虛擬網路對等互連
虛擬網路對等互連可讓您順暢地連線 Azure 中兩個以上的虛擬網路。 基於連線目的,虛擬網路會顯示為一個。 對等互連虛擬網路中虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構。 如同相同網路中虛擬機器之間的流量,流量只會透過 Microsoft 的私人網路路由傳送。
Azure 支援下列類型的對等互連:
虛擬網路對等互連:在相同的 Azure 區域內連線虛擬網路。
全域虛擬網路對等互連:跨 Azure 區域連線虛擬網路。
使用虛擬網路對等互連 (不論是本機還是全球) 的優點包括:
不同虛擬網路中的資源之間能享有低延遲的高頻寬連線。
讓某個虛擬網路中的資源與另一個虛擬網路中的資源通訊的能力。
可以跨越 Azure 訂用帳戶、Microsoft Entra 租用戶、部署模型和 Azure 區域,在虛擬網路之間傳輸資料。
可以將透過 Azure Resource Manager 建立的虛擬網路進行對等互連。
可以將透過 Resource Manager 建立的虛擬網路,對等互連至透過傳統部署模型建立的虛擬網路。 若要深入了解 Azure 部署模型,請參閱了解 Azure 部署模型。
建立對等互連時或建立對等互連之後,虛擬網路中的資源沒有停機時間。
對等互連虛擬網路之間的網路流量為私用。 虛擬網路之間的流量會保留在 Microsoft 骨幹網路上。 虛擬網路之間的通訊不需要公用網際網路、閘道或加密。
連線性
針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。
在相同區域的對等互連虛擬網路中,虛擬機器之間的網路延遲與單一虛擬網路中的網路延遲相同。 網路輸送量為依照虛擬機器大小,按比例允許的頻寬。 對等互連內的頻寬沒有任何額外限制。
對等互連之虛擬網路中的虛擬機器之間的流量,會透過 Microsoft 骨幹基礎結構直接路由傳送,而不會透過閘道或透過公用網際網路來傳送。
您可以將網路安全性群組套用至任一個虛擬網路,以封鎖其他虛擬網路或子網路的存取權限。 當您設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全性群組規則。 如果您開啟對等互連虛擬網路之間的完整連線,則可以套用網路安全性群組以封鎖或拒絕特定的存取。 [完整連線] 是預設選項。 若要深入瞭解網路安全性群組,請參閱安全性群組。
針對對等互連的 Azure 虛擬網路,調整其位址空間大小
您可以針對對等互連的 Azure 虛擬網路來調整其位址空間大小,而不會在目前對等互連的位址空間上產生任何停機時間。 調整工作負載後,當您需要調整虛擬網路的位址空間大小時,這項功能會很有用。 調整位址空間之後,對等必須與新的位址空間變更同步。 調整大小適用於 IPv4 和 IPv6 位址空間。
位址可透過下列方式來調整大小:
修改現有位址範圍的位址範圍首碼 (例如將 10.1.0.0/16 變更為 10.1.0.0/18)
將位址範圍新增至虛擬網路
刪除虛擬網路的位址範圍
跨租用戶支持調整位址空間的大小
虛擬網路對等互連的同步可以透過 Azure 入口網站或 Azure PowerShell 來執行。 建議您在每次的位址空間大小調整作業之後執行同步,而不是執行多個大小調整作業之後,再執行同步作業。 若要了解如何更新對等互連虛擬網路的位址空間,請參閱更新對等互連虛擬網路的位址空間。
重要
如果要更新的虛擬網路與下列項目對等互連,則此功能不支援這類案例:
- 傳統虛擬網路
服務鏈結
服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中的虛擬設備或閘道。
若要啟用服務鏈結,請設定使用者定義的路由,指向對等互連虛擬網路中作為下一個躍點 IP 位址的虛擬機器。 使用者定義的路由也可以指向虛擬網路閘道,以啟用服務鏈結。
您可以部署中樞和輪輻網路,其中的中樞虛擬網路可以裝載基礎結構元件,例如網路虛擬設備或 VPN 閘道。 所有輪輻虛擬網路可接著與中樞虛擬網路對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。
虛擬網路對等互連可讓使用者定義路由中的下一個躍點成為對等互連的虛擬網路或 VPN 閘道中虛擬機器的 IP 位址。 您無法使用指定 Azure ExpressRoute 閘道作為下一個躍點類型的使用者定義路由,在虛擬網路之間路由傳送。 若要深入了解使用者定義的路由,請參閱使用者定義的路由概觀。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲。
閘道與內部部署連線能力
每個虛擬網路 (包括對等互連虛擬網路) 都可以有專屬閘道。 虛擬網路可以使用其閘道來連線至內部部署網路。 即使對等互連的虛擬網路,您也可以使用閘道來設定虛擬網路對虛擬網路連線。
當您針對虛擬網路內部連線設定兩個選項時,虛擬網路之間的流量將會透過對等互連設定流動。 流量會使用 Azure 骨幹。
您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路無法擁有專屬閘道。 虛擬網路只能有一個閘道,閘道應該是對等互連虛擬網路中的本機或遠端閘道,如下圖所示:
虛擬網路對等互連和全域虛擬網路對等互連都支援閘道傳輸。
支援透過不同部署模型建立虛擬網路之間的閘道傳輸。 閘道必須位於 Resource Manager 模型的虛擬網路中。 若要深入了解如何使用閘道來進行傳輸,請參閱設定 VPN 閘道以在虛擬網路對等互連中進行傳輸。
當您對等互連共用單一 Azure ExpressRoute 連線的虛擬網路時,其中的流量會經過對等互連關聯性。 該流量會使用 Azure 骨幹網路。 您依然可以在每個虛擬網路中使用本機閘道來連線內部部署線路。 否則,您也可以使用共用閘道並設定內部部署連線的傳輸。
疑難排解
若要確認虛擬網路已對等互連,您可以檢查有效路由。 檢查虛擬網路中任何子網的網路介面路由。 如果虛擬網路對等互連存在,則虛擬網路內的所有子網路都具有下一個躍點類型為「VNet 對等互連」的路由 (對每個對等互連的虛擬網路中的每個位址空間而言)。 如需詳細資訊,請參閱診斷虛擬機器路由問題。
您也可以使用 Azure 網路監看員,針對對等互連虛擬網路中的虛擬機器連線能力進行疑難排解。 連線能力檢查可讓您查看流量是以何種方式從來源虛擬機器的網路介面傳送至目的地虛擬機器的網路介面。 如需詳細資訊,請參閱使用 Azure 入口網站利用 Azure 網路監看員進行連線疑難排解。
您也可以嘗試疑難排解虛擬網路對等互連問題。
對等互連虛擬網路的限制
只有在為虛擬網路建立全域的對等互連時,會受到下列限制:
一個虛擬網路中的資源無法與全域對等互連虛擬網路中基本負載平衡器 (內部或公用) 的前端 IP 位址通訊。
某些使用基本負載平衡器的服務無法透過全域虛擬網路對等互連來運作。 如需詳細資訊,請參閱全域 VNet 對等互連與 Load Balancer 有哪些相關的條件約束?。
您無法在 PUT
虛擬網路作業中執行虛擬網路對等互連。
如需詳細資訊,請參閱需求和限制。 若要深入瞭解支援的對等互連數目,請參閱網路限制。
權限
若要瞭解建立虛擬網路對等互連所需的權限,請參閱權限。
定價
我們會針對使用虛擬網路對等互連連線的輸入和輸出流量收取少許費用。 如需詳細資訊,請參閱虛擬網路價格。
閘道傳輸是一種對等互連屬性,可讓虛擬網路利用對等互連虛擬網路中的 VPN/ExpressRoute 閘道。 閘道傳輸適用於跨單位和網路到網路的連線能力。 對等互連虛擬網路中閘道的流量 (輸入或輸出) 會產生輪輻虛擬網路的虛擬網路對等互連費用 (或沒有 VPN 閘道的虛擬網路)。 如需詳細資訊,請參閱 VPN 閘道費用的 VPN 閘道價格,以及 ExpressRoute 閘道費用的 ExpressRoute 閘道價格。
注意
本文件的前一版指出,虛擬網路對等互連費用不會套用至具有閘道傳輸的輪輻 VNet (或非閘道 VNet) 上。 費用現在會根據價格頁面反映精確的價格。
下一步
您可以在兩個虛擬網路之間建立對等互連。 網路可以屬於相同的訂用帳戶、相同訂用帳戶中的不同部署模型,或者不同的訂用帳戶。 完成下列其中一個案例的教學課程:
Azure 部署模型 訂用帳戶 兩者皆使用 Resource Manager 相同 不同 一個使用 Resource Manager、一個使用傳統部署模型 相同 不同 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲。
若要瞭解所有虛擬網路對等互連設定,請參閱建立、變更或刪除虛擬網路對等互連。
如需常見虛擬網路對等互連和全域虛擬網路對等互連問題的回答,請參閱 VNet 對等互連。