Peering in virtuellen Netzwerken

  • Artikel

Durch das Peering virtueller Netzwerke können mehrere virtuelle Netzwerke nahtlos mit Azure verbunden werden. Die virtuellen Netzwerke werden für Verbindungszwecke als einzelnes Element angezeigt. Der Datenverkehr zwischen virtuellen Computern in virtuellen Netzwerken mit Peering erfolgt über die Microsoft-Backboneinfrastruktur. Wie der Datenverkehr zwischen virtuellen Computern im selben Netzwerk wird auch der Datenverkehr nur über das private Netzwerk von Microsoft geleitet.

Azure unterstützt die folgenden Arten von Peering:

  • Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken in derselben Azure-Region.

  • Globales Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken über Azure-Regionen hinweg.

Die Verwendung von VNET-Peering (lokal oder global) bietet unter anderem folgende Vorteile:

  • Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken

  • Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.

  • Die Möglichkeit, Daten zwischen virtuellen Netzwerken über Azure-Abonnements, Microsoft Entra-Mandanten, Bereitstellungsmodelle und Azure-Regionen hinweg zu übertragen.

  • Die Möglichkeit zum Peering virtueller Netzwerke, die über Azure Resource Manager erstellt wurden.

  • Die Möglichkeit zum Peering eines über Resource Manager erstellten virtuellen Netzwerks mit einem über das klassische Bereitstellungsmodell erstellten virtuellen Netzwerks. Weitere Informationen zu den Azure-Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.

  • Keine Ausfallzeiten für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings oder nachdem das Peering erstellt wurde

Netzwerkdatenverkehr zwischen virtuellen Netzwerken, die mittels Peering verknüpft sind, ist privat. Datenverkehr zwischen den virtuellen Netzwerken bleibt innerhalb des Microsoft-Backbone-Netzwerks. Die Kommunikation zwischen den virtuellen Netzwerken kommt ganz ohne öffentliches Internet, Gateways oder Verschlüsselung aus.

Konnektivität

Für virtuelle Netzwerke mit Peering kann für Ressourcen in einem der virtuellen Netzwerke eine direkte Verbindung mit den Ressourcen im virtuellen Peernetzwerk hergestellt werden.

Die Netzwerklatenz zwischen virtuellen Computern in per Peering verknüpften virtuellen Netzwerken in der gleichen Region entspricht der Netzwerklatenz in einem einzelnen virtuellen Netzwerk. Der Netzwerkdurchsatz basiert auf der Bandbreite, die für den virtuellen Computer proportional zu seiner Größe zulässig ist. Beim Peering bestehen keine zusätzlichen Bandbreiteneinschränkungen.

Der Datenverkehr zwischen virtuellen Computern in mittels Peering verknüpften virtuellen Netzwerken wird nicht über ein Gateway oder das öffentliche Internet, sondern direkt über die Microsoft-Backbone-Infrastruktur geleitet.

Sie können Netzwerksicherheitsgruppen in beiden virtuellen Netzwerken anwenden, um den Zugriff auf andere virtuelle Netzwerke oder Subnetze zu blockieren. Wenn Sie Peering virtueller Netzwerke konfigurieren, können Sie die Regeln für Netzwerksicherheitsgruppen zwischen den virtuellen Netzwerken öffnen oder schließen. Wenn Sie sich für das Öffnen der vollständigen Konnektivität zwischen den mittels Peering verknüpften virtuellen Netzwerken entscheiden, können Sie Netzwerksicherheitsgruppen verwenden, um den spezifischen Zugriff jeweils zu blockieren oder zu verweigern. „Vollständige Konnektivität“ ist die Standardoption. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Sicherheitsgruppen.

Ändern der Größe des Adressraums virtueller Azure-Netzwerke mit Peering

Sie können die Größe des Adressraums der virtuellen Azure-Netzwerke mit Peering ändern, ohne dass Ausfallzeiten für den aktuellen Adressraum mit Peering auftreten. Dieses Feature ist nützlich, wenn Sie die Größe des Adressraums der virtuellen Netzwerke ändern müssen, nachdem Sie Ihre Workloads skaliert haben. Nachdem die Größe des Adressraums geändert wurde, müssen Peers sich mit den Adressraumänderungen synchronisieren. Die Größenänderung funktioniert sowohl für IPv4- als auch für IPv6-Adressräume.

Die Größe von Adressen kann wie folgt geändert werden:

  • Ändern des Präfixes eines vorhandenen Adressbereichs (z. B. von 10.1.0.0/16 in 10.1.0.0/18)

  • Hinzufügen von Adressbereichen zu einem virtuellen Netzwerk

  • Löschen von Adressbereichen aus einem virtuellen Netzwerk

  • Die Größenänderung des Adressraums wird mandantenübergreifend unterstützt.

Die Synchronisierung von virtuellen Netzwerkpeers kann über das Azure-Portal oder mit Azure PowerShell ausgeführt werden. Es wird empfohlen, die Synchronisierung nach jedem Ändern der Größe des Adressraumvorgangs auszuführen, anstatt mehrere Größenänderungsvorgänge auszuführen und den Synchronisierungsvorgang dann auszuführen. Informationen zum Aktualisieren des Adressraums für ein virtuelles Netzwerk mit Peering finden Sie unter Aktualisieren des Adressraums für ein virtuelles Netzwerk mit Peering.

Wichtig

Dieses Feature unterstützt keine Szenarien, in denen für das zu aktualisierende virtuelle Netzwerk folgendes Peering vorliegt:

  • Mit einem klassischen virtuellen Netzwerk

Dienstverkettung

Eine Dienstverkettung ermöglicht es, Datenverkehr über benutzerdefinierte Routingtabellen aus einem virtuellen Netzwerk an ein virtuelles Gerät oder Gateway in einem Netzwerk mit Peering zu leiten.

Um die Dienstverkettung zu aktivieren, konfigurieren Sie benutzerdefinierte Routen, die auf virtuelle Computer in mittels Peering verknüpften virtuellen Netzwerken als IP-Adresse für den nächsten Hop verweisen. Benutzerdefinierte Routen können auch auf Gateways für virtuelle Netzwerke verweisen, um die Dienstverkettung zu aktivieren.

Sie können auch Hub-and-Spoke-Netzwerke bereitstellen, in denen das virtuelle Hubnetzwerk Infrastrukturkomponenten wie etwa ein virtuelles Netzwerkgerät oder ein VPN-Gateway hostet. Alle virtuellen Spoke-Netzwerke können dann mittels Peering mit dem virtuellen Hubnetzwerk verknüpft werden. Der Datenverkehr durchläuft virtuelle Netzwerkgeräte oder VPN-Gateways im virtuellen Hubnetzwerk.

Beim VNET-Peering kann es sich bei dem nächsten Hop einer benutzerdefinierten Route um die IP-Adresse eines virtuellen Computers im mittels Peering verknüpften virtuellen Netzwerk oder um ein VPN-Gateway handeln. Zwischen virtuellen Netzwerken ist jedoch kein Routing über eine benutzerdefinierte Route möglich, die als Art des nächsten Hops ein Azure ExpressRoute-Gateway angibt. Für weitere Informationen zu benutzerdefinierten Routen können Sie sich die Übersicht zu benutzerdefinierten Routen ansehen. Informationen zum Erstellen einer Hub-and-Spoke-Netzwerktopologie finden Sie unter Hub-and-Spoke-Netzwerktopologie in Azure.

Gateways und lokale Konnektivität

Jedes virtuelle Netzwerk, einschließlich eines mittels Peering verknüpften virtuellen Netzwerks, kann ein eigenes Gateway besitzen. Ein virtuelles Netzwerk kann sein Gateway verwenden, um eine Verbindung mit einem lokalen Netzwerk herzustellen. Sie können auch VNET-zu-VNET-Verbindungen unter Verwendung von Gateways konfigurieren, selbst für mittels Peering verknüpfte virtuelle Netzwerke.

Wenn Sie beide Optionen für Verbindungen zwischen virtuellen Netzwerken konfigurieren, fließt der Datenverkehr zwischen den virtuellen Netzwerken über die Peeringkonfiguration. Der Datenverkehr verwendet den Azure-Backbone.

Sie können auch das Gateway im mittels Peering verknüpften virtuellen Netzwerk als Transitpunkt für ein lokales Netzwerk konfigurieren. In diesem Fall kann das virtuelle Netzwerk, das ein Remotegateway verwendet, kein eigenes Gateway besitzen. Ein virtuelles Netzwerk kann nur über ein Gateway verfügen. Das Gateway sollte entweder ein lokales Gateway oder ein Remotegateway im virtuellen Netzwerk mit Peering sein, wie im folgenden Diagramm dargestellt:

Diagram of virtual network peering transit.

Sowohl das Peering virtueller Netzwerke als auch das globale Peering virtueller Netzwerke unterstützen den Gatewaytransit.

Gatewaytransit zwischen virtuellen Netzwerken, die mit unterschiedlichen Bereitstellungsmodellen erstellt wurden, wird unterstützt. Das Gateway muss sich im Resource Manager-Modell im virtuellen Netzwerk befinden. Weitere Informationen zur Verwendung eines Gateways für den Transit finden Sie unter Konfigurieren eines VPN-Gateways für den Transit in einem Peering virtueller Netzwerke.

Wenn Sie virtuelle Netzwerke, die sich eine einzelne Azure ExpressRoute-Verbindung teilen, mittels Peering verknüpfen, durchläuft der Datenverkehr zwischen ihnen die Peeringbeziehung. Der Datenverkehr verwendet das Azure-Backbone-Netzwerk. Sie können in den einzelnen virtuellen Netzwerken weiterhin lokale Gateways verwenden, um eine Verbindung mit der lokalen Umgebung herzustellen. Andernfalls können Sie ein gemeinsam genutztes Gateway verwenden und den Transit für lokale Konnektivität konfigurieren.

Problembehandlung

Sie können effektive Routen überprüfen, um zu bestätigen, dass virtuelle Netzwerke mittels Peering verknüpft sind. Überprüfen Sie die Routen für eine Netzwerkschnittstelle in einem beliebigen Subnetz in einem virtuellen Netzwerk. Ist ein VNET-Peering vorhanden, verfügen alle Subnetze innerhalb des virtuellen Netzwerks über Routen, deren Art des nächsten Hops VNET-Peering lautet. Dies gilt für jeden Adressraum in jedem mittels Peering verknüpften virtuellen Netzwerk. Weitere Informationen finden Sie unter Diagnose des Routingproblems einer VM.

Probleme mit der Konnektivität eines virtuellen Computers in einem mittels Peering verknüpften virtuellen Netzwerk können auch mithilfe von Azure Network Watcher behandelt werden. Mit der Konnektivitätsprüfung können Sie ermitteln, wie Datenverkehr von der Netzwerkschnittstelle eines virtuellen Quellcomputers an die Netzwerkschnittstelle eines virtuellen Zielcomputers geleitet wird. Weitere Informationen finden Sie unter Problembehandlung für Verbindungen mit Azure Network Watcher und dem Azure-Portal.

Sie können auch die Anleitung zum Beheben von Problemen beim Peering in virtuellen Netzwerken ausprobieren.

Einschränkungen für virtuelle Netzwerke mit Peering

Die folgenden Einschränkungen gelten nur, wenn virtuelle Netzwerke über globales Peering verbunden werden:

  • Ressourcen in einem virtuellen Netzwerk können nicht mit der Front-End-IP-Adresse eines (internen oder öffentlichen) Load Balancers im Tarif „Basic“ in einem per globalem Peering verbundenen virtuellen Netzwerk kommunizieren.

  • Einige Dienste, die einen Load Balancer im Tarif „Basic“ verwenden, funktionieren nicht über per globalem Peering verbundenen virtuellen Netzwerken. Weitere Informationen finden Sie unter Welche Einschränkungen gibt es im Zusammenhang mit globalem VNET-Peering und Load Balancern?.

Weitere Informationen finden Sie unter Anforderungen und Einschränkungen. Weitere Informationen zur unterstützten Peeringanzahl finden Sie unter Grenzwerte für Netzwerke.

Berechtigungen

Informationen zu erforderlichen Berechtigungen für die Erstellung eines Peerings virtueller Netzwerke finden Sie unter Berechtigungen.

Preise

Für ein- und ausgehenden Datenverkehr, der eine VNET-Peeringverbindung verwendet, fällt eine Gebühr an. Weitere Informationen finden Sie unter Virtual Network – Preise.

Gatewaytransit ist eine Peeringeigenschaft, die es einem virtuellen Netzwerk ermöglicht, ein VPN/ExpressRoute-Gateway im virtuellen Netzwerk mit Peeringbeziehung zu nutzen. Gatewaytransit funktioniert sowohl für die standortübergreifende als auch für Netzwerk-zu-Netzwerk-Verbindungen. Für den Datenverkehr über das Gateway (eingehend oder ausgehend) im per Peering verbundenen virtuellen Netzwerk fallen entsprechende Gebühren im virtuellen Spoke-Netzwerk an (oder im virtuellen Netzwerk ohne VPN-Gateway). Weitere Informationen zu den Gebühren für VPN Gateways und zu den ExpressRoute-Gateway-Preisen für ExpressRoute-Gateway-Gebühren finden Sie unter VPN Gateway – Preise.

Hinweis

In einer früheren Version dieses Dokuments war angegeben, dass im Spoke-VNET (oder Nicht-Gateway-VNET) mit Gatewaytransit keine Gebühren für mittels Peering verbundene virtuelle Netzwerke anfallen. Es spiegelt jetzt die genauen Preise gemäß der Preisübersicht wider.

Nächste Schritte

  • Sie können das Peering zwischen zwei virtuellen Netzwerken erstellen. Die Netzwerke können zu demselben Abonnement, zu verschiedenen Bereitstellungsmodellen innerhalb desselben Abonnements oder zu verschiedenen Abonnements gehören. Arbeiten Sie ein Tutorial für eines der folgenden Szenarien durch:

    Azure-Bereitstellungsmodell Subscription
    Beide mit Resource Manager Gleich
    Unterschiedlich
    Einmal Resource Manager, einmal klassisch Gleich
    Unterschiedlich

  • Informationen zum Erstellen einer Hub-and-Spoke-Netzwerktopologie finden Sie unter Hub-and-Spoke-Netzwerktopologie in Azure.

  • Informationen zu allen Einstellungen für das Peering virtueller Netzwerke finden Sie unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

  • Antworten auf allgemeine Fragen zum Peering virtueller Netzwerke und zum globalen Peering virtueller Netzwerke finden Sie unter VNET-Peering.