Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke

In diesem Artikel erfahren Sie, wie Sie ein Peering virtueller Netzwerke erstellen, ändern oder löschen. VNET-Peering ist ein Mechanismus, mit dem virtuelle Netzwerke (VNETs) in der gleichen Region und regionsübergreifend (auch globales VNet-Peering genannt) über das Azure-Backbonenetzwerk miteinander verbunden werden können. Nach dem Peering werden die virtuellen Netzwerke weiterhin als separate Ressourcen verwaltet. Wenn Sie mit dem Peering virtueller Netzwerke noch nicht vertraut sind, lesen Sie mehr darüber in der Übersicht über das Peering virtueller Netzwerke, oder arbeiten Sie ein Tutorial zum Peering virtueller Netzwerke durch.

Voraussetzungen

Hinweis

Für die Interaktion mit Azure wird das PowerShell-Modul „Azure Az“ empfohlen. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Führen Sie zuerst die folgenden Aufgaben aus, ehe Sie die Schritte in den Abschnitten dieses Artikels durchführen:

  • Falls Sie noch nicht über ein Azure-Konto verfügen, können Sie sich für ein kostenloses Testkonto registrieren.
  • Wenn Sie das Portal verwenden, öffnen Sie das Azure-Portal, und melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen für die Verwendung von Peerings verfügt.
  • Wenn Sie PowerShell-Befehle zum Durchführen von Aufgaben in diesem Artikel verwenden, führen Sie die Befehle entweder in Azure Cloud Shell oder durch Ausführen von PowerShell auf Ihrem Computer aus. Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert. Für dieses Tutorial ist das Azure PowerShell-Modul Version 1.0.0 oder höher erforderlich. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie zum Herstellen einer Verbindung mit Azure auch Connect-AzAccount mit einem Konto ausführen, das über die erforderlichen Berechtigungen für die Verwendung von Peerings verfügt.
  • Wenn Sie die Azure CLI-Befehle zum Ausführen der Aufgaben in diesem Artikel verwenden, führen Sie die Befehle entweder über Azure Cloud Shell oder die lokale Azure-Befehlszeilenschnittstelle aus. Für dieses Tutorial ist die Azure CLI-Version 2.0.31 oder höher erforderlich. Führen Sie az --version aus, um die installierte Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI. Wenn Sie die Azure CLI lokal ausführen, müssen Sie zum Herstellen einer Verbindung mit Azure auch az login mit einem Konto ausführen, das über die erforderlichen Berechtigungen für die Verwendung von Peerings verfügt.

Das Konto, bei dem Sie sich anmelden oder das Sie zum Herstellen einer Verbindung mit Azure verwenden, muss der Rolle Netzwerkmitwirkender oder einer benutzerdefinierten Rolle zugewiesen sein, der die entsprechenden, unter Berechtigungen aufgeführten Aktionen zugewiesen wurden.

Erstellen eines Peerings

Informieren Sie sich vor der Erstellung eines Peerings über die Anforderungen und Einschränkungen sowie die erforderlichen Berechtigungen.

  1. Geben Sie oben im Azure-Portal Virtuelle Netzwerke in das Suchfeld ein. Wenn Virtuelle Netzwerke in den Suchergebnissen angezeigt wird, können Sie den Begriff auswählen. Aktivieren Sie nicht Virtuelle Netzwerke (klassisch) , da Sie kein Peering von einem virtuellen Netzwerk erstellen können, das über das klassische Bereitstellungsmodell bereitgestellt wurde.

    Screenshot der Suche nach virtuellen Netzwerken

  2. Wählen Sie das virtuelle Netzwerk in der Liste aus, für das Sie ein Peering erstellen möchten.

    Screenshot der Auswahl von VNetA auf der Seite der virtuellen Netzwerke

  3. Wählen Sie Peerings unter Einstellungen aus, und wählen Sie dann + Hinzufügen aus.

    Screenshot der Peeringsseite für VNetA

  4. Geben Sie Werte für folgende Einstellungen ein, oder wählen Sie sie aus:

    Screenshot der Peeringkonfigurationsseite

    Einstellungen Beschreibung
    Name des Peeringlinks (dieses virtuelle Netzwerk) Der Name für das Peering muss innerhalb des virtuellen Netzwerks eindeutig sein.
    Datenverkehr zum virtuellen Remotenetzwerk Wählen Sie Zulassen (Standard) aus, wenn Kommunikation zwischen beiden virtuellen Netzwerken über den Standardflow VirtualNetwork aktiviert werden soll. Durch die Aktivierung der Kommunikation zwischen virtuellen Netzwerken können Ressourcen, die mit einem der beiden virtuellen Netzwerke verbunden sind, mit derselben Bandbreite und Latenz kommunizieren, als ob sie mit demselben virtuellen Netzwerk verbunden wären. Die gesamte Kommunikation zwischen Ressourcen in den beiden virtuellen Netzwerken erfolgt über das private Azure-Netzwerk. Das Diensttag VirtualNetwork für Netzwerksicherheitsgruppen umfasst das virtuelle Netzwerk und das mittels Peering verknüpfte virtuelle Netzwerk, sofern diese Einstellung Zulässig lautet. Weitere Informationen zu Diensttags von Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht. Wählen Sie Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren aus, wenn der Datenverkehr nicht standardmäßig über das mittels Peering verknüpfte virtuelle Netzwerk weitergeleitet werden soll. Sie können diese Einstellung auswählen, wenn Sie über Peering zwischen zwei virtuellen Netzwerken verfügen, aber gelegentlich den Standard-Datenverkehrsfluss zwischen den beiden deaktivieren möchten. Es kann u.U. praktischer sein, die Option zu aktivieren bzw. zu deaktivieren statt Peerings zu löschen und neu zu erstellen. Wenn diese Einstellung deaktiviert ist, wird standardmäßig kein Datenverkehr zwischen den mittels Peering verknüpften virtuellen Netzwerken übertragen. Datenverkehr ist jedoch weiterhin möglich, wenn dies mit einer Regel für die Netzwerksicherheitsgruppe explizit zugelassen wird, die die entsprechenden IP-Adressen oder Anwendungssicherheitsgruppen enthält.

    HINWEIS:Durch die Deaktivierung der Einstellung Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren wird nur die Definition des Diensttags VirtualNetwork geändert. Der Datenverkehrsfluss über die Peerverbindung wird nicht vollständig verhindert, wie in dieser Einstellungsbeschreibung erläutert.
    Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr) Wählen Sie Zulässig (Standard) aus, wenn Sie möchten, dass der von einer virtuellen Netzwerkappliance in einem virtuellen Netzwerk weitergeleitete Datenverkehr (der nicht von dem virtuellen Netzwerk generiert wird) mittels Peering über dieses virtuelle Netzwerk erfolgt. Sehen Sie sich beispielsweise die drei virtuellen Netzwerke mit dem Namen „Spoke1“, „Spoke2“ und „Hub“ an. Die einzelnen Spokes und der Hub des virtuellen Netzwerks sind mittels Peering miteinander verknüpft, jedoch nicht die Spokes des virtuellen Netzwerks untereinander. Im Hub des virtuellen Netzwerks wird eine virtuelle Netzwerkappliance bereitgestellt, während bei den einzelnen Spokes des virtuellen Netzwerks benutzerdefinierte Routen angewendet werden, die Datenverkehr zwischen den Subnetzen über die virtuelle Netzwerkappliance weiterleiten. Wenn diese Einstellung für das Peering zwischen den einzelnen Spokes und dem Hub des virtuellen Netzwerks nicht festgelegt ist, erfolgt der Datenverkehr nicht zwischen den Spokes des virtuellen Netzwerks, da der Hub den Datenverkehr zwischen den virtuellen Netzwerken nicht weiterleitet. Durch die Aktivierung dieser Funktion wird zwar die Weiterleitung des Datenverkehrs mittels Peering ermöglicht, es werden jedoch keine benutzerdefinierten Routen oder virtuellen Netzwerkgeräte erstellt. Benutzerdefinierte Routen und virtuelle Netzwerkgeräte werden separat erstellt. Weitere Informationen hierzu finden Sie unter Benutzerdefinierte Routen. Sie müssen diese Einstellung nicht überprüfen, wenn der Datenverkehr zwischen virtuellen Netzwerken über ein Azure VPN Gateway weitergeleitet wird.
    Gateway oder Routenserver des virtuellen Netzwerks Wählen Sie Gateway oder Routenserver dieses virtuellen Netzwerks verwenden aus:
    – Wenn ein Gateway für virtuelle Netzwerke in diesem virtuellen Netzwerk bereitgestellt wurde und Sie zulassen möchten, dass Datenverkehr von mittels Peering verknüpften virtuellen Netzwerken über das Gateway geleitet werden soll. Dieses virtuelle Netzwerk kann z.B. über ein Gateway für virtuelle Netzwerke mit einem lokalen Netzwerk verbunden werden. Bei dem Gateway kann es sich um ein ExpressRoute- oder VPN-Gateway handeln. Wird dieses Kontrollkästchen aktiviert, kann Datenverkehr aus dem mittels Peering verknüpften virtuellen Netzwerk über das mit diesem virtuellen Netzwerk verbundene Gateway an das lokale Netzwerk weitergeleitet werden. Wenn Sie dieses Kontrollkästchen aktivieren, darf für das mittels Peering verknüpfte virtuelle Netzwerk kein Gateway konfiguriert sein.
    – Wenn ein Routenserver in diesem virtuellen Netzwerk bereitgestellt wurde und Sie möchten, dass das mittels Peering verknüpfte virtuelle Netzwerk mit dem Routenserver kommuniziert, um Routen auszutauschen. Weitere Informationen finden Sie unter Azure Route Server.

    Wenn Sie das Peering vom anderen virtuellen Netzwerk mit diesem virtuellen Netzwerk einrichten, muss für das mittels Peering verknüpfte virtuelle Netzwerk Gateway oder Routenserver des virtuellen Remotenetzwerks verwenden ausgewählt sein. Wenn Sie für diese Einstellung None (Standard) beibehalten, wird der Datenverkehr trotzdem von dem mittels Peering verknüpften virtuellen Netzwerk an dieses virtuelle Netzwerk weitergeleitet, er kann jedoch nicht über ein mit diesem virtuellen Netzwerk verbundenes Gateway für virtuelle Netzwerke erfolgen oder in der Lage sein, Routen vom Routenserver zu erlernen. Wenn das Peering zwischen einem virtuellen Netzwerk (Resource Manager) und einem virtuellen Netzwerk (klassisch) hergestellt wird, muss sich das Gateway im virtuellen Netzwerk (Resource Manager) befinden.
    Virtuelles Remote-Netzwerk – Name des Peeringlinks Der Name für den virtuellen Remote-Netzwerkpeer.
    Bereitstellungsmodell für das virtuelle Netzwerk Wählen Sie aus, über welches Bereitstellungsmodell das mittels Peering verknüpfte virtuelle Netzwerk bereitgestellt wurde.
    Ich kenne meine Ressourcen-ID Wenn Sie Lesezugriff auf das virtuelle Netzwerk haben, das mittels Peering verknüpft werden sollen, lassen Sie dieses Kontrollkästchen deaktiviert. Wenn Sie keinen Lesezugriff auf das virtuelle Netzwerk oder das Abonnement besitzen, das mittels Peering verknüpft werden soll, aktivieren Sie dieses Kontrollkästchen. Geben Sie in das Feld Ressourcen-ID, das bei Aktivierung des Kontrollkästchens angezeigt wird, die vollständige Ressourcen-ID des mittels Peering verknüpften virtuellen Netzwerks ein. Die von Ihnen eingegebene Ressourcen-ID muss für ein virtuelles Netzwerk bestimmt sein, das sich in der gleichen Azure-Region wie dieses virtuelle Netzwerk oder in einer anderen unterstützten Region befindet. Die vollständige Ressourcen-ID sieht ähnlich aus wie /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>. Sie können die Ressourcen-ID für ein virtuelles Netzwerk abrufen, indem Sie die Eigenschaften eines virtuellen Netzwerks anzeigen. Informationen zum Anzeigen der Eigenschaften eines virtuellen Netzwerks finden Sie im Artikel Verwalten virtueller Netzwerke. Wenn das Abonnement einem anderen Azure Active Directory-Mandanten als das Abonnement mit dem virtuellen Netzwerk, über das Sie das Peering erstellen, zugeordnet ist, müssen Sie zuerst einen Benutzer aus jedem Mandanten als Gastbenutzer im entsprechenden anderen Mandanten hinzufügen.
    Ressourcen-ID Dieses Feld wird angezeigt, wenn Sie das Kontrollkästchen aktiviert haben. Die von Ihnen eingegebene Ressourcen-ID muss für ein virtuelles Netzwerk bestimmt sein, das sich in der gleichen Azure-Region wie dieses virtuelle Netzwerk oder in einer anderen unterstützten Region befindet. Die vollständige Ressourcen-ID sieht ähnlich aus wie /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>. Sie können die Ressourcen-ID für ein virtuelles Netzwerk abrufen, indem Sie die Eigenschaften eines virtuellen Netzwerks anzeigen. Informationen zum Anzeigen der Eigenschaften eines virtuellen Netzwerks finden Sie im Artikel Verwalten virtueller Netzwerke. Wenn das Abonnement einem anderen Azure Active Directory-Mandanten als das Abonnement mit dem virtuellen Netzwerk, über das Sie das Peering erstellen, zugeordnet ist, müssen Sie zuerst einen Benutzer aus jedem Mandanten als Gastbenutzer im entsprechenden anderen Mandanten hinzufügen.
    Subscription Wählen Sie das Abonnement des virtuellen Netzwerks aus, das mittels Peering verknüpft werden soll. Je nachdem, auf wie viele Abonnements Ihr Konto Lesezugriff verfügt, werden ein oder mehrere Abonnements aufgeführt. Wenn Sie das Kontrollkästchen Ressourcen-ID aktivieren, ist diese Einstellung ist verfügbar.
    Virtuelles Netzwerk Wählen Sie das virtuelle Netzwerk aus, das mittels Peering verknüpft werden soll. Sie können ein virtuelles Netzwerk auswählen, das mit einem beliebigen Azure-Bereitstellungsmodell erstellt wurde. Sie können nur ein virtuelles Netzwerk in einer anderen Region auswählen, das unterstützt wird. Sie benötigen Lesezugriff auf das virtuelle Netzwerk, damit es in der Liste angezeigt wird. Wenn ein virtuelles Netzwerk aufgeführt wird, jedoch ausgegraut ist, überschneidet sich der Adressraum des virtuellen Netzwerks möglicherweise mit dem Adressraum dieses virtuellen Netzwerks. Wenn sich die Adressräume des virtuellen Netzwerks überschneidet, können diese nicht mittels Peering verknüpft werden. Wenn Sie das Kontrollkästchen Ressourcen-ID aktivieren, ist diese Einstellung ist verfügbar.
    Datenverkehr zum virtuellen Remotenetzwerk Wählen Sie Zulassen (Standard) aus, wenn Kommunikation zwischen beiden virtuellen Netzwerken über den Standardflow VirtualNetwork aktiviert werden soll. Durch die Aktivierung der Kommunikation zwischen virtuellen Netzwerken können Ressourcen, die mit einem der beiden virtuellen Netzwerke verbunden sind, mit derselben Bandbreite und Latenz kommunizieren, als ob sie mit demselben virtuellen Netzwerk verbunden wären. Die gesamte Kommunikation zwischen Ressourcen in den beiden virtuellen Netzwerken erfolgt über das private Azure-Netzwerk. Das Diensttag VirtualNetwork für Netzwerksicherheitsgruppen umfasst das virtuelle Netzwerk und das mittels Peering verknüpfte virtuelle Netzwerk, sofern diese Einstellung Zulässig lautet. (Weitere Informationen zu Diensttags von Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht). Wählen Sie Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren, wenn der Datenverkehr nicht standardmäßig über das mittels Peering verknüpfte virtuelle Netzwerk weitergeleitet werden soll. Sie können Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren auswählen, wenn Sie ein virtuelles Netzwerk mittels Peering mit einem anderen virtuellen Netzwerk verknüpft haben, jedoch die Möglichkeit haben möchten, den Standarddatenverkehr zwischen den beiden virtuellen Netzwerken gelegentlich zu deaktivieren. Es kann u.U. praktischer sein, die Option zu aktivieren bzw. zu deaktivieren statt Peerings zu löschen und neu zu erstellen. Wenn diese Einstellung deaktiviert ist, wird standardmäßig kein Datenverkehr zwischen den mittels Peering verknüpften virtuellen Netzwerken übertragen. Datenverkehr ist jedoch weiterhin möglich, wenn dies mit einer Regel für die Netzwerksicherheitsgruppe explizit zugelassen wird, die die entsprechenden IP-Adressen oder Anwendungssicherheitsgruppen enthält.

    HINWEIS:Durch die Deaktivierung der Einstellung Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren wird nur die Definition des Diensttags VirtualNetwork geändert. Der Datenverkehrsfluss über die Peerverbindung wird nicht vollständig verhindert, wie in dieser Einstellungsbeschreibung erläutert.
    Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr) Behalten Sie Zulassen (Standard) bei, um zuzulassen, dass der von einer virtuellen Netzwerkappliance weitergeleitete Datenverkehr (der nicht von dem virtuellen Netzwerk generiert wird) mittels Peering über dieses virtuelle Netzwerk erfolgt. Sehen Sie sich beispielsweise die drei virtuellen Netzwerke mit dem Namen „Spoke1“, „Spoke2“ und „Hub“ an. Die einzelnen Spokes und der Hub des virtuellen Netzwerks sind mittels Peering virtueller Netzwerke miteinander verknüpft, jedoch nicht die Spokes des virtuellen Netzwerks untereinander. Im Hub des virtuellen Netzwerks wird eine virtuelle Netzwerkappliance bereitgestellt, während bei den einzelnen Spokes des virtuellen Netzwerks benutzerdefinierte Routen angewendet werden, um Datenverkehr zwischen den Subnetzen über die virtuelle Netzwerkappliance weiterzuleiten. Wenn diese Einstellung für das Peering zwischen den einzelnen Spokes und dem Hub des virtuellen Netzwerks nicht ausgewählt ist, erfolgt der Datenverkehr nicht zwischen den Spokes des virtuellen Netzwerks, da der Hub den Datenverkehr zwischen den virtuellen Netzwerken nicht weiterleitet. Durch die Aktivierung dieser Funktion wird zwar die Weiterleitung des Datenverkehrs mittels Peering ermöglicht, es werden jedoch keine benutzerdefinierten Routen oder virtuellen Netzwerkgeräte erstellt. Benutzerdefinierte Routen und virtuelle Netzwerkgeräte werden separat erstellt. Weitere Informationen hierzu finden Sie unter Benutzerdefinierte Routen. Sie müssen diese Einstellung nicht überprüfen, wenn der Datenverkehr zwischen virtuellen Netzwerken über ein Azure VPN Gateway weitergeleitet wird.
    Gateway oder Routenserver des virtuellen Netzwerks Wählen Sie Gateway oder Routenserver dieses virtuellen Netzwerks verwenden aus:
    – Wenn ein Gateway für virtuelle Netzwerke an dieses virtuelle Netzwerk angefügt wurde und Sie zulassen möchten, dass Datenverkehr von mittels Peering verknüpften virtuellen Netzwerken über das Gateway geleitet werden soll. Dieses virtuelle Netzwerk kann z.B. über ein Gateway für virtuelle Netzwerke mit einem lokalen Netzwerk verbunden werden. Bei dem Gateway kann es sich um ein ExpressRoute- oder VPN-Gateway handeln. Wird diese Einstellung ausgewählt, kann Datenverkehr vom mittels Peering verknüpften virtuellen Netzwerk über das mit diesem virtuellen Netzwerk verbundene Gateway an das lokale Netzwerk weitergeleitet werden.
    – Wenn ein Routenserver in diesem virtuellen Netzwerk bereitgestellt wurde und Sie möchten, dass das mittels Peering verknüpfte virtuelle Netzwerk mit dem Routenserver kommuniziert, um Routen auszutauschen. Weitere Informationen finden Sie unter Azure Route Server.

    Wenn Sie Gateway oder Routenserver dieses virtuellen Netzwerks verwenden auswählen, kann für das mittels Peering verknüpfte virtuelle Netzwerk kein Gateway konfiguriert werden. Wenn Sie das Peering vom anderen virtuellen Netzwerk mit diesem virtuellen Netzwerk einrichten, muss für das mittels Peering verknüpfte virtuelle Netzwerk Gateway oder Routenserver des virtuellen Remote-Netzwerks verwenden ausgewählt sein. Wenn Sie für diese Einstellung None (Standard) beibehalten, wird der Datenverkehr trotzdem von dem mittels Peering verknüpften virtuellen Netzwerk an dieses virtuelle Netzwerk weitergeleitet, er kann jedoch nicht über ein mit diesem virtuellen Netzwerk verbundenes Gateway für virtuelle Netzwerke erfolgen. Wenn das Peering zwischen einem virtuellen Netzwerk (Resource Manager) und einem virtuellen Netzwerk (klassisch) hergestellt wird, muss sich das Gateway im virtuellen Netzwerk (Resource Manager) befinden.

    Zusätzlich zum Weiterleiten von Datenverkehr an ein lokales Netzwerk kann ein VPN-Gateway Netzwerkdatenverkehr zwischen virtuellen Netzwerken weiterleiten, die mittels Peering mit dem virtuellen Netzwerk, in dem das Gateway enthalten ist, verknüpft sind. Die virtuellen Netzwerke müssen dabei nicht untereinander mittels Peering verknüpft werden. Die Weiterleitung von Datenverkehr über ein VPN-Gateway ist nützlich, wenn Sie ein VPN-Gateway im Hub eines virtuellen Netzwerks verwenden möchten, um Datenverkehr zwischen den Spokes des virtuellen Netzwerks, die nicht untereinander verknüpft sind, weiterzuleiten. (Weitere Informationen finden Sie in dem beschriebenen Beispiel zur Option Weitergeleiteten Datenverkehr zulassen bezüglich der Hub-Spoke-Topologie.) Weitere Informationen zum Zulassen der Verwendung eines Gateways für den Transit finden Sie unter Konfigurieren eines VPN-Gateways für den Transit in einem Peering virtueller Netzwerke. In diesem Szenario müssen benutzerdefinierte Routen implementiert werden, die das Gateway für virtuelle Netzwerke als Typ des nächsten Hops angeben. Weitere Informationen hierzu finden Sie unter Benutzerdefinierte Routen. Als Typ des nächsten Hops in einer benutzerdefinierten Route können Sie nur ein VPN-Gateway angeben, jedoch kein ExpressRoute-Gateway.

    Wählen Sie Gateway oder Routenserver des virtuellen Remotenetzwerks verwenden aus:
    – Wenn Sie zulassen möchten, dass Datenverkehr von diesem virtuellen Netzwerk über ein Gateway für virtuelle Netzwerke geleitet werden soll, das mit dem mittels Peering verknüpften virtuellen Netzwerk verbunden ist. Beispielsweise ist an das virtuelle Netzwerk, mit dem Sie mittels Peering eine Verbindung herstellen, ein VPN-Gateway verbunden, dass Kommunikation mit einem lokalen Netzwerk ermöglicht. Wird diese Einstellung ausgewählt, kann Datenverkehr von diesem virtuellen Netzwerk über das VPN-Gateway geleitet werden, das mit dem mittels Peering verknüpften virtuellen Netzwerk verbunden ist.
    – Wenn dieses virtuelle Netzwerk den Remoteroutenserver zum Austauschen von Routen verwenden soll. Weitere Informationen finden Sie unter Azure Route Server.

    Wenn Sie diese Einstellung auswählen, muss das mittels Peering verknüpfte virtuelle Netzwerk mit einem Gateway für virtuelle Netzwerke verbunden sein, und es muss die Option Gateway oder Routenserver dieses virtuellen Netzwerks verwenden ausgewählt sein. Wenn Sie für diese Einstellung None (Standard) beibehalten, kann der Datenverkehr trotzdem von dem mittels Peering verknüpften virtuellen Netzwerk an dieses virtuelle Netzwerk weitergeleitet werden, er kann jedoch nicht über ein mit diesem virtuellen Netzwerk verbundenes Gateway für virtuelle Netzwerke erfolgen. Diese Einstellung kann nur bei einem Peering für dieses virtuelle Netzwerk aktiviert sein.

    HINWEIS: Wenn bereits ein Gateway in Ihrem virtuellen Netzwerk konfiguriert ist, können keine Remotegateways verwendet werden. Weitere Informationen zur Verwendung eines Gateways für den Transit finden Sie unter Konfigurieren eines VPN-Gateways für den Transit in einem Peering virtueller Netzwerke.

    Hinweis

    Wenn Sie ein Virtual Network-Gateway verwenden, um den lokalen Datenverkehr transitiv an ein mittels Peering verknüpftes VNet zu senden, muss der IP-Adressbereich des mittels Peering verknüpften VNets für das lokale VPN-Gerät auf „interessanter“ Datenverkehr festgelegt werden. Andernfalls können Ihre lokalen Ressourcen nicht mit Ressourcen im mittels Peering verknüpften VNet kommunizieren.

  5. Wählen Sie Hinzufügen aus, um das Peering für das ausgewählte virtuelle Netzwerk zu konfigurieren. Wählen Sie nach einigen Sekunden die Schaltfläche Aktualisieren aus, und der Peeringstatus ändert sich von Wird aktualisiert in Verbunden.

    Screenshot des Status des Peerings virtueller Netzwerke auf der Peeringsseite

Ausführliche Anweisungen zum Implementieren von Peerings zwischen virtuellen Netzwerken in verschiedenen Abonnements und Bereitstellungsmodellen finden Sie unter Nächste Schritte.

Befehle

Anzeigen oder Ändern von Peeringeinstellungen

Informieren Sie sich vor der Änderung eines Peerings über die Anforderungen und Einschränkungen sowie die erforderlichen Berechtigungen.

  1. Wählen Sie das virtuelle Netzwerk aus, für das Sie die Einstellungen des Peerings virtueller Netzwerke anzeigen oder ändern möchten.

    Screenshot der Liste der virtuellen Netzwerke im Abonnement

  2. Wählen Sie unter Einstellungen die Option Peerings und dann das Peering aus, für das Sie Einstellungen anzeigen oder ändern möchten.

    Screenshot der Auswahl eines Peerings des virtuellen Netzwerks zum Ändern der Einstellungen

  3. Ändern Sie die entsprechende Einstellung. Lesen Sie die Informationen zu den Optionen für jede Einstellung in Schritt 4 von „Erstellen eines Peerings“. Wählen Sie anschließend Speichern aus, um die Konfigurationsänderungen abzuschließen.

    Screenshot der Änderung der Einstellungen des Peerings virtueller Netzwerke

Befehle

Löschen eines Peerings

Stellen Sie vor dem Löschen eines Peerings sicher, dass Ihr Konto über die erforderlichen Berechtigungen verfügt.

Wenn ein Peering gelöscht wird, kann der Datenverkehr nicht mehr zwischen zwei virtuellen Netzwerken erfolgen. Beim Löschen eines Peerings virtueller Netzwerke wird auch das entsprechende Peering entfernt. Wenn Sie möchten, dass virtuelle Netzwerke gelegentlich, jedoch nicht immer, kommunizieren sollen, können Sie die Einstellung Datenverkehr zum virtuellen Remotenetzwerk auf Gesamten Datenverkehr zum virtuellen Remotenetzwerk blockieren festlegen, statt das Peering zu löschen. Es kann ggf. einfacher sein, den Netzwerkzugriff zu deaktivieren und zu aktivieren, statt die Peerings zu löschen und neu zu erstellen.

  1. Wählen Sie das virtuelle Netzwerk in der Liste aus, für das Sie ein Peering löschen möchten.

    Screenshot der Auswahl eines virtuellen Netzwerks im Abonnement

  2. Wählen Sie unter Einstellungen die Option Peerings aus.

    Screenshot der Auswahl eines Peerings des virtuellen Netzwerks zum Löschen

  3. Wählen Sie auf der rechten Seite des Peerings, das Sie löschen möchten, ... aus, und wählen Sie dann Löschen aus.

    Screenshot des Löschens eines Peerings des virtuellen Netzwerks

  4. Wählen Sie Ja aus, um zu bestätigen, dass Sie das Peering und den entsprechenden Peer löschen möchten.

    Screenshot der Bestätigung für das Löschen des Peerings

  5. Führen Sie die vorherigen Schritte durch, um das Peering aus dem anderen virtuellen Netzwerk im Peering zu löschen.

Befehle

Anforderungen und Einschränkungen

  • Sie können virtuelle Netzwerke in derselben Region oder in verschiedenen Regionen per Peering verknüpfen. Das Peering von virtuellen Netzwerken in unterschiedlichen Regionen wird auch als globales VNet-Peering bezeichnet.

  • Wenn ein globales Peering erstellt wird, können sich die virtuellen Netzwerke in einer beliebigen Region einer öffentlichen Azure-Cloud, in China-Cloudregionen oder in Government Cloud-Regionen befinden. Peering ist nicht über die Grenzen von Clouds hinweg möglich. Beispielsweise kann für ein VNet in der öffentlichen Azure-Cloud kein Peering mit einem VNet in der Azure China-Cloud durchgeführt werden.

  • Ressourcen in einem virtuellen Netzwerk können nicht mit der Front-End-IP-Adresse eines internen Load Balancers im Tarif „Basic“ in einem per globalem Peering verbundenen virtuellen Netzwerk kommunizieren. Unterstützung für Load Balancer Standard besteht nur innerhalb der gleichen Region. Unterstützung für Load Balancer Standard besteht für beide – VNet-Peering und globales VNet-Peering. Hier sind die Dienste mit einem Load Balancer im Tarif „Basic“ dokumentiert, die nicht über das globale VNET-Peering funktionieren.

  • Sie können Remotegateways verwenden oder Gatewaytransit in virtuellen Netzwerken mit globalem Peering und in virtuellen Netzwerken mit lokalem Peering zulassen.

  • Die virtuellen Netzwerke können sich im gleichen Abonnement oder in verschiedenen Abonnements befinden. Wenn Sie eine Peerverbindung zwischen virtuellen Netzwerken in verschiedenen Abonnements herstellen, können beide Abonnements demselben oder einem anderen Azure Active Directory-Mandanten zugeordnet sein. Wenn Sie noch keinen AD-Mandanten besitzen, erstellen Sie einen.

  • Die mittels Peering verknüpften virtuellen Netzwerke dürfen keine sich überschneidenden IP-Adressräume aufweisen.

  • Sie können Adressbereiche zum Adressraum eines virtuellen Netzwerks hinzufügen oder aus diesem löschen, nachdem ein virtuelles Netzwerk per Peering mit einem anderen virtuellen Netzwerk verknüpft wurde. Um Adressbereiche hinzuzufügen oder zu entfernen, das Peering zu löschen oder Adressräume hinzuzufügen oder zu entfernen, erstellen Sie das Peering erneut. Informationen zum Hinzufügen oder Entfernen von Adressbereichen in virtuellen Netzwerken finden Sie unter Verwalten virtueller Netzwerke.

  • Sie können zwei über Resource Manager bereitgestellte virtuelle Netzwerke oder ein über Resource Manager bereitgestelltes virtuelles Netzwerk per Peering mit einem virtuellen Netzwerk verknüpfen, das über das klassische Bereitstellungsmodell bereitgestellt wurde. Sie können nicht zwei virtuelle Netzwerke, die mit dem klassischen Bereitstellungsmodell erstellt wurden, mittels Peering miteinander verknüpfen. Wenn Sie mit den Azure-Bereitstellungsmodellen nicht vertraut sind, lesen Sie den Artikel Grundlegendes zu Azure-Bereitstellungsmodellen. Sie können ein VPN Gateway verwenden, um zwei virtuelle Netzwerke zu verbinden, die mit dem klassischen Bereitstellungsmodell erstellt wurden.

  • Wenn zwei virtuelle Netzwerke, die mit dem Resource Manager erstellt wurden, mittels Peering miteinander verknüpft werden, muss für jedes virtuelle Netzwerk im Peering ein Peering konfiguriert werden. Für den Peeringstatus wird einer der folgenden Typen angezeigt:

    • Initiiert: Wenn Sie das Peering vom ersten virtuellen Netzwerk mit dem zweiten virtuellen Netzwerk erstellen, lautet der Peeringstatus Initiiert.
    • : Wenn Sie das Peering vom zweiten virtuellen Netzwerk mit dem ersten virtuellen Netzwerk erstellen, lautet der Peeringstatus Verbunden. Wenn Sie sich den Peeringstatus für das erste virtuelle Netzwerk ansehen, erkennen Sie, dass der Status von Initiiert zu Verbunden gewechselt ist. Das Peering wurde erst erfolgreich erstellt, wenn der Peeringstatus für beide Peerings virtueller Netzwerk Verbunden lautet.
  • Wenn ein über Resource Manager erstelltes virtuelles Netzwerk mittels Peering mit einem über das klassische Bereitstellungsmodell erstellten virtuellen Netzwerk verbunden wird, konfigurieren Sie nur ein Peering für das virtuelle Netzwerk, das über Resource Manager bereitgestellt wurde. Es ist jedoch nicht möglich, ein Peering für ein virtuelles Netzwerk (klassisch) oder zwischen zwei virtuellen Netzwerken zu konfigurieren, die über das klassische Bereitstellungsmodell bereitgestellt wurden. Wenn Sie das virtuelle Netzwerk (Resource Manager) mittels Peering mit dem virtuellen Netzwerk (klassisch) verbinden, lautet der Peeringstatus Wird aktualisiert und wechselt anschließend gleich zu Verbunden.

  • Ein Peering wird zwischen zwei virtuellen Netzwerken eingerichtet. Peerings an sich sind nicht transitiv. Wenn Sie Peerings zwischen Folgendem erstellen:

    • VirtualNetwork1 & VirtualNetwork2 – VirtualNetwork1 & VirtualNetwork2
    • VirtualNetwork2 & VirtualNetwork3 – VirtualNetwork2 & VirtualNetwork3

    Es erfolgt kein Peering zwischen VirtualNetwork1 und VirtualNetwork3 über VirtualNetwork2. Wenn Sie ein Peering zwischen virtuellen Netzwerken für VirtualNetwork1 und VirtualNetwork3 erstellen möchten, müssen Sie ein Peering zwischen VirtualNetwork1 und VirtualNetwork3 erstellen. Es erfolgt kein Peering zwischen VirtualNetwork1 und VirtualNetwork3 über VirtualNetwork2. Wenn Sie möchten, dass VirtualNetwork1 und VirtualNetwork3 direkt miteinander kommunizieren, müssen Sie ein explizites Peering zwischen VirtualNetwork1 und VirtualNetwork3 erstellen oder eine NVA im Hub-Netzwerk durchlaufen.

  • Über die standardmäßige Azure-Namensauflösung können keine Namen in virtuellen Netzwerken aufgelöst werden, die mittels Peering verbunden sind. Um Namen in anderen virtuellen Netzwerken aufzulösen, müssen Sie Azure DNS für private Domänen oder einen benutzerdefinierten DNS-Server verwenden. Weitere Informationen zum Einrichten Ihres DNS-Servers finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

  • Ressourcen in per Peering verbundenen virtuellen Netzwerken in derselben Region können mit derselben Bandbreite und Latenz miteinander kommunizieren, als ob sie sich im selben virtuellen Netzwerk befinden würden. Für die Größe jedes virtuellen Computers liegt jedoch eine eigene maximale Netzwerkbandbreite. Weitere Informationen zur Bandbreitenobergrenze für verschiedene VM-Größen finden Sie in den Artikeln zu den Größen virtueller Computer unter Windows oder Linux.

  • Ein virtuelles Netzwerk kann mittels Peering mit einem anderen virtuellen Netzwerk verbunden werden; dies gilt auch für ein anderes virtuelles Netzwerk mit einem virtuellen Gateway für virtuelle Azure-Netzwerke. Wenn die virtuellen Netzwerke sowohl mittels Peering als auch mithilfe eines Gateways verbunden sind, wird der Datenverkehr zwischen den virtuellen Netzwerken über die Peeringkonfiguration statt über das Gateway geleitet.

  • Um sicherzustellen, dass die neuen Routen auf den Client heruntergeladen werden, müssen die Point-to-Site-VPN-Clients nach der erfolgreichen Konfiguration des Peerings in virtuellen Netzwerken erneut heruntergeladen werden.

  • Für ein- und ausgehenden Datenverkehr, der VNET-Peering verwendet, fällt eine Gebühr an. Weitere Informationen hierzu finden Sie in der Preisübersicht.

Berechtigungen

Die Konten, mit denen Sie beim Peering virtueller Netzwerke arbeiten, müssen den folgenden Rollen zugewiesen werden:

Wenn Ihr Konto nicht einer der zuvor aufgeführten Rollen zugewiesen ist, müssen Sie es einer benutzerdefinierten Rolle zuweisen, die den erforderlichen Aktionen aus der folgenden Tabelle zugewiesen ist:

Aktion Name
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write Erforderlich, um ein Peering zwischen dem virtuellen Netzwerk A und dem virtuellen Netzwerk B herzustellen. Das virtuelle Netzwerk A muss ein virtuelles Netzwerk sein (Resource Manager).
Microsoft.Network/virtualNetworks/peer/action Erforderlich, um ein Peering zwischen dem virtuellen Netzwerk B (Resource Manager) und dem virtuellen Netzwerk A herzustellen.
Microsoft.ClassicNetwork/virtualNetworks/peer/action Erforderlich, um ein Peering zwischen dem virtuellen Netzwerk B (klassisch) und dem virtuellen Netzwerk A herzustellen.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Lesen eines Peerings in virtuellen Netzwerken
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete Löschen eines Peerings in virtuellen Netzwerken

Nächste Schritte

  • Ein Peering für virtuelle Netzwerke wird zwischen virtuellen Netzwerken erstellt, die mit dem gleichen oder unterschiedlichen Bereitstellungsmodellen unter demselben oder unterschiedlichen Abonnements erstellt wurden. Arbeiten Sie ein Tutorial für eines der folgenden Szenarien durch:

    Azure-Bereitstellungsmodell Subscription
    Beide mit Resource Manager Gleich
    Unterschiedlich
    Einmal Resource Manager, einmal klassisch Gleich
    Unterschiedlich
  • Informieren Sie sich über das Erstellen einer Hub-and-Spoke-Netzwerktopologie.

  • Erstellen eines Peering virtueller Netzwerke mithilfe von PowerShell- oder Azure CLI-Beispielskripts oder mithilfe von Azure Resource Manager-Vorlagen

  • Erstellen und Zuweisen von Azure Policy-Definitionen für virtuelle Netzwerke