你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：使用虚拟网络对等互连连接虚拟网络

2025-09-28

可以使用虚拟网络对等互连将虚拟网络互相连接。这些虚拟网络可以位于相同区域或不同区域中（也称为全局虚拟网络对等互连）。将虚拟网络对等互连后，两个虚拟网络中的资源可以使用 Microsoft 主干网络通过低延迟、高带宽的连接相互通信。

本教程中，您将学习如何：

创建虚拟网络
使用虚拟网络对等互连连接两个虚拟网络
将虚拟机 (VM) 部署到每个虚拟网络
在虚拟机之间通信

Prerequisites

具有活动订阅的 Azure 帐户。你可以免费创建一个帐户。

具有活动订阅的 Azure 帐户。你可以免费创建一个帐户。

Azure Cloud Shell

Azure 托管 Azure Cloud Shell（一个可通过浏览器使用的交互式 shell 环境）。可以将 Bash 或 PowerShell 与 Cloud Shell 配合使用来使用 Azure 服务。可以使用 Cloud Shell 预安装的命令来运行本文中的代码，而不必在本地环境中安装任何内容。

若要启动 Azure Cloud Shell，请执行以下操作：

选项	示例/链接
选择代码或命令块右上角的“试用”。选择“试用”不会自动将代码或命令复制到 Cloud Shell。
转到 https://shell.azure.com 或选择“启动 Cloud Shell”按钮，在浏览器中打开 Cloud Shell。
选择 Azure 门户右上角菜单栏上的 Cloud Shell 按钮。

若要使用 Azure Cloud Shell，请执行以下操作：

启动 Cloud Shell。
选择代码块（或命令块）上的“复制”按钮以复制代码或命令。
在 Windows 和 Linux 上选择 CtrlShift+V，或在 macOS 上选择 CmdShift+V 将代码或命令粘贴到 Cloud Shell 会话中++。
选择“Enter”运行代码或命令。

如果选择在本地安装和使用 PowerShell，则本文需要 Azure PowerShell 模块 1.0.0 或更高版本。运行 Get-Module -ListAvailable Az 查找已安装的版本。如果需要升级，请参阅安装 Azure PowerShell 模块。如果在本地运行 PowerShell，则还需运行 Connect-AzAccount 以创建与 Azure 的连接。

创建虚拟网络和 Azure Bastion 主机

以下过程可创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络：

在门户中，搜索并选择“虚拟网络”。
在“虚拟网络”页面上，选择“+ 创建”。

在“创建虚拟网络”的“基本信息”选项卡上，输入或选择以下信息：

设置	值
项目详细信息
订阅	选择订阅。
资源组	选择“新建”。输入 “test-rg” 作为名称。选择“确定”。
实例详细信息
名称	输入 vnet-1。
区域	选择“美国东部 2”。

用于在 Azure 门户中创建虚拟网络的“基本信息”选项卡的屏幕截图。

选择“下一步”，转到“安全性”选项卡。
在 “Azure Bastion” 部分，选择“启用 Azure Bastion”。

通过使用其专用 IP 地址，Bastion 可使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP) 连接虚拟网络中的 VM（通过使用其专用 IP 地址）。虚拟机不需要公共 IP 地址、客户端软件或特殊配置。有关详细信息，请参阅什么是 Azure Bastion？。

注意

从部署 Bastion 的时刻开始按小时计费，与出站数据的使用情况无关。有关详细信息，请参阅定价和 SKU。如果要将 Bastion 部署为教程或测试的一部分，建议在使用完此资源后将其删除。

在 “Azure Bastion” 中，输入或选择以下信息：

设置	值
Azure Bastion 主机名	输入“Bastion”。
Azure Bastion 公共 IP 地址	选择“创建公共 IP 地址”。在“名称”中输入 public-ip-bastion。选择“确定”。

用于在 Azure 门户中创建虚拟网络时启用 Azure Bastion 主机的选项的屏幕截图。

选择“下一步”，以转到“IP 地址”选项卡。
在“子网”的地址空间框中，选择“默认”子网。

在“编辑子网”中，输入或选择以下信息：

设置	值
子网用途	保留默认值“默认”。
名称	输入 “subnet-1”。
IPv4
IPv4 地址范围	保留默认值 “10.0.0.0/16”。
起始地址	保留默认值“10.0.0.0”。
大小	保留默认值“/24 (256 个地址)”。

选择“保存”。
在窗口底部选择“查看 + 创建”。验证通过后，选择“创建”。

重复上述步骤，以使用以下值创建第二个虚拟网络：

注意

第二个虚拟网络可以与第一个虚拟网络位于同一区域，也可以位于其他区域中。可以跳过第二个虚拟网络的“安全”选项卡和 Bastion 部署。建立虚拟网络对等互连后，可以通过相同的 Bastion 部署连接到这两台虚拟机。

设置	值
名称	vnet-2
地址空间	10.1.0.0/16
资源组	test-rg
子网名称	subnet-1
子网地址范围	10.1.0.0/24

在创建虚拟网络之前，必须为虚拟网络和本文中创建的所有其他资源创建资源组。使用 New-AzResourceGroup 创建资源组。以下示例在 eastus 位置创建名为“test-rg”的资源组。

$resourceGroup = @{
    Name = "test-rg"
    Location = "EastUS2"
}
New-AzResourceGroup @resourceGroup

使用 New-AzVirtualNetwork 创建虚拟网络。以下示例使用地址前缀“10.0.0.0/16”创建一个名为 “vnet-1” 的虚拟网络。

$vnet1 = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork1 = New-AzVirtualNetwork @vnet1

使用 Add-AzVirtualNetworkSubnetConfig 创建子网配置。以下示例创建地址前缀为 10.0.0.0/24 的子网配置：

$subConfig = @{
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    VirtualNetwork = $virtualNetwork1
}
$subnetConfig1 = Add-AzVirtualNetworkSubnetConfig @subConfig

使用 Add-AzVirtualNetworkSubnetConfig 创建 Azure Bastion 的子网配置。以下示例创建地址前缀为 10.0.1.0/24 的子网配置：

$subBConfig = @{
    Name = "AzureBastionSubnet"
    AddressPrefix = "10.0.1.0/24"
    VirtualNetwork = $virtualNetwork1
}
$subnetConfig2 = Add-AzVirtualNetworkSubnetConfig @subBConfig

使用 Set-AzVirtualNetwork 将子网配置写入虚拟网络，从而创建子网：

$virtualNetwork1 | Set-AzVirtualNetwork

创建 Azure Bastion

使用 New-AzPublicIpAddress 为 Azure Bastion 主机创建公共 IP 地址。以下示例在 vnet-1 虚拟网络中创建名为 public-ip-bastion 的公共 IP 地址。

$publicIpParams = @{
    ResourceGroupName = "test-rg"
    Name = "public-ip-bastion"
    Location = "EastUS2"
    AllocationMethod = "Static"
    Sku = "Standard"
}
New-AzPublicIpAddress @publicIpParams

使用 New-AzBastion 创建 Azure Bastion 主机。以下示例在 vnet-1 虚拟网络的 AzureBastionSubnet 子网中创建名为 Bastion 的 Azure Bastion 主机。 Azure Bastion 用于安全连接 Azure 虚拟机，而无需将其公开到公共 Internet。

$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-1"
    PublicIpAddressName = "public-ip-bastion"
    PublicIpAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
}
New-AzBastion @bastionParams -AsJob

创建第二个虚拟网络

使用 New-AzVirtualNetwork 创建第二个虚拟网络。以下示例使用地址前缀“10.1.0.0/16”创建一个名为“vnet-2”的虚拟网络。

注意

第二个虚拟网络可以与第一个虚拟网络位于同一区域，也可以位于其他区域中。不需要为第二个虚拟网络部署 Bastion。建立虚拟网络对等互连后，可以通过相同的 Bastion 部署连接到这两台虚拟机。

$vnet2 = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vnet-2"
    AddressPrefix = "10.1.0.0/16"
}
$virtualNetwork2 = New-AzVirtualNetwork @vnet2

使用 Add-AzVirtualNetworkSubnetConfig 创建子网配置。以下示例创建地址前缀为 10.1.0.0/24 的子网配置：

$subConfig = @{
    Name = "subnet-1"
    AddressPrefix = "10.1.0.0/24"
    VirtualNetwork = $virtualNetwork2
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subConfig

使用 Set-AzVirtualNetwork 将子网配置写入虚拟网络，从而创建子网：

$virtualNetwork2 | Set-AzVirtualNetwork

在创建虚拟网络之前，必须为虚拟网络和本文中创建的所有其他资源创建资源组。使用 az group create 创建资源组。以下示例在 eastus 位置创建名为“test-rg”的资源组。

az group create \
    --name test-rg \
    --location eastus2

使用 az network vnet create 创建虚拟网络。以下示例使用地址前缀“10.0.0.0/16”创建一个名为 “vnet-1” 的虚拟网络。

az network vnet create \
    --name vnet-1 \
    --resource-group test-rg \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.0.0.0/24

使用 az network vnet subnet create 创建 Bastion 子网。

# Create a bastion subnet.
az network vnet subnet create \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --address-prefix 10.0.1.0/24

创建 Azure Bastion

使用 az network public-ip create 为 Azure Bastion 主机创建公共 IP 地址。以下示例在 vnet-1 虚拟网络中创建名为 public-ip-bastion 的公共 IP 地址。

az network public-ip create \
    --resource-group test-rg \
    --name public-ip-bastion \
    --location eastus2 \
    --allocation-method Static \
    --sku Standard

使用 az network bastion create 创建 Azure Bastion 主机。以下示例在 vnet-1 虚拟网络的 AzureBastionSubnet 子网中创建名为 Bastion 的 Azure Bastion 主机。 Azure Bastion 用于安全连接 Azure 虚拟机，而无需将其公开到公共 Internet。

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --vnet-name vnet-1 \
    --public-ip-address public-ip-bastion \
    --location eastus2 \
    --no-wait

创建第二个虚拟网络

使用 az network vnet create 创建第二个虚拟网络。以下示例使用地址前缀“10.1.0.0/16”创建一个名为“vnet-2”的虚拟网络。

注意

az network vnet create \
    --name vnet-2 \
    --resource-group test-rg \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefix 10.1.0.0/24

创建虚拟网络对等

使用以下步骤在 vnet1 和 vnet2 之间创建双向网络对等互连。

在门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。
选择 “vnet-1”。
在“设置”中选择“对等互连”。
选择“+ 添加”。

在“添加对等互连”中，输入或选择以下信息：

设置	值
远程虚拟网络摘要
对等互连链接名称	输入“vnet-2-to-vnet-1”。
虚拟网络部署模型	保留默认值“资源管理器”。
订阅	选择订阅。
虚拟网络	选择“vnet-2”。
远程虚拟网络对等互连设置
允许“vnet-2”访问“vnet-1”	保留默认值“已选择”。
允许“vnet-2”接收来自“vnet-1”的转发流量	选中复选框。
允许“vnet-2”中的网关或路由服务器将流量转发到“vnet-1”	保留默认值“已清除”。
启用“vnet-2”以使用“vnet-1”远程网关或路由服务器	保留默认值“已清除”。
本地虚拟网络对等互连摘要
对等互连链接名称	输入“vnet-1-to-vnet-2”。
本地虚拟网络对等互连设置
允许“vnet-1”访问“vnet-2”	保留默认值“已选择”。
允许“vnet-1”接收来自“vnet-2”的转发流量	选中复选框。
允许“vnet-1”中的网关或路由服务器将流量转发到“vnet-2”	保留默认值“已清除”。
启用“vnet-1”以使用“vnet-2”的远程网关或路由服务器	保留默认值“已清除”。

在 Azure 门户中添加对等互连的屏幕截图。

选择添加。

将虚拟网络对等互连

使用 Add-AzVirtualNetworkPeering 创建对等互连。以下示例将 vnet-1 对等互连到 vnet-2。

$peerConfig1 = @{
    Name = "vnet-1-to-vnet-2"
    VirtualNetwork = $virtualNetwork1
    RemoteVirtualNetworkId = $virtualNetwork2.Id
}
Add-AzVirtualNetworkPeering @peerConfig1

在上一个命令执行后返回的输出中，会看到 PeeringState 已启动。对等互连将保持“Initiated”状态，直到创建从 vnet-2 到 vnet-1 的对等互连。创建从 vnet-2 到 vnet-1 的对等互连。

$peerConfig2 = @{
    Name = "vnet-2-to-vnet-1"
    VirtualNetwork = $virtualNetwork2
    RemoteVirtualNetworkId = $virtualNetwork1.Id
}
Add-AzVirtualNetworkPeering @peerConfig2

在上一个命令执行后返回的输出中，可以看到 PeeringState 为 Connected。 Azure 还将从 vnet-1 到 vnet-2 的对等互连的对等互连状态更改为“Connected”。使用 Get-AzVirtualNetworkPeering 确认从 vnet-1 到 vnet-2 的对等互连的对等互连状态是否已更改为“Connected”。

$peeringState = @{
    ResourceGroupName = "test-rg"
    VirtualNetworkName = "vnet-1"
}
Get-AzVirtualNetworkPeering @peeringState | Select PeeringState

在两个虚拟网络中的对等互连的“peeringState”为“Connected”之前，一个虚拟网络中的资源无法与另一个虚拟网络中的资源通信。

将虚拟网络对等互连

对等互连是在虚拟网络 ID 之间建立的。使用 az network vnet show 获取每个虚拟网络的 ID，并将这些 ID 存储在各自的变量中。

# Get the id for vnet-1.
vNet1Id=$(az network vnet show \
  --resource-group test-rg \
  --name vnet-1 \
  --query id --out tsv)

# Get the id for vnet-2.
vNet2Id=$(az network vnet show \
  --resource-group test-rg \
  --name vnet-2 \
  --query id \
  --out tsv)

使用 az network vnet peering create 创建从 vnet-1 到 vnet-2 的对等互连。如果未指定 --allow-vnet-access 参数，将建立对等互连，但没有通信可以通过它进行。

az network vnet peering create \
  --name vnet-1-to-vnet-2 \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --remote-vnet $vNet2Id \
  --allow-vnet-access

az network vnet peering create \
  --name vnet-2-to-vnet-1 \
  --resource-group test-rg \
  --vnet-name vnet-2 \
  --remote-vnet $vNet1Id \
  --allow-vnet-access

在上一个命令执行后返回的输出中，可以看到 peeringState 为 Connected。 Azure 还将从 vnet-1 到 vnet-2 的对等互连的对等互连状态更改为“Connected”。使用 az network vnet peering show 确认从 vnet-1 到 vnet-2 的对等互连的对等互连的对等互连状态是否已更改为“Connected”。

az network vnet peering show \
  --name vnet-1-to-vnet-2 \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --query peeringState

在两个虚拟网络中的对等互连的“peeringState”为“Connected”之前，一个虚拟网络中的资源无法与另一个虚拟网络中的资源通信。

创建虚拟机

在每个虚拟网络中创建一个虚拟机，以测试它们之间的通信。虚拟网络可以通过刚刚创建的虚拟网络对等互连相互通信。

创建测试虚拟机

以下过程会在虚拟网络中创建一个名为 vm-1 的测试虚拟机 (VM)。

在门户中，搜索并选择“虚拟机”。
在“虚拟机”中，依次选择“+ 创建”和“Azure 虚拟机”。

在“创建虚拟机”的“基本信息”选项卡上，输入或选择以下信息：

设置	值
项目详细信息
订阅	选择订阅。
资源组	选择 “test-rg”。
实例详细信息
虚拟机名称	输入 “vm-1”。
区域	选择“美国东部 2”。
可用性选项	选择“无需基础结构冗余”。
安全类型	保留默认值“标准”。
图像	选择“Ubuntu Server 22.04 LTS - x64 Gen2”。
VM 体系结构	保留默认值 “x64”。
大小	选择一个大小。
管理员帐户
身份验证类型	选择“密码”。
用户名	输入“azureuser”。
密码	输入密码。
确认密码	重新输入密码。
入站端口规则
公共入站端口	选择“无”。

选择页面顶部的“网络”选项卡。

在“网络”选项卡中，输入或选择以下信息：

设置	值
网络接口
虚拟网络	选择 “vnet-1”。
子网	选择 “subnet-1 (10.0.0.0/24)”。
公共 IP	选择“无”。
NIC 网络安全组	选择“高级”。
配置网络安全组	选择“新建”。在“名称”中输入 “nsg-1”。将其余字段保留默认设置，然后选择“确定”。

将其余设置保留为默认值，然后选择“查看 + 创建”。
检查设置，然后选择“创建”。

注意

虚拟网络中具有堡垒主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP，虚拟机使用专用 IP 在网络中进行通信。可以从堡垒托管的虚拟网络的任何虚拟机中删除公共 IP。有关详细信息，请参阅从 Azure 虚拟机解除公共 IP 地址的关联。

注意

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

发生以下事件之一时，将禁用默认出站访问 IP：

将公共 IP 地址分配给 VM。
VM 被放置在标准负载均衡器的后端池中，有无出站规则均可。
Azure NAT 网关资源将分配给虚拟机的子网。

在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息，请参阅 Azure 中的默认出站访问和使用源网络地址转换 (SNAT) 进行出站连接。

重复上述步骤，使用以下值在另一个虚拟网络中创建第二个虚拟机：

设置	值
虚拟机名称	vm-2
区域	美国东部 2 或与 vnet-2 相同的区域。
虚拟网络	选择“vnet-2”。
子网	选择 “subnet-1 (10.1.0.0/24)”。
公共 IP	无
网络安全组名称	nsg-2

创建第一个虚拟机

使用 New-AzVM 创建虚拟机。以下示例在 vnet-1 虚拟网络中创建名为 vm-1 的虚拟机。出现提示时，输入虚拟机的用户名和密码。

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-1"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    PublicIpAddressName = $null  # No public IP address
}

# Create the virtual machine
New-AzVM @vmParams

创建第二个虚拟机

# Create a credential object
$cred = Get-Credential

# Define the virtual machine parameters
$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "EastUS2"
    Name = "vm-2"
    ImageName = "Canonical:ubuntu-24_04-lts:server-gen1:latest"
    Size = "Standard_DS1_v2"
    Credential = $cred
    VirtualNetworkName = "vnet-2"
    SubnetName = "subnet-1"
    PublicIpAddressName = $null  # No public IP address
}

# Create the virtual machine
New-AzVM @vmParams

创建第一个虚拟机

使用 az vm create 创建虚拟机。以下示例在 vnet-1 虚拟网络中创建名为 vm-1 的虚拟机。如果默认密钥位置中尚不存在 SSH 密钥，该命令会创建它们。该 --no-wait 选项在后台创建虚拟机，以便可以继续执行下一步。

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Ubuntu2204 \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --admin-username azureuser \
    --authentication-type password \
    --no-wait

创建第二个虚拟机

在 vnet-2 虚拟网络中创建虚拟机。

az vm create \
    --resource-group test-rg \
    --name vm-2 \
    --image Ubuntu2204 \
    --vnet-name vnet-2 \
    --subnet subnet-1 \
    --admin-username azureuser \
    --authentication-type password

创建虚拟机需要几分钟时间。

等待虚拟机创建完成，然后继续执行后续步骤。

连接到虚拟机

使用 ping 测试虚拟机之间的通信。登录到 Azure 门户以完成以下步骤。

在门户中，搜索并选择“虚拟机”。
在“虚拟机”页上，选择“vm-1”。
在“vm-1”的“概览”中，选择“连接”。
在“连接到虚拟机”页中，选择“Bastion”选项卡。
选择“使用 Bastion”。
输入创建虚拟机时创建的用户名和密码，然后选择 “连接”。

在虚拟机之间通信

在 vm-1 的 bash 提示符下，输入 ping -c 4 10.1.0.4。

你会收到类似于以下消息的回复：

azureuser@vm-1:~$ ping -c 4 10.1.0.4
PING 10.1.0.4 (10.1.0.4) 56(84) bytes of data.
64 bytes from 10.1.0.4: icmp_seq=1 ttl=64 time=2.29 ms
64 bytes from 10.1.0.4: icmp_seq=2 ttl=64 time=1.06 ms
64 bytes from 10.1.0.4: icmp_seq=3 ttl=64 time=1.30 ms
64 bytes from 10.1.0.4: icmp_seq=4 ttl=64 time=0.998 ms

--- 10.1.0.4 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.998/1.411/2.292/0.520 ms

关闭 Bastion 与 vm-1 的连接。
重复连接到虚拟机中的步骤以连接到 vm-2。

在“vm-2”的 bash 提示符下，输入。ping -c 4 10.0.0.4

你会收到类似于以下消息的回复：

azureuser@vm-2:~$ ping -c 4 10.0.0.4
PING 10.0.0.4 (10.0.0.4) 56(84) bytes of data.
64 bytes from 10.0.0.4: icmp_seq=1 ttl=64 time=1.81 ms
64 bytes from 10.0.0.4: icmp_seq=2 ttl=64 time=3.35 ms
64 bytes from 10.0.0.4: icmp_seq=3 ttl=64 time=0.811 ms
64 bytes from 10.0.0.4: icmp_seq=4 ttl=64 time=1.28 ms

关闭 Bastion 与 vm-2 的连接。

使用完创建的资源之后，可以删除资源组及其所有资源。

在 Azure 门户中，搜索并选择“资源组”。
在“资源组”页上，选择 “test-rg” 资源组。
在“test-rg”页上，选择“删除资源组”。
在“输入资源组名称以确认删除”中输入 “test-rg”，然后选择“删除”。

如果不再需要资源组及其包含的所有资源，请使用 Remove-AzResourcegroup 将其删除。

$rgParams = @{
    Name = "test-rg"
}
Remove-AzResourceGroup @rgParams -Force

如果不再需要资源组及其包含的所有资源，可以使用 az group delete 将其删除。

az group delete \
    --name test-rg \
    --yes \
    --no-wait

后续步骤

本教程介绍以下操作：

在两个虚拟网络之间创建了虚拟网络对等互连。
使用 ping 测试了两个虚拟机通过虚拟网络对等互连进行通信的情况。

若要详细了解虚拟网络对等互连：

虚拟网络对等互连概述

反馈

此页面是否有帮助？