Windows Azure Virtual Network (12) 虛擬網絡之間點對點連接VNet Peering

　　《Windows Azure Platform 系列文章目錄》

 

　　在有些時候，我們需要通過VNet Peering，把兩個虛擬網絡通過內網互通互聯。比如：

　　1.在訂閱A里的Virtual Network，部署了CRM系統

　　2.在訂閱B里的Virtual Network，部署了Order系統

　　3.需要通過CRM系統，通過內網傳輸，獲取到Order系統里面的訂單信息

　　

　　如果沒有VNet Peering的話，我們只能把Order系統里面的虛擬機，設置公網地址，然后通過設置網絡安全組(NSG)的IPV4訪問白名單，允許CRM系統的公網IP

　　但是這樣的代價也太大了。

 

　　通過使用Azure VNet Peering，我們可以：

　　1.把同一個訂閱里面的兩個不同的Virtual Network，通過內網互通互聯

　　2.在同一個企業合同(EA)下，把不同訂閱的Virtual Network，通過內網互通互聯

　　3.跨企業合同(EA)下，把不同訂閱的Virtual Network，通過內網互通互聯

　　4.請注意：兩個需要Peering的Virtual Network，IP Range不能重疊

 

　　在這里筆者介紹Azure Virtual Network Peering的兩種使用場景：

　　1.不同訂閱的Virtual Network之間，內網互通互聯。如下圖：

　　

　　

　　2.一邊是Virtual Network，一邊是Virtual Network和Express Route Gateway

　　Project B通過ER Gateway網關，鏈接到IDC內網的應用。如下圖：

　　

　　接下來開始演示內容：　

　　一.不同訂閱的Virtual Network之間，內網互通互聯

　　

　　我們先准備以下內容：

　　1.在A訂閱里面，創建Virtual Network, 名稱為A-VNet，IP Rang為172.0.0.0/24。圖略

　　2.在B訂閱里面，創建Virtual Network, 名稱為B-VNet，IP Rang為172.0.1.0/24。圖略

　　3.在上面2個VNet里面，分別創建2台Windows VM。這兩台VM的IP分別為172.0.0.4和172.0.1.4。圖略

　　4.我們首先通過遠程桌面連接RDP到這2台VM，關閉Windows防火牆。然后分別通過ping命令，ping對方的內網IP地址。肯定是ping不通的。

　　5.我們首先需要設置，從A-VNet (172.0.0.0/24) 到 B-VNet (172.0.1.0/24)的Peering。

　　在A-VNet里面，選擇Peerings，然后點擊下圖的Add按鈕

　　

　　6.界面跳轉，我們設置如下內容：

　　Name設置Peering的名稱，為AtoB-Peering

　　在Subscription里面選擇訂閱

　　在Virtual Network選擇需要鏈接的虛擬網絡

　　在Configuration里面，勾選Allow Forwarded Traffic

　　

　　請注意上圖中，因為我們是在同一個EA下面的2個訂閱，所以可以通過Subscription下拉框選擇到相應的訂閱

　　如果我們想跨EA設置VNet Peering。我們可以手動輸入需要鏈接的Virtual Network的資源ID。如下圖：

　　

 

　　7.設置完畢后，從A-VNet到B-VNet的Peering設置成功了。我們還需要設置從B-VNet到A-VNet的Peering。　　

　　我們在B-VNet里面，選擇Peerings，然后點擊下圖的Add按鈕

　　

　　

　　8.界面跳轉，我們設置如下內容：

　　Name設置Peering的名稱，為BtoA-Peering

　　在Subscription里面選擇訂閱

　　在Virtual Network選擇需要鏈接的虛擬網絡

　　在Configuration里面，勾選Allow Forwarded Traffic

　　

 

　　9.設置成功后，我們查看兩台VM的Ping命令。如下圖：

　　

　　可以看到，已經可以從A VM (192.168.0.4)，ping到B VM(192.168.1.4)。就實現了這2個Virtual Network之間的內網互通互聯。

 

 

　　然后我們開始第二部分：

　　一邊是Virtual Network，一邊是Virtual Network和Express Route Gateway

　　Project B通過ER Gateway網關，鏈接到IDC內網的應用。如下圖：

　　

　　在Project B訂閱里面：

　　1.創建一個Virtual Network，我們命名為A-VNet，和一台VM

　　2.請注意：這個訂閱里面，不包含Express Route Gateway網關，或者其他VPN網關

 

　　在Shared Gateway訂閱里面：

　　1.創建Virtual Network, 我們命名為ER-VNet，Gateway Subnet，Express Route Gateway

　　2.請注意：在這個訂閱里面，包含Express Route Gateway網關

　　

 

　　1.我們在Project B的訂閱里面，選擇Peerings，然后點擊Add按鈕。圖略

　　2.從Project B到Express Route Gateway的Peering，請按照下圖設置：

　　Allow Forwarded Traffic，允許從Project B到Express Route Gateway的流量

　　Use Remote Gateways，設置Project B使用遠端Express Route的Gateway

　　

 

　　3.然后我們在Express Route的訂閱里，選擇Peerings，然后點擊Add按鈕。圖略

　　4.從Express Route，到Project B的Peering，請按照下圖設置

　　Allow Forwarded Traffic，允許從Express Route Gateway到Project B的流量

　　Allow Gateway Transit，允許Project B的流量，從Express Route Gateway穿透