【Azure网络】Azure虚拟网络对等

虚拟网络对等使您能够在Azure中无缝连接两个或多个虚拟网络。虚拟网络显示为一个用于连接的网络。对等虚拟网络中虚拟机之间的流量使用微软骨干基础设施。与同一网络中虚拟机之间的流量一样，流量仅通过微软的专用网络路由。

Azure支持以下类型的对等互联：

• 虚拟网络对等互联：连接同一Azure区域内的虚拟网络。
• 全球虚拟网络对等互联：跨Azure区域连接虚拟网络。

使用虚拟网络对等连接（无论是本地还是全球）的好处包括：

• 不同虚拟网络中资源之间的低延迟、高带宽连接。
• 一个虚拟网络中的资源与不同虚拟网络中资源通信的能力。
• 跨Azure订阅、Microsoft Entra租户、部署模型和Azure区域在虚拟网络之间传输数据的能力。
• 对等通过Azure资源管理器创建的虚拟网络的能力。
• 将通过资源管理器创建的虚拟网络与通过经典部署模型创建的网络对等的能力。要了解有关Azure部署模型的更多信息，请参阅了解Azure部署模型。
• 创建对等时或创建对等后，虚拟网络中的资源都不会停机。

对等虚拟网络之间的网络流量是私有的。虚拟网络之间的流量保持在Microsoft骨干网络上。虚拟网络之间通信不需要公共Internet、网关或加密。

连接性

对于对等虚拟网络，任何一个虚拟网络中的资源都可以直接与对等虚拟网络的资源连接。

同一区域对等虚拟网络中虚拟机之间的网络延迟与单个虚拟网络内的延迟相同。网络吞吐量基于虚拟机允许的带宽，与虚拟机的大小成比例。对等互联中的带宽没有任何额外限制。

对等虚拟网络中虚拟机之间的流量直接通过微软骨干基础设施路由，而不是通过网关或公共互联网。

您可以在任一虚拟网络中应用网络安全组，以阻止对其他虚拟网络或子网的访问。配置虚拟网络对等时，打开或关闭虚拟网络之间的网络安全组规则。如果打开对等虚拟网络之间的完全连接，则可以应用网络安全组来阻止或拒绝特定访问。完全连接是默认选项。要了解有关网络安全组的更多信息，请参阅安全组。

调整所查看的Azure虚拟网络的地址空间大小

您可以调整所查看的Azure虚拟网络的地址空间大小，而不会在当前查看的地址空间上造成任何停机。当您在扩展工作负载后需要调整虚拟网络的地址空间时，此功能非常有用。一旦地址空间被调整大小，对等体必须与新的地址空间更改同步。调整大小适用于IPv4和IPv6地址空间。

地址可以通过以下方式调整大小：

• 修改现有地址范围的地址范围前缀（例如将10.1.0.0/16更改为10.1.0.0/18）
• 向虚拟网络添加地址范围
• 从虚拟网络中删除地址范围
• 支持跨租户调整地址空间大小

虚拟网络对等体的同步可以通过Azure门户或Azure PowerShell执行。我们建议您在每次调整地址空间大小操作后运行sync，而不是执行多个调整大小操作，然后运行sync操作。要了解如何更新对等虚拟网络的地址空间，请参阅更新对等虚拟网的地址空间。

重要事项

此功能不支持以下情况：

经典的虚拟网络

服务链

服务链使您能够通过用户定义的路由将流量从一个虚拟网络引导到对等网络中的虚拟设备或网关。

要启用服务链，请配置用户定义的路由，将指向对等虚拟网络中的虚拟机作为下一跳IP地址。用户定义的路由还可以指向虚拟网络网关，以实现服务链。

您可以部署中心辐射网络，其中中心虚拟网络承载基础设施组件，如网络虚拟设备或VPN网关。然后，所有辐条虚拟网络都可以与集线器虚拟网络对等。流量通过集线器虚拟网络中的网络虚拟设备或VPN网关流动。

虚拟网络对等使用户定义路由中的下一跳成为对等虚拟网络中虚拟机或VPN网关的IP地址。您无法使用用户定义的路由在虚拟网络之间进行路由，该路由将Azure ExpressRoute网关指定为下一个跃点类型。要了解有关用户定义路线的更多信息，请参阅用户定义路线概述。要了解如何创建集线器和辐条网络拓扑，请参阅Azure中的集线器辐条网络拓扑。

虚拟网络对等和全球虚拟网络对等都支持网关传输。

支持通过不同部署模型创建的虚拟网络之间的网关传输。网关必须位于资源管理器模型中的虚拟网络中。要了解有关使用网关进行传输的更多信息，请参阅在虚拟网络对等中配置VPN网关进行传输。

当您对等共享单个Azure ExpressRoute连接的虚拟网络时，它们之间的流量会通过对等关系。该流量使用Azure骨干网。您仍然可以在每个虚拟网络中使用本地网关连接到本地电路。否则，您可以使用共享网关并配置本地连接的传输。

故障排除

要确认虚拟网络是对等的，您可以检查有效的路由。检查虚拟网络中任何子网中网络接口的路由。如果存在虚拟网络对等连接，则虚拟网络中的所有子网都有具有下一跳类型的ExpressRoute对等连接的路由，用于每个对等虚拟网络中每个地址空间。有关更多信息，请参阅诊断虚拟机路由问题。

您还可以使用Azure network Watcher对对等虚拟网络中的虚拟机连接进行故障排除。通过连接检查，您可以查看流量是如何从源虚拟机的网络接口路由到目标虚拟机网络接口的。有关更多信息，请参阅使用Azure门户对与Azure Network Watcher的连接进行疑难解答。

您还可以尝试解决虚拟网络对等问题。

对等虚拟网络的约束

以下约束仅适用于全局对等的虚拟网络：

• 一个虚拟网络中的资源无法与全局对等虚拟网络中基本负载均衡器（内部或公共）的前端IP地址通信。
• 一些使用基本负载均衡器的服务无法在全局虚拟网络对等上工作。有关更多信息，请参阅与全局Contoso对等和负载均衡器相关的约束是什么？。
• 您不能将虚拟网络对等作为PUT虚拟网络操作的一部分执行。

有关更多信息，请参见要求和约束。要了解有关支持的对等数量的更多信息，请参阅网络限制。

权限

要了解创建虚拟网络对等所需的权限，请参阅权限。

定价

使用虚拟网络对等连接的入口和出口流量收取象征性费用。有关更多信息，请参阅虚拟网络定价。

网关传输是一种对等属性，使虚拟网络能够在对等虚拟网络中使用VPN/ExpressRoute网关。网关传输适用于跨场所和网络到网络的连接。到对等虚拟网络中的网关（入口或出口）的流量会在分支虚拟网络（或没有VPN网关的虚拟网络）上产生虚拟网络对等费用。有关更多信息，请参阅VPN网关费用的VPN网关定价和ExpressRoute网关费用的ExpressRoute网关定价。

注：

本文档的先前版本指出，虚拟网络对等互联费用将不适用于具有网关传输的辐条Contoso（或非网关ExpressRoute）。现在，它反映了每个定价页面的准确定价。

下一步

您可以在两个虚拟网络之间创建对等连接。这些网络可以属于同一订阅、同一订阅中的不同部署模型或不同订阅。完成以下场景之一的教程：

• Expand table

  Azure deployment model	Subscription
  Both Resource Manager	Same
  	Different
  One Resource Manager, one classic	Same
  	Different

• To learn how to create a hub and spoke network topology, see Hub-spoke network topology in Azure.

• To learn about all virtual network peering settings, see Create, change, or delete a virtual network peering.

• For answers to common virtual network peering and global virtual network peering questions, see VNet Peering.