前文中我们谈到了利用vNet 到vNet VPN实现同一订阅不同虚拟网络或者不同订阅不同虚拟网络的互通方式，今天我们介绍另一种实现方式-对等互联。

使用虚拟网络对等互连可以无缝连接Azure中的两个虚拟网络，建立对等互连后，出于连接目的，两个虚拟网络会显示为一个。对等虚拟网络中虚拟机之间的流量通过Azure主干基础结构路由，非常类似于只通过专用IP地址在同一虚拟网络中的虚拟机之间路由流量。

使用虚拟网络本地对等互连，主要有以下好处：

• 对等虚拟网络之间的网络流量是专用的。虚拟网络之间的流量仅限于Azure主干网络。在虚拟网络之间通信不需公共 Internet、网关或加密。
  
• 不同虚拟网络中资源之间的连接延迟低且带宽高。
  
• 在虚拟网络对等互连之后，一个虚拟网络中的资源与另一虚拟网络中的资源通信的功能。
  
• 跨Azure订阅和部署模型传输数据的功能。
  
• 可将通过Azure资源管理器创建的虚拟网络对等互连，或者将一个通过资源管理器创建的虚拟网络对等互连到通过经典部署模型创建的虚拟网络。
  
• 在创建对等互连之时或之后，虚拟网络中的资源不会出现停机的现象。
  

    将虚拟网络对等互连后，其中一个虚拟网络中的虚拟机资源可直接连接到对等互连虚拟网络中的资源。例如IaaS VM之间互访。

    使用有效帐户登陆Azure门户网站，创建两个资源组以及对应的两个虚拟网络

从虚拟网络列表中，选择要为其创建对等的虚拟网络。在”设置”下，选择”对等”，选择”+ 添加”。

其中，截图中有几个关键词需要解释一下

• 允许虚拟网络访问：如果要启用两个虚拟网络之间的通信，请选择”启用”（默认）。 启用虚拟网络之间的通信可允许资源连接到任意虚拟网络，并以相同的带宽和延迟互相之间进行通信，就如同它们是连接到同一个虚拟网络一样。这两个虚拟网络中的资源之间的所有通信都在Azure专用网络上进行。网络安全组的服务标记 VirtualNetwork中包含虚拟网络和已对等互连的虚拟网络。如果不希望流量流到已对等互连的虚拟网络，请选择”禁用”。 如果已将一个虚拟网络与另一个虚拟网络对等互连，但有时想要禁用这两个虚拟网络之间的流量流动，则可以选择”禁用”。 你会发现，启用/禁用比删除并重新创建对等互连更加方便。当禁用此设置时，流量不会在已对等互连的虚拟网络间流动。
  
• 允许转发的流量： 选中此框将允许某个虚拟网络中通过网络虚拟设备转发的（不是从该虚拟网络发起的）流量通过对等互连流动到此虚拟网络。 例如，假设有名为 Spoke1、Spoke2和Hub的三个虚拟网络。每个辐射虚拟网络与中心虚拟网络之间存在一个对等互连但各个辐射虚拟网络之间不存在对等互连。一个网络虚拟设备部署在中心虚拟网络中，用户定义的路由应用于通过该网络虚拟设备在各个子网之间路由流量的每个辐射虚拟网络。如果没有为每个辐射虚拟网络与中心虚拟网络之间的对等选中此复选框，则流量不会在各个辐射虚拟网络之间流动，因为中心在各个虚拟网络之间转发流量。虽然启用此功能即可通过对等互连转发流量，但不会创建任何用户定义的路由或网络虚拟设备。 用户定义的路由和网络虚拟设备是单独创建的。如果流量通过Azure VPN网关在虚拟网络之间转发，则无需检查此设置。
  
• 允许网关传输：如果虚拟网关已附加到此虚拟网络，而你想要允许流量从已对等互连的虚拟网络流经网关，请选中此框。例如，此虚拟网络可以通过虚拟网关附加到本地网络。网关可以是ExpressRoute或VPN网关。选中此框将允许来自所对等互连的虚拟网络的流量通过附加到此虚拟网络的网关流到本地网络。如果选中此框，则已对等互连的虚拟网络不能有已配置的网关。设置从另一虚拟网络到此虚拟网络的对等互连时，对等互连的虚拟网络必须选中复选框”使用远程网关″。 如果保留此框的未选中状态（默认），则来自已对等互连的虚拟网络的流量仍可流动到此虚拟网络，但无法流经附加到此虚拟网络的虚拟网关。如果在虚拟网络（资源管理器）和虚拟网络（经典）之间进行对等互连，则网关必须位于虚拟网络（资源管理器）中。除了将流量转发到本地网络之外，VPN 网关还可以在与该网关所在的虚拟网络对等互连的虚拟网络之间转发网络流量，各个虚拟网络不需要都彼此对等互连。 如果希望在中心（请参阅为允许转发的流量描述的中心和辐射示例）虚拟网络中使用 VPN 网关在未彼此对等互连的辐射虚拟网络之间路由流量，则使用 VPN 网关转发流量非常有用。

• 使用远程网关：选中此框即可让来自此虚拟网络的流量流经附加到要与之对等互连的虚拟网络的虚拟网关。例如，要与之对等互连的虚拟网络附加了一个VPN 网关，因此可与本地网络通信。选中此框即可让来自此虚拟网络的流量流经附加到已对等互连的虚拟网络的 VPN 网关。如果选中此框，已对等互连的虚拟网络必须附加有虚拟网关，并且必须已选中”允许网关传输”复选框。 如果保留此框的未选中状态（默认），则来自已对等互连的虚拟网络的流量仍可流动到此虚拟网络，但无法流经附加到此虚拟网络的虚拟网关。 此虚拟网络只有一个对等互连可以启用此设置。如果已在虚拟网络中配置了网关，则无法使用远程网关。
  

    “允许转发的流量”、”允许网关传输”、”使用远程网关″这三个您可以根据自己的实际情况选择性进行启用。我的实验环境中不需要启用，只需要保证”允许虚拟网络访问”即可

    点击”确定”等待配置完成

同理，在TestBvNet中进行相同设置

分别创建两台VM以便测试vNet之间网络互通

此时您可以看见，我的两个不同vNet已经互通，可以相互访问对方资源。

选择其中一个VM的网络接口NIC，观察有效路由

以上，即是实现vNet到vNet的一个过程。不过我们需要注意的是

• Azure中的网络”对等”，是一个收费服务，启用之后，会产生少许费用。
  

• 对等互连是在两个虚拟网络之间建立的。对等互连不可传递。例如有vNet1、vNet2和vNet3：已经创建有vNet1和vNet2，或者vNet2和vNet3，不会通过vNet2在vNet1和vNet3之间形成对等互连。如果要在vNet1和vNet3之间创建虚拟网络对等互连，必须在vNet1和vNet3之间创建对等互连。
  
• 进行对等互连的虚拟网络的IP地址空间不得重�
  
• 虚拟网络与另一个虚拟网络对等后，不能向其添加或从中删除地址范围。若要添加或删除地址范围，请删除对等，添加或删除地址范围，然后重新创建对等。
  
• Azure China目前仅可以在同一个数据中心内实现”peering”
  
• 虚拟网络可以位于相同或不同的订阅中。 如果对等虚拟网络位于不同的订阅中，两个订阅必须关联到同一 Azure Active Directory 租户。

本文固定链接: http://365vcloud.azurewebsites.net/2018/09/09/vnet-to-vnet-peering/ | 365vCloud的云计算之旅