确定虚拟网络对等互连用途
连接 VNet 的最简单快捷的方法可能是使用 VNet 对等互连。 使用虚拟网络对等互连可以无缝连接两个 Azure 虚拟网络。 建立对等互连后,出于连接目的,两个虚拟网络会显示为一个。 有两种类型的 VNet 对等互连。
- 区域 VNet 对等互连连接同一区域中的 Azure 虚拟网络。
- 全局 VNet 对等互连连接不同区域中的 Azure 虚拟网络。 创建全球对等互连时,对等虚拟网络可以存在于任何 Azure 公有云区域或中国云区域中,但不能存在于政府云区域中。 只能在 Azure 政府云区域的相同区域中的虚拟网络之间建立对等互连。
虚拟网络对等互连的好处
使用本地或全局虚拟网络对等互连的优点包括:
- 专用。 对等虚拟网络之间的网络流量是专用的。 虚拟网络之间的流量仅限于 Microsoft 主干网络。 在虚拟网络之间通信不需公共 Internet、网关或加密。
- 性能。 不同虚拟网络中资源之间的连接延迟低且带宽高。
- 交流。 在虚拟网络对等互连之后,一个虚拟网络中的资源与另一虚拟网络中的资源通信的功能。
- 无缝。 跨 Azure 订阅、部署模型和 Azure 区域传输数据的功能。
- 无中断。 在创建对等互连之时或之后,虚拟网络中的资源不会出现停机的现象。
确定网关传输和连接
将虚拟网络对等互连后,可以将对等虚拟网络中的 VPN 网关配置为传输点。 在这种情况下,对等互连虚拟网络使用远程网关来访问其他资源。 虚拟网络只能有一个网关。 VNet 对等互连和全局 VNet 对等互连均支持网关传输。
允许网关传输时,虚拟网络可与对等互连之外的资源进行通信。 例如,子网网关可以执行以下操作:
- 使用站点到站点 VPN 连接到本地网络。
- 使用 VNet 到 VNet 连接到另一个虚拟网络。
- 使用点到站点 VPN 连接到客户端。
在这些场景中,网关传输允许对等互连虚拟网络共享网关和访问资源。 这意味着无需在对等互连虚拟网络中部署 VPN 网关。
备注
可将网络安全组应用于虚拟网络(用于阻止访问其他虚拟网络)或子网。 配置虚拟网络对等互连时,可打开或关闭虚拟网络之间的网络安全组规则。
创建虚拟网络对等互连
以下是配置 VNet 对等互连的步骤。 请注意,你将需要两个虚拟网络。 若要测试对等互连,每个网络中需具有虚拟机。 最初,VM 将无法通信,但配置后,通信将正常进行。 新的步骤是配置虚拟网络的对等互连。
- 创建两个虚拟网络。
- 在虚拟网络之间建立对等互连。
- 在每个虚拟网络中创建虚拟机。
- 测试虚拟机之间的通信。
若要配置对等互连,请使用“添加对等互连”页。 只能选用几个配置参数。
备注
在一个虚拟网络上添加对等互连时,会自动添加第二个虚拟网络配置。
确定服务链用途
VNet 对等互连是不可传递的。 在 VNet1 和 VNet2 之间以及 VNet2 和 VNet3 之间建立 VNet 对等互连时,VNet 对等互连功能不适用于 VNet1 和 VNet3 之间。 但可以配置用户定义的路由和服务链来提供传递性。 这样,便可以:
- 实现多级中心辐射型体系结构。
- 克服对每个虚拟网络的 VNet 对等互连数的限制。
中心辐射型体系结构
部署中心辐射型网络时,中心虚拟网络可以托管基础结构组件,如网络虚拟设备或 VPN 网关。 然后,可将所有分支虚拟网络对等互连到中心虚拟网络。 流量可以流经中心虚拟网络中的网络虚拟设备或 VPN 网关。
用户定义的路由和服务链
通过虚拟网络对等互连,用户定义的路由中的下一个跃点可以成为对等虚拟网络中虚拟机或 VPN 网关的 IP 地址。
服务链可以定义用户路由。 这些路由将流量从一个虚拟网络定向到虚拟设备或虚拟网络网关。
正在检查连接
你可以查看 VNet 对等互连的状态。
- 已启动:创建从第一个虚拟网络到第二个虚拟网络的对等互连时,对等互连状态为“已启动”。
- 已连接:创建从第二个虚拟网络到第一个虚拟网络的对等互连时,对等互连状态为“已连接”。 如果查看第一个虚拟网络的对等互连状态,会看到其状态从“已启动”更改为“已连接”。 直到两个虚拟网络对等互连的对等互连状态均为“已连接”时,对等互连才成功建立。
