使用虛擬網路對等互連來連線服務

  • 8 分鐘

您可以使用虛擬網路對等互連直接將 Azure 虛擬網路連線在一起。 當您使用對等互連來連線虛擬網路時,這些網路中的虛擬機器 (VM) 可以彼此通訊,如同位於相同網路一樣。

在對等互連的虛擬網路中,虛擬機器之間的流量會透過 Azure 網路路由傳送。 流量只會使用私人 IP 位址。 不會依賴網際網路連線、閘道或加密連線。 流量一律為私人,且會利用 Azure 骨幹網路的高頻寬和低延遲。

A basic diagram of two virtual networks that are connected by virtual network peering.

這兩種類型的對等互連連線會以相同方式建立:

  • 虛擬網路對等互連:可連線相同 Azure 區域中的虛擬網路,例如北歐的兩個虛擬網路。
  • 全域虛擬網路對等互連:可連線不同 Azure 區域中的虛擬網路,例如北歐的虛擬網路與西歐的虛擬網路。

虛擬網路對等互連不會影響或中斷您已經部署到虛擬網路的任何資源。 但當您使用虛擬網路對等互連時,請考慮下列章節所定義的重要功能。

交互連線

當您使用 Azure PowerShell 或 Azure CLI 建立虛擬網路對等互連連線時,只會建立對等互連的一端。 若要完成虛擬網路對等互連設定,您必須以反向方向設定對等互連,才能建立連線。 當您透過 Azure 入口網站建立虛擬網路對等互連連線時,兩端的設定會同時完成。

想一想如何將兩個網路交換器互相連線。 您可以將纜線連接到每個交換器,及或許進行一些設定,使這些交換器能夠進行通訊。 虛擬網路對等互連需要在每個虛擬網路中有類似的連線。 交互連線提供這項功能。

跨訂用帳戶的虛擬網路對等互連

即使兩個虛擬網路位於不同的訂用帳戶中,您也可以使用虛擬網路對等互連。 此設定可能是合併和併購所必要,或連線不同部門管理的月租方案中的虛擬網路所必需。 虛擬網路可以位於不同的訂用帳戶中,且訂用帳戶可以使用相同或不同的 Microsoft Entra 租用戶。

當您使用跨訂用帳戶的虛擬網路對等互連時,您可能會發現某個訂用帳戶之系統管理員並未管理對等網路的訂用帳戶。 系統管理員可能無法設定連線的兩端。 若要在兩個訂用帳戶位於不同的 Microsoft Entra 租用戶時將虛擬網路對等互連,每個訂用帳戶的系統管理員都必須將其虛擬網路上的 Network Contributor 角色授與對等訂用帳戶的系統管理員。

轉移性

虛擬網路對等互連不可轉移。 只有直接對等互連的虛擬網路才能彼此通訊。 虛擬網路無法與其對等的對等通訊。

舉例來說,假設您的三個虛擬網路 (A、B、C) 如下所示的對等互連:A <-> B <-> C。A 中的資源無法與 C 中的資源通訊,因為該流量無法透過虛擬網路 B 傳輸。如果虛擬網路 A 與虛擬網路 C 之間需要通訊,則您必須明確將這兩個虛擬網路對等互連。

閘道傳輸

如果您從具有 VPN 閘道的虛擬網路啟用閘道傳輸,您可以從對等互連虛擬網路連線到內部部署網路。 您可以使用閘道傳輸來進行內部部署連線,而無需將虛擬網路閘道部署到您所有的虛擬網路。 此方法可以降低網路的整體成本和複雜度。 透過使用與閘道傳輸的虛擬網路對等互連,您可以將單一虛擬網路設定為中樞網路。 將此中樞網路連線到您的內部部署資料中心,並與對等共用其虛擬網路閘道。

若要啟用閘道傳輸,請在已將閘道連線部署至內部部署網路的中樞虛擬網路中設定 [允許閘道傳輸] 選項。 此外,請在任何輪輻虛擬網路中設定 [使用遠端閘道] 選項。

注意

如果要在輪幅網路對等互連中啟用 [使用遠端閘道] 選項,則無法在輪輻虛擬網路中部署虛擬網路閘道。

重疊的位址空間

Azure 內以及 Azure 與您內部部署網路之間已連線網路的 IP 位址空間不得重疊。 對等互連的虛擬網路也是如此。 在規劃網路設計時請牢記這項規則。 在您透過虛擬網路對等互連、VPN 或 ExpressRoute 連線的任何網路中,指派並未重疊的不同位址空間。

Diagram of a comparison of overlapping and non-overlapping network addressing.

替代的連線方法

虛擬網路對等互連是將虛擬網路連線在一起最不複雜的方式。 其他方法將焦點主要放在內部部署和 Azure 網路之間的連線,而不是虛擬網路之間的連線。

您也可以透過 ExpressRoute 線路將虛擬網路連線在一起。 ExpressRoute 是內部部署資料中心與 Azure 骨幹網路之間的專用私人連線。 連線到 ExpressRoute 線路的虛擬網路屬於相同路由網域,且彼此之間可以通訊。 ExpressRoute 連線不會經過公用網際網路,以盡可能保護您與 Azure 服務的通訊安全。

VPN 會使用網際網路,透過加密通道將內部部署資料中心連線到 Azure 骨幹網路。 您可以使用站對站設定,透過 VPN 閘道將虛擬網路連線在一起。 VPN 閘道的延遲高於虛擬網路對等互連設定。 其管理更複雜,且成本更高。

當虛擬網路同時透過閘道和虛擬網路對等互連進行連線時,流量會透過對等互連設定來流動。

選擇虛擬網路對等互連的時機

虛擬網路對等互連可能是在不同虛擬網路中各服務之間進行網路連線的不錯方式。 由於其易於實作和部署,且非常適合跨區域和訂用帳戶使用,因此虛擬網路對等互連應該是您必須整合 Azure 虛擬網路時的第一選擇。

如果您在 Azure Basic Load Balancer 背後有可從對等互連虛擬網路存取的現有 VPN 或 ExpressRoute 連線或服務,則對等互連可能不是您的最佳選項。 在這些情況下,您應該調查替代方案。