Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Azure Virtual Network Peering erstellen, ändern oder löschen. Virtuelle Netzwerk-Peering verbindet virtuelle Netzwerke über Regionen hinweg mithilfe des Azure-Backbone-Netzwerks. Weitere Informationen finden Sie in der Übersicht über das virtuelle Netzwerk-Peering oder das Lernprogramm für virtuelle Netzwerk-Peering.
Voraussetzungen
Falls Sie über kein Azure-Konto mit einem aktiven Abonnement verfügen, können Sie ein kostenloses Konto erstellen. Führen Sie eine dieser Aufgaben aus, bevor Sie mit dem Rest dieses Artikels starten:
Melden Sie sich beim Azure-Portal mit einem Azure-Konto an, das über die erforderlichen Berechtigungen für das Arbeiten mit Peerings verfügt.
Erstellen eines Peerings in virtuellen Netzwerken
Informieren Sie sich vor der Erstellung eines Peerings über die Anforderungen und Einschränkungen sowie die erforderlichen Berechtigungen.
Geben Sie im Suchfeld oben im Azure-Portal den Suchbegriff Virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.
Wählen Sie unter Virtuelle Netzwerke das Netzwerk aus, für das Sie ein Peering erstellen möchten.
Wählen Sie unter Einstellungen die Option Peerings aus.
Klicken Sie auf + Hinzufügen.
Geben Sie Werte für folgende Einstellungen ein, oder wählen Sie sie aus, und wählen Sie dann Hinzufügen aus.
Einstellungen Beschreibung Zusammenfassung zu virtuellen Remotenetzwerken Name des Peeringlinks Der Name des Peerings aus dem lokalen virtuellen Netzwerk. Der Name muss innerhalb des virtuellen Netzwerks eindeutig sein. Bereitstellungsmodell für das virtuelle Netzwerk Wählen Sie aus, über welches Bereitstellungsmodell das mittels Peering verknüpfte virtuelle Netzwerk bereitgestellt wurde. Ich kenne meine Ressourcen-ID Wenn Sie Lesezugriff auf das virtuelle Netzwerk haben, das mittels Peering verknüpft werden sollen, lassen Sie dieses Kontrollkästchen deaktiviert. Wenn Sie keinen Lesezugriff auf das virtuelle Netzwerk oder das Abonnement haben, das mittels Peering verknüpft werden soll, aktivieren Sie dieses Kontrollkästchen. Ressourcen-ID Dieses Feld wird angezeigt, wenn Sie das Kontrollkästchen Ich kenne meine Ressourcen-ID aktivieren. Die von Ihnen eingegebene Ressourcen-ID muss für ein virtuelles Netzwerk bestimmt sein, das sich in der gleichen Azure-Region wie dieses virtuelle Netzwerk oder in einer anderen unterstützten Region befindet.
Die vollständige Ressourcen-ID sieht ähnlich aus wie/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
.
Sie können die Ressourcen-ID für ein virtuelles Netzwerk abrufen, indem Sie die Eigenschaften eines virtuellen Netzwerks anzeigen. Informationen zum Anzeigen der Eigenschaften eines virtuellen Netzwerks finden Sie im Artikel Verwalten virtueller Netzwerke. Benutzerberechtigungen müssen zugewiesen werden, wenn das Abonnement einem anderen Microsoft Entra-Mandanten zugeordnet ist als das Abonnement mit dem virtuellen Netzwerk, mit dem das Peering erstellt wird. Fügen Sie eine*n Benutzer*in aus jedem Mandanten als Gastbenutzer*in im jeweils anderen Mandanten hinzu.Abonnement Wählen Sie das Abonnement des virtuellen Netzwerks aus, das mittels Peering verknüpft werden soll. Je nachdem, auf wie viele Abonnements Ihr Konto über Lesezugriff verfügt, werden ein oder mehrere Abonnements aufgeführt. Virtuelles Netzwerk Wählen Sie das Remote-VNet aus. Einstellungen für das Peering virtueller Remotenetzwerke Zulassen, dass das virtuelle Netzwerk mit Peering auf „vnet-1“ zugreift Standardmäßig ist diese Option ausgewählt.
- Wählen Sie diese Option aus, um Datenverkehr aus dem virtuellen Peernetzwerk zu "vnet-1" zuzulassen. Diese Einstellung ermöglicht die Kommunikation innerhalb der Hub-and-Spoke-Netzwerktopologie und erlaubt einer VM im virtuellen Peernetzwerk die Kommunikation mit einer VM im virtuellen Netzwerk 'vnet-1'. Das Diensttag VirtualNetwork für Netzwerksicherheitsgruppen umfasst das virtuelle Netzwerk und das mittels Peering verknüpfte virtuelle Netzwerk, sofern diese Einstellung ausgewählt ist. Weitere Informationen zu Diensttags finden Sie unter Azure-Diensttags.Zulassen, dass das virtuelle Netzwerk mit Peering weitergeleiteten Datenverkehr von „vnet-1“ empfangen kann Diese Option ist standardmäßig nicht ausgewählt.
– Wenn Sie diese Option aktivieren, kann das virtuelle Peernetzwerk Datenverkehr von virtuellen Netzwerken empfangen, die mit "vnet-1" verknüpft sind. Wenn z. B. vnet-2 über ein NVA verfügt, das Datenverkehr von außerhalb von vnet-2 empfängt, der an vnet-1 weitergeleitet wird, können Sie diese Einstellung auswählen, damit dieser Datenverkehr vnet-1 über vnet-2 erreichen kann. Durch die Aktivierung dieser Funktion wird zwar die Weiterleitung des Datenverkehrs mittels Peering ermöglicht, es werden jedoch keine benutzerdefinierten Routen oder virtuellen Netzwerkgeräte erstellt. Benutzerdefinierte Routen und virtuelle Netzwerkgeräte werden separat erstellt.Zulassen, dass ein Gateway oder Routenserver im virtuellen Netzwerk mit Peering Datenverkehr an „vnet-1“ weiterleitet Diese Option ist nicht standardmäßig aktiviert.
– Durch Aktivieren dieser Einstellung kann "vnet-1" Datenverkehr vom Gateway oder Routingserver des peered virtual networks empfangen. Damit diese Option aktiviert werden kann, muss das virtuelle Netzwerk mit Peering ein Gateway oder einen Routenserver enthalten.Ermöglichen, dass das virtuelle Netzwerk mit Peering das Remotegateway oder den Routenserver von „vnet-1“ verwendet Diese Option ist standardmäßig nicht ausgewählt.
– Diese Option kann nur aktiviert werden, wenn 'vnet-1' über ein Remotegateway oder einen Routenserver verfügt, und 'vnet-1' ermöglicht "Gateway in 'vnet-1' das Weiterleiten des Datenverkehrs an das virtuelle Peer-Netzwerk zulassen". Diese Option kann nur in einem der Peerings von peered virtual networks aktiviert werden.
Sie können diese Option auch auswählen, wenn dieses virtuelle Netzwerk den Remoteroutenserver zum Austauschen von Routen verwenden soll, siehe Azure Route Server.
HINWEIS:Sie können Keine Remotegateways verwenden, wenn Sie bereits ein Gateway in Ihrem virtuellen Netzwerk konfiguriert haben. Weitere Informationen zur Verwendung eines Gateways für die Übertragung finden Sie unter Konfigurieren eines VPN-Gateways für die Übertragung in einem virtuellen Netzwerkpeering.Lokales virtuelles Netzwerk: Zusammenfassung Name des Peeringlinks Der Name des Peerings im virtuellen Remotenetzwerk. Der Name muss innerhalb des virtuellen Netzwerks eindeutig sein. Einstellungen für das Peering lokaler virtueller Netzwerke Zulassen, dass „vnet-1“ auf das virtuelle Netzwerk mit Peering zugreift Standardmäßig ist diese Option ausgewählt.
- Wählen Sie diese Option aus, um Datenverkehr aus „vnet-1“ zum virtuellen Netzwerk mit Peering zuzulassen. Diese Einstellung ermöglicht die Kommunikation zwischen Hub und Spoke in einer Hub-Spoke-Netzwerktopologie und die Kommunikation einer VM in „vnet-1“ mit einer VM im virtuellen Netzwerk mit Peering.Zulassen, dass „vnet-1“ weitergeleiteten Datenverkehr vom virtuellen Netzwerk mit Peering empfangen kann Diese Option ist standardmäßig nicht ausgewählt.
– Durch Aktivieren dieser Option kann "vnet-1" Datenverkehr von virtuellen Netzwerken empfangen, die mit dem virtuellen Peernetzwerk verknüpft sind. Wenn z. B. vnet-2 über einen NVA verfügt, der Datenverkehr von außerhalb von vnet-2 empfängt, der an vnet-1 weitergeleitet wird, können Sie diese Einstellung auswählen, damit dieser Datenverkehr vnet-1 von aus vnet-2 erreichen kann. Durch die Aktivierung dieser Funktion wird zwar die Weiterleitung des Datenverkehrs mittels Peering ermöglicht, es werden jedoch keine benutzerdefinierten Routen oder virtuellen Netzwerkgeräte erstellt. Benutzerdefinierte Routen und virtuelle Netzwerkgeräte werden separat erstellt.Zulassen, dass ein Gateway oder Routenserver in „vnet-1“ Datenverkehr an das virtuelle Netzwerk mit Peering weiterleitet Diese Option ist nicht standardmäßig aktiviert.
– Wenn Sie diese Einstellung aktivieren, kann das virtuelle Peernetzwerk Datenverkehr vom Gateway oder Routenserver "vnet-1" empfangen. „vnet-1“ muss ein Gateway oder einen Routenserver enthalten, damit diese Option aktiviert werden kann.Ermöglichen, dass „vnet-1“ das Remotegateway oder den Routenserver des virtuellen Netzwerks mit Peering verwendet Diese Option wird standardmäßig nicht ausgewählt.
– Diese Option kann nur aktiviert werden, wenn das verbundene virtuelle Netzwerk über ein Remotegateway oder einen Routingserver verfügt und das verbundene virtuelle Netzwerk die Option „Erlaube dem Gateway im verbundenen virtuellen Netzwerk, Traffic an 'vnet-1' weiterzuleiten“ aktiviert. Diese Option kann nur in einem der 'vnet-1'-Peerings aktiviert werden.
Hinweis
Wenn Sie ein VNet-Gateway verwenden, um lokalen Datenverkehr transitiv an ein Peer-VNet zu senden, muss der IP-Adressbereich des Peer-VNets für das lokale VPN-Gerät auf „interessanten“ Datenverkehr festgelegt werden. Möglicherweise müssen Sie alle CIDR-Adressen des virtuellen Azure-Netzwerks zur Konfiguration des Site-2-Site-IPsec-VPN-Tunnels auf dem lokalen VPN-Gerät hinzufügen. CIDR-Adressen umfassen Ressourcen wie Hub, Spokes und Point-to-Site-IP-Adresspools. Andernfalls können Ihre lokalen Ressourcen nicht mit Ressourcen im virtuellen Peernetzwerk kommunizieren. Der relevante Datenverkehr wird über Sicherheitszuordnungen der Phase 2 kommuniziert. Die Sicherheitszuordnung erstellt einen dedizierten VPN-Tunnel für jedes angegebene Subnetz. Die lokale VPN-Gatewayebene und die Azure VPN-Gatewayebene müssen dieselbe Anzahl von Site-2-Site-VPN-Tunneln und Azure virtuelle Netzwerksubnetze unterstützen. Andernfalls können Ihre lokalen Ressourcen nicht mit Ressourcen im virtuellen Peernetzwerk kommunizieren. Anweisungen zum Erstellen von Phase 2-Sicherheitszuordnungen für jedes angegebene virtuelle Azure-Netzwerk-Subnetz finden Sie in der lokalen VPN-Dokumentation.
- Wählen Sie nach einigen Sekunden die Schaltfläche Aktualisieren aus, und der Peeringstatus ändert sich von Wird aktualisiert in Verbunden.
Ausführliche Anweisungen zum Implementieren von Peerings zwischen virtuellen Netzwerken in verschiedenen Abonnements und Bereitstellungsmodellen finden Sie unter Nächste Schritte.
Anzeigen oder Ändern von Peeringeinstellungen
Informieren Sie sich vor der Änderung eines Peerings über die Anforderungen und Einschränkungen sowie die erforderlichen Berechtigungen.
Geben Sie im Suchfeld oben im Azure-Portal den Suchbegriff Virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.
Wählen Sie unter Virtuelle Netzwerke das virtuelle Netzwerk aus, für das Sie die Peeringeinstellungen anzeigen oder ändern möchten.
Wählen Sie unter Einstellungen die Option Peerings und dann das Peering aus, für das Sie Einstellungen anzeigen oder ändern möchten.
Ändern Sie die entsprechende Einstellung. Lesen Sie die Informationen zu den Optionen für jede Einstellung in Schritt 4 von „Erstellen eines Peerings“. Wählen Sie anschließend Speichern aus, um die Konfigurationsänderungen abzuschließen.
Löschen eines Peerings
Informieren Sie sich vor dem Löschen eines Peerings über die Anforderungen und Einschränkungen sowie die erforderlichen Berechtigungen.
Wenn ein Peering zwischen zwei virtuellen Netzwerken gelöscht wird, kann der Datenverkehr nicht mehr zwischen den virtuellen Netzwerken erfolgen. Wenn Sie möchten, dass virtuelle Netzwerke gelegentlich, jedoch nicht immer kommunizieren, können Sie, statt ein Peering zu löschen, die Einstellung Datenverkehr zum virtuellen Remotenetzwerk zulassen deaktivieren, um den Datenverkehr zum virtuellen Remotenetzwerk zu blockieren. Möglicherweise finden Sie es einfacher, den Netzwerkzugriff zu deaktivieren und wieder zu aktivieren, als Peerings zu löschen und neu zu erstellen.
Geben Sie im Suchfeld oben im Azure-Portal den Suchbegriff Virtuelle Netzwerke ein. Wählen Sie in den Suchergebnissen Virtuelle Netzwerke aus.
Wählen Sie unter Virtuelle Netzwerke das virtuelle Netzwerk aus, für das Sie die Peeringeinstellungen anzeigen oder ändern möchten.
Wählen Sie unter Einstellungen die Option Peerings aus.
Wählen Sie die Box neben dem Peering, das Sie löschen möchten aus, und wählen Sie dann Löschen aus.
Geben Sie in Peerings löschen im Bestätigungsfeld Löschen ein, und wählen Sie dann Löschen aus.
Hinweis
Wenn Sie ein virtuelles Netzwerk-Peering aus einem virtuellen Netzwerk löschen, wird auch das Peering aus dem virtuellen Remotenetzwerk gelöscht.
Wählen Sie Löschen aus, um den Löschvorgang in Löschvorgang bestätigen zu bestätigen.
Anforderungen und Einschränkungen
Sie können virtuelle Netzwerke in derselben Region oder in verschiedenen Regionen per Peering verknüpfen. Das Peering virtueller Netzwerke in unterschiedlichen Regionen wird auch als globales VNet-Peering bezeichnet.
Wenn Sie ein globales Peering erstellen, können die peered virtual networks in jeder öffentlichen Azure-Cloudregion, China-Cloudregion oder in der Government-Cloudregion vorhanden sein. Sie können jedoch keine virtuellen Netzwerke über verschiedene Clouds hinweg verbinden. Beispielsweise kann ein virtuelles Netzwerk in der öffentlichen Azure-Cloud keine Verbindung mit einem virtuellen Netzwerk in Microsoft Azure herstellen, das von der 21Vianet-Cloud betrieben wird.
Sie können ein virtuelles Netzwerk nicht verschieben, während es Teil eines Peerings ist. Um ein virtuelles Netzwerk in eine andere Ressourcengruppe oder ein anderes Abonnement zu verschieben, löschen Sie zuerst das Peering, verschieben Sie dann das virtuelle Netzwerk, und erstellen Sie schließlich das Peering neu.
Ressourcen in einem virtuellen Netzwerk können nicht mit der Front-End-IP-Adresse einer (internen oder öffentlichen) Load Balancer-Instanz im Tarif „Basic“ in einem per globalem Peering verbundenen virtuellen Netzwerk kommunizieren. Unterstützung für Load Balancer im Tarif „Basic“ besteht nur innerhalb derselben Region. Unterstützung für Load Balancer im Tarif „Standard“ besteht sowohl für Peering virtueller Netzwerke als auch für globales Peering virtueller Netzwerke. Einige Dienste, die eine Load Balancer-Instanz im Tarif „Basic“ verwenden, funktionieren nicht über globales Peering virtueller Netzwerke. Weitere Informationen finden Sie unter Welche Einschränkungen gibt es im Zusammenhang mit globalem Peering virtueller Netzwerke und Lastenausgleichsmodulen?
Sie können Remotegateways verwenden oder Gatewaytransit in virtuellen Netzwerken mit globalem Peering und in virtuellen Netzwerken mit lokalem Peering zulassen.
Die virtuellen Netzwerke können sich im gleichen Abonnement oder in verschiedenen Abonnements befinden. Wenn Sie eine Peerverbindung zwischen virtuellen Netzwerken in verschiedenen Abonnements herstellen, können beide Abonnements demselben oder einem anderen Microsoft Entra-Mandanten zugeordnet sein. Wenn Sie noch keinen AD-Mandanten besitzen, erstellen Sie einen.
Die mittels Peering verknüpften virtuellen Netzwerke dürfen keine sich überschneidenden IP-Adressräume verwenden.
Wenn zwei virtuelle Netzwerke, die mit dem Resource Manager erstellt wurden, mittels Peering miteinander verknüpft werden, muss für jedes im Peering enthaltene virtuelle Netzwerk ein Peering konfiguriert werden. Für den Peeringstatus wird einer der folgenden Typen angezeigt:
Initiiert: Wenn Sie das erste Peering erstellen, ist sein Status Initiiert.
Verbunden: Wenn Sie das zweite Peering erstellen, lautet der Peeringstatus für beide Peerings Verbunden. Das Peering wird erst erfolgreich erstellt, wenn der Peeringstatus für beide Peerings virtueller Netzwerke Verbunden lautet.
Ein Peering wird zwischen zwei virtuellen Netzwerken eingerichtet. Peerings an sich sind nicht transitiv. Wenn Sie Peerings zwischen Folgendem erstellen:
VirtualNetwork1 und VirtualNetwork2
VirtualNetwork2 und VirtualNetwork3
Es besteht keine Konnektivität zwischen VirtualNetwork1 und VirtualNetwork3 über VirtualNetwork2. Wenn Sie möchten, dass VirtualNetwork1 und VirtualNetwork3 direkt miteinander kommunizieren, müssen Sie ein explizites Peering zwischen VirtualNetwork1 und VirtualNetwork3 erstellen oder ein virtuelles Netzwerkgerät im Hub-Netzwerk verwenden. Weitere Informationen finden Sie unter Hub-Spoke-Netzwerktopologie in Azure.
Über die standardmäßige Azure-Namensauflösung können keine Namen in virtuellen Netzwerken aufgelöst werden, die mittels Peering verbunden sind. Um Namen in anderen virtuellen Netzwerken aufzulösen, müssen Sie Privates Azure-DNS oder einen benutzerdefinierten DNS-Server verwenden. Weitere Informationen zum Einrichten Ihres DNS-Servers finden Sie unter Namensauflösung mithilfe eines eigenen DNS-Servers.
Ressourcen in über Peering verbundenen virtuellen Netzwerken in derselben Region können mit derselben Latenz miteinander kommunizieren, als ob sie sich im selben virtuellen Netzwerk befinden würden. Der Netzwerkdurchsatz basiert auf der für den virtuellen Computer zulässigen Bandbreite, proportional zu seiner Größe. Beim Peering bestehen keine zusätzlichen Bandbreiteneinschränkungen. Jede VM-Größe weist eine eigene maximale Netzwerkbandbreite auf. Weitere Informationen zur Bandbreitenobergrenze für verschiedene VM-Größen finden Sie unter VM-Größen in Azure.
Ein virtuelles Netzwerk kann mittels Peering mit einem anderen virtuellen Netzwerk verbunden werden; dies gilt auch für ein anderes virtuelles Netzwerk mit einem virtuellen Gateway für virtuelle Azure-Netzwerke. Wenn die virtuellen Netzwerke sowohl mittels Peering als auch mithilfe eines Gateways verbunden sind, wird der Datenverkehr zwischen den virtuellen Netzwerken über die Peeringkonfiguration statt über das Gateway geleitet.
Point-to-Site-VPN-Clients müssen erneut heruntergeladen werden, nachdem virtual network peering erfolgreich konfiguriert wurde, um sicherzustellen, dass die neuen Routen auf den Client heruntergeladen werden.
Für ein- und ausgehenden Datenverkehr, der VNet-Peering verwendet, fällt eine Gebühr an. Weitere Informationen hierzu finden Sie in der Preisübersicht.
Anwendungsgateways, für die keine Netzwerkisolation aktiviert ist, erlauben nicht den Datenverkehr zwischen verbundenen VNETs, wenn Zulassen von Datenverkehr zu einem entfernten virtuellen Netzwerk deaktiviert ist.
Berechtigungen
Die Konten, die Sie für die Arbeit mit virtuellem Netzwerk-Peering verwenden, müssen der folgenden Rolle zugewiesen werden:
Wenn Ihr Konto der vorherigen Rolle nicht zugewiesen ist, muss es einer benutzerdefinierten Rolle zugewiesen werden, der die erforderlichen Aktionen aus der folgenden Tabelle zugewiesen ist:
Aktion | Name |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Erforderlich zum Erstellen eines Peerings aus dem virtuellen Netzwerk A zu einem virtuellen Netzwerk B. |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Lesen eines Peerings in virtuellen Netzwerken |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Löschen eines Peerings in virtuellen Netzwerken |
Von Bedeutung
Dem Remote-VNet müssen die Rolle Netzwerkmitwirkender oder benutzerdefinierte Rollen mit Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read und Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete zugewiesen werden, um das Peering mit dem Remote-VNet aufzuheben.
Nächste Schritte
Ein virtuelles Netzwerk-Peering kann zwischen virtuellen Netzwerken erstellt werden, die in demselben oder anderen Abonnements vorhanden sind. Arbeiten Sie ein Tutorial für eines der folgenden Szenarien durch:
Azure-Bereitstellungsmodell Abonnement Ressourcen-Manager Gleich Unterschiedlich Erfahren Sie, wie Sie eine Hub-Spoke-Netzwerktopologie erstellen.
Erstellen eines Peering virtueller Netzwerke mithilfe von PowerShell- oder Azure CLI-Beispielskripts oder mithilfe von Azure Resource Manager-Vorlagen
Erstellen und Zuweisen von Azure Policy-Definitionen für virtuelle Netzwerke