Verbinden von Diensten mithilfe des Peerings virtueller Netzwerke
Sie können das Peering in virtuellen Netzwerken nutzen, um virtuelle Azure-Netzwerke direkt miteinander zu verbinden. Wenn Sie virtuelle Netzwerke per Peering miteinander verbinden, können virtuelle Computer (VMs) in diesen Netzwerken so miteinander kommunizieren, als ob sie sich im selben Netzwerk befänden.
In virtuellen Netzwerken mit Peering wird der Datenverkehr zwischen virtuellen Computern über das Azure-Netzwerk weitergeleitet. Dabei werden für den Datenverkehr ausschließlich private IP-Adressen verwendet. Daher ist er nicht von Internetkonnektivität, Gateways oder verschlüsselten Verbindungen abhängig. Der Datenverkehr ist immer privat und profitiert von der hohen Bandbreite und der niedrigen Latenz des Azure-Backbonenetzwerks.
Die beiden Arten von Peeringverbindungen werden auf die gleiche Weise erstellt:
- Peering virtueller Netzwerke ist eine Verbindung virtueller Netzwerke in derselben Azure-Region, beispielsweise eine Verbindung zweier virtueller Netzwerke in der Region „Europa, Norden“.
- Peering globaler virtueller Netzwerke ist eine Verbindung virtueller Netzwerke, die sich in verschiedenen Azure-Regionen befinden, z. B. ein virtuelles Netzwerk in „Europa, Norden“ und ein anderes in der Region „Europa, Westen“.
Das Konfigurieren des Peerings in virtuellen Netzwerken hat keine Auswirkungen auf Ressourcen, die Sie bereits in den virtuellen Netzwerken bereitgestellt haben, und beeinträchtigt diese auch nicht. Wenn Sie das Peering virtueller Netzwerke verwenden, beachten Sie die wichtigsten Features, die in den folgenden Abschnitten definiert sind.
Reziproke Verbindungen
Wenn Sie eine Peeringverbindung für virtuelle Netzwerke mit Azure PowerShell oder der Azure CLI erstellen, wird nur eine Seite des Peerings erstellt. Sie müssen das Peering in umgekehrter Richtung konfigurieren, um eine Verbindung herstellen zu können und die Konfiguration des Peerings virtueller Netzwerke abzuschließen. Wenn Sie die Peeringverbindung virtueller Netzwerke über das Azure-Portal erstellen, wird die Konfiguration für beide Seiten gleichzeitig abgeschlossen.
Denken Sie einmal darüber nach, wie Sie zwei Netzwerkswitches miteinander verbinden würden. Sie würden ein Kabel an jedem Switch anschließen und möglicherweise noch einige Einstellungen vornehmen, sodass die Switches miteinander kommunizieren können. Für das Peering virtueller Netzwerke sind vergleichbare Verbindungen in jedem virtuellen Netzwerk erforderlich. Reziproke Verbindungen bieten diese Funktionalität.
Peering virtueller Netzwerke zwischen Abonnements
Sie können das Peering virtueller Netzwerke auch dann verwenden, wenn die beiden beteiligten virtuellen Netzwerke zu verschiedenen Abonnements gehören. Diese Einrichtung kann beispielsweise bei Fusionen und Übernahmen oder aber dann erforderlich sein, wenn virtuelle Netzwerke in Abonnements miteinander verbunden werden sollen, die von unterschiedlichen Abteilungen verwaltet werden. Die virtuellen Netzwerke können sich in unterschiedlichen Abonnements befinden. Und die Abonnements können zu denselben oder verschiedenen Microsoft Entra-Mandanten gehören.
Wenn Sie ein abonnementübergreifendes Peering virtueller Netzwerke verwenden, kann es vorkommen, dass ein Administrator eines Abonnements das Abonnement des Peernetzwerks nicht verwaltet. Daher kann der Administrator möglicherweise nicht beide Enden der Verbindung konfigurieren. Wenn sich beide Abonnements in verschiedenen Microsoft Entra-Mandanten befinden, muss der Administrator des jeweils einen Abonnements dem Administrator des jeweils anderen Abonnements die Network Contributor-Rolle in seinem virtuellen Netzwerk zuweisen, um das Peering der virtuellen Netzwerke zu ermöglichen.
Transitivität
Das Peering virtueller Netzwerke ist nicht transitiv. Nur virtuelle Netzwerke, die direkt per Peering verbunden sind, können miteinander kommunizieren. Eine Kommunikation der virtuellen Netzwerke mit den Peers ihrer Peers ist nicht möglich.
Angenommen, Ihre drei virtuellen Netzwerke (A, B, C) sind folgendermaßen per Peering verbunden: A <-> B <-> C. Ressourcen in A können nicht mit Ressourcen in C kommunizieren, da dieser Datenverkehr nicht durch das virtuelle Netzwerk B geleitet werden kann. Wenn eine Kommunikation zwischen dem virtuellen Netzwerk A und dem virtuellen Netzwerk C erfolgen soll, müssen Sie diese beiden virtuellen Netzwerke explizit per Peering miteinander verbinden.
Gatewaytransit
Sie können über ein virtuelles Netzwerk mit Peering eine Verbindung mit Ihrem lokalen Netzwerk herstellen, wenn Sie Gatewaytransit von einem virtuellen Netzwerk zulassen, das über ein VPN-Gateway verfügt. Die Verwendung von Gatewaytransits ermöglicht lokale Konnektivität, ohne dass Sie dafür Gateways in allen Ihren virtuellen Netzwerken bereitstellen müssten. Durch diese Methode können die Gesamtkosten und die Komplexität des Netzwerk reduziert werden. Mithilfe des Peerings virtueller Netzwerke mit Gatewaytransit können Sie ein einzelnes virtueller Netzwerk als Hubnetzwerk konfigurieren. Dieses Hubnetzwerk lässt sich mit Ihrem lokalen Datencenter verbinden und dessen Gateway für virtuelle Netzwerke für die Peers freigeben.
Sie aktivieren Gatewaytransit, indem Sie die Option Gatewaytransit zulassen im virtuellen Hubnetzwerk konfigurieren, in dem Sie die Gatewayverbindung mit Ihrem lokalen Netzwerk bereitgestellt haben. Außerdem müssen Sie die Option Remotegateways verwenden in beliebigen virtuellen Spokenetzwerken konfigurieren.
Hinweis
Wenn Sie die Option Remotegateways verwenden für das Peering in einem Spokenetzwerk aktivieren möchten, können Sie im virtuellen Spokenetzwerk kein Gateway für virtuelle Netzwerke bereitstellen.
Überlappende Adressräume
IP-Adressräume verbundener Netzwerke dürfen sich innerhalb von Azure und zwischen Azure sowie Ihrem lokalen Netzwerk nicht überlappen. Dies gilt auch für mittels Peering verbundene virtuelle Netzwerke. Beachten Sie diese Regel, wenn Sie den Aufbau Ihres Netzwerks planen. Weisen Sie in allen per Peering, VPN oder ExpressRoute verbundenen virtuellen Netzwerke unterschiedliche Adressräume zu, die sich nicht überlappen.
Alternative Konnektivitätsmethoden
Das Peering virtueller Netzwerke ist die einfachste Methode, um virtuelle Netzwerke miteinander zu verbinden. Bei anderen Methoden liegt der Schwerpunkt hauptsächlich auf der Konnektivität zwischen lokalen und Azure-Netzwerken anstatt auf den Verbindungen zwischen virtuellen Netzwerken.
Eine weitere Möglichkeit ist die Verbindung virtueller Netzwerke über eine ExpressRoute-Leitung. ExpressRoute ist eine dedizierte, private Verbindung zwischen einem lokalen Datencenter und dem Azure-Backbonenetzwerk. Alle virtuellen Netzwerke, die an die gleiche ExpressRoute-Leitung angeschlossen sind, gehören zur selben Routingdomäne und können miteinander kommunizieren. ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet. So soll die maximale Sicherheit für die Kommunikation mit Azure-Diensten sichergestellt werden.
VPNs nutzen das Internet, um Ihr lokales Datencenter über einen verschlüsselten Tunnel mit dem Azure-Backbone zu verbinden. Mithilfe von VPN-Gateways können Sie virtuelle Netzwerke im Rahmen einer Site-to-Site-Konfiguration vernetzen. VPN-Gateways verfügen über eine höhere Latenz als Setups mit Peerings virtueller Netzwerke. Diese sind komplexer und ihre Verwaltung ist kostspieliger.
Wenn die virtuellen Netzwerke sowohl mithilfe eines Gateways als auch per Peering virtueller Netzwerke verbunden sind, wird der Datenverkehr über die Peeringkonfiguration geleitet.
Geeignete Anwendungsfälle für das Peering virtueller Netzwerke
Das Peering virtueller Netzwerke kann eine hervorragende Möglichkeit sein, um die Netzwerkkonnektivität zwischen Diensten herzustellen, die sich in unterschiedlichen virtuellen Netzwerken befinden. Da es einfach zu implementieren und bereitzustellen ist und gut regions- und abonnementübergreifend funktioniert, sollte das Peering virtueller Netzwerk die erste Wahl sein, wenn Sie virtuelle Azure-Netzwerke integrieren müssen.
Das Peering ist nicht unbedingt die beste Option, wenn Sie bereits über vorhandene VPN- oder ExpressRoute-Verbindungen oder -Dienste auf der Grundlage von Azure Load Balancer-Instanzen im Tarif „Basic“ verfügen, auf die der Zugriff über ein virtuelles Netzwerk mit Peering erfolgen würde. In diesen Fällen sollten Sie nach Alternativen Ausschau halten.