虛擬網路對等互連

虛擬網路對等互連可讓您順暢地連線 Azure 中的兩個或多個 虛擬網絡 。 基於連線目的,虛擬網路會顯示為一個。 對等互連虛擬網路中的虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構。 就像相同網路中虛擬機器之間的流量一樣,流量只會透過 Microsoft 的 專用 網路由傳送。

Azure 支援下列類型的對等互連:

  • 虛擬網路對等互連 :連線相同 Azure 區域內的虛擬網路。

  • 全域虛擬網路對等互連 :連線跨 Azure 區域的虛擬網路。

無論是本機還是全域,使用虛擬網路對等互連的優點包括:

  • 不同虛擬網路中的資源之間能享有低延遲的高頻寬連線。

  • 讓某個虛擬網路中的資源與另一個虛擬網路中的資源通訊的能力。

  • 能夠在跨 Azure 訂用帳戶、Microsoft Entra 租使用者、部署模型和 Azure 區域之間的虛擬網路之間傳輸資料。

  • 可以將透過 Azure Resource Manager 建立的虛擬網路進行對等互連。

  • 可以將透過 Resource Manager 建立的虛擬網路,對等互連至透過傳統部署模型建立的虛擬網路。 若要深入瞭解 Azure 部署模型,請參閱 瞭解 Azure 部署模型

  • 在建立對等互連時,或建立對等互連之後,虛擬網路中的資源不會停機。

對等互連虛擬網路之間的網路流量是私人的。 虛擬網路之間的流量會保留在 Microsoft 骨幹網路上。 虛擬網路之間的通訊不需要公用網際網路、閘道或加密。

連線性

針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。

相同區域中對等互連虛擬網路中的虛擬機器之間的網路延遲,與單一虛擬網路內的延遲相同。 網路輸送量是以虛擬機器允許的頻寬為基礎,其大小成比例。 對等互連內的頻寬沒有任何額外的限制。

對等互連虛擬網路中的虛擬機器之間的流量會透過 Microsoft 骨幹基礎結構直接路由傳送,而不是透過閘道或透過公用網際網路路由傳送。

您可以在任一虛擬網路中套用網路安全性群組,以封鎖對其他虛擬網路或子網的存取。 當您設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全性群組規則。 如果您開啟對等互連虛擬網路之間的完整連線,您可以套用網路安全性群組來封鎖或拒絕特定存取。 完整連線是預設選項。 若要深入瞭解網路安全性群組,請參閱 安全性群組

調整對等互連之 Azure 虛擬網路的位址空間大小

您可以調整對等互連之 Azure 虛擬網路的位址空間大小,而不會產生目前對等互連位址空間的任何停機時間。 當您需要在調整工作負載之後調整虛擬網路位址空間的大小時,這項功能非常有用。 調整位址空間之後,對等必須與新的位址空間變更同步。 調整大小適用于 IPv4 和 IPv6 位址空間。

位址可以透過下列方式調整大小:

  • 修改現有位址範圍的位址範圍前置詞(例如將 10.1.0.0/16 變更為 10.1.0.0/18)

  • 將位址範圍新增至虛擬網路

  • 從虛擬網路刪除位址範圍

  • 跨租使用者支援調整位址空間的大小

您可以透過 Azure 入口網站 或使用 Azure PowerShell 來執行虛擬網路對等互連的同步處理。 建議您在每次調整大小位址空間作業之後執行同步處理,而不是執行多個調整大小作業,然後執行同步作業。 若要瞭解如何更新對等互連虛擬網路的位址空間,請參閱 更新對等互連虛擬網路 的位址空間。

重要

此功能不支援要更新的虛擬網路與下列專案對等互連的案例:

  • 傳統虛擬網路

服務鏈結

服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中虛擬裝置或閘道。

若要啟用服務鏈結,請設定使用者定義的路由,以指向對等互連虛擬網路中的虛擬機器作為 下一個躍點 IP 位址。 使用者定義的路由也可以指向虛擬網路閘道,以啟用服務鏈結。

您可以部署中樞和輪輻網路,其中中樞虛擬網路會裝載基礎結構元件,例如網路虛擬裝置或 VPN 閘道。 所有輪輻虛擬網路可接著與中樞虛擬網路對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。

虛擬網路對等互連可讓使用者定義路由中的下一個躍點成為對等互連的虛擬網路或 VPN 閘道中虛擬機器的 IP 位址。 您無法使用使用者定義的路由在虛擬網路之間路由,將 Azure ExpressRoute 閘道指定為下一個躍點類型。 若要深入瞭解使用者定義的路由,請參閱 使用者定義的路由概觀 。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞輪輻網路拓撲。

閘道與內部部署連線能力

每個虛擬網路,包括對等互連的虛擬網路,都可以有自己的閘道。 虛擬網路可以使用其閘道連線到內部部署網路。 您也可以使用閘道來設定 虛擬網路對虛擬網路連線 ,即使是對等互連的虛擬網路。

當您設定虛擬網路互連性的這兩個選項時,虛擬網路之間的流量會流經對等互連組態。 流量會使用 Azure 骨幹。

您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路不能有自己的閘道。 虛擬網路只能有一個閘道,閘道應該是對等互連虛擬網路中的本機或遠端閘道,如下圖所示:

Diagram of virtual network peering transit.

虛擬網路對等互連和全域虛擬網路對等互連都支援閘道傳輸。

支援透過不同部署模型建立的虛擬網路之間的閘道傳輸。 閘道必須位於 Resource Manager 模型的虛擬網路中。 若要深入瞭解如何使用閘道進行傳輸,請參閱 設定 VPN 閘道以進行虛擬網路對等互連 中的傳輸。

當您將共用單一 Azure ExpressRoute 連線的虛擬網路對等互連時,它們之間的流量會通過對等互連關聯性。 該流量會使用 Azure 骨幹網路。 您仍然可以使用每個虛擬網路中的本機閘道來連線到內部部署線路。 否則,您可以使用共用閘道,並設定內部部署連線的傳輸。

疑難排解

若要確認虛擬網路已對等互連,您可以檢查有效的路由。 檢查虛擬網路中任何子網中網路介面的路由。 如果虛擬網路對等互連存在,虛擬網路中的所有子網都會針對每個對等互連虛擬網路中的每個位址空間,具有下一個躍點類型 VNet 對等 互連的路由。 如需詳細資訊,請參閱 診斷虛擬機器路由問題

您也可以使用 Azure 網路監看員,針對對等互連虛擬網路中虛擬機器的連線進行疑難排解。 連線檢查可讓您查看流量如何從來源虛擬機器的網路介面路由傳送至目的地虛擬機器的網路介面。 如需詳細資訊,請參閱 使用 Azure 入口網站 對 Azure 網路監看員連線進行疑難排解。

您也可以嘗試針對 虛擬網路對等互連問題 進行疑難排解。

對等互連虛擬網路的條件約束

只有在虛擬網路全域對等互連時,才會套用下列條件約束:

如需詳細資訊,請參閱 需求和條件約束 。 若要深入瞭解支援的對等互連數目,請參閱 網路限制

權限

若要瞭解建立虛擬網路對等互連所需的許可權,請參閱 許可權

定價

使用虛擬網路對等互連連線的輸入和輸出流量會收取名義費用。 如需詳細資訊,請參閱 虛擬網絡定價

閘道傳輸是一個對等互連屬性,可讓虛擬網路利用對等互連虛擬網路中的 VPN/ExpressRoute 閘道。 閘道傳輸適用于跨單位和網路對網路連線。 對等互連虛擬網路中閘道的流量(輸入或輸出)會產生輪輻虛擬網路的虛擬網路對等互連費用(或沒有 VPN 閘道的虛擬網路)。 如需詳細資訊,請參閱 VPN 閘道費用的VPN 閘道定價 ,以及 ExpressRoute 閘道費用的 ExpressRoute 閘道定價。

注意

本檔的舊版指出,虛擬網路對等互連費用不適用於具有閘道傳輸的輪輻 VNet(或非閘道 VNet)。 它現在會反映每個定價頁面的準確定價。

下一步

  • 您可以在兩個虛擬網路之間建立對等互連。 網路可以屬於相同的訂用帳戶、相同訂用帳戶中的不同部署模型,或不同的訂用帳戶。 完成下列其中一個案例的教學課程:

    Azure 部署模型 訂用帳戶
    兩個 Resource Manager 相同
    不同
    一個 Resource Manager,一個傳統 相同
    不同
  • 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞輪輻網路拓撲。

  • 若要瞭解所有虛擬網路對等互連設定,請參閱 建立、變更或刪除虛擬網路對等互連

  • 如需常見虛擬網路對等互連和全域虛擬網路對等互連問題的解答,請參閱 VNet 對等互連