共用方式為

虛擬網路對等連接

  • 發行項

虛擬網路對等互連可讓您順暢地連線 Azure Stack Hub 環境中的虛擬網路。 虛擬網路在連線時表現為一個單一網路。 虛擬機之間的流量會使用基礎 SDN 基礎結構。 就像相同網路中虛擬機之間的流量一樣,流量只會透過 Azure Stack Hub 專用網路由傳送。

Azure Stack Hub 不支援全域對等互連,因為「區域」的概念不適用。

使用虛擬網路對等互連的優點如下:

  • 相同 Azure Stack Hub 戳記內不同虛擬網路中資源之間的低延遲、高頻寬連線。
  • 一個虛擬網路中的資源能夠與相同 Azure Stack Hub 戳記內不同虛擬網路中的資源通訊。
  • 能夠在同一個 Microsoft Entra 租用戶內,跨不同訂用帳戶的虛擬網路進行資料傳輸。
  • 在建立對等互連的過程中,或在建立對等互連之後,虛擬網路中的資源不會有停機時間。

互相連接的虛擬網路之間的網路流量是專有的。 虛擬網路之間的流量會保留在基礎結構層中。 虛擬網路之間的通訊不需要公用因特網、閘道或加密。

連接性

針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。

相同區域中對等互連虛擬網路中的虛擬機之間的網路等待時間,與單一虛擬網路內的延遲相同。 網路輸送量是以虛擬機允許的頻寬為基礎,其大小成比例。 對等互連內的頻寬沒有任何額外的限制。

對等互連虛擬網路中的虛擬機之間的流量會直接透過 SDN 層路由傳送,而不是透過閘道或透過公用因特網路由傳送。

您可以在任一虛擬網路中套用網路安全組,以封鎖對其他虛擬網路或子網的存取。 設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全組規則。 如果您開啟對等互連虛擬網路之間的完整連線,您可以套用網路安全組來封鎖或拒絕特定存取。 完整連線是預設選項。 若要深入瞭解網路安全組,請參閱 安全組

服務串接

服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中虛擬設備或閘道。

若要啟用服務鏈結,請將指向對等互連虛擬網路中虛擬機的使用者定義路由設定為 下一個躍點 IP 位址。

您可以部署 中樞和輪輻 網路,其中中樞虛擬網路會裝載基礎結構元件,例如網路虛擬設備或 VPN 閘道。 然後,所有輻射式虛擬網路都可以與樞紐虛擬網路進行對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。

虛擬網路對等互連可讓使用者定義的路由中的下一個路由跳點成為對等互連虛擬網路中虛擬機的IP位址。 若要深入瞭解使用者定義的路由,請參閱 使用者定義的路由概觀。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞輪輻網路拓撲。

閘道和本地部署連線能力

每個虛擬網路,包括對等互連的虛擬網路,都可以有自己的閘道。 虛擬網路可以使用其網關連接到內部部署網路。 請檢閱 Azure Stack Hub 的虛擬網路閘道文件

您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路不能有自己的閘道。 虛擬網路只有一個閘道。 閘道是對等虛擬網路中的本機或遠程閘道,如以下圖示所示:

VPN 閘道拓撲

請注意,必須先在 VPN 閘道中先建立 Connection 物件,然後才能在對等互連中啟用 UseRemoteGateways 選項。

重要

Azure Stack Hub 會根據對等互連的虛擬網路子網來設定系統路由,而不是虛擬網路位址前綴。 這與 Azure 實作不同。 如果您想要覆寫系統的預設路由,例如在 案例中描述的情況:將流量經由網路虛擬裝置(NVA)中樞輻射網路拓撲在 Azure中傳送至 NVA 或防火牆設備,您必須為虛擬網路中的每個子網建立路由條目。

虛擬網路對等互連設定

允許虛擬網路存取: 啟用虛擬網路之間的通訊,可讓聯機到任一虛擬網路的資源與相同的頻寬和延遲進行通訊,就像它們連線到相同的虛擬網路一樣。 這兩個虛擬網路中資源之間的所有通訊都會透過內部 SDN 層路由傳送。

未啟用網路存取的其中一個原因可能是您已將虛擬網路與另一個虛擬網路對等互連,但偶爾想要停用兩個虛擬網路之間的流量流量。 您可能會發現啟用/停用比刪除和重新建立對等互連更方便。 停用此設定時,對等互連虛擬網路之間的流量不會流動。

[允許轉送的流量]: 核取此方塊,允許虛擬網路中網路虛擬設備(不是源自虛擬網路)轉送 流量,透過對等互連流向此虛擬網路。 例如,請考慮三個名為 Spoke1、Spoke2 和 Hub 的虛擬網路。 每個輪輻虛擬網路與中樞虛擬網路之間都有對等互連,但輪輻虛擬網路之間沒有對等互連。 網路虛擬設備會部署在中樞虛擬網路中,而使用者定義的路由會套用至每個輪輻虛擬網路,以透過網路虛擬設備路由傳送子網之間的流量。 如果未核取此複選框以取得每個輪輻虛擬網路與中樞虛擬網路之間的對等互連,則輪輻虛擬網路之間的流量不會流動,因為中樞不會轉送虛擬網路之間的流量。 啟用此功能允許通過對等互連來轉送流量,但不會建立任何使用者定義的路由或網絡虛擬設備。 用戶定義的路由和網路虛擬設備會個別建立。 瞭解 用戶定義的路由。 如果您透過 VPN 閘道在虛擬網路之間轉送流量,您不需要檢查此設定。

允許閘道傳輸: 如果您有連結至此虛擬網路的虛擬網路閘道,而且想要允許來自對等互連虛擬網路的流量流經閘道,請核取此方塊。 例如,此虛擬網路可能透過虛擬網路閘道連結至內部部署網路。 選取此方塊可允許由對等虛擬網路來的流量通過連接此虛擬網路的閘道進入內部部署網路。 如果您勾選這個選項,對等虛擬網路就無法設定閘道。 對等互連的虛擬網路在從其他虛擬網路到此虛擬網路進行對等互連設定時,必須勾選 [使用遠端網關] 方塊。 如果您取消核取此方塊(預設值),來自對等互連虛擬網路的流量仍會流向此虛擬網路,但無法流經連結至此虛擬網路的虛擬網路網關。

使用遠端閘道: 勾選此選項,以允許此虛擬網路的流量通過與您對等互連的虛擬網路之虛擬網路閘道。 例如,您正對等連接的虛擬網路已連結 VPN 閘道,可啟用與內部網路的通訊。 勾選此選項可允許來自此虛擬網路的流量透過連接至對等虛擬網路的 VPN 閘道進行。 如果您核取此方塊,對等虛擬網路必須已連接虛擬網路閘道,並且必須已核取 允許閘道傳輸 方塊。 如果您取消核取此方塊(預設值),來自對等互連虛擬網路的流量仍可流向此虛擬網路,但無法流經連結至此虛擬網路的虛擬網路網關。

如果您已在虛擬網路中設定閘道,則無法使用遠端閘道。

權限

請確保在相同的 Microsoft Entra 租用戶中,使用不同訂用帳戶的 VNET 進行對等互連時,這些帳戶至少要被指派 網路貢獻者 角色。

重要

Azure Stack Hub 不支援跨不同訂用帳戶和不同 Microsoft Entra 租戶的虛擬網路之間的 VNET 對等連接。 只要這些訂用帳戶屬於相同的Microsoft Entra 租使用者,它就支援不同訂用帳戶上的 VNET 對等互連。 這與 Azure 實作不同。

虛擬網路對等互連常見問題 (FAQ)

什麼是虛擬網路對等連線?

虛擬網路對等互連可讓您將虛擬網路彼此連線。 虛擬網路之間的 VNet 對等互連連線可讓您透過 IPv4 位址私下路由傳送流量。 對等互連 VNet 中的虛擬機可以彼此通訊,就像它們位於相同網路一樣。 VNet 對等互連連線也可以在同一個 Microsoft Entra 租戶下的多個訂用帳戶中建立。

Azure Stack Hub 是否支援全球 VNET 對等連接?

Azure Stack Hub 不支援全域對等互連,因為「區域」的概念不適用。

哪一個 Azure Stack Hub 更新會提供虛擬網路對等互連?

從 2008 更新開始,Azure Stack Hub 中提供虛擬網路對等互連。

我可以在 Azure Stack Hub 中將虛擬網路對等連接到 Azure 中的虛擬網路嗎?

否,目前不支援 Azure 與 Azure Stack Hub 之間的對等連線。

我可以將 Azure Stack Hub1 中的虛擬網路對等互連到 Azure Stack Hub2 中的虛擬網路嗎?

否,對等互連只能在同一個 Azure Stack Hub 系統中的虛擬網路之間建立。 如需如何從不同戳記連接兩個虛擬網路的詳細資訊,請參閱 在 Azure Stack Hub中建立 VNET 對 VNET 連線。

如果我的虛擬網路屬於不同 Microsoft Entra 租用戶的訂用帳戶,是否可以啟用對等連線?

不。 如果您的訂用帳戶屬於不同的 Microsoft Entra 租戶,則無法建立虛擬網路 (VNet) 對等互連。 這是 Azure Stack Hub 的特定限制。

我可以將虛擬網路與不同訂用帳戶中的虛擬網路對等互連嗎?

是的。 如果虛擬網路屬於相同的Microsoft Entra 租使用者,您可以跨不同訂用帳戶對等互連。

對等互連連線是否有任何頻寬限制?

不。 虛擬網路對等互連不會強加任何頻寬限制。 帶寬僅受限於 VM 或計算資源。

我的虛擬網路對等互連連線處於 起始 狀態,為什麼我無法連線?

如果您的對等互連連線處於 起始 狀態,表示您只建立了一個連結。 必須建立雙向連結,才能建立成功的連線。 例如,若要將 VNet A 對等互連至 VNet B,則必須從 VNet A 建立連結至 VNet B,以及從 VNet B 到 VNet A。建立這兩個連結後,狀態會變更為 Connected

我的虛擬網路對等連線處於 已中斷 狀態,為什麼我無法建立對等連線?

如果您的虛擬網路對等連線處於 已中斷聯機 狀態,表示建立的其中一個連結已被刪除。 若要重新建立對等互連連線,請刪除連結並重新建立。

虛擬網路對等互連流量是否已加密?

不。 對等互連虛擬網路中的資源之間的流量是私人且隔離的。 它會完全保留在 Azure Stack Hub 系統的 SDN 層中。

如果我將 VNet A 對等互連至 VNet B,並將 VNet B 對等互連至 VNet C,這是否表示 VNet A 和 VNet C 對等互連?

不。 不支援可轉移的對等互連。 您必須對等互連 VNet A 和 VNet C。

後續步驟