仮想ネットワーク ピアリングを使用すると、Azure Stack Hub 環境内の仮想ネットワークをシームレスに接続できます。 仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。 仮想マシン間のトラフィックでは、基になる SDN インフラストラクチャが使用されます。 同じネットワーク内の仮想マシン間のトラフィックと同様に、トラフィックは Azure Stack Hub プライベート ネットワーク経由でのみルーティングされます。
"リージョン" の概念は適用されないため、Azure Stack Hub はグローバル ピアリングをサポートしていません。
仮想ネットワーク ピアリングを使用する利点は次のとおりです。
- 同じ Azure Stack Hub スタンプ内の異なる仮想ネットワーク内のリソース間の低待機時間の高帯域幅接続。
- 同じ Azure Stack Hub スタンプ内の別の仮想ネットワーク内のリソースと通信する 1 つの仮想ネットワーク内のリソースの機能。
- 同じ Microsoft Entra テナント内の異なるサブスクリプション間で仮想ネットワーク間でデータを転送する機能。
- ピアリングの作成時またはピアリングの作成後に、仮想ネットワーク内のリソースにダウンタイムが発生しません。
ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートである。 仮想ネットワーク間のトラフィックは、インフラストラクチャ レイヤーに保持されます。 仮想ネットワーク間の通信では、パブリック インターネット、ゲートウェイ、または暗号化は必要ありません。
接続性
ピアリングされた仮想ネットワークでは、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。
同一リージョンでピアリングされた仮想ネットワーク内の仮想マシン間のネットワーク待ち時間は、単一の仮想ネットワーク内での待ち時間と同じです。 ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。 ピアリング内の帯域幅に関してそれ以外の制限は一切ありません。
ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、ゲートウェイまたはパブリック インターネット経由ではなく、SDN レイヤーを介して直接ルーティングされます。
どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用して、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。 仮想ネットワーク ピアリングを構成する場合は、仮想ネットワーク間のネットワーク セキュリティ グループ規則を開くか閉じます。 ピアリングされた仮想ネットワーク間で完全な接続を開く場合、ネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。 完全な接続が規定のオプションです。 ネットワーク セキュリティ グループの詳細については、セキュリティ グループに関するページをご覧ください。
サービス チェイニング
サービス チェーンを使用すると、ユーザー定義ルートを介して、1 つの仮想ネットワークからピアリングされたネットワーク内の仮想アプライアンスまたはゲートウェイにトラフィックを転送できます。
サービス チェーンを有効にするには、ピアリングされた仮想ネットワーク内の仮想マシンを 次ホップ IP アドレスとして指すユーザー定義ルートを構成します。
ハブアンドスポーク ネットワークをデプロイできます。ハブ仮想ネットワークは、ネットワーク仮想アプライアンスや VPN ゲートウェイなどのインフラストラクチャ コンポーネントをホストします。 すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。 トラフィックは、ハブ仮想ネットワークでネットワーク仮想アプライアンスまたは VPN ゲートウェイを経由します。
仮想ネットワーク ピアリングを使用すると、ユーザー定義ルート上の次ホップを、ピアリングされた仮想ネットワーク内の仮想マシンの IP アドレスにすることができます。 ユーザー定義ルートの詳細については、「 ユーザー定義ルートの概要」を参照してください。 ハブ アンド スポーク ネットワーク トポロジを作成する方法については、 Azure でのハブスポーク ネットワーク トポロジに関するページを参照してください。
ゲートウェイとオンプレミスの接続
各仮想ネットワークには、ピアリングされた仮想ネットワークも含め、独自のゲートウェイを持つことができます。 仮想ネットワークは、独自のゲートウェイを使用して、オンプレミス ネットワークに接続できます。 Azure Stack Hub Virtual Network Gateway のドキュメントを確認してください。
そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。 この場合、リモート ゲートウェイを使用している仮想ネットワークに独自のゲートウェイを設定することはできません。 仮想ネットワークにはゲートウェイが 1 つだけ含まれます。 ゲートウェイは、次の図に示すように、ピアリングされた仮想ネットワーク内のローカル ゲートウェイまたはリモート ゲートウェイです。
ピアリングで UseRemoteGateways オプションを有効にする前に、VPN ゲートウェイに Connection オブジェクトを作成する必要があることに注意してください。
Von Bedeutung
Azure Stack Hub は、仮想ネットワーク アドレス プレフィックスではなく、ピアリングされた仮想ネットワーク サブネットに基づいてシステム ルートを構成します。 これは Azure の実装とは異なります。 「 シナリオ: ネットワーク仮想アプライアンス (NVA) または ハブスポーク ネットワーク トポロジを介してトラフィックをルーティングする (NVA またはファイアウォール アプライアンスにトラフィックをルーティングする) シナリオなど、システムの既定のルートをオーバーライドする場合は、仮想ネットワーク内のサブネットごとにルート エントリを作成する必要があります。
仮想ネットワーク ピアリングの構成
仮想ネットワーク アクセスを許可する: 仮想ネットワーク間の通信を有効にすると、いずれかの仮想ネットワークに接続されているリソースは、同じ仮想ネットワークに接続されているかのように、同じ帯域幅と待機時間で相互に通信できます。 2 つの仮想ネットワーク内のリソース間のすべての通信は、内部 SDN レイヤーを介してルーティングされます。
ネットワーク アクセスを有効にしない理由の 1 つは、仮想ネットワークを別の仮想ネットワークとピアリングしたが、場合によっては 2 つの仮想ネットワーク間のトラフィック フローを無効にしたいシナリオです。 ピアリングを削除して再作成するよりも、有効化/無効化の方が便利な場合があります。 この設定を無効にすると、ピアリングされた仮想ネットワーク間でトラフィックが流れることはありません。
転送されたトラフィックを許可する: (仮想ネットワークから発信されていない) 仮想ネットワーク内のネットワーク仮想アプライアンスによって 転送された トラフィックが、ピアリング経由でこの仮想ネットワークに流れるようにするには、このチェック ボックスをオンにします。 たとえば、Spoke1、Spoke2、Hub という名前の 3 つの仮想ネットワークを考えてみましょう。 各スポーク仮想ネットワークとハブ仮想ネットワークの間にはピアリングが存在しますが、スポーク仮想ネットワーク間にはピアリングは存在しません。 ネットワーク仮想アプライアンスがハブ仮想ネットワークにデプロイされ、ユーザー定義ルートが、ネットワーク仮想アプライアンスを介してサブネット間のトラフィックをルーティングする各スポーク仮想ネットワークに適用されます。 各スポーク仮想ネットワークとハブ仮想ネットワーク間のピアリングに対してこのチェック ボックスをオンにしない場合、ハブが仮想ネットワーク間のトラフィックを転送していないため、スポーク仮想ネットワーク間でトラフィックが流れることはありません。 この機能を有効にすると、ピアリング経由で転送されたトラフィックが許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスは作成されません。 ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。 ユーザー定義ルートについて説明します。 VPN ゲートウェイ経由で仮想ネットワーク間でトラフィックが転送される場合は、この設定を確認する必要はありません。
ゲートウェイ転送を許可する: この仮想ネットワーク に接続されている仮想ネットワーク ゲートウェイがあり、ピアリングされた仮想ネットワークからのトラフィックがゲートウェイを通過することを許可する場合は、このチェック ボックスをオンにします。 たとえば、この仮想ネットワークは、仮想ネットワーク ゲートウェイを介してオンプレミス ネットワークに接続できます。 このチェック ボックスをオンにすると、ピアリングされた仮想ネットワークからのトラフィックは、この仮想ネットワークに接続されているゲートウェイを介してオンプレミス ネットワークに流れ込みます。 このチェック ボックスをオンにすると、ピアリングされた仮想ネットワークにゲートウェイを構成できません。 ピアリングされた仮想ネットワークでは、他の仮想ネットワークからこの仮想ネットワークへのピアリングを設定するときに、[ リモート ゲートウェイを使用 する] チェック ボックスがオンになっている必要があります。 このチェック ボックスをオフ (既定値) のままにすると、ピアリングされた仮想ネットワークからのトラフィックは引き続きこの仮想ネットワークに流れますが、この仮想ネットワークに接続されている仮想ネットワーク ゲートウェイを経由することはできません。
リモート ゲートウェイを使用する: このチェック ボックスをオンにすると、この仮想ネットワークからのトラフィックが、ピアリングしている仮想ネットワークに接続されている仮想ネットワーク ゲートウェイを通過できるようになります。 たとえば、ピアリングしている仮想ネットワークには、オンプレミス ネットワークへの通信を可能にする VPN ゲートウェイが接続されています。 このチェック ボックスをオンにすると、この仮想ネットワークからのトラフィックは、ピアリングされた仮想ネットワークに接続されている VPN ゲートウェイを通過できます。 このチェック ボックスをオンにした場合、ピアリングされた仮想ネットワークには仮想ネットワーク ゲートウェイが接続されていて、[ ゲートウェイ転送を許可 する] チェック ボックスがオンになっている必要があります。 このチェック ボックスをオフ (既定値) のままにすると、ピアリングされた仮想ネットワークからのトラフィックは引き続きこの仮想ネットワークに流れますが、この仮想ネットワークに接続されている仮想ネットワーク ゲートウェイを経由することはできません。
仮想ネットワークにゲートウェイが既に構成されている場合は、リモート ゲートウェイを使用できません。
権限
同じ Microsoft Entra テナント内の異なるサブスクリプションに VNET を含むピアリングを作成する場合、アカウントには少なくとも ネットワーク共同作成者 ロールが割り当てられていることを確認してください。
Von Bedeutung
Azure Stack Hub では、異なるサブスクリプションと異なる Microsoft Entra テナント上の仮想ネットワーク間の VNET ピアリングはサポートされていません。 サブスクリプションが同じ Microsoft Entra テナントに属している限り、異なるサブスクリプション上の VNET 間の VNET ピアリングがサポートされます。 これは Azure の実装とは異なります。
仮想ネットワーク ピアリングに関してよく寄せられる質問 (FAQ)
仮想ネットワーク ピアリングとは
仮想ネットワーク ピアリングを使用すると、仮想ネットワークを接続できます。 仮想ネットワーク間の VNet ピアリング接続を使用すると、IPv4 アドレスを介してそれらの間のトラフィックをプライベートにルーティングできます。 ピアリングされた VNet 内の仮想マシンは、同じネットワーク内にあるかのように相互に通信できます。 VNet ピアリング接続は、同じ Microsoft Entra テナント内の複数のサブスクリプション間で作成することもできます。
Azure Stack Hub はグローバル VNET ピアリングをサポートしていますか?
"リージョン" の概念は適用されないため、Azure Stack Hub はグローバル ピアリングをサポートしていません。
仮想ネットワーク ピアリングを使用できる Azure Stack Hub 更新プログラムはどれですか?
仮想ネットワーク ピアリングは、2008 年の更新プログラム以降の Azure Stack Hub で使用できます。
Azure Stack Hub の仮想ネットワークを Azure の仮想ネットワークとピアリングできますか?
いいえ。現時点では、Azure と Azure Stack ハブの間のピアリングはサポートされていません。
Azure Stack Hub1 の仮想ネットワークを Azure Stack Hub2 の仮想ネットワークとピアリングできますか?
いいえ。ピアリングは、1 つの Azure Stack Hub システム内の仮想ネットワーク間でのみ作成できます。 異なるスタンプから 2 つの仮想ネットワークを接続する方法の詳細については、「 Azure Stack Hub で VNET 間接続を確立する」を参照してください。
仮想ネットワークが異なる Microsoft Entra テナント内のサブスクリプションに属している場合、ピアリングを有効にできますか?
いいえ。 サブスクリプションが異なる Microsoft Entra テナントに属している場合、VNet ピアリングを確立することはできません。 これは、Azure Stack Hub の特定の制限です。
仮想ネットワークを別のサブスクリプションの仮想ネットワークとピアリングできますか?
はい。 同じ Microsoft Entra テナントに属している場合は、異なるサブスクリプション間で仮想ネットワークをピアリングできます。
ピアリング接続に帯域幅制限はありますか。
いいえ。 仮想ネットワーク ピアリングでは、帯域幅の制限は課されません。 帯域幅は、VM またはコンピューティング リソースによってのみ制限されます。
仮想ネットワーク ピアリング接続が 開始 状態になっているのに、接続できないのはなぜですか?
ピアリング接続が 開始 状態の場合は、リンクが 1 つだけ作成されたことを意味します。 接続を正常に確立するには、双方向リンクを作成する必要があります。 たとえば、VNet A を VNet B にピアリングするには、VNet A から VNet B へのリンク、および VNet B から VNet A へのリンクを作成する必要があります。両方のリンクを作成すると、状態が [接続済み] に変わります。
仮想ネットワーク ピアリング接続が 切断 状態になっているのに、ピアリング接続を作成できないのはなぜですか?
仮想ネットワーク ピアリング接続が切断状態の場合は、作成 された リンクのいずれかが削除されたことを意味します。 ピアリング接続を再確立するには、リンクを削除して再作成します。
仮想ネットワーク ピアリングのトラフィックは暗号化されますか?
いいえ。 ピアリングされた仮想ネットワーク内のリソース間のトラフィックはプライベートであり、分離されています。 これは、Azure Stack Hub システムの SDN レイヤーに完全に残ります。
VNet A を VNet B にピアリングし、VNet B と VNet C をピアリングする場合、VNet A と VNet C がピアリングされていることを意味しますか?
いいえ。 推移的なピアリングはサポートされません。 VNet A と VNet C をピアリングする必要があります。