。
若要启用服务链,请将指向对等互连虚拟网络中虚拟机的 UDR 配置为下一个跃点 IP 地址。 UDR 还可指向虚拟网络网关,以启用服务链。
可以部署中心辐射型网络,其中,中心虚拟网络托管网络虚拟设备或 VPN 网关等基础结构组件。 然后,可将所有分支虚拟网络对等互连到中心虚拟网络。 流量流经中心虚拟网络中的网络虚拟设备或 VPN 网关。
通过虚拟网络对等互连,UDR 中的下一个跃点可以成为对等虚拟网络中虚拟机或 VNP 网关的 IP 地址。 无法在使用将 Azure ExpressRoute 网关指定为下一个跃点类型的 UDR 的虚拟网络之间进行路由。 若要深入了解 UDR,请参阅用户定义的路由概述。 要了解如何创建中心辐射型网络拓扑,请参阅 Azure 中的中心辐射型网络拓扑。
网关和本地连接
每个虚拟网络(包括对等互连的虚拟网络)都可以有自身的网关。 虚拟网络可以使用其网关连接到本地网络。 即使是对于对等互连的虚拟网络,也可以使用网关配置虚拟网络到虚拟网络的连接。
为虚拟网络互连配置这两个选项时,虚拟网络之间的流量将通过对等互连配置流动。 该流量使用 Azure 主干网络。
还可以将对等互连的虚拟网络中的网关配置为本地网络的传输点。 在这种情况下,使用远程网关的虚拟网络不能有自身的网关。 虚拟网络只能有一个网关。 网关应该是对等互连虚拟网络中的本地网关或远程网关,如下图所示。
虚拟网络对等互连和全局虚拟网络对等互连都支持网关传输。
支持在通过不同部署模型创建的虚拟网络之间进行网关传输。 网关必须位于 Azure 资源管理器模型中的虚拟网络内。 若要了解有关使用网关进行传输的详细信息,请参阅配置 VPN 网关以在虚拟网络对等互连中传输。
对等互连共享单个 ExpressRoute 连接的虚拟网络时,这些虚拟网络之间的流量将通过对等互连关系流动。 该流量使用 Azure 主干网络。 仍可在各个虚拟网络中使用本地网关连接到本地线路。 否则,可以使用共享网关,并为本地连接配置传输。
故障排除
若要确认虚拟网络是否已对等互连,可以检查有效路由。 检查虚拟网络中任一子网内的某个网络接口的路由。 如果存在虚拟网络对等互连,则虚拟网络中的所有子网都会有下一个跃点类型为“虚拟网络对等互连”的路由,这适用于每个对等互连的虚拟网络中的每个地址空间。 有关详细信息,请参阅诊断虚拟机路由问题。
还可以使用 Azure 网络观察程序来排查与对等互连虚拟网络中某个虚拟机之间的连接问题。 可以通过连接性检查来确定流量如何从源虚拟机的网络接口路由到目标虚拟机的网络接口。 有关详细信息,请参阅通过 Azure 门户使用 Azure 网络观察程序排查连接问题。
也可查看排查虚拟网络对等互连问题。
对等互连虚拟网络的约束
仅当虚拟网络全局对等互连时,以下约束适用:
- 一个虚拟网络中的资源无法与全球对等互连虚拟网络中基本负载均衡器(内部或公共)的前端 IP 地址通信。
- 使用基本负载均衡器的某些服务无法通过全局虚拟网络对等互连正常工作。 有关详细信息,请参阅与全球虚拟网络对等互连和负载均衡器相关的约束是什么?。
无法在 PUT
虚拟网络操作的过程中执行虚拟网络对等互连。
有关详细信息,请参阅要求和约束。 若要详细了解支持的对等互连数,请参阅网络限制。
权限
若要了解创建虚拟网络对等互连所需的权限,请参阅权限。
定价
使用虚拟网络对等互连的传入和传出流量会产生少许费用。 有关详细信息,请参阅虚拟网络定价。
网关传输是一种对等互连属性,可以让虚拟网络利用对等互连虚拟网络中的虚拟专用网或 ExpressRoute 网关。 网关传输适用于跨界连接和网络间的连接。 到对等互连虚拟网络中的网关(入口或出口)的流量会在辐照虚拟网络(或没有 VPN 网关的虚拟网络)上产生虚拟网络对等互连费用。 有关详细信息,请参阅 Azure VPN 网关定价来了解 VPN 网关费用和 ExpressRoute 网关费用。
注意
本文档的旧版中已指出,虚拟网络对等互连费用不适用于具有网关传输功能的分支虚拟网络(或非网关虚拟网络)。 本文档现在根据定价页反映准确的定价。
相关内容
可在两个虚拟网络之间创建对等互连。 网络可以属于同一订阅、同一订阅中的不同部署模型,或不同的订阅。 完成适用于以下方案之一的教程:
Azure 部署模型 订阅 都是资源管理器模型 相同 不同 一个是资源管理器模型,一个是经典模型 相同 不同 要了解如何创建中心辐射型网络拓扑,请参阅 Azure 中的中心辐射型网络拓扑。
若要了解所有虚拟网络对等互连设置,请参阅创建、更改或删除虚拟网络对等互连。
有关常见虚拟网络对等互连和全局虚拟网络对等互连问题的解答,请参阅虚拟网络对等互连。