共用方式為

建立虛擬網路對等互連 - Resource Manager,不同的訂用帳戶和 Microsoft Entra 租用戶

  • 發行項

在本教學課程中,您會了解如何在透過 Resource Manager 建立的虛擬網路之間,建立虛擬網路對等互連。 虛擬網路存在於不同的訂用帳戶中,而這些訂用帳戶可能屬於不同的 Microsoft Entra 租用戶。 對等互連兩個虛擬網路,可讓不同虛擬網路中的資源彼此通訊,且通訊時會有相同的頻寬和延遲,彷彿這些資源是位於相同的虛擬網路中。 深入了解虛擬網路對等互連

建立虛擬網路對等互連的步驟視虛擬網路位於相同還是不同的訂用帳戶而有所不同。 使用傳統部署模型建立網路對等互連的步驟不同。 如需部署模型的詳細資訊,請參閱 Azure 部署模型

選取下表中的案例,以了解如何在其他案例中建立虛擬網路對等互連:

Azure 部署模型 Azure 訂用帳戶
兩者皆使用 Resource Manager 相同
一個使用 Resource Manager、一個使用傳統部署模型 相同
一個使用 Resource Manager、一個使用傳統部署模型 不同

虛擬網路對等互連無法在透過傳統部署模型建立的兩個虛擬網路之間建立。 如果您需要將兩個都是透過傳統部署模型建立的虛擬網路連接,可以使用 Azure VPN 閘道來連接這些虛擬網路。

此教學課程將同一個區域中的虛擬網路視為對等。 您也可以針對不同支援區域中的虛擬網路進行對等互連。 請在對等互連虛擬網路之前,先熟悉對等互連的需求和限制

必要條件

  • 具有兩個有效訂用帳戶的 Azure 帳戶。 免費建立帳戶

  • 同時在兩個訂用帳戶中擁有建立虛擬網路對等互連權限的 Azure 帳戶,或在每個訂用帳戶中擁有適當權限可以建立虛擬網路對等互連的帳戶。 如需權限清單,請參閱虛擬網路對等互連權限

    • 若要區隔屬於每個租用戶的網路管理職責,請將來自每個租用戶的使用者新增為相反租使用者中的來賓,並虛擬網路的網路參與者角色指派給該使用者。 如果虛擬網路位於不同的訂用帳戶或 Active Directory 租用戶,則適用此程序。

    • 當您不打算區隔屬於每個租用戶的網路管理職責時,若要建立網路對等互連,請將來自租用戶 A 的使用者新增為相反租用戶中的來賓。 然後,將網路參與者角色指派給該使用者,以起始並連接來自每個訂用帳戶的網路對等互連。 有了這些權限,使用者就能夠從每個訂用帳戶建立網路對等互連。

    • 如需來賓使用者的詳細資訊,請參閱在 Azure 入口網站中新增 Microsoft Entra B2B 共同作業使用者

    • 每個使用者必須接受相對 Microsoft Entra 租用戶的來賓使用者邀請。

  • 登入 Azure 入口網站

在下列步驟中,了解如何在不同的訂用帳戶和 Microsoft Entra 租用戶中建立虛擬網路對等互連。

您可以使用在兩個訂用帳戶中都擁有權限的相同帳戶,也可以每個每個訂用帳戶各使用不同的帳戶來設定對等互連。 在這兩個訂用帳戶中都擁有權限的帳戶可以完成所有步驟,而不需要登出後登入入口網站和指派權限。

本文中的步驟使用下列資源和帳戶範例:

使用者帳戶 資源群組 訂用帳戶 虛擬網路
user-1 test-rg subscription-1 vnet-1
user-2 test-rg-2 subscription-2 vnet-2

建立虛擬網路 - vnet-1

注意

如果您使用單一帳戶來完成這些步驟,可以略過登出入口網站並將另一個使用者權限指派給虛擬網路的步驟。

下列程序會建立具有資源子網路的虛擬網路。

  1. 在入口網站中,搜尋並選取 [虛擬網路]

  2. 在 [虛擬網路] 頁面上,選取 [+ 建立]。

  3. 在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [新建]
    在 [名稱] 中輸入 test-rg
    選取 [確定]。
    [執行個體詳細資料]
    名稱 輸入 vnet-1
    區域 選取 [美國東部 2]

    此螢幕擷取畫面顯示 Azure 入口網站中 [建立虛擬網路] 的 [基本] 索引標籤。

  4. 選取 [下一步],繼續前往 [安全性] 索引標籤。

  5. 選取 [下一步],繼續前往 [IP 位址] 索引標籤。

  6. 在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。

  7. 在 [編輯子網路] 中,輸入或選取下列資訊:

    設定
    子網路用途 保留預設值 [Default]
    名稱 輸入 subnet-1

  8. 其餘設定請保留為預設值。 選取 [儲存]。

    預設子網路重新命名和設定的螢幕擷取畫面。

  9. 選取 [儲存]。

  10. 選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]

將權限指派給 user-2

其他訂用帳戶中要建立對等互連的使用者戶帳戶,必須新增至您先前建立的網路。 如果這兩個訂用帳戶是使用同一帳戶,則可以略過本節。

  1. 保持以 user-1 的身分登入入口網站。

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-1]

  4. 選取 [存取控制 (IAM)]。

  5. 選取 [+ 新增] ->[新增角色指派]

  6. 在 [角色] 索引標籤的 [新增角色指派] 中,選取 [網路參與者]

  7. 選取 [下一步]。

  8. 在 [成員] 索引標籤中選取 [+ 選取成員]

  9. 在 [選取成員] 的搜尋方塊中,輸入 user-2

  10. 選取選取

  11. 選取檢閱+指派

  12. 選取檢閱+指派

取得 vnet-1 的資源識別碼

  1. 保持以 user-1 的身分登入入口網站。

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-1]

  4. 在 [設定] 中,選取 [屬性]

  5. 複製 [資源識別碼] 欄位中的資訊並儲存供後續步驟使用。 資源識別碼類似下列範例:/subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1

  6. user-1 身分登出入口網站。

建立虛擬網路 - vnet-2

在本節中,您將以 user-2 身分登入,並建立要與 vnet-1 對等互連連線的虛擬網路。

重複上一節的步驟,使用下列值建立第二個虛擬網路。

設定
訂用帳戶 subscription-2
資源群組 test-rg-2
名稱 vnet-2
位址空間 10.1.0.0/16
子網路名稱 subnet-1
子網路位址範圍 10.1.0.0/24

將權限指派給 user-1

其他訂用帳戶中要建立對等互連的使用者戶帳戶,必須新增至您先前建立的網路。 如果這兩個訂用帳戶是使用同一帳戶,則可以略過本節。

  1. 保持以 user-2 的身分登入入口網站。

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-2]

  4. 選取 [存取控制 (IAM)]。

  5. 選取 [+ 新增] ->[新增角色指派]

  6. 在 [角色] 索引標籤的 [新增角色指派] 中,選取 [網路參與者]

  7. 選取 [下一步]。

  8. 在 [成員] 索引標籤中選取 [+ 選取成員]

  9. 在 [選取成員] 的搜尋方塊中,輸入 user-1

  10. 選取選取

  11. 選取檢閱+指派

  12. 選取檢閱+指派

取得 vnet-2 的資源識別碼

需要 vnet-2 的資源識別碼,才能設定從 vnet-1vnet-2 的對等互連連線。 使用下列步驟來取得 vnet-2 的資源識別碼。

  1. 保持以 user-2 的身分登入入口網站。

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-2]

  4. 在 [設定] 中,選取 [屬性]

  5. 複製 [資源識別碼] 欄位中的資訊並儲存供後續步驟使用。 資源識別碼類似下列範例:/subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2

  6. user-2 身分登出入口網站。

建立對等互連連線 - vnet-1 到 vnet-2

您需要之前步驟中 vnet-2資源識別碼,才能設定對等互連連線。

  1. user-1 身分登入 Azure 入口網站。 如果這兩個訂用帳戶使用一個帳戶,請在入口網站中變更為 subscription-1

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-1]

  4. 選取 [對等互連]

  5. 選取 + 新增

  6. 在 [新增對等互連] 中,輸入或選取下列資訊:

    設定
    遠端虛擬網路摘要
    對等互連連結名稱 vnet-2-to-vnet-1
    虛擬網路部署模型 Resource Manager
    我知道我的資源識別碼 選取方塊
    資源識別碼 輸入 vnet-2 的資源識別碼
    目錄 選取與 vnet-2user-2 對應的 Microsoft Entra ID 目錄
    遠端虛擬網路對等互連設定
    允許「對等互連的虛擬網路」存取 'vnet-1' 保留預設值 [已啟用]
    允許「對等互連的虛擬網路」接收來自 'vnet-1' 的轉送流量 選取方塊
    區域虛擬網路摘要
    對等互連連結名稱 vnet-1-to-vnet-2
    區域虛擬網路對等互連設定
    允許 'vnet-1' 存取「對等互連的虛擬網路」 保留預設值 [已啟用]
    允許 'vnet-1' 接收來自「對等互連的虛擬網路」的轉送流量 選取方塊

  7. 選取 [新增]。

    此螢幕擷取畫面顯示從 vnet-1 到 vnet-2 的對等互連。

  8. user-1 身分登出入口網站。

對等互連連線會在 [對等互連] 中顯示 [已起始] 狀態。 若要完成對等互連,必須在 vnet-2 中設定對應的連線。

建立對等互連連線 - vnet-2 到 vnet-1

您需要之前步驟中 vnet-1資源識別碼,才能設定對等互連連線。

  1. user-2 身分登入 Azure 入口網站。 如果這兩個訂用帳戶使用一個帳戶,請在入口網站中變更為 subscription-2

  2. 在入口網站頂端的搜尋方塊中,輸入虛擬網路。 選取搜尋結果中的 [虛擬網路]

  3. 選取 [vnet-2]

  4. 選取 [對等互連]

  5. 選取 + 新增

  6. 在 [新增對等互連] 中,輸入或選取下列資訊:

    設定
    遠端虛擬網路摘要
    對等互連連結名稱 vnet-1-to-vnet-2
    虛擬網路部署模型 Resource Manager
    我知道我的資源識別碼 選取方塊
    資源識別碼 輸入 vnet-2 的資源識別碼
    目錄 選取與 vnet-1user-1 對應的 Microsoft Entra ID 目錄
    遠端虛擬網路對等互連設定
    允許「對等互連的虛擬網路」存取 'vnet-1' 保留預設值 [已啟用]
    允許「對等互連的虛擬網路」接收來自 'vnet-1' 的轉送流量 選取方塊
    區域虛擬網路摘要
    對等互連連結名稱 vnet-1-to-vnet-2
    區域虛擬網路對等互連設定
    允許 'vnet-1' 存取「對等互連的虛擬網路」 保留預設值 [已啟用]
    允許 'vnet-1' 接收來自「對等互連的虛擬網路」的轉送流量 選取方塊

  7. 選取 [新增]。

  8. 在下拉式方塊中,選取與 vnet-1user-1 對應的目錄

  9. 選取 [驗證]

    此螢幕擷取畫面顯示從 vnet-2 到 vnet-1 的對等互連。

  10. 選取 [新增]。

您在對等互連中兩個虛擬網路的 [對等互連狀態] 資料行中看到 [已連線] 之後,對等互連便已成功建立。 您在任何一個虛擬網路中建立的任何 Azure 資源現在能夠透過其 IP 位址彼此通訊。 如果您使用虛擬網路的 Azure 名稱解析,則虛擬網路中的資源無法跨虛擬網路解析名稱。 如果您想要在對等互連的虛擬網路上解析名稱,則必須建立自己的 DNS (網域名稱系統) 伺服器或使用 Azure DNS。

重要

如果您更新任一對等互連成員中的位址空間,則必須重新同步連線以反映位址空間變更。 如需詳細資訊,請參閱使用 Azure 入口網站更新對等互連虛擬網路的位址空間 (部分機器翻譯)

若要進一步了解使用自己的 DNS 進行名稱解析,請參閱使用專屬 DNS 伺服器的名稱解析

如需 Azure AD 的詳細資訊,請參閱什麼是 Azure DNS?

下一步