虛擬網路對等互連
虛擬網路對等互連可讓您順暢地連線 Azure 中的兩個或多個 虛擬網路 。 基於連線目的,虛擬網路會顯示為一個。 對等互連虛擬網路中虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構。 就像相同網路中虛擬機之間的流量一樣,流量只會透過Microsoft 專用 網路由傳送。
根據預設,虛擬網路會與其他500個虛擬網路對等互連。 藉由使用 Azure 虛擬網絡 Manager 的連線設定,您可以將此限制增加到對等互連至單一虛擬網路的 1,000 個虛擬網路。 透過這個較大的大小,您可以建立具有1,000個輪輻虛擬網路的中樞和輪輻拓撲,例如。 您也可以建立 1,000 個輪輻虛擬網路的網格,其中所有輪輻虛擬網路都會直接互連。
Azure 支援下列類型的對等互連:
- 虛擬網路對等互連:在相同的 Azure 區域內連線虛擬網路。
- 全域虛擬網路對等互連:跨 Azure 區域連線虛擬網路。
使用虛擬網路對等互連 (不論是本機還是全球) 的優點包括:
- 不同虛擬網路中的資源之間能享有低延遲的高頻寬連線。
- 讓某個虛擬網路中的資源與另一個虛擬網路中的資源通訊的能力。
- 可以跨越 Azure 訂用帳戶、Microsoft Entra 租用戶、部署模型和 Azure 區域,在虛擬網路之間傳輸資料。
- 能夠將透過 Azure Resource Manager 建立的虛擬網路對等互連。
- 可以將透過 Resource Manager 建立的虛擬網路,對等互連至透過傳統部署模型建立的虛擬網路。 若要深入了解 Azure 部署模型,請參閱了解 Azure 部署模型。
- 當您建立對等互連或在建立對等互連之後,虛擬網路中的資源不會停機。
對等互連虛擬網路之間的網路流量為私用。 虛擬網路之間的流量會保留在 Microsoft 骨幹網路上。 虛擬網路之間的通訊不需要公用因特網、閘道或加密。
連線性
針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。
在相同區域的對等互連虛擬網路中,虛擬機器之間的網路延遲與單一虛擬網路中的網路延遲相同。 網路輸送量為依照虛擬機器大小,按比例允許的頻寬。 對等互連內的頻寬沒有任何額外限制。
對等互連虛擬網路中的虛擬機之間的流量會透過Microsoft骨幹基礎結構直接路由傳送,而不是透過網路或透過公用因特網路由傳送。
您可以將網路安全性群組套用至任一個虛擬網路,以封鎖其他虛擬網路或子網路的存取權限。 當您設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全性群組規則。 如果您開啟對等互連虛擬網路之間的完整連線,則可以套用網路安全性群組以封鎖或拒絕特定的存取。 [完整連線] 是預設選項。 若要深入瞭解網路安全性群組,請參閱安全性群組。
針對對等互連的 Azure 虛擬網路,調整其位址空間大小
您可以針對對等互連的 Azure 虛擬網路來調整其位址空間大小,而不會在目前對等互連的位址空間上產生任何停機時間。 當您在調整工作負載之後需要調整虛擬網路位址空間的大小時,這項功能非常有用。 重設位址空間之後,對等必須與新的位址空間變更同步。 調整大小適用於 IPv4 和 IPv6 位址空間。
您可以透過下列方式調整位址大小:
- 修改現有位址範圍的位址範圍前置詞(例如,將 10.1.0.0/16 變更為 10.1.0.0/18)。
- 將位址範圍新增至虛擬網路。
- 從虛擬網路刪除位址範圍。
跨租用戶支持調整地址空間的大小。
您可透過 Azure 入口網站或 Azure PowerShell 來同步虛擬網路對等互連。 建議您在每次的位址空間大小調整作業之後執行同步,而不是執行多個大小調整作業之後,再執行同步作業。 若要瞭解如何更新對等互連虛擬網路的位址空間,請參閱 更新對等互連虛擬網路的位址空間。
重要
此功能不支援要更新的虛擬網路與傳統虛擬網路對等互連的案例。
服務鏈結
服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中虛擬設備或閘道。
若要啟用服務鏈結,請設定指向對等互連虛擬網路中虛擬機作為下一個躍點IP位址的UDR。 UDR 也可以指向虛擬網路閘道,以啟用服務鏈結。
您可以部署中樞和輪輻網路,其中中樞虛擬網路裝載基礎結構元件,例如網路虛擬設備或 VPN 閘道。 所有輪輻虛擬網路可接著與中樞虛擬網路對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。
虛擬網路對等互連可讓 UDR 中的下一個躍點成為對等互連虛擬網路或 VPN 閘道中虛擬機器的 IP 位址。 您無法使用 UDR 在虛擬網路之間路由傳送,其會將 Azure ExpressRoute 閘道指定為下一個躍點類型。 若要深入瞭解 UDR,請參閱 使用者定義的路由概觀。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲。
閘道與內部部署連線能力
每個虛擬網路 (包括對等互連虛擬網路) 都可以有專屬閘道。 虛擬網路可以使用其閘道來連線至內部部署網路。 即使對等互連的虛擬網路,您也可以使用閘道來設定虛擬網路對虛擬網路連線。
當您針對虛擬網路內部連線設定兩個選項時,虛擬網路之間的流量將會透過對等互連設定流動。 流量會使用 Azure 骨幹。
您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路不能有自己的閘道。 虛擬網路只能有一個閘道。 網關應該是對等互連虛擬網路中的本機或遠端網關,如下圖所示。
虛擬網路對等互連和全域虛擬網路對等互連都支援閘道傳輸。
支援透過不同部署模型建立虛擬網路之間的閘道傳輸。 閘道必須位於 Azure Resource Manager 模型中的虛擬網路中。 若要深入了解如何使用閘道來進行傳輸,請參閱設定 VPN 閘道以在虛擬網路對等互連中進行傳輸。
當您將共用單一 ExpressRoute 連線的虛擬網路對等互連時,它們之間的流量會通過對等互連關聯性。 該流量會使用 Azure 骨幹網路。 您依然可以在每個虛擬網路中使用本機閘道來連線內部部署線路。 否則,您也可以使用共用閘道並設定內部部署連線的傳輸。
疑難排解
若要確認虛擬網路已對等互連,您可以檢查有效路由。 檢查虛擬網路中任何子網的網路介面路由。 如果虛擬網路對等互連存在,虛擬網路內的所有子網都會針對每個對等互連虛擬網路中的每個位址空間,具有下一個躍點類型 虛擬網路對等互連的路由。 如需詳細資訊,請參閱診斷虛擬機器路由問題。
您也可以使用 Azure 網路監看員,針對對等互連虛擬網路中虛擬機的連線進行疑難解答。 連線能力檢查可讓您查看流量是以何種方式從來源虛擬機器的網路介面傳送至目的地虛擬機器的網路介面。 如需詳細資訊,請參閱使用 Azure 入口網站 針對與 Azure 網路監看員 的連線進行疑難解答。
您也可以參閱 針對虛擬網路對等互連問題進行疑難解答。
對等互連虛擬網路的限制
只有在為虛擬網路建立全域的對等互連時,會受到下列限制:
- 一個虛擬網路中的資源無法與全域對等互連虛擬網路中基本負載平衡器 (內部或公用) 的前端 IP 位址通訊。
- 某些使用基本負載平衡器的服務無法透過全域虛擬網路對等互連來運作。 如需詳細資訊,請參閱 與全域虛擬網路對等互連和負載平衡器相關的條件約束為何?。
您無法在虛擬網路作業中 PUT 執行虛擬網路對等互連。
如需詳細資訊,請參閱需求和限制。 若要深入瞭解支援的對等互連數目,請參閱網路限制。
權限
若要瞭解建立虛擬網路對等互連所需的權限,請參閱權限。
定價
使用虛擬網路對等互連連線的輸入和輸出流量會收取名義費用。 如需詳細資訊,請參閱 虛擬網路定價。
閘道傳輸是一個對等互連屬性,可讓虛擬網路在對等互連虛擬網路中使用虛擬專用網或 ExpressRoute 閘道。 閘道傳輸適用於跨單位和網路對網路連線。 對等互連虛擬網路中閘道的流量 (輸入或輸出) 會產生輪輻虛擬網路的虛擬網路對等互連費用 (或沒有 VPN 閘道的虛擬網路)。 如需詳細資訊,請參閱 Azure VPN 閘道 VPN 閘道費用和 ExpressRoute 閘道費用的價格。
注意
本檔的舊版指出,具有閘道傳輸的輪輻虛擬網路(或非閘道虛擬網路)不會套用虛擬網路對等互連費用。 費用現在會根據價格頁面反映精確的價格。