启用与对等互连的跨虚拟网络连接

  • 6 分钟

拥有大规模业务的组织会在其虚拟网络基础结构的不同部分之间创建连接。 虚拟网络对等互连使你能够以最佳网络性能无缝地连接单独的 VNet,无论它们是在同一 Azure 区域(VNet 对等互连)中还是在不同区域(全局 VNet 对等互连)中。 对等虚拟网络之间的网络流量是专用的。 出于连接目的,两个虚拟网络会显示为一个。 对等互连的虚拟网络中的虚拟机之间的流量使用 Microsoft 主干基础结构,并且虚拟网络之间的通信中不需要公共 Internet、网关或加密。

使用虚拟网络对等互连可以无缝连接两个 Azure 虚拟网络。 建立对等互连后,出于连接目的,两个虚拟网络会显示为一个。 有两种类型的 VNet 对等互连。

  • 区域 VNet 对等互连连接同一区域中的 Azure 虚拟网络。
  • 全局 VNet 对等互连连接不同区域中的 Azure 虚拟网络。 对等互连的虚拟网络可以存在于任何 Azure 公有云区域或中国云区域中,但不能存在于政府云区域中。 只能在 Azure 政府云区域的相同区域中的虚拟网络之间建立对等互连。

区域 1 中的 VNet1 和区域 2 中的 VNet2 和 VNet3 的关系图。VNet2 和 VNet3 通过区域 VNet 对等互连方式连接。VNet1 和 VNet2 通过全局 VNet 对等互连相互连接。

使用虚拟网络对等互连(无论本地还是全局)的优点包括:

  • 不同虚拟网络中资源之间的连接延迟低且带宽高。
  • 可以在虚拟网络中应用网络安全组,以阻止访问其他虚拟网络或子网。
  • 在跨 Azure 订阅、Microsoft Entra 租户、部署模型和 Azure 区域的虚拟网络之间传输数据的功能。
  • 可以对等互连通过 Azure 资源管理器创建的虚拟网络。
  • 可将通过资源管理器创建的虚拟网络对等互连到通过经典部署模型创建的虚拟网络。
  • 创建对等互连时或创建对等互连后,任一虚拟网络中的资源都不会出现故障。

以下关系图展示了 Contoso VNet 上的资源和 Fabrikam 虚拟网络上的资源需要进行通信的情况。 美国西部区域中的 Contoso 订阅连接到美国东部区域中的 Fabrikam 订阅。

Contoso VNet 和 Fabrikam VNet 上的资源的关系图。

路由表显示每个订阅中的资源已知的路由。 以下路由表显示了 Contoso 已知的路由,最终条目是 Fabrikam 10.10.26.0/24 子网的全局 VNet 对等互连条目。

路由表的屏幕截图。

以下路由表显示了 Fabrikam 已知的路由。 同样,最后的条目是全局 VNet 对等互连条目,但这次是 Contoso 10.17.26.0/24 子网的条目。

Fabrikam 路由表的屏幕截图。

配置 VNet 对等互连

以下是配置 VNet 对等互连的步骤。 请注意,你需要两个虚拟网络。 要测试对等互连,每个网络中都需要一台虚拟机。 最初,VM 将无法通信,但通信会在配置后正常进行。 新的步骤是配置虚拟网络的对等互连。

  1. 创建两个虚拟网络。
  2. 在虚拟网络之间建立对等互连。
  3. 在每个虚拟网络中创建虚拟机。
  4. 测试虚拟机之间的通信。

要配置对等互连,请使用“添加对等互连”页。 只能选用几个配置参数。

虚拟网络对等互连配置页的屏幕截图。

注意

在一个虚拟网络上添加对等互连时,会自动添加第二个虚拟网络配置。

网关传输和连接

将虚拟网络进行对等互连后,可以将已对等互连虚拟网络中的 VPN 网关配置为传输点。 在这种情况下,对等互连虚拟网络使用远程网关来访问其他资源。 虚拟网络只能有一个网关。 VNet 对等互连和全局 VNet 对等互连均支持网关传输。

允许网关传输时,虚拟网络可与对等互连之外的资源进行通信。 例如,子网网关可以执行以下操作:

  • 使用站点到站点 VPN 连接到本地网络。
  • 使用 VNet 到 VNet 连接到另一个虚拟网络。
  • 使用点到站点 VPN 连接到客户端。

在这些场景中,网关传输允许对等互连虚拟网络共享网关和访问资源。 这意味着无需在对等虚拟网络中部署 VPN 网关。

注意

可将网络安全组应用于虚拟网络(用于阻止访问其他虚拟网络)或子网。 配置虚拟网络对等互连时,可打开或关闭虚拟网络之间的网络安全组规则。

使用服务链将流量定向到网关

假设你要将流量从 Contoso VNet 定向到特定的网络虚拟设备 (NVA)。 创建用户定义的路由,以将流量从 Contoso VNet 定向到 Fabrikam VNet 中的 NVA。 此方法称为“服务链”。

若要启用服务链,添加用户定义的路由,指向对等虚拟网络中的虚拟机作为下一个跃点 IP 地址。 用户定义的路由还可以指向虚拟网络网关。

可以在中心辐射型拓扑中部署 Azure 虚拟网络,让中心 VNet 充当所有辐射 VNet 的中心连接点。 中心虚拟网络会托管基础结构组件,如 NVA、虚拟机和 VPN 网关。 所有辐射虚拟网络与中心虚拟网络对等互连。 流量流经中心虚拟网络中的网络虚拟设备或 VPN 网关。 使用中心辐射型配置的好处包括节约成本、克服订阅限制和工作负载隔离。

下图展示了以下情况:中心 VNet 托管用于管理到本地网络的流量的 VPN 网关,从而实现本地网络和对等互连 Azure VNet 之间的受控通信。

Contoso 及 Fabrikam 中心和分支配置的关系图。

为每个问题选择最佳答案。

知识检查

1.

当需要一个 VNet 中的资源与另一个 VNet 的子网中的资源进行通信时。 应使用哪项 Azure 网络功能?

2.

配置全球对等互连时,对等互连的 VNet 中会发生哪些更改?