我是公司的 BizSpark 管理员,希望每个用户的 5 个虚拟网络能够相互通信。
我看过很多关于如何在虚拟网络之间创建 VPN 的帖子(例子),但是每个帐户都安装 VPN 需要花钱,而且会占用我们的每月信用额度。
我一直在阅读有关 Azure 上的新 VNet Peering 功能的信息,但无法成功运行它。在文档VNet Peering 的工作有以下要求:
只要两个订阅的特权用户授权对等,并且订阅与同一个 Active Directory 租户相关联,就可以在两个不同订阅中的虚拟网络之间建立对等。
在 PowerShell 中,我可以看到每个 Azure 帐户的租户 ID 都不同,这是否意味着 VNet Peering 不起作用?
如果是这样,还有其他方法(除了创建 VPN)可以做到这一点吗?
谢谢
答案1
很遗憾,Azure 目前不支持跨不同 AAD 租户中的订阅链接 VNET。VNet 对等依赖 ARM RBAC 进行授权。但是,ARM RBAC 不支持跨租户链接访问检查。因此,两个订阅都必须属于同一个 Azure Active Directory 租户。目前,VNet 对等仅限于同一 Azure Active Directory 域中的客户订阅。这为他们提供了允许进行对等的相同租户戳记。
根据您的描述,我猜您的 5 个虚拟网络可能是 5 个 Azure VNet。那么,为什么不尝试使用 Vnet-to-Vnet 流量呢。您连接的 VNet 可以位于不同的区域。或者在不同的订阅中。您甚至可以将 VNet-to-VNet 通信与多站点配置相结合。
同一区域内的 VNet 到 Vnet 流量双向免费;跨区域 VNet 到 VNet 出口将根据源区域按出站 VNet 间数据传输速率收费。以下是有关如何执行此操作的链接: https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-vnet-vnet-rm-ps/
如果您还有任何问题,可以联系我。谢谢
问候,