Virtuell nätverkspeering
Med peering för virtuella nätverk kan du sömlöst ansluta två eller flera virtuella nätverk i Azure. De virtuella nätverken visas som ett för anslutningsändamål. Trafiken mellan virtuella datorer i peer-kopplade virtuella nätverk använder Microsofts staminfrastruktur. Precis som trafik mellan virtuella datorer i samma nätverk dirigeras trafiken endast via Microsofts privata nätverk.
Azure stöder följande typer av peering:
Peering för virtuella nätverk: Anslut virtuella nätverk i samma Azure-region.
Global peering för virtuella nätverk: Anslut virtuella nätverk i Azure-regioner.
Fördelar med att använda VNET-peering (avsett om den är lokal eller global):
En anslutning med korta svarstider och hög bandbredd mellan resurser i olika virtuella nätverk.
Möjligheten för resurser i ett virtuellt nätverk att kommunicera med resurser i ett annat virtuellt nätverk.
Möjligheten att överföra data mellan virtuella nätverk mellan Azure-prenumerationer, Microsoft Entra-klienter, distributionsmodeller och Azure-regioner.
Möjligheten att peer-koppla virtuella nätverk som skapats via Azure Resource Manager.
Möjligheten att peer-koppla ett virtuellt nätverk som skapats via Resource Manager till ett som skapats via den klassiska distributionsmodellen. Läs mer i avsnittet om Azures distributionsmodeller.
Inga driftstopp för resurser i de virtuella nätverken när du skapar peer-kopplingen eller när peer-kopplingen har skapats.
Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. Trafiken mellan de virtuella nätverken finns i Microsoft-stamnätverket. Vid kommunikation mellan virtuella nätverk krävs inget offentligt Internet, inga gatewayer eller ingen kryptering.
Anslutning
För peerkopplade virtuella nätverk kan resurser i något av de virtuella nätverken ansluta direkt till resurser i det peerkopplade virtuella nätverket.
Nätverksfördröjningen mellan virtuella datorer i peer-kopplade virtuella nätverk i samma region är densamma som svarstiden inom ett enda virtuellt nätverk. Nätverkets genomflöde baseras på den bandbredd som tillåts för den virtuella datorn i proportion till dess storlek. Det finns ingen extra begränsning av bandbredden i peeringen.
Trafiken mellan virtuella datorer i peer-kopplade virtuella nätverk dirigeras direkt genom Microsoft-stamnätsinfrastrukturen, inte via en gateway eller det offentliga Internet.
Du kan använda nätverkssäkerhetsgrupper i ett virtuellt nätverk för att blockera åtkomst till andra virtuella nätverk eller undernät. När du konfigurerar peering för virtuella nätverk öppnar eller stänger du reglerna för nätverkssäkerhetsgruppen mellan de virtuella nätverken. Om du öppnar fullständig anslutning mellan peer-kopplade virtuella nätverk kan du använda nätverkssäkerhetsgrupper för att blockera eller neka specifik åtkomst. Fullständig anslutning är standardalternativet. Mer information om nätverkssäkerhetsgrupper finns i Säkerhetsgrupper.
Ändra storlek på adressutrymmet för virtuella Azure-nätverk som är peer-kopplade
Du kan ändra storlek på adressutrymmet för virtuella Azure-nätverk som är peer-kopplade utan att orsaka avbrott i det peerkopplade adressutrymmet. Den här funktionen är användbar när du behöver ändra storlek på det virtuella nätverkets adressutrymme när du har skalat dina arbetsbelastningar. När adressutrymmet har ändrats måste peer-datorer synkroniseras med de nya adressutrymmesändringarna. Storleksändringen fungerar för både IPv4- och IPv6-adressutrymmen.
Adresser kan ändras på följande sätt:
Ändra adressintervallprefixet för ett befintligt adressintervall (till exempel ändra 10.1.0.0/16 till 10.1.0.0/18)
Lägga till adressintervall i ett virtuellt nätverk
Ta bort adressintervall från ett virtuellt nätverk
Storleksändring av adressutrymme stöds för flera klientorganisationer
Synching av virtuella nätverkskolleger kan utföras via Azure-portalen eller med Azure PowerShell. Vi rekommenderar att du kör synkroniseringen efter varje åtgärd för att ändra storlek på adressutrymmet i stället för att utföra flera storleksändringsåtgärder och sedan köra synkroniseringsåtgärden. Information om hur du uppdaterar adressutrymmet för ett peer-kopplat virtuellt nätverk finns i Uppdatera adressutrymmet för ett peer-kopplat virtuellt nätverk.
Viktigt!
Den här funktionen stöder inte scenarier där det virtuella nätverket som ska uppdateras är peerkopplat med:
- Ett klassiskt virtuellt nätverk
Tjänstlänkning
Med tjänstlänkning kan du dirigera trafik från ett virtuellt nätverk till en virtuell installation eller gateway i ett peer-kopplat nätverk via användardefinierade vägar.
Om du vill aktivera tjänstlänkning konfigurerar du användardefinierade vägar som pekar på virtuella datorer i peer-kopplade virtuella nätverk som nästa hopp-IP-adress . Användardefinierade vägar kan också peka på virtuella nätverksgatewayer för att aktivera tjänstlänkning.
Du kan distribuera hub-and-spoke-nätverk, där det virtuella hubbnätverket är värd för infrastrukturkomponenter som en virtuell nätverksinstallation eller VPN-gateway. Alla virtuella ekernätverk kan peer-kopplas till det virtuella navnätverket. Trafiken flödar via virtuella nätverksinstallationer eller VPN-gatewayer i det virtuella hubbnätverket.
Peering för virtuellt nätverk gör att nästa hopp i den användardefinierade routningen kan vara IP-adressen för en virtuell dator i det peer-kopplade virtuella nätverket eller en VPN-gateway. Du kan inte dirigera mellan virtuella nätverk med en användardefinierad väg som anger en Azure ExpressRoute-gateway som nästa hopptyp. Mer information om användardefinierade vägar finns i översikten över användardefinierade vägar. Mer information om hur du skapar en nätverkstopologi för nav och ekrar finns i Nätverkstopologi för hub-spoke i Azure.
Gateways och lokala anslutningar
Varje virtuellt nätverk, inklusive ett peer-kopplat virtuellt nätverk, kan ha en egen gateway. Ett virtuellt nätverk kan använda sin gateway för att ansluta till ett lokalt nätverk. Du kan också konfigurera virtuella nätverks-till-virtuella nätverksanslutningar med hjälp av gatewayer, även för peer-kopplade virtuella nätverk.
När du konfigurerar båda alternativen för sammankoppling av virtuella nätverk flödar trafiken mellan de virtuella nätverken via peering-konfigurationen. Trafiken använder Azure-stamnätet.
Du kan också konfigurera gatewayen i det peerkopplade virtuella nätverket som en överföringsplats till ett lokalt nätverk. I det här fallet kan det virtuella nätverk som använder en fjärrgateway inte ha en egen gateway. Ett virtuellt nätverk kan bara ha en gateway, gatewayen ska vara antingen lokal eller fjärrgateway i det peerkopplade virtuella nätverket enligt följande diagram:
Både peering för virtuella nätverk och global peering för virtuella nätverk stöder gatewayöverföring.
Gatewayöverföring mellan virtuella nätverk som skapats via olika distributionsmodeller stöds. Gatewayen måste finnas i det virtuella nätverket i Resource Manager-modellen. Mer information om hur du använder en gateway för överföring finns i Configure a VPN gateway for transit in a virtual network peering (Konfigurera en VPN-gateway för överföring i peer-kopplade virtuella nätverk).
När du peerkopplar virtuella nätverk som delar en enda Azure ExpressRoute-anslutning går trafiken mellan dem genom peeringrelationen. Den trafiken använder Azure-stamnätverket. Du kan fortfarande använda lokala gateways i varje virtuellt nätverk för att ansluta till den lokala kretsen. Annars kan du använda en delad gateway och konfigurera överföring för lokal anslutning.
Felsöka
För att bekräfta att virtuella nätverk är peer-kopplade kan du kontrollera effektiva vägar. Kontrollera vägarna för ett nätverksgränssnitt i ett undernät i ett virtuellt nätverk. Om peer-koppling för virtuellt nätverk finns har alla undernät i det virtuella nätverket vägar med nästa hopp-typ VNet-peering för varje adressutrymme i varje peer-kopplat virtuellt nätverk. Mer information finns i Diagnostisera routningsproblem för virtuella datorer.
Du kan också felsöka anslutningen till en virtuell dator i ett peer-kopplat virtuellt nätverk med Hjälp av Azure Network Watcher. Med en anslutningskontroll kan du se hur trafik dirigeras från en virtuell källdators nätverksgränssnitt till en virtuell måldators nätverksgränssnitt. Mer information finns i Felsöka anslutningar med Azure Network Watcher med hjälp av Azure-portalen.
Du kan också prova att felsöka peeringproblem för virtuella nätverk.
Begränsningar för peer-kopplade virtuella nätverk
Följande begränsningar gäller endast när virtuella nätverk peerkopplas globalt:
Resurser i ett virtuellt nätverk kan inte kommunicera med klientdelens IP-adress för en grundläggande lastbalanserare (intern eller offentlig) i ett globalt peer-kopplat virtuellt nätverk.
Vissa tjänster som använder en grundläggande lastbalanserare fungerar inte över global peering för virtuella nätverk. Mer information finns i Vilka är begränsningarna relaterade till global VNet-peering och lastbalanserare?.
Mer information finns i Krav och begränsningar. Mer information om det antal peerings som stöds finns i Nätverksgränser.
Behörigheter
Mer information om behörigheter som krävs för att skapa en peering för virtuella nätverk finns i Behörigheter.
Prissättning
Det finns en nominell avgift för inkommande och utgående trafik som använder en peering-anslutning för virtuella nätverk. Mer information finns i Priser för virtuellt nätverk.
GatewayTransitering är en peering-egenskap som gör det möjligt för ett virtuellt nätverk att använda en VPN/ExpressRoute-gateway i ett peer-kopplat virtuellt nätverk. Gatewayöverföring fungerar både för anslutningar mellan platser och nätverk till nätverk. Trafik till gatewayen (ingress eller utgående) i det peerkopplade virtuella nätverket medför peeringavgifter för virtuella nätverk på det virtuella ekernätverket (eller det virtuella nätverket utan en VPN-gateway). Mer information finns i VPN Gateway-priser för VPN Gateway-avgifter och ExpressRoute Gateway-priser för ExpressRoute-gatewayavgifter.
Kommentar
I en tidigare version av det här dokumentet angavs att peeringavgifter för virtuella nätverk inte skulle tillämpas på det virtuella ekernätverket (eller det virtuella nätverket som inte är gateway) med gatewayöverföring. Den återspeglar nu korrekta priser per prissida.
Nästa steg
Du kan skapa en peering mellan två virtuella nätverk. Nätverken kan tillhöra samma prenumeration, olika distributionsmodeller i samma prenumeration eller olika prenumerationer. Genomför en självstudiekurs för något av följande scenarier:
Azure-distributionsmodell Prenumeration Båda Resource Manager Samma Olika En Resource Manager, en klassisk Samma Olika Mer information om hur du skapar en nätverkstopologi för nav och ekrar finns i Nätverkstopologi för hub-spoke i Azure.
Mer information om alla peeringinställningar för virtuella nätverk finns i Skapa, ändra eller ta bort en peering för virtuella nätverk.
Svar på vanliga frågor om peering för virtuella nätverk och global peering för virtuella nätverk finns i VNet-peering.