Erstellen eines Peerings virtueller Netzwerke gemäß dem Ressourcen-Manager-Modell in verschiedenen Abonnements und Azure Active Directory-Mandanten

In diesem Tutorial erfahren Sie, wie Sie ein Peering zwischen virtuellen Netzwerken erstellen, die über Ressourcen-Manager eingerichtet wurden. Die virtuellen Netzwerke sind in unterschiedlichen Abonnements vorhanden, die möglicherweise zu verschiedenen Azure Active Directory-Mandanten (Azure AD) gehören. Das Peering zweier virtueller Netzwerke ermöglicht es Ressourcen, in verschiedenen virtuellen Netzwerken untereinander mit derselben Bandbreite und Latenz zu kommunizieren, als befänden sie sich im selben virtuellen Netzwerk. Weitere Informationen hierzu finden Sie unter Peering virtueller Netzwerke.

Je nachdem, ob sich die virtuellen Netzwerke in demselben Abonnement oder in unterschiedlichen Abonnements befinden, unterscheiden sich die Schritte zum Erstellen eines Peerings virtueller Netzwerke. Zum Erstellen eines Peerings für Netzwerke, die mit dem klassischen Bereitstellungsmodell erstellt wurden, werden andere Schritte ausgeführt. Weitere Informationen zu den Bereitstellungsmodellen finden Sie unter Azure-Bereitstellungsmodelle.

Erfahren Sie, wie Sie ein Peering virtueller Netzwerke in anderen Szenarien erstellen, indem Sie in der folgenden Tabelle das gewünschte Szenario auswählen:

Azure-Bereitstellungsmodell	Azure-Abonnement
Beide mit Resource Manager	identisch
Eines mit Resource Manager, das andere klassisch	identisch
Eines mit Resource Manager, das andere klassisch	Unterschiedlich

Zwischen zwei virtuellen Netzwerken, die über das klassische Bereitstellungsmodell bereitgestellt wurden, kann kein Peering eingerichtet werden. Wenn Sie eine Verbindung zwischen virtuellen Netzwerken herstellen möchten, die beide über das klassische Bereitstellungsmodell erstellt wurden, können Sie dazu eine Azure VPN Gateway-Instanz verwenden.

In diesem Tutorial wird ein Peering für virtuelle Netzwerke in der gleichen Region durchgeführt. Sie können virtuelle Netzwerke auch in verschiedenen unterstützten Regionen per Peering verknüpfen. Es wird empfohlen, sich mit den Peeringanforderungen und -einschränkungen vertraut zu machen, bevor Sie das Peering von virtuellen Netzwerken nutzen.

Voraussetzungen

Portal

• Ein Azure-Konto mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Azure Active Directory-Mandanten akzeptieren.

PowerShell

• Ein Azure-Konto mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Azure Active Directory-Mandanten akzeptieren.

• Azure PowerShell (lokale Installation) oder Azure Cloud Shell.

• Melden Sie sich bei Azure PowerShell an, und stellen Sie sicher, dass Sie das Abonnement ausgewählt haben, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.

• Verwenden Sie mindestens Version 4.3.0 des Az.Network-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name "Az.Network". Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name Az.Network.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

Azure CLI

• Ein Azure-Konto mit zwei aktiven Abonnements. Sie können kostenlos ein Konto erstellen.

• Ein Azure-Konto mit Berechtigungen in beiden Abonnements oder ein Konto in jedem Abonnement mit den richtigen Berechtigungen zum Erstellen eines Peerings virtueller Netzwerke. Eine Liste der Berechtigungen finden Sie im Abschnitt „Berechtigungen“ unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Um die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus jedem Mandanten als Gast im anderen Mandanten hinzu, und weisen Sie ihm bzw. ihr eine Rolle als Netzwerkmitwirkender für das virtuelle Netzwerk zu. Dieses Verfahren gilt, wenn die virtuellen Netzwerke zu unterschiedlichen Abonnements und Active Directory-Mandanten gehören.

  • Wenn Sie Netzwerkpeering einrichten möchten und nicht beabsichtigen, die Verwaltung des Netzwerks der einzelnen Mandanten zu trennen, fügen Sie den*die Benutzer*in aus Mandant A als Gast im anderen Mandanten hinzu. Weisen Sie ihm bzw. ihr dann die Rolle als Netzwerkmitwirkender zu, um das Netzwerkpeering in jedem Abonnement zu initiieren und zu verbinden. Mit diesen Berechtigungen kann der*die Benutzer*in das Netzwerkpeering in jedem Abonnement einrichten.

  • Weitere Informationen zu Gastbenutzern finden Sie unter Hinzufügen von Azure Active Directory B2B-Zusammenarbeitsbenutzern über das Azure-Portal.

  • Jeder Benutzer muss die Einladung als Gastbenutzer vom entsprechenden Azure Active Directory-Mandanten akzeptieren.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

• Für diesen Anleitungsartikel ist mindestens Version 2.31.0 der Azure CLI erforderlich. Bei Verwendung von Azure Cloud Shell ist die aktuelle Version bereits installiert.

In den folgenden Schritten erfahren Sie, wie Sie ein Peering virtueller Netzwerke in verschiedenen Abonnements und Azure Active Directory-Mandanten erstellen.

Sie können dasselbe Konto verwenden, das über Berechtigungen in beiden Abonnements verfügt, oder Sie können separate Konten für jedes Abonnement verwenden, um das Peering einzurichten. Ein Konto mit Berechtigungen in beiden Abonnements kann alle Schritte ausführen, ohne sich beim Portal abzumelden und anzumelden und Berechtigungen zuzuweisen.

Die folgenden Ressourcen und Kontobeispiele werden in den Schritten in diesem Artikel verwendet:

Benutzerkonto	Resource group	Subscription	Virtuelles Netzwerk
UserA	myResourceGroupA	SubscriptionA	myVNetA
UserB	myResourceGroupB	SubscriptionB	myVNetB

Erstellen eines virtuellen Netzwerks: myVNetA

Hinweis

Wenn Sie zum Ausführen der Schritte ein einzelnes Konto verwenden, können Sie die Schritte zum Abmelden beim Portal und zum Zuweisen anderer Benutzerberechtigungen zu den virtuellen Netzwerken überspringen.

Portal

1. Melden Sie sich als UserA beim Azure-Portal an.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie + Erstellen aus.

4. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie SubscriptionA aus.
   Ressourcengruppe	Wählen Sie Neu erstellen. Geben Sie unter Name den Namen myResourceGroupA ein. Wählen Sie OK aus.
   Instanzendetails
   Name	Geben Sie myVNetA ein.
   Region	Wählen Sie eine Region aus.

5. Klicken Sie auf Weiter: IP-Adressen.

6. Geben Sie unter IPv4-Adressraum den Adressraum 10.1.0.0/16 ein.

7. Wählen Sie + Subnetz hinzufügen aus.

8. Geben Sie die folgenden Informationen an:

   Einstellung	Wert
   Subnetzname	Geben Sie mySubnet ein.
   Subnetzadressbereich	Geben Sie 10.1.0.0/24 ein.

9. Wählen Sie Hinzufügen.

10. Klicken Sie auf Überprüfen + erstellen.

11. Klicken Sie auf Erstellen.

PowerShell

Anmelden bei SubscriptionA

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionA anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext in SubscriptionA.

Set-AzContext -Subscription SubscriptionA

Erstellen einer Ressourcengruppe: myResourceGroupA

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe:

$rsg = @{
    Name = 'myResourceGroupA'
    Location = 'westus3'
}
New-AzResourceGroup @rsg

Erstellen des virtuellen Netzwerks

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. In diesem Beispiel wird ein virtuelles Standardnetzwerk mit dem Namen myVNetA am Standort USA, Westen 3 erstellt:

$vnet = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
    Location = 'westus3'
    AddressPrefix = '10.1.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Hinzufügen eines Subnetzes

Azure stellt Ressourcen innerhalb eines virtuellen Netzwerks in einem Subnetz bereit, daher müssen Sie ein Subnetz erstellen. Erstellen Sie mit Add-AzVirtualNetworkSubnetConfig eine Subnetzkonfiguration mit der Bezeichnung default:

$subnet = @{
    Name = 'default'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.1.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Zuweisen eines Subnetzes zum virtuellen Netzwerk

Schreiben Sie mit Set-AzVirtualNetwork die Subnetzkonfiguration in das virtuelle Netzwerk. Dieser Befehl erstellt das Subnetz:

$virtualNetwork | Set-AzVirtualNetwork

Azure CLI

Anmelden bei SubscriptionA

Melden Sie sich mithilfe von az login bei SubscriptionA an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set in SubscriptionA.

az account set --subscription "SubscriptionA"

Erstellen einer Ressourcengruppe: myResourceGroupA

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

az group create \
    --name myResourceGroupA \
    --location westus3

Erstellen des virtuellen Netzwerks

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk und ein Subnetz. In diesem Beispiel wird ein virtuelles Standardnetzwerk mit dem Namen myVNetA am Standort USA, Westen 3 erstellt:

az network vnet create \
    --resource-group myResourceGroupA\
    --location westus3 \
    --name myVNetA \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name default \
    --subnet-prefixes 10.1.0.0/24

Zuweisen von Berechtigungen für UserB

Ein Benutzerkonto in dem anderen Abonnement, mit dem Sie ein Peering herstellen möchten, muss dem zuvor erstellten Netzwerk hinzugefügt werden. Wenn Sie ein einzelnes Konto für beide Abonnements verwenden, können Sie diesen Abschnitt überspringen.

Portal

1. Bleiben Sie beim Portal als UserA angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetA aus.

4. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

5. Wählen Sie + Hinzufügen>Rollenzuweisung hinzufügen aus.

6. Wählen Sie unter Rollenzuweisung hinzufügen auf der Registerkarte Rolle die Option Netzwerkmitwirkender aus.

7. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Mitglieder die Option + Mitglieder auswählen aus.

9. Geben Sie unter Mitglieder auswählen im Suchfeld UserB ein.

10. Wählen Sie Auswählen.

11. Wählen Sie Überprüfen und zuweisen aus.

12. Wählen Sie Überprüfen und zuweisen aus.

PowerShell

Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für myVNetA abzurufen. Weisen Sie UserB mithilfe von New-AzRoleAssignment von SubscriptionB zu myVNetA zu.

Verwenden Sie Get-AzADUser, um die Objekt-ID für UserB abzurufen.

In diesem Beispiel wird UserB für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus SubscriptionB, dem Sie Berechtigungen für myVNetA zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

$id = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'UserB'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure CLI

Verwenden Sie az network vnet show, um die Ressourcen-ID für myVNetA abzurufen. Weisen Sie UserB mithilfe von az role assignment create von SubscriptionB zu myVNetA zu.

Verwenden Sie az ad user list, um die Objekt-ID für UserB abzurufen.

In diesem Beispiel wird UserB für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus SubscriptionB, dem Sie Berechtigungen für myVNetA zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

az ad user list --display-name UserB

[
  {
    "businessPhones": [],
    "displayName": "UserB",
    "givenName": null,
    "id": "16d51293-ec4b-43b1-b54b-3422c108321a",
    "jobTitle": null,
    "mail": "userB@fabrikam.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "userb_fabrikam.com#EXT#@contoso.onmicrosoft.com"
  }
]

Notieren Sie sich die Objekt-ID von UserB im Feld ID. In diesem Beispiel lautet sie 16d51293-ec4b-43b1-b54b-3422c108321a.

vnetid=$(az network vnet show \
    --name myVNetA \
    --resource-group myResourceGroupA \
    --query id \
    --output tsv)

az role assignment create \
      --assignee 16d51293-ec4b-43b1-b54b-3422c108321a \
      --role "Network Contributor" \
      --scope $vnetid

Ersetzen Sie die Beispiel-GUID in --assignee durch die tatsächliche Objekt-ID für UserB.

Abrufen der Ressourcen-ID von myVNetA

Portal

1. Bleiben Sie beim Portal als UserA angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetA aus.

4. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

5. Kopieren Sie die Informationen im Feld Ressourcen-ID, und speichern Sie sie für die späteren Schritte. Die Ressourcen-ID Ausgabe sieht in etwa wie das folgende Beispiel aus: /subscriptions/<Subscription Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/virtualNetworks/myVnetA.

6. Melden Sie sich beim Portal als UserA ab.

PowerShell

Die Ressourcen-ID von myVNetA ist erforderlich, um die Peeringverbindung zwischen myVNetB und myVNetA einzurichten. Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für myVNetA abzurufen.

$id = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnetA = Get-AzVirtualNetwork @id

$vnetA.id

Azure CLI

Die Ressourcen-ID von myVNetA ist erforderlich, um die Peeringverbindung zwischen myVNetB und myVNetA einzurichten. Verwenden Sie az network vnet show, um die Ressourcen-ID für myVNetA abzurufen.

vnetidA=$(az network vnet show \
    --name myVNetA \
    --resource-group myResourceGroupA \
    --query id \
    --output tsv)

echo $vnetidA

Erstellen eines virtuellen Netzwerks: myVNetB

In diesem Abschnitt melden Sie sich als UserB an und erstellen ein virtuelles Netzwerk für die Peeringverbindung mit myVNetA.

Portal

1. Melden Sie sich beim Portal als UserB an. Wenn Sie ein Konto für beide Abonnements verwenden, wechseln Sie im Portal zu SubscriptionB.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie + Erstellen aus.

4. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

   Einstellung	Wert
   Projektdetails
   Subscription	Wählen Sie SubscriptionB aus.
   Ressourcengruppe	Wählen Sie Neu erstellen. Geben Sie unter Name den Namen myResourceGroup ein. Wählen Sie OK aus.
   Instanzendetails
   Name	Geben Sie myVNetB ein.
   Region	Wählen Sie eine Region aus.

5. Klicken Sie auf Weiter: IP-Adressen.

6. Geben Sie unter IPv4-Adressraum den Adressraum 10.2.0.0/16 ein.

7. Wählen Sie + Subnetz hinzufügen aus.

8. Geben Sie die folgenden Informationen an:

   Einstellung	Wert
   Subnetzname	Geben Sie mySubnet ein.
   Subnetzadressbereich	Geben Sie 10.2.0.0/24 ein.

9. Wählen Sie Hinzufügen.

10. Klicken Sie auf Überprüfen + erstellen.

11. Klicken Sie auf Erstellen.

PowerShell

Anmelden bei SubscriptionB

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionB anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext in SubscriptionB.

Set-AzContext -Subscription SubscriptionB

Erstellen einer Ressourcengruppe: myResourceGroupB

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit New-AzResourceGroup eine Ressourcengruppe:

$rsg = @{
    Name = 'myResourceGroupB'
    Location = 'westus3'
}
New-AzResourceGroup @rsg

Erstellen des virtuellen Netzwerks

Erstellen Sie mit New-AzVirtualNetwork ein virtuelles Netzwerk. In diesem Beispiel wird ein virtuelles Standardnetzwerk mit dem Namen myVNetB am Standort USA, Westen 3 erstellt:

$vnet = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
    Location = 'westus3'
    AddressPrefix = '10.2.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Hinzufügen eines Subnetzes

Azure stellt Ressourcen innerhalb eines virtuellen Netzwerks in einem Subnetz bereit, daher müssen Sie ein Subnetz erstellen. Erstellen Sie mit Add-AzVirtualNetworkSubnetConfig eine Subnetzkonfiguration mit der Bezeichnung default:

$subnet = @{
    Name = 'default'
    VirtualNetwork = $virtualNetwork
    AddressPrefix = '10.2.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet

Zuweisen eines Subnetzes zum virtuellen Netzwerk

Schreiben Sie mit Set-AzVirtualNetwork die Subnetzkonfiguration in das virtuelle Netzwerk. Dieser Befehl erstellt das Subnetz:

$virtualNetwork | Set-AzVirtualNetwork

Azure CLI

Anmelden bei SubscriptionB

Melden Sie sich mithilfe von az login bei SubscriptionA an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set in SubscriptionB.

az account set --subscription "SubscriptionB"

Erstellen einer Ressourcengruppe: myResourceGroupB

Eine Azure-Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden.

Erstellen Sie mit az group create eine Ressourcengruppe:

az group create \
    --name myResourceGroupB \
    --location westus3

Erstellen des virtuellen Netzwerks

Erstellen Sie mit az network vnet create ein virtuelles Netzwerk und ein Subnetz. In diesem Beispiel wird ein virtuelles Standardnetzwerk mit dem Namen myVNetB am Standort USA, Westen 3 erstellt:

az network vnet create \
    --resource-group myResourceGroupB\
    --location westus3 \
    --name myVNetB \
    --address-prefixes 10.2.0.0/16 \
    --subnet-name default \
    --subnet-prefixes 10.2.0.0/24

Zuweisen von Berechtigungen für UserA

Ein Benutzerkonto in dem anderen Abonnement, mit dem Sie ein Peering herstellen möchten, muss dem zuvor erstellten Netzwerk hinzugefügt werden. Wenn Sie ein einzelnes Konto für beide Abonnements verwenden, können Sie diesen Abschnitt überspringen.

Portal

1. Bleiben Sie beim Portal als UserB angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetB aus.

4. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

5. Wählen Sie + Hinzufügen>Rollenzuweisung hinzufügen aus.

6. Wählen Sie unter Rollenzuweisung hinzufügen auf der Registerkarte Rolle die Option Netzwerkmitwirkender aus.

7. Wählen Sie Weiter aus.

8. Wählen Sie auf der Registerkarte Mitglieder die Option + Mitglieder auswählen aus.

9. Geben Sie unter Mitglieder auswählen im Suchfeld UserA ein.

10. Wählen Sie Auswählen.

11. Wählen Sie Überprüfen und zuweisen aus.

12. Wählen Sie Überprüfen und zuweisen aus.

PowerShell

Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für myVNetA abzurufen. Weisen Sie UserA mithilfe von New-AzRoleAssignment von SubscriptionA zu myVNetB mit zu.

Verwenden Sie Get-AzADUser, um die Objekt-ID für UserA abzurufen.

In diesem Beispiel wird UserA für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus SubscriptionA, dem Sie Berechtigungen für myVNetB zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

$id = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnet = Get-AzVirtualNetwork @id

$obj = Get-AzADUser -DisplayName 'UserA'

$role = @{
    ObjectId = $obj.id
    RoleDefinitionName = 'Network Contributor'
    Scope = $vnet.id
}
New-AzRoleAssignment @role

Azure CLI

Verwenden Sie az network vnet show, um die Ressourcen-ID für myVNetB abzurufen. Weisen Sie UserA mithilfe von az role assignment create von SubscriptionA zu myVNetB zu.

Verwenden Sie az ad user list, um die Objekt-ID für UserA abzurufen.

In diesem Beispiel wird UserA für das Benutzerkonto verwendet. Ersetzen Sie diesen Wert durch den Anzeigenamen für den Benutzer aus SubscriptionA, dem Sie Berechtigungen für myVNetB zuweisen möchten. Sie können diesen Schritt überspringen, wenn Sie für beide Abonnements dasselbe Konto verwenden.

az ad user list --display-name UserA

[
  {
    "businessPhones": [],
    "displayName": "UserA",
    "givenName": null,
    "id": "ee0645cc-e439-4ffc-b956-79577e473969",
    "jobTitle": null,
    "mail": "userA@contoso.com",
    "mobilePhone": null,
    "officeLocation": null,
    "preferredLanguage": null,
    "surname": null,
    "userPrincipalName": "usera_contoso.com#EXT#@fabrikam.onmicrosoft.com"
  }
]

Notieren Sie sich die Objekt-ID von UserA im Feld ID. In diesem Beispiel lautet sie ee0645cc-e439-4ffc-b956-79577e473969.

vnetid=$(az network vnet show \
    --name myVNetB \
    --resource-group myResourceGroupB \
    --query id \
    --output tsv)

az role assignment create \
      --assignee ee0645cc-e439-4ffc-b956-79577e473969 \
      --role "Network Contributor" \
      --scope $vnetid

Abrufen der Ressourcen-ID von myVNetB

Die Ressourcen-ID von myVNetB ist erforderlich, um die Peeringverbindung zwischen myVNetA und myVNetB einzurichten. Gehen Sie wie folgt vor, um die Ressourcen-ID von myVNetB abzurufen.

Portal

1. Bleiben Sie beim Portal als UserB angemeldet.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetB aus.

4. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

5. Kopieren Sie die Informationen im Feld Ressourcen-ID, und speichern Sie sie für die späteren Schritte. Die Ressourcen-ID Ausgabe sieht in etwa wie das folgende Beispiel aus: /subscriptions/<Subscription Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/virtualNetworks/myVnetB.

6. Melden Sie sich beim Portal als UserB ab.

PowerShell

Die Ressourcen-ID von myVNetB ist erforderlich, um die Peeringverbindung zwischen myVNetA und myVNetB einzurichten. Verwenden Sie Get-AzVirtualNetwork, um die Ressourcen-ID für myVNetB abzurufen.

$id = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnetB = Get-AzVirtualNetwork @id

$vnetB.id

Azure CLI

Die Ressourcen-ID von myVNetB ist erforderlich, um die Peeringverbindung zwischen myVNetA und myVNetB einzurichten. Verwenden Sie az network vnet show, um die Ressourcen-ID für myVNetB abzurufen.

vnetidB=$(az network vnet show \
    --name myVNetB \
    --resource-group myResourceGroupB \
    --query id \
    --output tsv)

echo $vnetidB

Erstellen einer Peeringverbindung: von myVNetA mit myVNetB

Sie benötigen die Ressourcen-ID für myVNetB aus den vorherigen Schritten, um die Peeringverbindung einzurichten.

Portal

1. Melden Sie sich als UserA beim Azure-Portal an. Wenn Sie ein Konto für beide Abonnements verwenden, wechseln Sie im Portal zu SubscriptionA.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetA aus.

4. Wählen Sie Peerings aus.

5. Klicken Sie auf + Hinzufügen.

6. Geben Sie unter Peering hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Dieses virtuelle Netzwerk
   Name des Peeringlinks	Geben Sie myVNetAToMyVNetB ein.
   Datenverkehr zum virtuellen Remotenetzwerk	Übernehmen Sie den Standardwert Zulassen (Standard).
   Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr)	Übernehmen Sie den Standardwert Zulassen (Standard).
   Gateway oder Routenserver des virtuellen Netzwerks	Übernehmen Sie den Standardwert Ohne (Standard).
   Virtuelles Remotenetzwerk
   Name des Peeringlinks	Lassen Sie dieses Feld leer.
   Bereitstellungsmodell für das virtuelle Netzwerk	Wählen Sie Ressourcen-Manager aus.
   Aktivieren Sie das Kontrollkästchen Ich kenne meine Ressourcen-ID.
   Ressourcen-ID	Geben oder fügen Sie die Ressourcen-ID für myVNetB ein.

7. Wählen Sie im Pulldownfeld das Verzeichnis aus, das myVNetB und UserB entspricht.

8. Wählen Sie Authentifizieren aus.

9. Wählen Sie Hinzufügen.

10. Melden Sie sich beim Portal als UserA ab.

PowerShell

Anmelden bei SubscriptionA

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionA anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext in SubscriptionA.

Set-AzContext -Subscription SubscriptionA

Anmelden bei SubscriptionB

Authentifizieren Sie sich bei SubscriptionB, damit das Peering eingerichtet werden kann.

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionB anzumelden.

Connect-AzAccount

Wechseln zu SubscriptionA (optional)

Möglicherweise müssen Sie zurück zu SubscriptionA wechseln, um mit den Aktionen in SubscriptionA fortzufahren.

Ändern Sie den Kontext in SubscriptionA.

Set-AzContext -Subscription SubscriptionA

Erstellen einer Peeringverbindung

Verwenden Sie Add-AzVirtualNetworkPeering, um eine Peeringverbindung zwischen myVNetA und myVNetB zu erstellen.

$netA = @{
    Name = 'myVNetA'
    ResourceGroupName = 'myResourceGroupA'
}
$vnetA = Get-AzVirtualNetwork @netA

$peer = @{
    Name = 'myVNetAToMyVNetB'
    VirtualNetwork = $vnetA
    RemoteVirtualNetworkId = '/subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/virtualNetworks/myVnetB'
}
Add-AzVirtualNetworkPeering @peer

Verwenden Sie Get-AzVirtualNetworkPeering, um den Status der Peeringverbindungen zwischen myVNetA und myVNetB abzurufen.

$status = @{
    ResourceGroupName =  'myResourceGroupA'
    VirtualNetworkName = 'myVNetA'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
myVNetA            Initiated

Azure CLI

Anmelden bei SubscriptionA

Melden Sie sich mithilfe von az login bei SubscriptionA an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set in SubscriptionA.

az account set --subscription "SubscriptionA"

Anmelden bei SubscriptionB

Authentifizieren Sie sich bei SubscriptionB, damit das Peering eingerichtet werden kann.

Melden Sie sich mithilfe von az login bei SubscriptionB an.

az login

Wechseln zu SubscriptionA (optional)

Möglicherweise müssen Sie zurück zu SubscriptionA wechseln, um mit den Aktionen in SubscriptionA fortzufahren.

Ändern Sie den Kontext in SubscriptionA.

az account set --subscription "SubscriptionA"

Erstellen einer Peeringverbindung

Verwenden Sie az network vnet peering create, um eine Peeringverbindung zwischen myVNetA und myVNetB zu erstellen.

az network vnet peering create \
    --name myVNetAToMyVNetB \
    --resource-group myResourceGroupA \
    --vnet-name myVNetA \
    --remote-vnet /subscriptions/<SubscriptionB-Id>/resourceGroups/myResourceGroupB/providers/Microsoft.Network/VirtualNetworks/myVNetB \
    --allow-vnet-access

Verwenden Sie az network vnet peering list, um den Status der Peeringverbindungen zwischen myVNetA und myVNetB abzurufen.

az network vnet peering list \
    --resource-group myResourceGroupA \
    --vnet-name myVNetA \
    --output table

Die Peeringverbindung wird unter Peerings mit dem Status Initiiert angezeigt. Um das Peering abzuschließen, muss eine entsprechende Verbindung in myVNetB eingerichtet werden.

Erstellen einer Peeringverbindung: von myVNetB mit myVNetA

Sie benötigen die Ressourcen-IDs für myVNetA aus den vorherigen Schritten, um die Peeringverbindung einzurichten.

Portal

1. Melden Sie sich als UserB beim Azure-Portal an. Wenn Sie ein Konto für beide Abonnements verwenden, wechseln Sie im Portal zu SubscriptionB.

2. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtuelles Netzwerk ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.

3. Wählen Sie myVNetB aus.

4. Wählen Sie Peerings aus.

5. Klicken Sie auf + Hinzufügen.

6. Geben Sie unter Peering hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Dieses virtuelle Netzwerk
   Name des Peeringlinks	Geben Sie myVNetBToMyVNetA ein.
   Datenverkehr zum virtuellen Remotenetzwerk	Übernehmen Sie den Standardwert Zulassen (Standard).
   Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr)	Übernehmen Sie den Standardwert Zulassen (Standard).
   Gateway oder Routenserver des virtuellen Netzwerks	Übernehmen Sie den Standardwert Ohne (Standard).
   Virtuelles Remotenetzwerk
   Name des Peeringlinks	Lassen Sie dieses Feld leer.
   Bereitstellungsmodell für das virtuelle Netzwerk	Wählen Sie Ressourcen-Manager aus.
   Aktivieren Sie das Kontrollkästchen Ich kenne meine Ressourcen-ID.
   Ressourcen-ID	Geben oder fügen Sie die Ressourcen-ID für myVNetA ein.

7. Wählen Sie im Pulldownfeld das Verzeichnis aus, das myVNetA und UserA entspricht.

8. Wählen Sie Authentifizieren aus.

9. Wählen Sie Hinzufügen.

PowerShell

Anmelden bei SubscriptionB

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionB anzumelden.

Connect-AzAccount

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit Set-AzContext in SubscriptionB.

Set-AzContext -Subscription SubscriptionB

Anmelden bei SubscriptionA

Authentifizieren Sie sich bei SubscriptionA, damit das Peering eingerichtet werden kann.

Verwenden Sie Connect-AzAccount, um sich bei SubscriptionA anzumelden.

Connect-AzAccount

Wechseln zu SubscriptionB (optional)

Möglicherweise müssen Sie zurück zu SubscriptionB wechseln, um mit den Aktionen in SubscriptionB fortzufahren.

Ändern Sie den Kontext in SubscriptionB.

Set-AzContext -Subscription SubscriptionB

Erstellen einer Peeringverbindung

Verwenden Sie Add-AzVirtualNetworkPeering, um eine Peeringverbindung zwischen myVNetB und myVNetA zu erstellen.

$netB = @{
    Name = 'myVNetB'
    ResourceGroupName = 'myResourceGroupB'
}
$vnetB = Get-AzVirtualNetwork @netB

$peer = @{
    Name = 'myVNetBToMyVNetA'
    VirtualNetwork = $vnetB
    RemoteVirtualNetworkId = '/subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/virtualNetworks/myVNetA'
}
Add-AzVirtualNetworkPeering @peer

Verwenden Sie Get-AzVirtualNetworkPeering, um den Status der Peeringverbindungen zwischen myVNetB und myVNetA abzurufen.

$status = @{
    ResourceGroupName =  'myResourceGroupB'
    VirtualNetworkName = 'myVNetB'
}
Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

PS /home/azureuser> Get-AzVirtualNetworkPeering @status | Format-Table VirtualNetworkName, PeeringState

VirtualNetworkName PeeringState
------------------ ------------
myVNetB            Connected

Azure CLI

Anmelden bei SubscriptionB

Melden Sie sich mithilfe von az login bei SubscriptionB an.

az login

Wenn Sie ein Konto für beide Abonnements verwenden, melden Sie sich bei diesem Konto an, und ändern Sie den Abonnementkontext mit az account set in SubscriptionB.

az account set --subscription "SubscriptionB"

Anmelden bei SubscriptionA

Authentifizieren Sie sich bei SubscriptionA, damit das Peering eingerichtet werden kann.

Melden Sie sich mithilfe von az login bei SubscriptionA an.

az login

Wechseln zu SubscriptionB (optional)

Möglicherweise müssen Sie zurück zu SubscriptionB wechseln, um mit den Aktionen in SubscriptionB fortzufahren.

Ändern Sie den Kontext in SubscriptionB.

az account set --subscription "SubscriptionB"

Erstellen einer Peeringverbindung

Verwenden Sie az network vnet peering create, um eine Peeringverbindung zwischen myVNetB und myVNetA zu erstellen.

az network vnet peering create \
    --name myVNetBToMyVNetA \
    --resource-group myResourceGroupB \
    --vnet-name myVNetB \
    --remote-vnet /subscriptions/<SubscriptionA-Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/VirtualNetworks/myVNetA \
    --allow-vnet-access

Verwenden Sie az network vnet peering list, um den Status der Peeringverbindungen zwischen myVNetB und myVNetA abzurufen.

az network vnet peering list \
    --resource-group myResourceGroupB \
    --vnet-name myVNetB \
    --output table

Wenn in der Spalte Peeringstatus für beide virtuellen Netzwerke der Status Verbunden angezeigt wird, wurde das Peering erfolgreich erstellt. Alle Azure-Ressourcen, die Sie in einem der virtuellen Netzwerke erstellen, sind in der Lage, miteinander über ihre IP-Adressen zu kommunizieren. Wenn Sie die standardmäßige Azure-Namensauflösung für virtuelle Netzwerke verwenden, können die Ressourcen in den virtuellen Netzwerken Namen nicht netzwerkübergreifend auflösen. Wenn Sie Namen netzwerkübergreifend in einem Peering auflösen möchten, müssen Sie einen eigenen DNS-Server erstellen oder Azure DNS verwenden.

Weitere Informationen zur Verwendung Ihres eigenen DNS für die Namensauflösung finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.

Weitere Informationen zu Azure DNS finden Sie unter Was ist Azure DNS?.

Nächste Schritte

• Machen Sie sich eingehend mit den wichtigen Einschränkungen und Verhalten eines Peerings in virtuellen Netzwerken vertraut, bevor Sie ein Peering in virtuellen Netzwerken für die Produktion erstellen.

• Erfahren Sie alles über Peering-Einstellungen in virtuellen Netzwerken.

• Erfahren Sie, wie Sie eine Hub-Spoke-Netzwerktopologie mit einem Peering in virtuellen Netzwerken erstellen.