虛擬網路對等互連

虛擬網路對等互連讓您在 Azure Stack Hub 環境中順暢連線至虛擬網路。 基於連線目的,虛擬網路會顯示為一個。 虛擬機器之間的流量會使用基礎 SDN 基礎結構。 如同相同網路中虛擬機器之間的流量,流量僅會透過 Azure Stack Hub 私人網路路由傳送。

Azure Stack Hub 不支援全域對等互連,因為不適用「區域」的概念。

使用虛擬網路對等互連的優點如下所示:

  • 相同 Azure Stack Hub 戳記內不同虛擬網路中資源之間的低延遲、高頻寬連線。
  • 某個虛擬網路中的資源可以與相同 Azure Stack Hub 戳記內不同虛擬網路中的資源進行通訊。
  • 可以在相同 Azure Active Directory 租用戶內不同訂用帳戶中的虛擬網路之間傳輸資料。
  • 建立對等互連時或建立對等互連之後,虛擬網路中的資源沒有停機時間。

對等互連虛擬網路之間的網路流量為私用。 虛擬網路之間的流量會保留在基礎結構層中。 虛擬網路之間的通訊不需要公用網際網路、閘道或加密。

連線能力

針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。

在相同區域的對等互連虛擬網路中,虛擬機器之間的網路延遲與單一虛擬網路中的網路延遲相同。 網路輸送量為依照虛擬機器大小,按比例允許的頻寬。 對等互連內的頻寬沒有其他額外限制。

對等互連之虛擬網路中虛擬機器之間的流量,會透過 SDN 層直接路由傳送,而不會透過閘道或透過公用網際網路來傳送。

您可以將網路安全性群組套用至任一個虛擬網路,以封鎖其他虛擬網路或子網路的存取權限。 設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全性群組規則。 如果您開啟對等互連虛擬網路之間的完整連線,則可以套用網路安全性群組以封鎖或拒絕特定的存取。 [完整連線] 是預設選項。 若要深入瞭解網路安全性群組,請參閱安全性群組

服務鏈結

服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中的虛擬設備或閘道。

若要啟用服務鏈結,請設定使用者定義的路由,指向對等互連虛擬網路中作為下一個躍點 IP 位址的虛擬機器。

您可以部署中樞和輪輻網路,其中的中樞虛擬網路可以主控基礎結構元件,例如網路虛擬設備或 VPN 閘道。 所有輪輻虛擬網路可以接著與中樞虛擬網路對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。

虛擬網路對等互連可讓使用者定義路由中的下一個躍點成為對等互連虛擬網路中虛擬機器的 IP 位址。 若要深入了解使用者定義的路由,請參閱使用者定義的路由概觀。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲

閘道及內部部署連線能力

每個虛擬網路 (包括對等互連虛擬網路) 都可以有專屬閘道。 虛擬網路可以使用其閘道來連線至內部部署網路。 請檢閱 Azure Stack Hub 虛擬網路閘道文件

您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路無法擁有專屬閘道。 虛擬網路只有一個閘道。 閘道可以是對等互連虛擬網路中的本機或遠端閘道,如下圖所示:

VPN 閘道技術

請注意,在對等互連時啟用 [UseRemoteGateways] 選項之前,連線物件必須在 VPN 閘道中建立。

重要

Azure Stack Hub 會根據對等互連的虛擬網路子網 (而不是虛擬網路位址首碼) 設定系統路由。 這與 Azure 實作不同。 如果您要覆寫系統預設路由,例如案例:透過網路虛擬設備 (NVA) 路由傳送流量Azure 中的中樞和輪輻網路拓撲中所述的案例,其中想要將流量路由傳送至 NVA 或防火牆設備,則您必須為虛擬網路內的每個子網路建立路由項目。

虛擬網路對等互連設定

允許虛擬網路存取:允許虛擬網路之間相互通訊,會讓連線至任一虛擬網路的資源能夠以相同的頻寬和延遲相互通訊,如同這些資源皆是連線至相同的虛擬網路。 兩個虛擬網路中資源之間的所有通訊均會透過內部 SDN 層路由傳送。

不啟用網路存取的其中一個原因可能是您已使用其他虛擬網路對等互連虛擬網路,但有時想要停用兩個虛擬網路之間的流量流程。 您可能會發現啟用/停用功能比起先刪除再重新建立對等互連更為方便。 停用此設定時,對等互連的虛擬網路之間不會有流量傳送。

允許轉寄的流量:若要允許虛擬網路中網路虛擬設備 (不是源自虛擬網路)「所轉送的」流量透過對等互連流向此虛擬網路,請選取此方塊。 例如,假設有三個虛擬網路,分別名為 Spoke1、Spoke2 及 Hub。 每個支點 (Spoke) 虛擬網路與中樞 (Hub) 虛擬網路之間都有對等互連,但支點虛擬網路之間並沒有對等互連。 在中樞虛擬網路中已部署一個網路虛擬設備,並且在每個支點虛擬網路都套用了使用者定義的路由,可透過該網路虛擬設備來路由傳送子網路之間的流量。 如果未核取此核取方塊來允許每個支點虛擬網路與中樞虛擬網路之間進行對等互連,流量就不會在支點虛擬網路之間傳送,因為中樞不會轉送虛擬網路之間的流量。 啟用這項功能雖能允許轉送的流量通過對等互連,卻不會建立任何使用者定義的路由或網路虛擬設備。 使用者定義的路由和網路虛擬設備是另外建立的。 了解使用者定義的路由。 如果透過 VPN 閘道在虛擬網路之間轉送流量,您就無須檢查此設定。

允許閘道傳輸:如果您有連結到此虛擬網路的虛擬網路閘道,且想要讓來自對等互連虛擬網路的流量能夠流經閘道,請核取此方塊。 例如,此虛擬網路可能會透過虛擬網路閘道連結到內部部署網路。 核取此方塊可允許來自對等互連虛擬網路的流量,流經連結到此虛擬網路的閘道,再流向內部部署網路。 如果您核取此方塊,對等互連的虛擬網路將無法設定閘道。 在設定從其他虛擬網路至此虛擬網路的對等互連時,在對等互連的虛擬網路上必須選取 [使用遠端閘道] 方塊。 如果您讓此方塊保持未核取狀態 (預設),來自對等互連虛擬網路的流量仍會流到此虛擬網路,但無法流經連結到此虛擬網路的虛擬網路閘道。

使用遠端閘道:核取此方塊可讓來自此虛擬網路的流量能夠流經連結到所要對等互連之虛擬網路的虛擬網路閘道。 例如,您要對等互連的虛擬網路已連結 VPN 閘道,而能夠與內部部署網路通訊。 核取此方塊將可讓來自此虛擬網路的流量流經連結到對等互連虛擬網路的 VPN 閘道。 如果您核取此方塊,對等互連的虛擬網路必須有連結到其中的虛擬網路閘道,而且必須已核取 [允許閘道傳輸] 方塊。 如果您讓此方塊保持未核取狀態 (預設),來自對等互連虛擬網路的流量仍可流到此虛擬網路,但無法流經連結到此虛擬網路的虛擬網路閘道。

如果您的虛擬網路中已經設定閘道,就無法使用遠端閘道。

權限

請確保在相同 Azure AD 租用戶內的不同訂用帳戶中建立與 VNET 的對等互連時,至少已將「網路參與者」角色指派給帳戶。

重要

Azure Stack Hub 不支援不同訂用帳戶上與不同 Azure AD 租用戶上的虛擬網路之間的 VNET 對等互連。 只要這些訂用帳戶屬於相同的 Azure AD 租用戶,就支援不同訂用帳戶上 VNET 之間的 VNET 對等互連。 這與 Azure 實作不同。

虛擬網路對等互連的常見問題 (FAQ)

什麼是虛擬網路對等互連?

虛擬網路對等互連允許您連限制虛擬網路。 虛擬網路之間的 VNet 對等互連連線可讓您私下透過 IPv4 位址在虛擬網路之間路由傳送流量。 所對等互連 VNet 中的虛擬機器可以彼此通訊,彷彿它們位於相同的網路內。 您也可以在相同 Azure AD 租用戶內的多個訂用帳戶中建立 VNet 對等互連連線。

Azure Stack Hub 是否支援全域 VNET 對等互連?

Azure Stack Hub 不支援全域對等互連,因為不適用「區域」的概念。

虛擬網路對等互連將可在哪個一版的 Azure Stack Hub 更新上使用?

自 Azure Stack Hub 2008 更新起,均可使用虛擬網路對等互連。

是否可以將 Azure Stack Hub 中的虛擬網路對等互連至 Azure 中的虛擬網路?

否,目前不支援 Azure 與 Azure Stack hub 之間的對等互連。

是否可以將 Azure Stack Hub1 中的虛擬網路對等互連至 Azure Stack Hub2 中的虛擬網路?

否,僅可在單一 Azure Stack Hub 系統中建立虛擬網路之間的對等互連。 如需如何從不同戳記連線至兩個虛擬網路的詳細資訊,請參閱在 Azure Stack Hub 中建立 VNET 至 VNET 的連線

如果我的虛擬網路屬於不同 Azure Active Directory 租用戶內的訂用帳戶,是否可以啟用對等互連?

不可以。 如果您的訂用帳戶屬於不同的 Azure Active Directory 租用戶,則無法建立 VNet 對等互連。 這是 Azure Stack Hub 的特定限制。

是否可以將我的虛擬網路與位於不同訂用租戶的虛擬網路進行對等互連?

可以。 如果虛擬網路屬於相同的 Azure AD 租用戶,則您可以跨不同的訂用帳戶對等互連。

對等互連連線是否有任何頻寬限制?

不會。 虛擬網路對等互連不會強加任何頻寬限制。 頻寬只受限於 VM 或計算資源。

我的虛擬網路對等互連連線已處於「已起始」狀態,為何無法連線?

如果您的對等互連連線處於「已起始」狀態,則表示您僅建立一個連結。 必須建立雙向連結,才能建立成功的連線。 例如,若要將 VNet A 對等互連至 VNet B,則必須建立 VNet A 至 VNet B 的連結和 VNet B 至 VNet A 的連結。建立兩個連結後,狀態便會變更為「已連線」。

我的虛擬網路對等互連連線處於「已中斷連線」狀態,為何無法建立對等互連連線?

如果虛擬網路對等互連連線處於「已中斷連線」的狀態,則表示其中一個所建立的連結已刪除。 為了重新建立對等互連連線,請刪除連線並重新建立。

虛擬網路對等互連流量是否已加密?

不會。 在對等互連的虛擬網路中,資源之間的流量是私人且隔離的。 其會在 Azure Stack Hub 系統的 SDN 層中完整保留。

如果將 VNet A 對等連線至 VNet B 並將 VNet B 對等連線至 VNet C,這是否表示 VNet A 和 VNet C 已對等互連?

不會。 目前不支援轉移的對等互連。 您必須將 VNet A 對等互連至 VNet C。

後續步驟