仮想ネットワークピアリングの作成、変更、削除

[アーティクル]
03/13/2024

仮想ネットワークピアリングを作成、変更、削除する方法について説明します。仮想ネットワークピアリングを使用すると、Azure バックボーンネットワークを介して、同じリージョン内の仮想ネットワークとリージョン間 (グローバル仮想ネットワークピアリングとも呼ばれます) で仮想ネットワークを接続できます。ピアリング後も、仮想ネットワークは個別のリソースとして管理されます。仮想ネットワークピアリングが初めての方は、仮想ネットワークピアリングの概要に関するページを参照するか、仮想ネットワークピアリングのチュートリアルを行うことで詳しく学習できます。

[前提条件]

Azure アカウントとアクティブなサブスクリプションをお持ちでない場合は、無料で作成できます。この記事の残りを始める前に、次のいずれかのタスクを完了します。

ピアリングを操作するために必要なアクセス許可が Azure アカウントを使用して、 Azure portal にサインインします。

Azure Cloud Shell でコマンドを実行するか、コンピューターからローカルで PowerShell を実行します。 Azure Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザータブで、 [環境の選択] ドロップダウンリストを見つけ、(まだ選択されていない場合は) [PowerShell] を選択します。

PowerShell をローカルで実行している場合、Azure PowerShell モジュールバージョン 1.0.0 以降を使用します。インストールされているバージョンを確認するには、Get-Module -ListAvailable Az.Network を実行します。インストールまたはアップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 Connect-AzAccount を実行して、VNet ピアリングの作業に必要なアクセス許可を持つアカウントで Azure にサインインします。

Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターからローカルで Azure CLI を実行します。 Azure Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザータブで、[環境の選択] ドロップダウンリストを見つけ、(まだ選択されていない場合は) [Bash] を選びます。

ローカルで Azure CLI を実行する場合は、Azure CLI バージョン 2.0.31 以降を使用してください。インストールされているバージョンを確認するには、az --version を実行します。インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。 az login を実行して、VNet ピアリングの作業に必要なアクセス許可を持つアカウントで Azure にサインインします。

Azure への接続を使用するアカウントは、ネットワーク共同作成者ロール、またはアクセス許可に記載されている適切なアクションが割り当てられるカスタムロールに割り当てる必要があります。

ピアリングの作成

ピアリングを作成する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
仮想ネットワークで、ピアリングを作成するネットワークを選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。

次の設定の値を入力または選択し、[追加] を選択します。

設定	説明
この仮想ネットワーク
[Peering link name](ピアリングリンク名)	ローカル仮想ネットワークからのピアリングの名前。仮想ネットワーク内で一意となる名前を使用してください。
'vnet-1' に 'vnet-2' へのアクセスを許可する	既定では、このオプションが選択されています。 - 既定 `VirtualNetwork` のフローを使用して 2 つの仮想ネットワーク間の通信を有効にするには、'vnet-1' に 'vnet-2' へのアクセスを許可する (既定値) を選択します。これにより、いずれかの仮想ネットワークに接続されているリソースは、Azure プライベートネットワーク経由で相互に通信できます。ネットワークセキュリティグループの VirtualNetwork サービスタグには、この設定を選択すると、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。サービスタグの詳細については、Azure のサービスタグに関するページを参照してください。
'vnet-1' が 'vnet-2' から転送されたトラフィックを受信することを許可する	このオプションは既定では選択されていません。 -ピアリングされた仮想ネットワークからの転送トラフィックを許可するには、'vnet-1' が 'vnet-2' から転送されたトラフィックを受信することを許可するを選択します。この設定は、vnet-2 から発信されていないトラフィックが vnet-1 に到達することを許可する場合に選択できます。たとえば、vnet-2 に vnet-1 に転送される vnet-2 の外部からトラフィックを受信する NVA がある場合は、この設定を選択して、そのトラフィックが vnet-2 から vnet-1 に到達できるようにします。この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。ユーザー定義ルートについては、こちらをご覧ください。注:'vnet-1' で 'vnet-2' から転送されたトラフィックを受信できるようにする設定を選択しない場合、VirtualNetwork サービスタグの定義のみが変更されます。この設定に説明されているように、Peer ノード接続間のトラフィックフローを完全に防止わけではありません。
'vnet-1' のゲートウェイが 'vnet-2' にトラフィックを転送することを許可する	このオプションは既定では選択されていません。 - vnet-2 で vnet-1 のゲートウェイ/Azure Route Server からのトラフィックを受信する場合は、'vnet-1' のゲートウェイを 'vnet-2' にトラフィックを転送することを許可するを選択します。このオプションを有効にするには、vnet-1 にゲートウェイが含まれている必要があります。
'vnet-1' で 'vnet-2' リモートゲートウェイを使用できるようにする	このオプションは既定では選択されていません。 - vnet-1 で vnet-2 のゲートウェイまたは Azure Route Server を使用する場合は、'vnet-1' で 'vnet-2' リモートゲートウェイを使用できるようにするを選択します。 vnet-1 では、1 つのピアリング接続からのみリモートゲートウェイまたは Azure Route Server を使用できます。このオプションを選択するには、vnet-2 にゲートウェイまたは Azure Route Server が必要です。たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミスネットワークとの通信が可能になっているとします。この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。このオプションを選択することもでき、この仮想ネットワークでリモートルートサーバーを使用してルートを交換する場合は、「Azure Route Server」を参照してください。注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモートゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワークピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。
リモート仮想ネットワーク
[Peering link name](ピアリングリンク名)	リモート仮想ネットワークからのピアリングの名前。仮想ネットワーク内で一意となる名前を使用してください。
仮想ネットワークのデプロイモデル	ピアリングする仮想ネットワークのデプロイに使用されたデプロイモデルを選択します。
リソース ID を知っている	ピアリングする仮想ネットワークへの読み取りアクセス権がある場合は、このチェックボックスをオフのままにしておきます。ピアリングする仮想ネットワークまたはサブスクリプションへの読み取りアクセス権がない場合は、このチェックボックスをオンにします。
Resource ID	このフィールドは、[リソース ID を知っている] チェックボックスをオンにすると表示されます。この仮想ネットワークと同じ Azure リージョン、またはサポートされている異なる Azure リージョンに存在する、仮想ネットワークのリソース ID を入力する必要があります。完全なリソース ID は、 `/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>` aのようになります。仮想ネットワークのプロパティを表示することで、仮想ネットワークのリソース ID を取得できます。仮想ネットワークのプロパティを表示する方法については、「仮想ネットワークと設定の表示」を参照してください。サブスクリプションが、ピアリングしている仮想ネットワークを持つサブスクリプションとは異なる Microsoft Entra テナントに関連付けられている場合は、ユーザーのアクセス許可を割り当てる必要があります。各テナントのユーザーを、反対のテナントにゲストユーザーとして追加します。
サブスクリプション	ピアリングする仮想ネットワークのサブスクリプションを選択します。アカウントに読み取りアクセス権があるサブスクリプションの数に応じて、1 つ以上のサブスクリプションが表示されます。 [リソース ID を知っている] チェックボックスをオンにした場合は、この設定は使用できません。
仮想ネットワーク	ピアリングする仮想ネットワークを選択します。いずれかの Azure デプロイモデルで作成された仮想ネットワークを選択できます。異なるリージョンの仮想ネットワークを選ぶ場合は、サポートされているリージョンの仮想ネットワークを選ぶ必要があります。仮想ネットワークを一覧に表示するには、その仮想ネットワークへの読み取りアクセス権が必要です。仮想ネットワークが一覧に表示されていても、淡色表示されている場合、仮想ネットワークのアドレス空間がこの仮想ネットワークのアドレス空間と重複している可能性があります。仮想ネットワークのアドレス空間が重複している場合は、それらの仮想ネットワークをピアリングすることはできません。 [リソース ID を知っている] チェックボックスをオンにした場合は、この設定は使用できません。
'vnet-2' に 'vnet-1' へのアクセスを許可する	既定では、このオプションが選択されています。 - 既定の `VirtualNetwork` フローを使用して 2 つの仮想ネットワーク間の通信を有効にする場合は、'vnet-2' に 'vnet-1' へのアクセスを許可するを選択します。仮想ネットワーク間の通信を有効にすると、これらの仮想ネットワークに接続されているリソースが Azure プライベートネットワーク経由で相互に通信できるようになります。ネットワークセキュリティグループの VirtualNetwork サービスタグには、この設定が選択済みに設定されている場合、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。サービスタグの詳細については、Azure のサービスタグに関するページを参照してください。
'vnet-2' が 'vnet-1' から転送されたトラフィックを受信することを許可する	このオプションは既定では選択されていません。 - ピアリングされた仮想ネットワークからの転送トラフィックを許可するには、'vnet-2' が 'vnet-1' から転送されたトラフィックを受信することを許可する'を選択します。この設定は、vnet-1 から発信されていないトラフィックが vnet-2 に到達することを許可する場合に選択できます。たとえば、vnet-1 に vnet-1 の外部からのトラフィックを受信する NVA が vnet-2 に転送される場合は、この設定を選択して、そのトラフィックが vnet-1 から vnet-2 に到達できるようにします。この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。ユーザー定義ルートについては、こちらをご覧ください。注:'vnet-1' で 'vnet-2' から転送されたトラフィックを受信できるようにする設定を選択しない場合、VirtualNetwork サービスタグの定義のみが変更されます。この設定に説明されているように、Peer ノード接続間のトラフィックフローを完全に防止わけではありません。
'vnet-2' のゲートウェイが 'vnet-1' にトラフィックを転送することを許可する	このオプションは既定では選択されていません。 - vnet-1 が vnet-2 のゲートウェイ/Azure Route Server からのトラフィックを受信する場合は、「'vnet-2' のゲートウェイが 'vnet-1' にトラフィックを転送することを許可する」を選択します。このオプションを有効にするには、vnet-2 にゲートウェイが含まれている必要があります。
'vnet-2' で 'vnet-1' リモートゲートウェイを使用できるようにする	このオプションは既定では選択されていません。 - vnet-2 で vnet-1 のゲートウェイまたは Azure Route Server を使用する場合は、「'vnet-2' で 'vnet-1' リモートゲートウェイを使用できるようにする」を選択します。 vnet-2 では、1 つのピアリング接続からのみリモートゲートウェイまたは Azure Route Server を使用できます。このオプションを選択するには、vnet-1 にゲートウェイまたは Azure Route Server が必要です。たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミスネットワークとの通信が可能になっているとします。この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。このオプションを選択することもでき、この仮想ネットワークでリモートルートサーバーを使用してルートを交換する場合は、「Azure Route Server」を参照してください。このシナリオでは、次ホップの種類として仮想ネットワークゲートウェイを指定するユーザー定義ルートを実装する必要があります。ユーザー定義ルートについては、こちらをご覧ください。ユーザー定義ルートでネクストホップの種類として指定できるのは、VPN ゲートウェイだけです。ユーザー定義ルートで、ネクストホップの種類として ExpressRoute ゲートウェイを指定することはできません。注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモートゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワークピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。

Screenshot of peering configuration page.

Note

Microsoft Azure Virtual Network ゲートウェイを使用して、ピアリングされた仮想ネットワークにオンプレミスのトラフィックを推移的に送信する場合は、オンプレミス VPN デバイスのピアリングされた仮想ネットワーク IP 範囲を "興味深い" トラフィックに設定する必要があります。オンプレミス VPN デバイス上のサイト-2-サイト IPSec VPN Tunnel 構成に、Azure 仮想ネットワークのすべての CIDR アドレスを追加することが必要になる場合があります。 CIDR アドレスには、 Hub、スポーク、ポイント-2-サイト IP アドレスプールなどのリソースが含まれます。そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。興味深いトラフィックは、フェーズ 2 のセキュリティアソシエーションを介して通信されます。セキュリティアソシエーションにより、指定のサブネットごとに専用の VPN トンネルが作成されます。オンプレミスと Azure VPN Gateway 層で、同じ数のサイト間 VPN トンネルと Azure VNet サブネットがサポートされている必要があります。そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。指定の Azure VNet サブネットごとにフェーズ 2 のセキュリティアソシエーションを作成する手順については、オンプレミス VPN のドキュメントを参照してください。

数秒後に [更新] ボタンを選択すると、ピアリングの状態が [更新中] から [接続済み] に変わります。

異なるサブスクリプションおよびデプロイモデルの仮想ネットワーク間にピアリングを実装する手順については、次の手順をご覧ください。

Add-AzVirtualNetworkPeering を使用して仮想ネットワークピアリングを作成します。

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

az network vnet peering create を使用して仮想ネットワークピアリングを作成します。

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

ピアリング設定の表示または変更

ピアリングを変更する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択してから、設定を表示または変更するピアリングを選択します。
該当する設定を変更します。各設定のオプションについては、「ピアリングの作成」の手順 4 を参照してください。その後、 [保存] を選択して構成の変更を完了します。

Get-AzVirtualNetworkPeering を使用して仮想ネットワークのピアリングとその設定を一覧表示します。

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

Set-AzVirtualNetworkPeering を使用してピアリング設定を変更します。

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

az network vnet peering list を使用して仮想ネットワークのピアリングを一覧表示します。

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

az network vnet peering show を使用して特定のピアリングの設定を表示します。

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

az network vnet peering update を使用してピアリング設定を変更します。

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

ピアリングの削除

ピアリングを削除する前に、要件と制約および必要なアクセス許可を十分に理解しておいてください。

2 つの仮想ネットワーク間のピアリングが削除されると、その仮想ネットワーク間でトラフィックが流れることはできなくなります。仮想ネットワークがピアリングを削除するのではなく、必ずしも通信する場合に、リモート仮想ネットワークへのトラフィックをブロックする場合は、 リモート仮想ネットワークへのトラフィックを許可する 設定の選択を解除します。ピアリングを削除し、再作成するよりも、ネットワークアクセスを無効化/有効化する方が簡単な場合があります。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択します。
削除するピアリングの右側にある [...] を選択し、 [削除] を選択します。
[はい] を選択して、ピアリングと対応するピアを削除することを確認します。

Note

仮想ネットワークピアリングを仮想ネットワークから削除すると、そのピアリングはリモート仮想ネットワークからも削除されます。

Remove-AzVirtualNetworkPeering を使用して仮想ネットワークピアリングを削除します

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

az network vnet peering delete を使用して仮想ネットワークピアリングを削除します。

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

要件と制約

同じリージョンまたは異なるリージョンの仮想ネットワークをピアリングできます。異なるリージョンの仮想ネットワークのピアリングは、グローバル仮想ネットワークピアリング とも呼ばれます。
グローバルピアリングの作成では、ピアリングされた仮想ネットワークは Azure パブリッククラウドの任意のリージョン、または China クラウドリージョン、あるいは Government クラウドリージョンに存在できます。クラウド間ではピアリングできません。たとえば、Azure パブリッククラウド内の仮想ネットワークを、21Vianet クラウドが運用する Microsoft Azure の仮想ネットワークにピアリングすることはできません。
1 つの仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワーク内の基本ロードバランサー (内部またはパブリック) のフロントエンド IP アドレスと通信できません。基本ロードバランサーのサポートは、同じリージョン内にのみ存在します。 Standard ロードバランサーのサポートは、仮想ネットワークピアリングとグローバル仮想ネットワークピアリングの両方に対して存在します。基本的なロードバランサーを使用する一部のサービスは、グローバルな仮想ネットワークピアリングでは動作しません。詳細については、グローバル仮想ネットワークピアリングとロードバランサーに関連する制約を参照してください。
グローバルにピアリングされた仮想ネットワークおよびローカルにピアリングされた仮想ネットワークでは、リモートゲートウェイを使用でき、ゲートウェイ転送を許可できます。
仮想ネットワークが属しているサブスクリプションは同じでも、異なっていてもかまいません。異なるサブスクリプションの仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Microsoft Entra テナントに関連付けることができます。 AD テナントをまだ持っていない場合は、作成できます。
ピアリングする仮想ネットワークには、重複しない IP アドレス空間が必要です。
Resource Manager を使用してデプロイされた 2 つの仮想ネットワーク、または Resource Manager を使用してデプロイされた仮想ネットワークとクラシックデプロイモデルを使用してデプロイされた仮想ネットワークをピアリングできます。クラシックデプロイモデルを使用して作成された 2 つの仮想ネットワークをピアリングすることはできません。 Azure デプロイモデルの知識がない場合は、Azure デプロイモデルの概要に関する記事をご覧ください。クラシックデプロイモデルを使って作成された 2 つの仮想ネットワークは、VPN Gateway を使用して接続できます。
Resource Manager を使用して作成された 2 つの仮想ネットワークをピアリングする場合は、ピアリング内の仮想ネットワークごとにピアリングを構成する必要があります。ピアリングの状態の種類として次のいずれかが表示されます。
- 開始済み: 最初のピアリングを作成するとき、その状態は "開始済み" となります。
- 接続済み: 2 つ目のピアリングを作成すると、ピアリングの状態はどちらのピアリングも [接続済み] になります。両方の仮想ネットワークピアリングの状態が "接続済み" になるまで、ピアリングは正常に確立されません。
Resource Manager を使用して作成された仮想ネットワークを、クラシックデプロイモデルを使用して作成された仮想ネットワークとピアリングするときは、Resource Manager を使用してデプロイされた仮想ネットワークのピアリングだけを構成します。ピアリングを仮想ネットワーク (クラシック) に対して構成することや、クラシックデプロイモデルを使用してデプロイされた 2 つの仮想ネットワークの間に構成することはできません。仮想ネットワーク (Resource Manager) から仮想ネットワーク (クラシック) へのピアリングを作成すると、ピアリングの状態が "更新中" になった後、すぐに "接続済み" に変わります。
ピアリングは 2 つの仮想ネットワーク間で確立されます。ピアリング自体は推移的ではありません。次の仮想ネットワーク間のピアリングを作成したとします。
- VirtualNetwork1 と VirtualNetwork2
- VirtualNetwork2 と VirtualNetwork3
  
  VirtualNetwork1 と VirtualNetwork3 の間の接続が VirtualNetwork2 を通して確立されることはありません。 VirtualNetwork1 と VirtualNetwork3 を直接通信する場合は、VirtualNetwork1 と VirtualNetwork3 の間に明示的なピアリングを作成するか、 Hub ネットワーク内の NVA を経由する必要があります。詳細については、Azure Hub-spoke ネットワークトポロジを参照してください。
既定の Azure 名前解決を使用して、ピアリングされた仮想ネットワークで名前を解決することはできません。他の仮想ネットワーク内の名前を解決するには、Azure プライベート DNS またはカスタム DNS サーバーを使う必要があります。独自の DNS サーバーを設定する方法については、「独自 DNS サーバー使用の名前解決」をご覧ください。
同じリージョン内のピアリングされた仮想ネットワークのリソースは、これらが同じ仮想ネットワーク内に存在する場合と同様の待機時間で相互に通信できます。ネットワークスループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。ピアリング内の帯域幅に関して他の制限は一切ありません。仮想マシンのサイズごとに、独自の最大ネットワーク帯域幅が設定されています。さまざまな仮想マシンサイズの最大ネットワーク帯域幅の詳細については、「Azure の仮想マシンのサイズ」を参照してください。
仮想ネットワークは、別の仮想ネットワークとピアリングすることができ、Azure 仮想ネットワークゲートウェイを使用して別の仮想ネットワークに接続することもできます。ピアリングとゲートウェイの両方を使用して仮想ネットワークが接続されている場合、仮想ネットワーク間のトラフィックは、ゲートウェイではなく、ピアリング構成を介して流れます。
新しいルートをクライアントに確実にダウンロードするには、仮想ネットワークピアリングが正常に構成された後で、もう一度ポイント対サイト VPN クライアントをダウンロードする必要があります。
仮想ネットワークピアリングを利用するイングレスとエグレスのトラフィックには少額の料金が発生します。詳細については、価格に関するページを参照してください。
ネットワーク分離が有効になっていない Application Gateway では、リモート仮想ネットワークへのトラフィックの許可が無効になっている場合、ピアリングされた VNET 間でトラフィックを送信することはできません。

アクセス許可

仮想ネットワークのピアリングを扱うために使用するアカウントは、次のロールに割り当てる必要があります。

ネットワーク共同作成者:Resource Manager を通じてデプロイされる仮想ネットワークの場合。
クラシックネットワーク共同作成者: クラシックデプロイモデルを使用してデプロイされた仮想ネットワークの場合。

アカウントが上記のロールの 1 つに割り当てられていない場合は、次の表から必要なアクションが割り当てられているカスタムロールにアカウントを割り当てる必要があります。

アクション	名前
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	仮想ネットワーク A から仮想ネットワーク B へのピアリングを作成するために必要です。仮想ネットワーク A は仮想ネットワーク (Resource Manager) である必要があります
Microsoft.Network/virtualNetworks/peer/action	仮想ネットワーク B (Resource Manager) から仮想ネットワーク A へのピアリングを作成するために必要です
Microsoft.ClassicNetwork/virtualNetworks/peer/action	仮想ネットワーク B (クラシック) から仮想ネットワーク A へのピアリングを作成するために必要です
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	仮想ネットワークピアリングの読み取り
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	仮想ネットワークピアリングの削除

次のステップ

仮想ネットワークピアリングは仮想ネットワーク間に作成されますが、これらの仮想ネットワークの作成に使用されたデプロイモデルは同じでも異なっていてもかまいません。また、仮想ネットワークが存在するサブスクリプションは同じでも異なっていてもかまいません。次のいずれかのシナリオのチュートリアルを完了します。

Azure デプロイメントモデル	サブスクリプション
両方が Resource Manager	同じ
	異なる
一方が Resource Manager、もう一方がクラシック	同じ
	異なる

ハブとスポークのネットワークトポロジを作成する方法について説明します
PowerShell または Azure CLI のサンプルスクリプトを使って、または Azure Resource Manager テンプレートを使って、仮想ネットワークピアリングを作成します
仮想ネットワーク用に Azure Policy 定義を作成して割り当てる

仮想ネットワーク ピアリングの作成、変更、削除