建立、變更或刪除虛擬網路對等互連

了解如何建立、變更或刪除虛擬網路對等互連。 虛擬網路對等互連可讓您透過 Azure 骨幹網路，將同一區域或跨區域 (也稱為全域 虛擬網路對等互連) 的虛擬網路連線。 對等互連建立好之後，系統仍會將虛擬網路視為獨立資源來進行管理。 如果您不熟悉虛擬網路同儕節點，您可以在虛擬網路同儕節點概觀或透過完成虛擬網路對等互連教學課程來深入了解。

必要條件

如果您沒有包含作用中訂用帳戶的 Azure 帳戶，請建立免費帳戶。 開始本文的其餘部分之前，請先完成下列其中一項工作：

入口網站

使用具有必要權限的 Azure 帳戶登入 Azure 入口網站，以使用對等互連。

PowerShell

在 Azure Cloud Shell 中，或是從您的電腦以本機方式執行 PowerShell 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell，可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具，可與您的帳戶搭配使用。 在 [Azure Cloud Shell] 瀏覽器索引標籤中，尋找 [選取環境] 下拉式清單，然後選擇 [PowerShell] (如果尚未選取)。

如果您在本機執行 PowerShell，請使用 Azure PowerShell 模組 1.0.0 版或更新版本。 執行 Get-Module -ListAvailable Az.Network 以尋找安裝的版本。 如果您需要安裝或升級，請參閱安裝 Azure PowerShell 模組。 執行 Connect-AzAccount 以使用具有必要權限的 Azure 帳戶登入 Azure，以使用 VNet 對等互連。

Azure CLI

在 Azure Cloud Shell 中，或是從您的電腦以本機方式執行 Azure CLI 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell，可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具，可與您的帳戶搭配使用。 在 Azure Cloud Shell 瀏覽器索引標籤中，尋找 [選取環境] 下拉式清單，然後選擇 [Bash] (如果尚未選取)。

如果您是在本機執行 Azure CLI，請使用 Azure CLI 2.0.31 版或更新版本。 執行 az --version 以尋找安裝的版本。 如果您需要安裝或升級，請參閱安裝 Azure CLI。 執行 az login 以使用具有必要權限的 Azure 帳戶登入 Azure，以使用 VNet 對等互連。

您用於連線至 Azure 的帳戶必須指派給網路參與者角色，或已受指派 [權限] 中所列出適當動作的自訂角色。

建立對等互連

建立對等互連之前，請先熟悉需求和限制與必要的權限。

入口網站

1. 在 Azure 入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

2. 在 [虛擬網路]中，選取您要為其建立對等互連的網路。

3. 在 [設定] 選取 [對等互連]。

4. 選取 + 新增。

5. 輸入或選取下列設定的值，然後選取 [新增]。

   設定	描述
   遠端虛擬網路摘要
   對等互連連結名稱	本機虛擬網路的對等互連名稱。 名稱在虛擬網路中必須是唯一的。
   虛擬網路部署模型	選取您想要對等互連之虛擬網路是透過哪個部署模型所部署的。
   我知道我的資源識別碼	如果您有權讀取所要對等互連的虛擬網路，請讓此核取方塊保持未選取狀態。 如果您無權讀取所要對等互連的虛擬網路或訂用帳戶，請勾選此核取方塊。
   資源識別碼	當您勾選 [我知道我的資源識別碼] 核取方塊時，便會顯示此欄位。 您輸入的資源識別碼所屬的虛擬網路，必須和此虛擬網路位於相同的，或支援之不同的 Azure 區域中。 完整的資源識別碼看起來會類似 /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>。 您可以檢視虛擬網路的屬性，以取得虛擬網路的資源識別碼。 若要了解如何檢視虛擬網路的屬性，請參閱＜管理虛擬網路＞。 如果訂用帳戶關聯至與您對等互連虛擬網路所用訂用帳戶不同的 Microsoft Entra 租用戶，則必須指派使用者權限。 新增每個租用戶的使用者作為相對租用戶中的來賓使用者。
   訂用帳戶	選取您想要對等互連之虛擬網路的訂用帳戶。 視帳戶有權讀取的訂用帳戶而定，系統會列出一或多個訂用帳戶。
   虛擬網路	選取遠端虛擬網路。
   遠端虛擬網路對等互連設定
   允許對等互連的虛擬網路存取 'vnet-1'	依預設，會選取這個選項。 - 選取此選項以允許從對等互連的虛擬網路到 'vnet-1' 的流量。 此設定會在中樞輪輻網路拓撲中啟用中樞與輪輻節點之間的通訊，並允許對等虛擬網路中的 VM 與 'vnet-1' 中的 VM 進行通訊。 當選取此設定時，網路安全性群組的 VirtualNetwork 服務標記包含虛擬網路和對等互連的虛擬網路。 若要深入了解服務標籤，請參閱 Azure 服務標籤。
   允許對等互連的虛擬網路接收來自 'vnet-1' 的轉送流量	此選項預設不會選取。 - 啟用此選項可讓對等互連的虛擬網路接收來自與 'vnet-1' 對等互連的虛擬網路的流量。 例如，如果 vnet-2 有一個 NVA 接收來自 vnet-2 外部的流量並轉送至 vnet-1，您可以選取此設定以允許該流量從 vnet-2 到達 vnet-1。 啟用這項功能雖能允許轉送的流量通過對等互連，卻不會建立任何使用者定義的路由或網路虛擬設備。 使用者定義的路由和網路虛擬設備是另外建立的。
   允許對等互連虛擬網路中的閘道或路由伺服器將流量轉送至 'vnet-1'	此選項依預設不會選取。 - 啟用此設定可讓 'vnet-1' 接收來自對等互連虛擬網路的閘道或路由伺服器的流量。 為了啟用此選項，對等互連的虛擬網路必須包含閘道或路由伺服器。
   讓對等互連的虛擬網路能夠使用 'vnet-1' 的遠端閘道或路由伺服器	此選項預設不會選取。 - 只有當 'vnet-1' 具有遠端閘道或路由伺服器，而且 'vnet-1' 啟用「允許 'vnet-1' 中的閘道將流量轉送至對等互連的虛擬網路」時，才能啟用此選項。 此選項只能在其中一個對等互連虛擬網路的對等互連中啟用。 如果您要此虛擬網路使用遠端路由伺服器來交換路由，您也可選擇此選項，請參閱 Azure 路由伺服器。 注意：如果您的虛擬網路中已經設定閘道，就無法使用遠端閘道。若要深入了解如何使用閘道來進行傳輸，請參閱為虛擬網路對等互連設定 VPN 閘道傳輸一文。
   區域虛擬網路摘要
   對等互連連結名稱	遠端虛擬網路的對等互連名稱。 名稱在虛擬網路中必須是唯一的。
   區域虛擬網路對等互連設定
   允許 'vnet-1' 存取對等互連的虛擬網路	依預設，會選取這個選項。 - 選取此選項以允許從 'vnet-1' 到對等互連虛擬網路的流量。 此設定會在中樞輪輻網路拓撲中啟用中樞與輪輻節點之間的通訊，並允許 'vnet-1' 中的 VM 與對等虛擬網路中的 VM 進行通訊。
   允許 'vnet-1' 接收來自對等互連的虛擬網路的轉送流量	此選項預設不會選取。 - 啟用此選項可讓 'vnet-1' 接收來自與對等互連虛擬網路對等互連的虛擬網路的流量。 例如，如果 vnet-2 的 NVA 可接收來自 vnet-2 外部的流量以轉送至 vnet-1，則您可選取此設定以允許流量從 vnet-2 傳送至 vnet-1。 啟用這項功能雖能允許轉送的流量通過對等互連，卻不會建立任何使用者定義的路由或網路虛擬設備。 使用者定義的路由和網路虛擬設備是另外建立的。
   允許 'vnet-1' 中的閘道或路由伺服器將流量轉送至對等互連的虛擬網路	此選項依預設不會選取。 - 啟用此設定可讓對等互連的虛擬網路接收來自 'vnet-1' 的閘道或路由伺服器的流量。 為了啟用此選項，'vnet-1' 必須包含閘道或路由伺服器。
   讓 'vnet-1' 能夠使用對等互連的虛擬網路的遠端閘道或路由伺服器	此選項預設不會選取。 - 只有當對等互連的虛擬網路具有遠端閘道或路由伺服器，而且對等互連的虛擬網路啟用「允許對等互連的虛擬網路中的閘道將流量轉送至 'vnet-1'」時，才能啟用此選項。 此選項只能在其中一個 'vnet-1' 的對等互連中啟用。

   

   注意

   如果您使用虛擬網路閘道將內部部署流量傳遞至對等互連虛擬網路，則內部部署 VPN 裝置的對等互連虛擬網路 IP 範圍必須設定為「感興趣」的流量。 您可能需要將所有 Azure 虛擬網路的 CIDR 位址新增至內部部署 VPN 裝置上的站對站 IPSec VPN 通道設定。 CIDR 位址包括資源，例如中樞、輪輻和點對站 IP 位址集區。 否則，您的內部部署資源將無法與對等互連 VNet 中的資源進行通訊。 感興趣的流量會透過第 2 階段安全性關聯進行通訊。 安全性關聯會為每個指定的子網路建立專用 VPN 通道。 內部部署和 Azure VPN 閘道層必須支援相同數目的站對站 VPN 通道和 Azure VNet 子網路。 否則，您的內部部署資源將無法與對等互連 VNet 中的資源進行通訊。 如需為每個指定 Azure VNet 子網路建立第 2 階段安全性關聯的指示，請參閱內部部署 VPN 文件。

6. 幾秒鐘後，請選取 [重新整理] 按鈕，對等互連狀態將會從 [更新中] 變更為 [已連線]。

   

如需在不同訂用帳戶和部署模型的虛擬網路之間實作對等互連的逐步指示，請參閱後續步驟。

PowerShell

使用 Add-AzVirtualNetworkPeering 來建立虛擬網路對等互連。

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

Azure CLI

1. 使用 az network vnet peering create 來建立虛擬網路對等互連。

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

檢視或變更對等互連設定

變更對等互連之前，請先熟悉需求和限制與必要的權限。

入口網站

1. 在 Azure 入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

2. 選取您要檢視或變更虛擬網路其對等互連設定的虛擬網路。

3. 選取 [設定] 中的 [對等互連]，然後選取您想要查看或變更設定的對等互連。

   

4. 變更適當的設定。 請在建立對等互連的步驟 4 中閱讀各項設定的選項。 然後選取 [儲存] 以完成設定變更。

   

PowerShell

使用 Get-AzVirtualNetworkPeering 來列出虛擬網路的對等互連和其設定。

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

使用 Set-AzVirtualNetworkPeering 來變更對等互連設定。

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

Azure CLI

使用 az network vnet peering list 來列出虛擬網路的對等互連。

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

使用 az network vnet peering show 來顯示特定對等互連的設定。

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

使用 az network vnet peering update 來變更對等互連設定。

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

刪除對等互連

刪除對等互連之前，請先熟悉需求和限制與必要的權限。

入口網站

當兩個虛擬網路之間的對等互連遭到刪除時，流量將無法再於虛擬網路之間流動。 當您想要讓虛擬網路有時進行通訊但不隨時通訊，而不是不刪除對等互連時，如果要封鎖遠端虛擬網路的流量，請取消選取 [允許遠端虛擬網路的流量] 設定。 您可能會發現停用和啟用網路存取比起先刪除再重新建立對等互連更為簡單。

1. 在 Azure 入口網站頂端的搜尋方塊中，輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]。

2. 選取您要檢視或變更虛擬網路其對等互連設定的虛擬網路。

3. 在 [設定] 選取 [對等互連]。

   

4. 選取您要刪除之對等互連旁的方塊，然後選取 [刪除]。

   

5. 在 [刪除對等互連] 中，於確認方塊中輸入 [刪除] ，然後選取 [刪除]。

   

   注意

   當您從虛擬網路刪除虛擬網路對等互連時，也會刪除遠端虛擬網路的對等互連。

6. 選取 [刪除]，以確認刪除 [刪除確認]。

   

PowerShell

使用 Remove-AzVirtualNetworkPeering 來建立虛擬網路對等互連

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

Azure CLI

使用 az network vnet peering create 來刪除虛擬網路對等互連。

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

需求和限制

• 您可以將相同區域或不同區域中的虛擬網路對等互連。 讓不同區域中的虛擬網路進行對等互連，也稱為「全域虛擬網路對等互連」。

• 在建立全域對等互連時，對等互連的虛擬網路可以存在於任何 Azure 公用雲端區域或中國雲端區域中，或在 Government 雲端區域中。 您無法跨雲端對等互連。 例如，Azure 公用雲端中的虛擬網路無法對等互連至由 21Vianet 雲端所營運 Microsoft Azure 中的虛擬網路。

• 當處於對等互連的一部分時，無法移動虛擬網路。 如果您需要將虛擬網路移至不同的資源群組或訂用帳戶，您必須刪除對等互連、移動虛擬網路，然後重新建立對等互連。

• 一個虛擬網路中的資源無法與全域對等互連虛擬網路中基本負載平衡器 (內部或公用) 的前端 IP 位址通訊。 基本負載平衡器只能在相同區域內提供支援。 虛擬網路對等互連和全域虛擬網路對等互連可支援標準負載平衡器。 某些使用基本負載平衡器的服務無法透過全域虛擬網路對等互連來運作。 如需詳細資訊，請參閱全域虛擬網路對等互連與負載平衡器相關的條件約束。

• 您可以使用遠端閘道，或允許在全域對等互連的虛擬網路和本地對等互連的虛擬網路中進行閘道傳輸。

• 虛擬網路可位於相同或不同的訂用帳戶。 當您將不同訂用帳戶中的虛擬網路對等互連時，這兩個訂用帳戶可以與相同或不同的 Microsoft Entra 租用戶相關聯。 如果您還沒有 AD 租用戶，您可以建立租用戶。

• 要建立對等互連的虛擬網路必須有非重疊的 IP 位址空間。

• 您可以將透過 Resource Manager 所部署的兩個虛擬網路對等互連，或將透過 Resource Manager 所部署的虛擬網路與透過傳統部署模型所部署的虛擬網路對等互連。 您無法將兩個透過傳統部署模型建立的虛擬網路對等互連。 如果您不熟悉 Azure 部署模型，請閱讀了解 Azure 部署模型一文。 您可以使用 VPN 閘道，將兩個透過傳統部署模型建立的虛擬網路加以連線。

• 將兩個透過 Resource Manager 所建立的虛擬網路對等互連時，您必須為對等互連中的每個虛擬網路設定對等互連。 您會看到下列其中一種對等互連狀態類型：

  • 已起始：當您建立第一個對等互連時，其狀態為 [已起始]。

  • 已連線：當您建立第二個對等互連時，兩個對等互連的對等互連狀態會變成 [已連線]。 在兩個虛擬網路對等互連的對等互連狀態變為 [已連線] 之後，您才能成功建立對等互連。

• 在將透過 Resource Manager 所建立的虛擬網路與透過傳統部署模型所建立的虛擬網路對等互連時，您只會對透過 Resource Manager 所部署的虛擬網路設定對等互連。 您無法對虛擬網路 (傳統) 設定對等互連，也無法在兩個透過傳統部署模型所部署的虛擬網路之間設定對等互連。 當您從虛擬網路 (Resource Manager) 對虛擬網路 (傳統) 建立對等互連時，對等互連狀態先是 [更新中]，然後很快就會變為 [已連線]。

• 兩個虛擬網路之間建立了對等互連。 對等互連本身無法轉移。 如果您在下列項目之間建立對等互連：

  • VirtualNetwork1 和 VirtualNetwork2

  • VirtualNetwork2 和 VirtualNetwork3

    則 VirtualNetwork1 與 VirtualNetwork3 之間沒有經由 VirtualNetwork2 的連線。 如果您想要讓 VirtualNetwork1 和 VirtualNetwork3 直接進行通訊，您必須在 VirtualNetwork1 和 VirtualNetwork3 之間建立明確的對等互連，或透過中樞網路中的 NVA 進行。 如需詳細資訊，請參閱 Azure 中的中樞輪輻網路拓撲。

• 您無法使用預設的 Azure 名稱解析在對等互連的虛擬網路中解析名稱。 若要在其他虛擬網路中解析名稱，您必須使用 Azure 私人 DNS 或自訂 DNS 伺服器。 若要了解如何設定自有 DNS 伺服器，請參閱使用專屬 DNS 伺服器的名稱解析。

• 相同區域的對等互連虛擬網路中的資源可彼此通訊，且通訊時會有相同的延遲，如同這些資源是位於相同的虛擬網路中一樣。 網路輸送量為依照虛擬機器大小，按比例允許的頻寬。 對等互連內的頻寬沒有任何額外限制。 每個虛擬機器大小各有其網路頻寬上限。 若要深入了解不同虛擬機器大小的網路頻寬上限，請參閱 Azure 中的虛擬機器大小。

• 虛擬網路可以既與另一個虛擬網路對等互連，又同時連線到另一個具有 Azure 虛擬網路閘道的虛擬網路。 當虛擬網路同時透過對等互連和閘道進行連線時，虛擬網路間的流量會透過對等互連設定，而非透過閘道。

• 成功設定虛擬網路對等互連之後，必須再次下載「點對站」VPN 用戶端，以確保新的路由下載至用戶端。

• 我們會針對使用虛擬網路對等互連的輸入和輸出流量收取少許費用。 如需詳細資訊，請參閱價格網頁。

• 當「允許流量流向遠端虛擬網路」停用時，未啟用網路隔離的應用程式閘道不允許在對等互連的 VNET 之間傳送流量。

權限

您用來處理虛擬網路同儕節點的帳戶必須指派給下列角色：

• 網路參與者：適用於透過資源管理員部署的虛擬網路。

• 傳統網路參與者：適用於透過傳統部署模型部署的虛擬網路。

如果您的帳戶未指派給上述其中一個角色，則必須指派給自訂角色，且該角色已獲指派下表中的必要動作：

動作	名稱
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	建立從虛擬網路 A 到虛擬網路 B 的對等互連時所需。虛擬網路 A 必須為虛擬網路 (資源管理員)
Microsoft.Network/virtualNetworks/peer/action	建立從虛擬網路 B (資源管理員) 到虛擬網路 A 的對等互連時所需
Microsoft.ClassicNetwork/virtualNetworks/peer/action	建立從虛擬網路 B (傳統) 到虛擬網路 A 的對等互連時所需
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	讀取虛擬網路對等互連
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	刪除虛擬網路對等互連

下一步

• 虛擬網路對等互連可在虛擬網路之間建立，而這兩個虛擬網路是透過存在於相同或不同訂用帳戶中的相同或不同部署模型所建立。 完成下列其中一個案例的教學課程：

  Azure 部署模型	訂用帳戶
  兩者皆使用 Resource Manager	相同
  	不同
  一個使用 Resource Manager、一個使用傳統部署模型	相同
  	不同

• 了解如何建立中樞和輪輻網路拓撲

• 使用 PowerShell 或 Azure CLI 範例指令碼，或使用 Azure Resource Manager 範本建立虛擬網路對等互連

• 建立並指派虛擬網路的 Azure 原則定義