使用對等互連啟用跨虛擬網路連線能力

  • 6 分鐘

具有大規模作業的組織通常需要在其虛擬網路基礎結構的不同部分之間建立連線。 虛擬網路對等互連可讓您順暢地以最佳網路效能來連線個別 VNet,不論其位於相同的 Azure 區域 (VNet 對等互連) 或不同區域 (全域 VNet 對等互連)。 對等互連虛擬網路之間的網路流量為私用。 基於連線目的,虛擬網路會顯示為一個。 已對等互連虛擬網路中虛擬機器之間的流量會使用 Microsoft 骨幹基礎結構,而虛擬網路之間的通訊不需要公用網際網路、閘道或加密。

虛擬網路對等互連可讓您完美地連線兩個 Azure 虛擬網路。 經過對等互連後,所有虛擬網路就可以作為一個整體來進行連線。 VNet 對等互連有兩種類型。

  • 區域 VNet 對等互連會連線相同區域中的 Azure 虛擬網路。
  • 全域 VNet 對等互連會連線不同區域中的 Azure 虛擬網路。 在建立全域對等互連時,對等互連的虛擬網路可以存在於任何 Azure 公用雲端區域或中國雲端區域中,但並非在 Government 雲端區域中。 您只能將 Azure Government 雲端區域中相同區域內的虛擬網路對等互連。

圖例顯示區域 1 中的 VNet1,以及區域 2 中的 VNet2 和 VNet3。VNet2 和 VNet3 與區域 VNet 對等互連。VNet1 和 VNet2 會與全域 VNet 對等互連

使用虛擬網路對等互連 (不論是本機還是全球) 的優點包括:

  • 不同虛擬網路中的資源之間能享有低延遲的高頻寬連線。
  • 將網路安全性群組套用至任一個虛擬網路的功能,可以封鎖其他虛擬網路或子網路的存取權限。
  • 可以跨越 Azure 訂用帳戶、Microsoft Entra 租用戶、部署模型和 Azure 區域,在虛擬網路之間傳輸資料。
  • 可以將透過 Azure Resource Manager 建立的虛擬網路進行對等互連。
  • 可以將透過 Resource Manager 建立的虛擬網路,對等互連至透過傳統部署模型建立的虛擬網路。
  • 在建立對等互連時或對等互連建立之後,任一虛擬網路中的資源都不會停機。

下圖顯示的案例中,Contoso VNet 上的資源和 Fabrikam VNet 上的資源必須進行通訊。 美國西部區域的 Contoso 訂用帳戶會連線到美國東部區域的 Fabrikam 訂用帳戶。

下圖顯示的案例中,Contoso VNet 上的資源和 Fabrikam VNet 上的資源必須進行通訊。

路由表會顯示每個訂用帳戶中資源已知的路由。 下列路由表顯示 Contoso 已知的路由,其中最後一個項目是 Fabrikam 10.10.26.0/24 子網路的全域 VNet 對等互連項目。

路由表會顯示每個訂用帳戶中資源已知的路由。下列路由表顯示 Contoso 已知路由

下列路由表顯示 Fabrikam 已知的路由。 同樣地,最後一個項目是全域 VNet 對等互連項目,這次是 Contoso 10.17.26.0/24 子網路。

Fabrikam 已知的路由表

設定 VNet 對等互連

下列是設定 VNet 對等互連的步驟。 請注意,您將需要兩個虛擬網路。 若要測試對等互連,每個網路中都各需要一部虛擬機器。 虛擬機器起初會無法通訊,但在設定後便可通訊。 新步驟是設定虛擬網路的對等互連。

  1. 建立兩個虛擬網路。
  2. 對等互連虛擬網路
  3. 在每個虛擬網路中建立虛擬機器。
  4. 測試虛擬機器之間的通訊。

若要設定對等互連,請使用 [新增對等互連] 頁面。 此處只需要考慮幾個選用的設定參數。

虛擬網路對等互連設定頁面的螢幕擷取畫面。

注意

當您在一個虛擬網路上新增對等互連時,系統會自動新增第二個虛擬網路設定。

閘道傳輸和連線能力

當虛擬網路已對等互連時,您可以將對等互連虛擬網路中的 VPN 閘道設定為傳輸點。 在此情況下,對等互連虛擬網路會使用遠端閘道來取得其他資源的存取權。 虛擬網路只能擁有一個閘道。 VNet 對等互連和全域 VNet 對等互連都支援閘道傳輸。

當您允許閘道傳輸時,虛擬網路可以與對等互連以外的資源進行通訊。 例如,子網路閘道可以:

  • 使用站對站 VPN 連線至內部部署網路。
  • 使用 VNet 對 VNet 連線至另一個虛擬網路。
  • 使用點對站 VPN 來連線至用戶端。

在這些情況下,閘道傳輸可讓對等互連虛擬網路共用閘道,並取得資源的存取權。 這表示您不需要在對等虛擬網路中部署 VPN 閘道。

注意

網路安全性群組可套用至任一個虛擬網路,以封鎖其他虛擬網路或子網路的存取權限。 設定虛擬網路對等互連時,您可以開啟或關閉虛擬網路之間的網路安全性群組規則。

使用服務鏈結將流量導向至閘道

假設您想要將來自 Contoso VNet 的流量導向至特定的網路虛擬設備 (NVA)。 建立使用者定義的路由,將來自 Contoso VNet 的流量導向至 Fabrikam VNet 中的 NVA。 這項技術稱為服務鏈結。

若要啟用服務鏈結,請新增使用者定義的路由,指向對等互連虛擬網路中的虛擬機器,作為下一個躍點 IP 位址。 使用者定義的路由也可以指向虛擬網路閘道。

您可以在中樞與輪輻拓撲中部署 Azure 虛擬網路,並以中樞 VNet 作為所有輪輻 VNet 的連線中心點。 中樞虛擬網路會裝載基礎結構元件,例如 NVA、虛擬機器和 VPN 閘道。 與中樞虛擬網路對等互連的所有輪輻虛擬網路。 流量會流經中樞虛擬網路中的網路虛擬設備或 VPN 閘道。 使用中樞與輪輻設定的優點包括節省成本、克服訂用帳戶限制和工作負載隔離。

下圖顯示的案例中,中樞 VNet 會裝載一個 VPN 閘道來管理內部部署網路的流量,以啟用內部部署網路與對等互連 Azure VNet 之間的受控通訊。

中樞和輪輻組態 - Contoso 和 Fabrikam 對等互連中樞 VNet。中樞 VNet 包含連線至內部部署網路的 NVA、VM 和 VPN 閘道。

為以下每個問題選擇最佳的答案。 然後選取 [檢查您的答案]

檢定您的知識

1.

當某人需要一個 VNet 中的資源以便與不同 VNet 中子網路中的資源進行通訊時。 應該使用哪一個 Azure 網路功能?

2.

設定全域對等互連時,會在對等互連 VNet 中發生哪些變更?