使用虚拟网络配对连接云

---

虚拟网络配对是沟通云端关系以允许共享的基本流程。

什么是虚拟网络？

虚拟网络是虚拟交换机及其上行链路与实际连接相结合的混合体，它隔离了网络环境。无论您有多少虚拟交换机，都只需要实际的上行链路和虚拟交换机。

虚拟网络管理虚拟服务器和实际网络之间的访问和流量。虚拟网络的一些功能和限制并非由虚拟机管理程序永久设置。

虚拟网络配对

虚拟网络配对有助于连接Azure中的两个或多个虚拟网络。

优势

在组织中使用虚拟网络配对的优势：

• 不同虚拟网络中的资源之间低延迟、高带宽的连接。

• 一个虚拟网络能够与另一个虚拟网络中的资源通信的能力。

• 跨Azure订阅、Azure活动目录租户、部署模型和Azure区域在虚拟网络之间移动数据的能力。

• 能够对通过Azure资源管理器创建的虚拟网络进行对等互连。

• 能够将通过资源管理器创建的虚拟网络与通过经典部署模型创建的虚拟网络进行对等互连。要了解Azure部署模型，请参阅了解Azure部署模型。

• 在创建配对期间或配对创建后，对任一虚拟网络中的资源都没有停机时间。

Azure中的虚拟网络配对

我们可以使用虚拟网络对等互连连接虚拟网络。

这些虚拟网络可以在同一区域或不同区域（通常称为全局虚拟网络对等互连）。

当虚拟网络对等互连后，两个虚拟网络中的资源都可以通过Microsoft骨干网络以低延迟、高带宽的方式相互通信。

Azure支持以下类型的对等互连：

虚拟网络对等互连：在同一Azure区域内连接虚拟网络。

全局虚拟网络对等互连：跨Azure区域连接虚拟网络。

访问权限

对于对等互连的虚拟网络，任一虚拟网络中的资源都可以访问另一个虚拟网络中的资源。

在同一区域内对等互连的虚拟网络中的虚拟机之间的连接延迟与单个虚拟网络内的延迟相同。连接吞吐量取决于虚拟机与其大小相关的带宽。对等互连内没有额外的速度限制。

对等互连虚拟网络中的虚拟机之间的流量直接通过Microsoft骨干网络传输，而不是通过网关或公共互联网。

您可以对任一虚拟网络应用网络安全组，以阻止对其他虚拟网络或子网的访问。当您规划虚拟网络对等互连时，可以打开或关闭虚拟网络之间的网络安全组规则。如果您要打开对等互连虚拟网络之间的完全访问权限，则可以应用网络安全组来阻止或允许特定访问。所有流量是默认设置。要更深入地了解网络安全组，请参阅安全组。

Google Cloud Platform中的虚拟网络配对

Google Cloud Platform提供两种类型的Cloud VPN网关：HA VPN和经典VPN。

HA VPN

HA VPN是一种高可用性(HA) Cloud VPN解决方案，允许您通过单个区域中的IPsec VPN连接安全地将您的本地网络连接到您的VPC网络。HA VPN提供99.99%的服务可用性SLA。

当您创建一个HA VPN网关时，Google Cloud Platform会自动选择两个外部IPv4地址，每个接口一个。

每个IPv4地址都自动分配到一个唯一的地址池，以提高高可用性。每个HA VPN网关接口都支持多个隧道。

您也可以创建多个HA VPN网关。当您删除HA VPN网关时，Google Cloud Platform会释放IP地址以供重用。

您可以使用只有一个活动接口和一个外部IP地址的HA VPN网关进行配置；但是，此配置不提供99.99%的服务可用性SLA。

HA VPN支持在预览版中交换IPv6流量。

在API文档和gcloud命令中，HA VPN网关被称为VPN网关而不是目标VPN网关。您无需为HA VPN网关创建任何转发规则。

HA VPN使用Google Cloud Platform中的外部VPN网关资源来向Google Cloud Platform提供有关您的对等VPN网关的信息。

经典VPN

对于经典VPN，如果您的本地端是基于硬件的，则拥有第二个对等VPN网关可在该端提供冗余和故障转移。

第二个物理网关允许您将其中一个网关脱机进行软件更新或其他计划维护。

它还可以保护您免受其中一个设备的完全故障的影响。

要配置从您的Cloud VPN网关到第二个本地端VPN网关的隧道，请执行以下操作：

配置第二个本地VPN网关和一个隧道。

在您的Cloud VPN网关上设置指向第二个本地网关的第二个隧道。

为第二个隧道转发与第一个隧道相同的路由。如果您希望两个隧道平衡流量，请使它们的路由优先级相同。

如果您希望一个隧道是主要的，请为第二个隧道设置较低的优先级。

如果由于路径中的组织问题或本地网关问题导致任何VPN隧道出现故障，Cloud VPN网关将继续通过健康的隧道发送流量，并在故障隧道恢复后自动继续使用两个隧道。