通过使用虚拟网络对等互连连接服务

  • 8 分钟

可使用虚拟网络对等互连直接连接 Azure 虚拟网络。 在使用对等互连连接虚拟网络时,这些网络中的虚拟机 (VM) 可以相互通信,如同它们处于同一网络中一样。

在对等互连的虚拟网络中,虚拟机之间的流量是通过 Azure 网络路由的。 流量仅使用专用 IP 地址。 它不依赖 Internet 连接、网关或加密连接。 流量始终是私有的,并能利用 Azure 主干网络的高带宽和低延迟优势。

通过虚拟网络对等互连连接的两个虚拟网络的基本关系图。

这两种类型的对等互连连接是以相同的方式创建的:

  • “虚拟网络对等互连”连接的是同一个 Azure 区域中的虚拟网络,例如欧洲北部的两个虚拟网络。
  • “全局虚拟网络对等互连”连接的是不同 Azure 区域中的虚拟网络,例如欧洲西部的虚拟网络和欧洲北部的虚拟网络。

虚拟网络对等互连不会影响或破坏已部署到虚拟网络的任何资源。 在使用虚拟网络对等互连时,请考虑以下几节中定义的主要功能。

互惠连接

使用 Azure PowerShell 或 Azure CLI 创建虚拟网络对等互连的连接时,只会创建对等互连的一方。 若要完成虚拟网络对等互连配置,需要反向配置对等互连才能建立连接。 通过 Azure 门户创建虚拟网络对等互连的连接时,两方的配置将同时完成。

想想如何将两个网络交换机连接在一起。 可以将一根电缆连接到两个交换机,可能还要配置一些设置,这样,交换机才可以通信。 虚拟网络对等互连需要在每个虚拟网络中建立类似的连接。 互惠连接提供此功能。

跨订阅的虚拟网络对等互连

即使两个虚拟网络包含在不同的订阅中,也可以使用虚拟网络对等互连。 如果要合并和收购或连接由不同部门管理的订阅中的虚拟网络,则可能必须进行此设置。 虚拟网络可以位于不同的订阅中,并且这些订阅可以使用相同或不同的 Microsoft Entra 租户。

在使用跨订阅的虚拟网络对等互连时,可能会发现一个订阅的管理员不管理对等网络的订阅。 管理员可能无法配置连接的两端。 当两个订阅位于不同的 Microsoft Entra 租户时,要进行虚拟网络对等互连,则每个订阅的管理员必须向对等互连订阅的管理员授予其虚拟网络的 Network Contributor 角色。

传递性

虚拟网络对等互连是不可传递的。 只有直接对等互连的虚拟网络才能互相通信。 虚拟网络无法与其对等网络的对等网络进行通信。

假设有三个虚拟网络(A、B 和 C),它们按如下方式进行对等互连:A <-> B <-> C。A 中的资源无法与 C 中的资源通信,因为无法通过虚拟网络 B 传递它们的流量。如果虚拟网络 A 和虚拟网络 C 之间需要进行通信,则必须对这两个虚拟网络进行显式对等互连。

网关传输

如果从具有 VPN 网关的虚拟网络启用网关传输,则可从对等互连的虚拟网络连接到本地网络。 使用网关传输可实现本地连接,且无需将虚拟网络网关部署到所有虚拟网络。 此方法可降低网络的总体成本和复杂性。 通过将虚拟网络对等互连用于网关传输,你可将单个虚拟网络配置为中心网络。 可以将此中心网络连接到本地数据中心,并与对等网络共享其虚拟网络网关。

要启用网关传输,请在将网关连接部署到本地网络时,在中心虚拟网络中配置“允许网关传输”选项。 还需要在任何分支虚拟网络中配置“使用远程网关”选项。

注意

如果要在分支网络对等互连中启用“使用远程网关”选项,则无法在分支虚拟网络中部署虚拟网络网关。

重叠的地址空间

Azure 内以及 Azure 和本地网络之间已连接网络的 IP 地址空间不能重叠。 此规则也适用于已对等互连的虚拟网络。 在规划网络设计时请记住此规则。 在任何通过虚拟网络对等互连、VPN 或 ExpressRoute 连接的网络中,请分配不重叠的地址空间。

比较重叠和非重叠的网络寻址的示意图。

替代的连接方法

在连接虚拟网络方面,虚拟网络对等互连是复杂性最低的方式。 其他方法主要关注本地网络与 Azure 网络之间的连接,而不是虚拟网络之间的连接。

还可通过 ExpressRoute 线路将虚拟网络连接在一起。 ExpressRoute 是本地数据中心和 Azure 主干网络之间的专用连接。 连接到 ExpressRoute 线路的虚拟网络都属于同一路由域,并且可以相互通信。 ExpressRoute 连接不会通过公共 Internet,因此可确保你与 Azure 服务的通信尽可能安全。

VPN 使用 Internet 通过加密隧道将本地数据中心连接到 Azure 主干网络。 可以使用站点到站点配置,通过 VPN 网关将虚拟网络连接在一起。 VPN 网关的延迟高于虚拟网络对等互连设置。 前者在管理上更为复杂,且会产生更高的费用。

当通过网关和虚拟网络对等互连连接虚拟网络时,流量会流经对等互连配置。

虚拟网络对等互连的适用场景

若要在位于不同虚拟网络的服务间实现网络连接,虚拟网络对等互连是一种很好的选择。 在需要集成 Azure 虚拟网络时,虚拟网络对等互连应作为首选。 它易于实施和部署,并且可以跨区域和订阅良好运行。

若在 Azure 基本负载均衡器之后存在可从已对等互连的虚拟网络访问的现有 VPN 或 ExpressRoute 连接或服务,则对等互连可能不是最佳选择。 在这种情况下,应研究替代方式。