Erstellen des Peerings virtueller Netzwerke: Resource Manager, verschiedene Abonnements und Microsoft Entra-Mandanten

In diesem Tutorial erfahren Sie, wie Sie ein Peering zwischen virtuellen Netzwerken erstellen, die über Ressourcen-Manager eingerichtet wurden. Die virtuellen Netzwerke sind in verschiedenen Abonnements vorhanden, die möglicherweise zu verschiedenen Microsoft Entra-Mandanten gehören. Das Peering zweier virtueller Netzwerke ermöglicht es Ressourcen, in verschiedenen virtuellen Netzwerken untereinander mit derselben Bandbreite und Latenz zu kommunizieren, als befänden sie sich im selben virtuellen Netzwerk. Weitere Informationen hierzu finden Sie unter Peering virtueller Netzwerke.

Je nachdem, ob sich die virtuellen Netzwerke in demselben Abonnement oder in unterschiedlichen Abonnements befinden, unterscheiden sich die Schritte zum Erstellen eines Peerings virtueller Netzwerke. Zum Erstellen eines Peerings für Netzwerke, die mit dem klassischen Bereitstellungsmodell erstellt wurden, werden andere Schritte ausgeführt. Weitere Informationen zu den Bereitstellungsmodellen finden Sie unter Azure-Bereitstellungsmodelle.

Erfahren Sie, wie Sie ein Peering virtueller Netzwerke in anderen Szenarien erstellen, indem Sie in der folgenden Tabelle das gewünschte Szenario auswählen:

Azure-Bereitstellungsmodell	Azure-Abonnement
Beide mit Resource Manager	identisch
Eines mit Resource Manager, das andere klassisch	identisch
Eines mit Resource Manager, das andere klassisch	Unterschiedlich

Zwischen zwei virtuellen Netzwerken, die über das klassische Bereitstellungsmodell bereitgestellt wurden, kann kein Peering eingerichtet werden. Wenn Sie eine Verbindung zwischen virtuellen Netzwerken herstellen möchten, die beide über das klassische Bereitstellungsmodell erstellt wurden, können Sie dazu eine Azure VPN Gateway-Instanz verwenden.

In diesem Tutorial wird ein Peering für virtuelle Netzwerke in der gleichen Region durchgeführt. Sie können virtuelle Netzwerke auch in verschiedenen unterstützten Regionen per Peering verknüpfen. Machen Sie sich mit den Peeringanforderungen und -einschränkungen vertraut, bevor Sie das Peering von virtuellen Netzwerken nutzen.

Voraussetzungen

Portal

• Ein Azure-Konto oder -Konten mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Microsoft Entra-Mandanten akzeptieren.

• Melden Sie sich beim Azure-Portalan.

PowerShell

• Ein Azure-Konto oder -Konten mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Microsoft Entra-Mandanten akzeptieren.

• Azure PowerShell (lokale Installation) oder Azure Cloud Shell.

• Melden Sie sich bei Azure PowerShell an, und wählen Sie das Abonnement aus, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

• Verwenden Sie mindestens Version 4.3.0 des Az.Network-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name "Az.Network". Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name Az.Network.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

Azure-Befehlszeilenschnittstelle

• Ein Azure-Konto oder -Konten mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Microsoft Entra-Mandanten akzeptieren.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Anleitungsartikel ist mindestens Version 2.31.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

In den folgenden Schritten erfahren Sie, wie Sie ein Peering virtueller Netzwerke in verschiedenen Abonnements und Microsoft Entra-Mandanten erstellen.

Sie können dasselbe Konto verwenden, das über Berechtigungen in beiden Abonnements verfügt, oder Sie können separate Konten für jedes Abonnement verwenden, um das Peering einzurichten. Ein Konto mit Berechtigungen in beiden Abonnements kann alle Schritte ausführen, ohne sich beim Portal abzumelden und anzumelden und Berechtigungen zuzuweisen.

Die folgenden Ressourcen und Kontobeispiele werden in den Schritten in diesem Artikel verwendet:

Benutzerkonto	Resource group	Subscription	Virtuelles Netzwerk
user-1	test-rg	subscription-1	vnet-1
user-2	test-rg-2	subscription-2	vnet-2

Erstellen eines virtuellen Netzwerks - vnet-1

Hinweis

Wenn Sie zum Ausführen der Schritte ein einzelnes Konto verwenden, können Sie die Schritte zum Abmelden beim Portal und zum Zuweisen anderer Benutzerberechtigungen zu den virtuellen Netzwerken überspringen.

Portal

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus.
   Instanzendetails
   Name	Geben Sie vnet-1 ein.
   Region	Wählen Sie USA, Osten 2 aus.

   

4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

7. Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Subnetzzweck	Übernehmen Sie den Standardwert Default.
   Name	Geben Sie subnet-1 ein.

8. Verwenden Sie für die übrigen Einstellungen die Standardwerte. Wählen Sie Speichern.

   

9. Wählen Sie Speichern.

10. Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.

PowerShell

Anmelden bei subscription-1

Verwenden Sie Connect-AzAccount, um sich bei subscription-1 anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext zu subscription-1.

Set-AzContext -Subscription subscription-1

Erstellen einer Ressourcengruppe - test-rg

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe:

$rsg = @{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Erstellen des virtuellen Netzwerks

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. In diesem Beispiel wird ein virtuelles subnet-1-Netzwerk mit dem Namen vnet-1 am Standort West US 3 erstellt:

$vnet = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Hinzufügen eines Subnetzes

Azure stellt Ressourcen innerhalb eines virtuellen Netzwerks in einem Subnetz bereit, daher müssen Sie ein Subnetz erstellen. Erstellen Sie eine Subnetzkonfiguration mit der Bezeichnung subnet-1 mit Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Zuweisen eines Subnetzes zum virtuellen Netzwerk

Schreiben Sie mit Set-AzVirtualNetwork die Subnetzkonfiguration in das virtuelle Netzwerk. Dieser Befehl erstellt das Subnetz:

$virtualNetwork | Set-AzVirtualNetwork

Azure-Befehlszeilenschnittstelle

Anmelden bei subscription-1

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-1 an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set zu subscription-1.

az account set --subscription "subscription-1"

Erstellen einer Ressourcengruppe - test-rg

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

az group create \
    --name test-rg \
    --location eastus2

Erstellen des virtuellen Netzwerks

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk und ein Subnetz. In diesem Beispiel wird ein virtuelles subnet-1-Netzwerk mit dem Namen vnet-1 am Standort West US 3 erstellt.

az network vnet create \
    --resource-group test-rg\
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Zuweisen von Berechtigungen für user-2

Ein Benutzerkonto in dem anderen Abonnement, mit dem Sie ein Peering herstellen möchten, muss dem zuvor erstellten Netzwerk hinzugefügt werden. Wenn Sie ein einzelnes Konto für beide Abonnements verwenden, können Sie diesen Abschnitt überspringen.

Portal

1. Bleiben Sie beim Portal als user-1 angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

5. Wählen Sie + Hinzufügen>Rollenzuweisung hinzufügen aus.

6. Wählen Sie unter Rollenzuweisung hinzufügen auf der Registerkarte Rolle die Option Netzwerkmitwirkender aus.

7. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Mitglieder die Option + Mitglieder auswählen aus.

9. Geben Sie unter Mitglieder auswählen im Suchfeld user-2 ein.

10. Wählen Sie Auswählen.

11. Wählen Sie Überprüfen und zuweisen aus.

12. Wählen Sie Überprüfen und zuweisen aus.

PowerShell

Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für vnet-1 abzurufen. Weisen Sie user-2 von subscription-2 zu vnet-1 mit New-AzRoleAssignment zu.

Verwenden Sie Get-AzADUser, um die Objekt-ID für user-2 abzurufen.

In diesem Beispiel wird user-2 für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus subscription-2, dem Sie Berechtigungen für vnet-1 zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-2'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network vnet show, um die Ressourcen-ID für vnet-1 abzurufen. Weisen Sie user-2 von subscription-2 zu vnet-1 mit az role assignment create zu.

Verwenden Sie az ad user list, um die Objekt-ID für user-2 abzurufen.

In diesem Beispiel wird user-2 für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus subscription-2, dem Sie Berechtigungen für vnet-1 zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

az ad user list --display-name user-2

[
  {
    "businessPhones": [],
    "displayName": "user-2",
    "givenName": null,
    "id": "16d51293-ec4b-43b1-b54b-3422c108321a",
    "jobTitle": null,
    "mail": "user-2@fabrikam.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-2_fabrikam.com#EXT#@contoso.onmicrosoft.com"
  }
]

Notieren Sie sich die Objekt-ID von user-2 im Feld ID. In diesem Beispiel lautet sie 16d51293-ec4b-43b1-b54b-3422c108321a.

vnetid=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

az role assignment create \
      --assignee 16d51293-ec4b-43b1-b54b-3422c108321a \
      --role "Network Contributor" \
      --scope $vnetid

Ersetzen Sie die Beispiel-GUID in --assignee durch die tatsächliche Objekt-ID für user-2.

Abrufen der Ressourcen-ID von vnet-1

Portal

1. Bleiben Sie beim Portal als user-1 angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

5. Kopieren Sie die Informationen im Feld Ressourcen-ID, und speichern Sie sie für die späteren Schritte. Die Ressourcen-ID Ausgabe sieht in etwa wie das folgende Beispiel aus: /subscriptions/<Subscription Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1.

6. Melden Sie sich beim Portal als user-1 ab.

PowerShell

Die Ressourcen-ID von vnet-1 ist erforderlich, um die Peering-Verbindung von vnet-2 zu vnet-1 einzurichten. Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für vnet-1 abzurufen.

$id = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @id

$vnetA.id

Azure-Befehlszeilenschnittstelle

Die Ressourcen-ID von vnet-1 ist erforderlich, um die Peering-Verbindung von vnet-2 zu vnet-1 einzurichten. Verwenden Sie az network vnet show, um die Ressourcen-ID für vnet-1 abzurufen.

vnetidA=$(az network vnet show \
    --name vnet-1 \
    --resource-group test-rg \
    --query id \
    --output tsv)

echo $vnetidA

Erstellen eines virtuellen Netzwerks - vnet-2

In diesem Abschnitt melden Sie sich als user-2 an und erstellen ein virtuelles Netzwerk für die Peering-Verbindung mit vnet-1.

Portal

Wiederholen Sie die Schritte im vorherigen Abschnitt, um ein zweites virtuelles Netzwerk mit den folgenden Werten zu erstellen.

Einstellung	Wert
Subscription	subscription-2
Resource group	test-rg-2
Name	vnet-2
Adressraum	10.1.0.0/16
Subnetzname	subnet-1
Subnetzadressbereich	10.1.0.0/24

PowerShell

Anmelden bei subscription-2

Verwenden Sie Connect-AzAccount, um sich bei subscription-2 anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext zu subscription-2.

Set-AzContext -Subscription subscription-2

Erstellen einer Ressourcengruppe - test-rg-2

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe:

$rsg = @{
    Name = 'test-rg-2'
    Location = 'eastus2'
}
New-AzResourceGroup @rsg

Erstellen des virtuellen Netzwerks

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. In diesem Beispiel wird ein virtuelles subnet-1-Netzwerk mit dem Namen vnet-2 am Standort West US 3 erstellt:

$vnet = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
    Location = 'eastus2'
    AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Hinzufügen eines Subnetzes

Azure stellt Ressourcen innerhalb eines virtuellen Netzwerks in einem Subnetz bereit, daher müssen Sie ein Subnetz erstellen. Erstellen Sie eine Subnetzkonfiguration mit der Bezeichnung subnet-1 mit Add-AzVirtualNetworkSubnetConfig:

$subnet = @{
    Name = 'subnet-1'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Zuweisen eines Subnetzes zum virtuellen Netzwerk

Schreiben Sie mit Set-AzVirtualNetwork die Subnetzkonfiguration in das virtuelle Netzwerk. Dieser Befehl erstellt das Subnetz:

$virtualNetwork | Set-AzVirtualNetwork

Azure-Befehlszeilenschnittstelle

Anmelden bei subscription-2

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-1 an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set zu subscription-2.

az account set --subscription "subscription-2"

Erstellen einer Ressourcengruppe - test-rg-2

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

az group create \
    --name test-rg-2 \
    --location eastus2

Erstellen des virtuellen Netzwerks

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk und ein Subnetz. In diesem Beispiel wird ein virtuelles subnet-1-Netzwerk mit dem Namen vnet-2 am Standort West US 3 erstellt.

az network vnet create \
    --resource-group test-rg-2\
    --location eastus2 \
    --name vnet-2 \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.1.0.0/24

Zuweisen von Berechtigungen für user-1

Ein Benutzerkonto in dem anderen Abonnement, mit dem Sie ein Peering herstellen möchten, muss dem zuvor erstellten Netzwerk hinzugefügt werden. Wenn Sie ein einzelnes Konto für beide Abonnements verwenden, können Sie diesen Abschnitt überspringen.

Portal

1. Bleiben Sie beim Portal als user-2 angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-2 aus.

4. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

5. Wählen Sie + Hinzufügen>Rollenzuweisung hinzufügen aus.

6. Wählen Sie unter Rollenzuweisung hinzufügen auf der Registerkarte Rolle die Option Netzwerkmitwirkender aus.

7. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Mitglieder die Option + Mitglieder auswählen aus.

9. Geben Sie unter Mitglieder auswählen im Suchfeld user-1 ein.

10. Wählen Sie Auswählen.

11. Wählen Sie Überprüfen und zuweisen aus.

12. Wählen Sie Überprüfen und zuweisen aus.

PowerShell

Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für vnet-1 abzurufen. Weisen Sie user-1 von subscription-1 zu vnet-2 mit New-AzRoleAssignment zu.

Verwenden Sie Get-AzADUser, um die Objekt-ID für user-1 abzurufen.

In diesem Beispiel wird user-1 für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus subscription-1, dem Sie Berechtigungen für vnet-2 zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'user-1'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure-Befehlszeilenschnittstelle

Verwenden Sie az network vnet show, um die Ressourcen-ID für vnet-2 abzurufen. Weisen Sie user-1 von subscription-1 zu vnet-2 mit az role assignment create zu.

Verwenden Sie az ad user list, um die Objekt-ID für user-1 abzurufen.

In diesem Beispiel wird user-1 für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus subscription-1, dem Sie Berechtigungen für vnet-2 zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

az ad user list --display-name user-1

[
  {
    "businessPhones": [],
    "displayName": "user-1",
    "givenName": null,
    "id": "ee0645cc-e439-4ffc-b956-79577e473969",
    "jobTitle": null,
    "mail": "user-1@contoso.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "user-1_contoso.com#EXT#@fabrikam.onmicrosoft.com"
  }
]

Notieren Sie sich die Objekt-ID von user-1 im Feld ID. In diesem Beispiel lautet sie ee0645cc-e439-4ffc-b956-79577e473969.

vnetid=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

az role assignment create \
      --assignee ee0645cc-e439-4ffc-b956-79577e473969 \
      --role "Network Contributor" \
      --scope $vnetid

Abrufen der Ressourcen-ID von vnet-2

Die Ressourcen-ID von vnet-2 ist erforderlich, um die Peering-Verbindung von vnet-1 zu vnet-2 einzurichten. Gehen Sie wie folgt vor, um die Ressourcen-ID von vnet-2 abzurufen.

Portal

1. Bleiben Sie beim Portal als user-2 angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-2 aus.

4. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

5. Kopieren Sie die Informationen im Feld Ressourcen-ID, und speichern Sie sie für die späteren Schritte. Die Ressourcen-ID Ausgabe sieht in etwa wie das folgende Beispiel aus: /subscriptions/<Subscription Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2.

6. Melden Sie sich beim Portal als user-2 ab.

PowerShell

Die Ressourcen-ID von vnet-2 ist erforderlich, um die Peering-Verbindung von vnet-1 zu vnet-2 einzurichten. Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für vnet-2 abzurufen.

$id = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @id

$vnetB.id

Azure-Befehlszeilenschnittstelle

Die Ressourcen-ID von vnet-2 ist erforderlich, um die Peering-Verbindung von vnet-1 zu vnet-2 einzurichten. Verwenden Sie az network vnet show, um die Ressourcen-ID für vnet-2 abzurufen.

vnetidB=$(az network vnet show \
    --name vnet-2 \
    --resource-group test-rg-2 \
    --query id \
    --output tsv)

echo $vnetidB

Erstellen einer Peering-Verbindung - vnet-1 zu vnet-2

Sie benötigen die Ressourcen-ID für vnet-2 aus den vorherigen Schritten, um die Peering-Verbindung einzurichten.

Portal

1. Melden Sie sich als user-1 beim Azure-Portal an. Wenn Sie ein Konto für beide Abonnements verwenden, wechseln Sie im Portal zu subscription-1.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-1 aus.

4. Wählen Sie Peerings aus.

5. Klicken Sie auf + Hinzufügen.

6. Geben Sie unter Peering hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Zusammenfassung zu virtuellen Remotenetzwerken
   Name des Peeringlinks	vnet-2-to-vnet-1
   Bereitstellungsmodell für das virtuelle Netzwerk	Ressourcen-Manager
   Ich kenne meine Ressourcen-ID	Aktivieren Sie das Kontrollkästchen
   Ressourcen-ID	Geben Sie die Ressourcen-ID für vnet-2 ein
   Verzeichnis	Wählen Sie das Microsoft Entra ID-Verzeichnis aus, das vnet-2 und user-2 entspricht.
   Einstellungen für das Peering virtueller Remotenetzwerke
   Zulassen, dass das virtuelle Netzwerk mit Peering auf „vnet-1“ zugreift	Übernehmen Sie die Standardeinstellung Aktiviert.
   Zulassen, dass das virtuelle Netzwerk mit Peering weitergeleiteten Datenverkehr von „vnet-1“ empfangen kann	Aktivieren Sie das Kontrollkästchen
   Lokales virtuelles Netzwerk: Zusammenfassung
   Name des Peeringlinks	vnet-1-to-vnet-2
   Einstellungen für das Peering lokaler virtueller Netzwerke
   Zulassen, dass „vnet-1“ auf das virtuelle Netzwerk mit Peering zugreift	Übernehmen Sie die Standardeinstellung Aktiviert.
   Zulassen, dass „vnet-1“ weitergeleiteten Datenverkehr vom virtuellen Netzwerk mit Peering empfangen kann	Aktivieren Sie das Kontrollkästchen

7. Wählen Sie Hinzufügen.

   

8. Melden Sie sich beim Portal als user-1 ab.

PowerShell

Anmelden bei subscription-1

Verwenden Sie Connect-AzAccount, um sich bei subscription-1 anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext zu subscription-1.

Set-AzContext -Subscription subscription-1

Anmelden bei subscription-2

Authentifizieren Sie sich bei subscription-2, damit das Peering eingerichtet werden kann.

Verwenden Sie Connect-AzAccount, um sich bei subscription-2 anzumelden.

Connect-AzAccount

Wechsel zu subscription-1 (optional)

Möglicherweise müssen Sie zurück zu subscription-1 wechseln, um mit den Aktionen in subscription-1 fortzufahren.

Ändern Sie den Kontext zu subscription-1.

Set-AzContext -Subscription subscription-1

Erstellen einer Peeringverbindung

Verwenden Sie Add-AzVirtualNetworkPeering, um eine Peering-Verbindung zwischen vnet-1 und vnet-2 zu erstellen.

$netA = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnetA = Get-AzVirtualNetwork @netA

$peer = @{
    Name = 'vnet-1-to-vnet-2'
    VirtualNetwork = $vnetA
    RemoteVirtualNetworkId = '/subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/virtualNetworks/vnet-2'
}
Add-AzVirtualNetworkPeering @peer

Verwenden Sie Get-AzVirtualNetworkPeering, um den Status der Peering-Verbindungen von vnet-1 zu vnet-2 abzurufen.

$status = @{
    ResourceGroupName =  'test-rg'
    VirtualNetworkName = 'vnet-1'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-1            Initiated

Azure-Befehlszeilenschnittstelle

Anmelden bei subscription-1

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-1 an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set zu subscription-1.

az account set --subscription "subscription-1"

Anmelden bei subscription-2

Authentifizieren Sie sich bei subscription-2, damit das Peering eingerichtet werden kann.

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-2 an.

az login

Wechsel zu subscription-1 (optional)

Möglicherweise müssen Sie zurück zu subscription-1 wechseln, um mit den Aktionen in subscription-1 fortzufahren.

Ändern Sie den Kontext zu subscription-1.

az account set --subscription "subscription-1"

Erstellen einer Peeringverbindung

Verwenden Sie az network vnet peering create, um eine Peering-Verbindung zwischen vnet-1 und vnet-2 zu erstellen.

az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --remote-vnet /subscriptions/<subscription-2-Id>/resourceGroups/test-rg-2/providers/Microsoft.Network/VirtualNetworks/vnet-2 \
    --allow-vnet-access

Verwenden Sie az network vnet peering list, um den Status der Peering-Verbindungen von vnet-1 zu vnet-2 abzurufen.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --output table

Die Peeringverbindung wird unter Peerings mit dem Status Initiiert angezeigt. Um das Peering abzuschließen, muss eine entsprechende Verbindung in vnet-2 eingerichtet werden.

Erstellen einer Peering-Verbindung - vnet-2 zu vnet-1

Sie benötigen die Ressourcen-IDs für vnet-1 aus den vorherigen Schritten, um die Peering-Verbindung einzurichten.

Portal

1. Melden Sie sich als user-2 beim Azure-Portal an. Wenn Sie ein Konto für beide Abonnements verwenden, wechseln Sie im Portal zu subscription-2.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie vnet-2 aus.

4. Wählen Sie Peerings aus.

5. Klicken Sie auf + Hinzufügen.

6. Geben Sie unter Peering hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Zusammenfassung zu virtuellen Remotenetzwerken
   Name des Peeringlinks	vnet-1-to-vnet-2
   Bereitstellungsmodell für das virtuelle Netzwerk	Ressourcen-Manager
   Ich kenne meine Ressourcen-ID	Aktivieren Sie das Kontrollkästchen
   Ressourcen-ID	Geben Sie die Ressourcen-ID für vnet-2 ein
   Verzeichnis	Wählen Sie das Microsoft Entra ID-Verzeichnis aus, das vnet-1 und user-1 entspricht.
   Einstellungen für das Peering virtueller Remotenetzwerke
   Zulassen, dass das virtuelle Netzwerk mit Peering auf „vnet-1“ zugreift	Übernehmen Sie die Standardeinstellung Aktiviert.
   Zulassen, dass das virtuelle Netzwerk mit Peering weitergeleiteten Datenverkehr von „vnet-1“ empfangen kann	Aktivieren Sie das Kontrollkästchen
   Lokales virtuelles Netzwerk: Zusammenfassung
   Name des Peeringlinks	vnet-1-to-vnet-2
   Einstellungen für das Peering lokaler virtueller Netzwerke
   Zulassen, dass „vnet-1“ auf das virtuelle Netzwerk mit Peering zugreift	Übernehmen Sie die Standardeinstellung Aktiviert.
   Zulassen, dass „vnet-1“ weitergeleiteten Datenverkehr vom virtuellen Netzwerk mit Peering empfangen kann	Aktivieren Sie das Kontrollkästchen

7. Wählen Sie Hinzufügen.

8. Wählen Sie im Pulldownfeld das Verzeichnis aus, das vnet-1 und user-1 entspricht.

9. Wählen Sie Authentifizieren aus.

   

10. Wählen Sie Hinzufügen.

PowerShell

Anmelden bei subscription-2

Verwenden Sie Connect-AzAccount, um sich bei subscription-2 anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext zu subscription-2.

Set-AzContext -Subscription subscription-2

Anmelden bei subscription-1

Authentifizieren Sie sich bei subscription-1, damit das Peering eingerichtet werden kann.

Verwenden Sie Connect-AzAccount, um sich bei subscription-1 anzumelden.

Connect-AzAccount

Wechsel zu subscription-2 (optional)

Möglicherweise müssen Sie zurück zu subscription-2 wechseln, um mit den Aktionen in subscription-2 fortzufahren.

Ändern Sie den Kontext zu subscription-2.

Set-AzContext -Subscription subscription-2

Erstellen einer Peeringverbindung

Verwenden Sie Add-AzVirtualNetworkPeering, um eine Peering-Verbindung zwischen vnet-2 und vnet-1 zu erstellen.

$netB = @{
    Name = 'vnet-2'
    ResourceGroupName = 'test-rg-2'
}
$vnetB = Get-AzVirtualNetwork @netB

$peer = @{
    Name = 'vnet-2-to-vnet-1'
    VirtualNetwork = $vnetB
    RemoteVirtualNetworkId = '/subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/virtualNetworks/vnet-1'
}
Add-AzVirtualNetworkPeering @peer

Verwenden Sie Get-AzVirtualNetworkPeering, um den Status der Peering-Verbindungen von vnet-2 zu vnet-1 abzurufen.

$status = @{
    ResourceGroupName =  'test-rg-2'
    VirtualNetworkName = 'vnet-2'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
vnet-2            Connected

Azure-Befehlszeilenschnittstelle

Anmelden bei subscription-2

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-2 an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set zu subscription-2.

az account set --subscription "subscription-2"

Anmelden bei subscription-1

Authentifizieren Sie sich bei subscription-1, damit das Peering eingerichtet werden kann.

Melden Sie sich mithilfe von az-Anmeldedaten bei subscription-1 an.

az login

Wechsel zu subscription-2 (optional)

Möglicherweise müssen Sie zurück zu subscription-2 wechseln, um mit den Aktionen in subscription-2 fortzufahren.

Ändern Sie den Kontext zu subscription-2.

az account set --subscription "subscription-2"

Erstellen einer Peeringverbindung

Verwenden Sie az network vnet peering create, um eine Peering-Verbindung zwischen vnet-2 und vnet-1 zu erstellen.

az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --remote-vnet /subscriptions/<subscription-1-Id>/resourceGroups/test-rg/providers/Microsoft.Network/VirtualNetworks/vnet-1 \
    --allow-vnet-access

Verwenden Sie az network vnet peering list, um den Status der Peering-Verbindungen von vnet-2 zu vnet-1 abzurufen.

az network vnet peering list \
    --resource-group test-rg-2 \
    --vnet-name vnet-2 \
    --output table

Wenn in der Spalte Peeringstatus für beide virtuellen Netzwerke der Status Verbunden angezeigt wird, wurde das Peering erfolgreich erstellt. Alle Azure-Ressourcen, die Sie in einem der virtuellen Netzwerke erstellen, sind in der Lage, miteinander über ihre IP-Adressen zu kommunizieren. Wenn Sie die Azure-Namensauflösung für virtuelle Netzwerke verwenden, können die Ressourcen in den virtuellen Netzwerken Namen nicht netzwerkübergreifend auflösen. Wenn Sie Namen netzwerkübergreifend in einem Peering auflösen möchten, müssen Sie einen eigenen DNS-Server (Domain Name System) erstellen oder Azure DNS verwenden.

Wichtig

Wenn Sie den Adressraum in einem der Member des Peers aktualisieren, müssen Sie die Verbindung neu synchronisieren, um die Adressraumänderungen widerzuspiegeln. Weitere Informationen finden Sie unter Aktualisieren des Adressraums für ein virtuelles Netzwerk mit Peering mithilfe des Azure-Portals

Weitere Informationen zur Verwendung Ihres eigenen DNS für die Namensauflösung finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

Weitere Informationen zu Azure DNS finden Sie unter Was ist Azure DNS?.

Nächste Schritte

• Machen Sie sich eingehend mit den wichtigen Einschränkungen und Verhalten eines Peerings in virtuellen Netzwerken vertraut, bevor Sie ein Peering in virtuellen Netzwerken für die Produktion erstellen.

• Erfahren Sie alles über Peering-Einstellungen in virtuellen Netzwerken.

• Erfahren Sie, wie Sie eine Hub-Spoke-Netzwerktopologie mit einem Peering in virtuellen Netzwerken erstellen.