Azure虚拟网络网关-其他资源组中的访问资源

Question

让我们来看看下面的场景：

• 我在东部地区有一个资源组，有一个VM
• 我在西部地区有一个资源组，有一个VM

这两个VM都只能通过私有IP地址访问。通过公共IP地址的RDP不是一种选择。有人会认为，为了让我对这些机器进行RDP，我必须先将VPN接入Azure的网关。但是，我不想在每个资源组中创建一个虚拟网关。

我是否有可能将vpn接入一个资源(在一个资源组中)，并访问所有其他资源组中的所有机器？

Answer 1

是的，可以通过VNet窥视(将VNets连接到中相同的Azure区域中)来实现这一点。在本例中，您可以跟踪到在Azure中实现集线式网络拓扑结构。，集线器VNet是一个对等VNet，允许网关传输已启用，而remote是一个对等VNet，use remote gateway 已启用。

请注意，您不能使用远程网关或允许网关与全局对等(跨Azure区域连接VNets )进行网关传输。关于全局对等，请参考要求和约束。

若要使用远程网关或允许网关传输，必须在同一区域内监视虚拟网络。

因此，如果每个资源组中的两个VNets不在同一区域，则必须将对等VNets移动到相同的区域。

另一个选项将在另一个资源组中创建一个单独的VPN网关，但这不是您所期望的。请注意，

点对点客户端只能连接到虚拟网络网关所在的VNet中的资源。

参考VPN网关常见问题。

Answer 2

可以在启用Use remote gateways复选框的情况下使用vnet窥视。您需要将vnet连接在一起，并检查第二个vnet上的use remote gateways (一个没有网关)。

阅读：

https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke

https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview