虛擬網路對等互連可讓您順暢地連線 Azure 中的兩個或多個 虛擬網路 。 虛擬網路在連線上會被視為一體。 對等互連虛擬網路中虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構。 流量只會透過Microsoft 專用 網進行路由傳送。
根據預設,虛擬網路最多可以與其他最多 500 個虛擬網路進行對等互連。 藉由使用 Azure 虛擬網路管理員的連線設定,您可以將此限制增加到最多 1,000 個虛擬網路對等到一個單一的虛擬網路。 大小經此擴增後,舉例來說,您將可建立具有 1,000 個輪輻虛擬網路的中樞和支點拓撲。 您也可以建立 1,000 個輪輻虛擬網路的網格,其中所有輪輻虛擬網路都會直接互連。
Azure 支援下列類型的對等互連:
虛擬網路對等互連:在相同的 Azure 區域內連線虛擬網路。
全域虛擬網路連線:連接跨 Azure 區域的虛擬網路。
使用虛擬網路對等互連 (不論是本機還是全球) 的優點包括︰
不同虛擬網路的資源之間具有低延遲、高頻寬連線。
讓某個虛擬網路中的資源與另一個虛擬網路中的資源通訊的能力。
可以跨越 Azure 訂用帳戶、Microsoft Entra 租用戶、部署模型和 Azure 區域,在虛擬網路之間傳輸資料。
能夠將透過 Azure Resource Manager 建立的虛擬網路進行對等互連。
能夠將透過 Resource Manager 建立的虛擬網路進行對等互連至透過傳統部署模型建立的虛擬網路。 若要深入了解 Azure 部署模型,請參閱了解 Azure 部署模型。
在您建立對等互連時或對等互連建立後,虛擬網路中的資源不會停止運作。
對等互連虛擬網路之間的網路流量是私人的。 虛擬網路之間的流量會保留在 Microsoft 骨幹網路上。 虛擬網路之間的通訊不需要公用因特網、閘道或加密。
我們最近在虛擬網路對等互連上引進了額外的彈性 - 「子網對等互連」。
這是建立在虛擬網路對等互連之上的新增彈性,用戶可以選擇需要跨虛擬網路對等互連的特定子網。 用戶可以在想要互連的虛擬網絡中指定或輸入子網列表。 相對地,在一般虛擬網路對等互連中,會在虛擬網路間對等互連整個位址空間/子網路。 如需詳細資訊,請參閱如何設定子網路對等互連。
連線性
針對對等互連的虛擬網路,任一虛擬網路中的資源可以直接與對等互連虛擬網路中的資源連線。
在相同區域的對等互連虛擬網路中,虛擬機器之間的網路延遲與單一虛擬網路中的網路延遲相同。 網路輸送量是以虛擬機所允許的頻寬為基礎,其大小成比例。 對等互連內的頻寬沒有任何額外限制。
對等互連之虛擬網路中的虛擬機器之間的流量,會透過 Microsoft 骨幹基礎結構直接路由傳送,而不會透過閘道或透過公用網際網路來傳送。
您可以將網路安全性群組套用至任一個虛擬網路,以封鎖其他虛擬網路或子網路的存取權限。 當您設定虛擬網路對等互連時,請開啟或關閉虛擬網路之間的網路安全性群組規則。 如果您開啟對等互連虛擬網路之間的完整連線,則可以套用網路安全性群組以封鎖或拒絕特定的存取。 [完整連線] 是預設選項。 若要深入瞭解網路安全性群組,請參閱安全性群組。
針對對等互連的 Azure 虛擬網路,調整其位址空間大小
您可以針對對等互連的 Azure 虛擬網路來調整其位址空間大小,而不會在目前對等互連的位址空間上產生任何停機時間。 調整工作負載後,若您需要調整虛擬網路的位址空間大小,這項功能會很有用。 調整位址空間之後,對等必須與新的位址空間變更同步。 調整大小適用於 IPv4 和 IPv6 位址空間。
您可以透過下列方式調整位址大小:
修改現有位址範圍的位址範圍前置詞(例如,將 10.1.0.0/16 變更為 10.1.0.0/18)。
將位址範圍新增至虛擬網路。
從虛擬網路刪除位址範圍。
支援跨租用戶調整位址空間的大小。
您可以透過 Azure 入口網站或 Azure PowerShell 同步虛擬網路對等互連。 建議您在每次的位址空間大小調整作業之後執行同步,而不是執行多個大小調整作業之後,再執行同步作業。 若要瞭解如何更新對等互連虛擬網路的位址空間,請參閱 更新對等互連虛擬網路的位址空間。
重要
此功能不支援要更新的虛擬網路已與傳統虛擬網路對等互連的案例。
服務鏈結
服務鏈結可讓您透過使用者定義的路由,將流量從一個虛擬網路導向至對等互連網路中虛擬設備或閘道。
若要啟用服務鏈結,請設定 UDR,指向對等互連的虛擬網路中作為下一個躍點 IP 位址的虛擬機器。 UDR 也可以指向虛擬網路閘道,以啟用服務鏈結。
您可以部署中樞和輪輻網路,其中中樞虛擬網路裝載基礎結構元件,例如網路虛擬設備或 VPN 閘道。 所有輪輻虛擬網路可以接著與中樞虛擬網路對等互連。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。
虛擬網路對等互連可讓 UDR 中的下一個躍點成為對等互連虛擬網路中的虛擬機器的 IP 位址,或 VPN 閘道。 您無法使用將 Azure ExpressRoute 閘道指定為下一個跳點類型的 UDR 來在虛擬網路之間路由。 若要深入瞭解 UDR,請參閱 使用者定義的路由概觀。 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲。
閘道及內部部署連線能力
每個虛擬網路 (包括對等互連虛擬網路) 都可以有專屬閘道。 虛擬網路可以使用其閘道來連線至內部部署網路。 即使對等互連的虛擬網路,您也可以使用閘道來設定虛擬網路對虛擬網路連線。
當您為虛擬網路互連設定兩個選項時,虛擬網路之間的流量將透過對等設定流動。 流量會使用 Azure 骨幹。
您也可以將對等互連虛擬網路中的閘道設定為內部部署網路的傳輸點。 在此情況下,使用遠端閘道的虛擬網路不能有自己的閘道。 虛擬網路只能有一個閘道。 網關應為對等互連虛擬網路中的本地或遠程網關,正如下圖所示。
虛擬網路對等互連和全域虛擬網路對等互連都支援閘道傳輸。
支援透過不同部署模型建立虛擬網路之間的閘道傳輸。 閘道必須位於 Azure Resource Manager 模型中的虛擬網路中。 若要深入了解如何使用閘道來進行傳輸,請參閱設定 VPN 閘道以在虛擬網路對等互連中進行傳輸。
當您對等互連共用單一 ExpressRoute 連線的虛擬網路時,其間的流量會透過對等互連關聯性進行傳輸。 該流量會使用 Azure 骨幹網路。 您依然可以在每個虛擬網路中使用本機閘道來連線內部部署線路。 否則,您也可以使用共用閘道並設定內部部署連線的傳輸。
疑難排解
若要確認虛擬網路已對等互連,您可以檢查有效路由。 檢查虛擬網路中任何子網的網路介面路由。 如果虛擬網路對等互連存在,則虛擬網路內的所有子網路都具有下一個躍點類型為虛擬網路對等互連的路由 (對每個對等互連虛擬網路中的每個位址空間而言)。 如需詳細資訊,請參閱診斷虛擬機器路由問題。
您也可以透過使用 Azure 網路監看員,對對等互連虛擬網路中的虛擬機器連線能力進行疑難排解。 連線能力檢查可讓您查看流量是以何種方式從來源虛擬機器的網路介面傳送至目的地虛擬機器的網路介面。 如需詳細資訊,請參閱使用 Azure 入口網站利用 Azure 網路監看員進行連線疑難排解。
您也可以參閱對虛擬網路對等互連問題進行疑難排解。
對等互連虛擬網路的限制
僅當虛擬網路已建立全域的對等互連時,才會受到下列限制:
一個虛擬網路中的資源無法與全域對等互連虛擬網路中基本負載平衡器 (內部或公用) 的前端 IP 位址通訊。
某些使用基本負載平衡器的服務無法透過全域虛擬網路對等互連來運作。 如需詳細資訊,請參閱 與全域虛擬網路對等互連和負載平衡器相關的條件約束為何?。
您無法在 PUT 虛擬網路作業中執行虛擬網路對等互連。
如需詳細資訊,請參閱需求和限制。 若要深入瞭解支援的對等互連數目,請參閱網路限制。
權限
若要瞭解建立虛擬網路對等互連所需的權限,請參閱權限。
定價
使用虛擬網路對等互連連線的輸入和輸出流量,需支付少許費用。 如需詳細資訊,請參閱 虛擬網路定價。
閘道傳輸是一種對等互連屬性,可讓虛擬網路在對等互連的虛擬網路中使用虛擬私人網路或 ExpressRoute 閘道。 閘道傳輸適用於跨單位和網路對網路的連線。 對等互連虛擬網路中閘道的流量 (輸入或輸出) 會產生輪輻虛擬網路的虛擬網路對等互連費用 (或沒有 VPN 閘道的虛擬網路)。 如需詳細資訊,請參閱 Azure VPN 閘道 VPN 閘道費用和 ExpressRoute 閘道費用的價格。
附註
本文件的舊有版本指出,具有閘道傳輸的輪輻虛擬網路 (或非閘道虛擬網路) 不適用虛擬網路對等互連費用。 費用現在會根據價格頁面反映精確的價格。
相關內容
您可以在兩個虛擬網路之間建立對等互連。 網路可以屬於同一個訂用方案或不同的訂用方案。 完成下列其中一個案例的教學課程:
Azure 部署模型 訂用帳戶 資源管理者 相同 不同 若要瞭解如何建立中樞和輪輻網路拓撲,請參閱 Azure 中的中樞和輪輻網路拓撲。
若要瞭解所有虛擬網路對等互連設定,請參閱建立、變更或刪除虛擬網路對等互連。
如需常見虛擬網路對等互連和全域虛擬網路對等互連問題的解答,請參閱 虛擬網路對等互連。