為虛擬網路對等互連設定 VPN 閘道傳輸

本文將協助您為虛擬網路對等互連設定閘道傳輸。 虛擬網路對等互連可緊密連接兩個 Azure 虛擬網路，將兩個虛擬網路合併為一個以用於連線。 閘道傳輸是一個對等互連的屬性，可讓一個虛擬網路利用對等虛擬網路中的 VPN 閘道，來進行跨單位或 VNet 對 VNet 連線。

下圖顯示閘道傳輸搭配虛擬網路對等互連的運作方式。 在圖表中，閘道傳輸可讓對等的虛擬網路在 Hub-RM 中使用 Azure VPN 閘道。 VPN 閘道上可用的連線 (包括 S2S、P2S 和 VNet 對 VNet 連線) 皆適用於這三個虛擬網路。

此傳輸選項可以與所有 VPN 閘道 SKU 搭配使用，但基本 SKU 除外。

在中樞與輪輻式 (hub-and-spoke) 網路架構中，閘道傳輸會讓輪輻虛擬網路共用中樞內的 VPN 閘道，而不是將 VPN 閘道部署在每個輪輻虛擬網路中。 通往閘道連線虛擬網路或內部部署網路的路由，會傳播到使用閘道傳輸的對等虛擬網路路由表。

您可以從 VPN 閘道中停用自動路由傳播 建立具有「停用 BGP 路由傳播」選項的路由表，然後讓路由表與子網路產生關聯，以防止路由發佈至這些子網路。 如需詳細資訊，請參閱虛擬網路由表。

注意

如果您對網路拓撲進行變更並擁有 Windows VPN 用戶端，則必須重新下載並安裝 Windows 用戶端的 VPN 用戶端套件，才能將變更套用至用戶端。

必要條件

本文需要下列 VNet 和權限。

虛擬網路

VNet	設定步驟	虛擬網路閘道
Hub-RM	Resource Manager	是
Spoke-RM	Resource Manager	No

權限

您用於建立虛擬網路對等互連的帳戶必須具有必要角色或權限。 在以下範例中，如果您要將兩個虛擬網路 (分別名為 Hub-RM 和 Spoke-Classic) 對等互連，您的帳戶必須具有每個虛擬網路的下列角色或權限：

VNet	部署模型	角色	權限
Hub-RM	Resource Manager	網路參與者	Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write
Spoke-RM	Resource Manager	網路參與者	Microsoft.Network/virtualNetworks/peer

深入了解內建角色以及如何對自訂角色指派特定權限 (僅限 Resource Manager)。

新增對等互連並啟用傳輸

1. 在 Azure 入口網站中，建立或更新來自中樞-RM 的虛擬網路對等互連。 移至 Hub-RM 虛擬網路。 選取 [對等互連]，然後按一下 [+ 新增] 開啟 [新增對等互連]。

2. 在 [新增對等互連] 頁面上，設定遠端虛擬網路摘要的值。

   • 對等互連連結名稱：為連結命名。 範例：SpokeRMToHubRM
   • 虛擬網路部署模型：Resource Manager
   • 我知道資源識別碼：保留空白。 如果您無權讀取所要對等互連的虛擬網路或訂用帳戶，則只需要選取此選項。
   • 訂閱：選取訂閱。
   • 虛擬網路：Spoke-RM

3. 在 [新增對等互連] 頁面上，設定遠端虛擬網路對等互連設定的值。

   • 允許 'Spoke-RM' 存取 'Hub-RM'：保留選取項目的預設值。
   • 允許 'Spoke-RM' 接收來自 'Hub-RM' 的轉送流量：選取核取方塊。
   • 允許對等互連虛擬網路中的閘道或路由伺服器將流量轉送至 'Hub-RM'：保留非選取項目的預設值。
   • 啟用 'SpokeRM' 以使用 'Hub-RM' 遠端閘道或路由伺服器：選取核取方塊。

   

4. 在 [新增對等互連] 頁面上，設定本機虛擬網路摘要的值。

   • 對等互連連結名稱：為連結命名。 範例：HubRMToSpokeRM

5. 在 [新增對等互連] 頁面上，設定本機虛擬網路對等互連設定的值。

   • 允許 'Hub-RM' 存取對等互連的虛擬網路：保留選取項目的預設值。
   • 允許 'Hub-RM' 接收來自對等互連虛擬網路的轉送流量：選取核取方塊。
   • 允許 'Hub-RM' 中的閘道或路由伺服器將流量轉送至對等互連虛擬網路：選取核取方塊。
   • 啟用 'Hub-RM' 以使用對等互連虛擬網路的遠端閘道或路由伺服器：保留非選取項目的預設值。

   

6. 選取 [新增] 以建立對等互連。

7. 確認兩個虛擬網路上的對等互連狀態為已連線。

修改現有的對等互連以進行傳輸

如果您已具備現有的對等互連，則可以修改對等互連以進行傳輸。

1. 移至虛擬網路。 選取 [對等互連]，然後選取您想要修改的對等互連。 例如，在 Spoke-RM VNet 上，選取 [SpokeRMtoHubRM] 對等互連。

2. 更新 VNet 對等互連。

   啟用 'Spoke-RM' 以使用 'Hub-RM' 遠端閘道或路由伺服器：選取核取方塊。

3. 儲存對等互連設定。

PowerShell 範例

您也可以使用 PowerShell 來建立或更新對等互連。 使用您虛擬網路和資源群組的名稱取代變數。

$SpokeRG = "SpokeRG1"
$SpokeRM = "Spoke-RM"
$HubRG   = "HubRG1"
$HubRM   = "Hub-RM"

$spokermvnet = Get-AzVirtualNetwork -Name $SpokeRM -ResourceGroup $SpokeRG
$hubrmvnet   = Get-AzVirtualNetwork -Name $HubRM -ResourceGroup $HubRG

Add-AzVirtualNetworkPeering `
  -Name SpokeRMtoHubRM `
  -VirtualNetwork $spokermvnet `
  -RemoteVirtualNetworkId $hubrmvnet.Id `
  -UseRemoteGateways

Add-AzVirtualNetworkPeering `
  -Name HubRMToSpokeRM `
  -VirtualNetwork $hubrmvnet `
  -RemoteVirtualNetworkId $spokermvnet.Id `
  -AllowGatewayTransit

下一步

• 請先深入了解虛擬網路對等互連的條件約束和行為及虛擬網路對等互連設定，再建立虛擬網路對等互連以供生產環境使用。
• 了解如何透過虛擬網路對等互連和閘道傳輸來建立中樞和輪輻網路拓撲。
• 以相同部署模型建立虛擬網路對等互連。
• 以不同部署模型建立虛擬網路對等互連。