[新产品/新功能] Azure 子网对等连接介绍

[新产品/新功能] Azure 子网对等连接介绍   # 产品功能分析 ## 新功能/新产品概述 Azure Subnet Peering 是对现有 VNET Peering 的扩展，允许用户仅连接特定子网地址空间，而非整个 VNET 地址空间。该功能的核心目标是优化 IPv4 地址空间利用、减少不必要的子网暴露，并支持 IPv6 仅 peering 模式。**Subnet Peering** 适用于需要精细控制网络连接的场景，例如云环境中的 hub and spoke 架构、双栈子网的 IPv6 连接，以及与本地数据中心的网关集成。背景在于，随着云计算需求的增长，用户面临地址空间重叠和安全暴露的问题，该功能针对 Azure 虚拟网络用户群（如企业 IT 管理员和开发人员）提供更灵活的网络互连选项，市场定位聚焦于提升网络效率和安全性。 ## 关键客户价值 - **地址空间优化**：通过仅 peering 特定子网，用户能在重叠地址空间的 VNET 之间实现连接，节省 IPv4 地址资源，避免不必要的广播流量，从而降低潜在的安全风险。该机制在 hub and spoke 模型中特别突出，与传统 VNET Peering 的全地址空间连接相比，减少了暴露面，提升了网络隔离性。 - **IPv6 优先支持**：在双栈子网场景下，用户可选择仅使用 IPv6 进行 peering，促进 IPv6 迁移，减少 IPv4 依赖。该优势在全球 IPv6 采用趋势中体现，帮助客户实现更高效的跨区域连接，但需注意可能受限于 IPv6 兼容性。 - **网关场景控制**：允许管理员仅暴露特定子网给本地数据中心，减少整体网络暴露，提高数据传输的安全性。与竞品如 AWS VPC Peering 相比，Azure 的子网级控制提供更精细的访问管理，但可能在多 peering 场景下面临配置复杂性。 ## 关键技术洞察 - **技术独特性**：**Subnet Peering** 基于 VNET Peering 构建，引入新参数如 **--peer-complete-vnet**（设置为 false 时启用子网级 peering）和 **--enable-only-ipv6**（启用 IPv6 仅模式），允许用户指定本地和远程子网名称进行连接。该技术工作原理是通过 Azure 的网络路由引擎动态评估子网唯一性和地址空间，确保仅选定子网间建立路由表，而非全 VNET 广播。 - **创新点与影响**：创新在于提供子网级粒度控制，提升了网络的灵活性和安全性，例如在高并发环境中减少路由开销，提高资源利用率。但对性能的影响包括：可用性依赖于子网唯一性检查，可能导致 peering 失败；安全性通过限制暴露面增强，但在大规模组网时，管理复杂性上升，可能影响整体可用性。挑战包括子网数量限制（≤400）和 peering 链接的不可变性，Azure 通过更新路由策略（如未来移除非 peering 子网的转发路由）来解决，但当前公测版本需订阅白名单，增加了初始采用门槛。 ## 其他信息 - **实施限制**：子网必须属于唯一地址空间，且每个 peering 链接仅支持一种类型；不支持与 Azure Virtual WAN 或 AVNM 的直接集成，可能导致在混合环境中配置冲突，用户需谨慎管理。 - **配置方式**：通过 Azure CLI 或 API 添加参数，如 `az network vnet peering create --peer-complete-vnet 0 --local-subnet-names subnet1`，需先注册订阅以访问公测功能。   # Azure 中的子网对等连接介绍 **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/introducing-subnet-peering-in-azure/4383841](https://techcommunity.microsoft.com/blog/azurenetworkingblog/introducing-subnet-peering-in-azure/4383841) **发布时间:** 2025-04-14 **厂商:** AZURE **类型:** TECH-BLOG --- ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00MzgzODQxLWFKcFJVcA?revision=8&image-dimensions=2000x2000&constrain-image=true) Azure Networking Blog # Azure 中的子网对等连接介绍 2025 年 4 月 14 日 ## 子网对等连接功能允许用户在本地和远程虚拟网络 (VNETs) 之间对等特定子网，通过重用来节省 IPv4 地址空间，限制非对等子网通过中心网关的不必要暴露，并为双栈子网实现仅 IPv6 对等连接。子网对等连接 (Subnet Peering) 是连接两个虚拟网络 (VNETs) 的方法，通过链接子网地址空间而不是整个 VNET 地址空间。它让用户指定哪些子网应该参与本地和远程 VNET 之间的对等连接。这是在 VNET 对等连接 (VNET Peering) 基础上添加的灵活性，用户可以选择需要跨 VNETs 对等的特定子网。用户可以输入要对等的子网列表。相比之下，在常规 VNET 对等连接中，整个地址空间/子网都会对等。 *注意: 该功能在 TF、CLI、API、ARM、PS 中可用，并覆盖所有区域。该功能正在按需基础向选定客户推出。要使用它，需要将您的订阅列入白名单。请填写此 [表格](https://forms.office.com/r/99J2fSfd9L) 以注册您的订阅。* **关键客户用例：** 1. **对等地址空间重叠的 VNETs 中的子网**（前提是待对等的子网具有唯一地址并属于唯一地址空间 – 下面的典型场景描绘了中心辐射模型）。参考下面的图像： ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00MzgzODQxLTB2UFo4Rg?image-dimensions=680x259&revision=8) 2. **在双栈子网的情况下，仅通过 IPv6 对等子网** – 通过子网对等连接，用户可以选择在本地和远程 VNETs 中使用双栈子网时，仅通过 IPv6 地址空间进行对等。这将使客户依赖 IPv6 进行对等连接。参考下面的图像： ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00MzgzODQxLVpVZG04Yg?image-dimensions=750x750&revision=8) 3. **与本地连接相关的网关场景**，其中管理员希望仅将某些子网暴露给本地环境，而非全部。参考下面的图像： ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00MzgzODQxLWNCTkJXcg?image-dimensions=680x218&revision=8) #### **子网对等连接 - 检查和限制** 我们将讨论本版本中子网对等连接的一些关键方面。考虑以下 ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00MzgzODQxLUVIMkFLdg?image-dimensions=618x529&revision=8) 子网对等连接插图关键点如下： 1. 参与的对等子网 **必须是唯一的** 并且 **必须属于唯一的地址空间**。例如，在上述图中 VNET A 和 VNET C 之间的对等连接（黑色箭头线），VNET A 无法使用 Subnet 1、Subnet 2 和 Subnet 3 与 VNET C 中的任何子网进行子网对等，因为这些 VNET A 的子网属于 10.1.0.0/16 地址空间，而 VNET C 中也有此地址空间。然而，VNET A 的 Subnet 4（10.0.1.0/24）可以与 VNET C 中的 Subnet 5（10.6.1.0/24）进行子网对等，因为这些子网在 VNETs 之间是唯一的，并且属于唯一的地址空间。请注意，Subnet 4 属于 VNET A 中的 10.0.0.0/16 地址空间，而 Subnet 5 属于 VNET C 中的 10.6.0.0/16 地址空间。 2. **任意两个 VNETs 之间只能有一个对等连接**。如果要添加或删除子网，必须更新相同的对等连接。这也意味着多个独占对等连接是不可能的。此外，给定对等连接类型不能更改。这意味着，如果 VNET A 和 VNET B 之间存在 VNET 对等连接，而用户想将其更改为子网对等连接，则需要删除现有的 VNET 对等连接，并创建新的对等连接，使用所需的子网对等参数，反之亦然。 3. **参与对等连接的子网数量应小于或等于 400（本地和远程各限 200）**。例如，在 VNET A 和 VNET B 的对等连接中（蓝色箭头线所示），参与对等的子网总数为 4（VNET A 的两个子网和 VNET B 的两个子网）。此数字应 <= 400。 4. 在本版本中（公测和 2025 年 3 月 GA，功能仍需订阅标志），从非对等子网到对等子网的转发路由存在 – 即，在 VNET A 和 VNET B 的对等场景中，即使 VNET A 中的 Subnet 2 未对等，它仍将有到 VNET B 中的 Subnet 1 和 Subnet 2 的路由。为进一步澄清，在 VNET A 和 VNET B 的子网对等连接中，客户可能期望 VNET A 中的 Subnet 1 和 Subnet 3 仅拥有到远程 VNET B 中的 Subnet 1 和 Subnet 2 的路由，然而，VNET A 中的 Subnet 2 和 Subnet 4（未对等的本地子网）也拥有到远程 VNET B 中的 Subnet 1 和 Subnet 2 的路由，尽管数据包会被丢弃且无法到达虚拟机 (VM)。此限制将在 GA 后版本中移除。 5. **子网对等连接和 AVNM 连接组** 请注意，如果两个 VNETs 在“连接组”中连接，并且在这些 VNETs 上配置了子网对等连接，则子网对等连接优先，非对等子网之间的连接将被中断。 **AVNM 连接配置** AVNM 目前无法区分 VNET 对等连接和子网对等连接。因此，假设 VNET A 和 VNET B 之间存在子网对等连接，如果 AVNM 用户稍后尝试通过某些连接配置（例如中心辐射部署）在 VNET A 和 VNET B 之间建立 VNET 对等连接，AVNM 会假设 VNET A 和 VNET B 之间的对等连接已存在，并忽略新的对等请求。我们建议用户在使用 AVNM 和子网对等连接时小心处理此类冲突场景。 6. **子网对等连接和 Virtual WAN**：目前 Azure Virtual WAN 不支持子网对等连接。 *注意: 该功能正在按需基础向选定客户推出。* 要使用它，需要将您的订阅列入白名单。请填写此 [表格](https://forms.office.com/r/99J2fSfd9L) 以注册您的订阅。 #### **如何配置子网对等连接？** 在现有的 VNET 对等连接创建过程中，引入了 **几个新的可选参数（参考 A 到 D 以下）**。下面是每个参数的描述/参考： **A. --peer-complete-vnet** 此参数让用户选择子网对等连接。默认值为 true，表示整个 VNET 对等（所有地址空间/子网跨 VNETs）。要启用子网对等连接，此参数需设置为 false（0/f/n/no）。接受的值: 0, 1, f, false, n, no, t, true, y, yes 默认值: True ```bash az network vnet peering create --name --remote-vnet --resource-group --vnet-name [--allow-forwarded-traffic {0, 1, f, false, n, no, t, true, y, yes}] [--allow-gateway-transit {0, 1, f, false, n, no, t, true, y, yes}] [--allow-vnet-access {0, 1, f, false, n, no, t, true, y, yes}] [--no-wait {0, 1, f, false, n, no, t, true, y, yes}] [--use-remote-gateways {0, 1, f, false, n, no, t, true, y, yes}] [--peer-complete-vnet {0, 1(default), f, false, n, no, t, true, y, yes}] ``` **B. --local-subnet-names** 此参数让用户输入要与远程子网对等的本地子网名称，前提是已通过设置 “peer-complete-vnet” 参数启用子网对等连接。 **C. --remote-subnet-names** 此参数让用户输入要与远程子网对等的子网名称，前提是已通过设置 “peer-complete-vnet” 参数启用子网对等连接。 *示例 CLI 输入:* ```bash az network vnet peering create -g MyResourceGroup -n MyVnet1ToMyVnet2 --vnet-name MyVnet1 --remote-vnet MyVnet2Id --allow-vnet-access --peer-complete-vnet 0 --local-subnet-names subnet1 subnet2 --remote-subnet-names subnet1 subnet2 ``` **子网对等连接和仅 IPv6 对等连接** *除了上述内容，在双栈子网的情况下，用户还可以配置仅 IPv6 对等连接，其中参与的子网仅通过 IPv6 进行交互。* 在双栈子网的情况下，用户可以选择仅通过 IPv6 地址空间对等子网。以前，在对等前会评估整个 VNET 地址空间，如果重叠检查通过，则整个 VNET 地址空间都会对等（即 IPv4 和 IPv6）。然而，在本版本中，我们在子网对等连接基础上提供了额外灵活性，让用户可以专门选择仅通过 IPv6 地址空间对等。* 注意，目前此功能建立在子网对等连接之上，要使用它，需要在 VNET 对等连接创建过程中将额外参数 “enable-only-ipv6” 设置为 true。* **D. --enable-only-ipv6** 此参数让用户选择仅通过 IPv6 功能进行子网对等连接。默认值为 false，表示默认通过 IPv4 地址进行对等。如果设置为 true，则在双栈子网的情况下，通过 IPv6 进行对等。 *接受的值:* 0, 1, f, false, n, no, t, true, y, yes *示例 CLI 输入:* ```bash az network vnet peering create -g MyResourceGroup -n MyVnet1ToMyVnet2 --vnet-name MyVnet1 --remote-vnet MyVnet2Id --allow-vnet-access --peer-complete-vnet 0 --enable-only-ipv6 1 --local-subnet-names subnet1 subnet2 --remote-subnet-names subnet1 subnet2 ``` 在此情况下，如果提到的子网是双栈（或未来的仅 IPv6 子网），则对等仅通过 IPv6 地址空间进行。 **了解更多：** - [Azure 虚拟网络 - VNET 对等连接](https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview) - [如何配置子网对等连接](https://learn.microsoft.com/en-us/azure/virtual-network/how-to-configure-subnet-peering) - 将您的订阅列入白名单 - 填写此 [表格](https://forms.office.com/r/99J2fSfd9L) 以使用该功能。 - 问题和疑虑: amitmishra@microsoft.com 更新于 2025 年 4 月 14 日版本 1.0