仮想ネットワーク ピアリングの作成、変更、削除

仮想ネットワーク ピアリングを作成、変更、削除する方法について説明します。 仮想ネットワーク ピアリングにより、同じリージョン内と異なるリージョン間 (グローバル VNet ピアリングとも呼ばれます) で仮想ネットワークを Azure バックボーン ネットワークを介して接続できます。 ピアリング後も、仮想ネットワークは個別のリソースとして管理されます。 仮想ネットワーク ピアリングが初めての方は、仮想ネットワーク ピアリングの概要に関するページを参照するか、仮想ネットワーク ピアリングのチュートリアルを行うことで詳しく学習できます。

[前提条件]

Azure アカウントとアクティブなサブスクリプションをお持ちでない場合は、無料で作成できます。 この記事の残りを始める前に、次のいずれかのタスクを完了します。

  • ポータル ユーザー: ピアリングの作業に必要なアクセス許可を持つ Azure アカウントで Azure portal にサインインします。

  • PowerShell ユーザー: Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターからローカルで PowerShell を実行します。 Azure Cloud Shell は無料のインタラクティブ シェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザー タブで、 [環境の選択] ドロップダウン リストを見つけ、(まだ選択されていない場合は) [PowerShell] を選択します。

    PowerShell をローカルで実行している場合、Azure PowerShell モジュール バージョン 1.0.0 以降を使用します。 インストールされているバージョンを確認するには、Get-Module -ListAvailable Az.Network を実行します。 インストールまたはアップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 Connect-AzAccount を実行して、VNet ピアリングの作業に必要なアクセス許可を持つアカウントで Azure にサインインします。

  • Azure CLI ユーザー: Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターからローカルで Azure CLI を実行します。 Azure Cloud Shell は無料のインタラクティブ シェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザー タブで、[環境の選択] ドロップダウン リストを見つけ、(まだ選択されていない場合は) [Bash] を選びます。

    ローカルで Azure CLI を実行する場合は、Azure CLI バージョン 2.0.31 以降を使用してください。 インストールされているバージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。 az login を実行して、VNet ピアリングの作業に必要なアクセス許可を持つアカウントで Azure にサインインします。

Azure へのログインまたは接続に使用するアカウントは、ネットワーク共同作業者ロール、または「アクセス許可」の一覧に記載されている適切なアクションが割り当てられているカスタム ロールに割り当てられている必要があります。

ピアリングの作成

ピアリングを作成する前に、要件と制約必要なアクセス許可を十分に理解しておいてください。

  1. Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果に [仮想ネットワーク] が表示されたら、それを選択します。 [仮想ネットワーク (クラシック)] は選択しないでください。クラシック デプロイ モデルを使用してデプロイされた仮想ネットワークからピアリングを作成することはできません。

    仮想ネットワークを検索しているスクリーンショット。

  2. ピアリングを作成する仮想ネットワークを一覧から選択します。

    仮想ネットワーク ページから VNetA を選択しているスクリーンショット。

  3. [設定][ピアリング] を選択してから、 [+ 追加] を選択します。

    VNetA のピアリング ページのスクリーンショット。

  4. 次の設定の値を入力または選択し、[追加] を選択します。

    設定 説明
    この仮想ネットワーク
    [Peering link name](ピアリング リンク名) この仮想ネットワーク上のピアリングの名前。 仮想ネットワーク内で一意となる名前を使用してください。
    [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) - [許可] (既定値) は、既定の VirtualNetwork フローを通して 2 つの仮想ネットワーク間の通信ができるようにする場合に選択します。 仮想ネットワーク間の通信を有効にすると、これらの仮想ネットワークに接続されているリソースが Azure プライベート ネットワーク経由で相互に通信できるようになります。 この設定が [許可] のときは、ネットワーク セキュリティ グループの VirtualNetwork サービス タグには仮想ネットワークと、ピアリングされた仮想ネットワークが含まれます。 サービス タグの詳細については、Azure のサービス タグに関するページを参照してください。
    - [リモート仮想ネットワークへのトラフィックをすべてブロックする] は、ピアリングされた仮想ネットワークにトラフィックが既定では流れないようにする場合に選択します。 この設定は、2 つの仮想ネットワーク間にピアリングがあるが、それらの間の既定のトラフィック フローを時折無効にする必要がある場合に選択できます。 ピアリングを削除し、再作成するよりも、有効化/無効化する方が便利な場合があります。 この設定が選択されているときは、ピアリングされた仮想ネットワーク間で既定ではトラフィックが流れることはありませんが、適切な IP アドレスまたはアプリケーション セキュリティ グループが含まれるネットワーク セキュリティ グループ ルール経由で明示的に許可されている場合はトラフィックが流れることがあります。

    注:[リモート仮想ネットワークへのトラフィックをすべてブロックする] 設定を選択しても、VirtualNetwork サービス タグの定義が変更されるだけです。この設定の説明に記載されているように、ピア接続でのトラフィック フローが完全に停止するわけではありません。
    [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) [許可] (既定値) は、リモート仮想ネットワーク内のネットワーク仮想アプライアンスによって "転送" されたトラフィック (そのリモート仮想ネットワークから発生したのではないもの) を、ピアリングを通じてこの仮想ネットワークに流す場合に選択します。 たとえば、Spoke1、Spoke2、およびハブという 3 つの仮想ネットワークがあるとします。 各スポーク仮想ネットワークとハブ仮想ネットワークの間にはピアリングが存在しますが、スポーク仮想ネットワーク間にはピアリングが存在しません。 ハブ仮想ネットワークにはネットワーク仮想アプライアンスがデプロイされており、ユーザー定義ルートは、ネットワーク仮想アプライアンスを通じてサブネット間のトラフィックをルーティングする、各スポーク仮想ネットワークに適用されます。 各スポーク仮想ネットワークとハブ仮想ネットワーク間のピアリングに対してこの設定が選択されていない場合、仮想ネットワーク間のトラフィックがハブによって転送されないため、スポーク仮想ネットワーク間ではトラフィックは流れません。 この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。 ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。 ユーザー定義ルートについては、こちらをご覧ください。

    注:Azure VPN Gateway を通じて仮想ネットワーク間でトラフィックが転送される場合は、この設定を選択する必要はありません。
    仮想ネットワーク ゲートウェイまたは Route Server 以下の場合には、[この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を選択します。
    - この仮想ネットワークに仮想ネットワーク ゲートウェイがデプロイされており、ピアリングされた仮想ネットワークからのトラフィックがこのゲートウェイ経由で流れることを許可する場合。 たとえば、仮想ネットワーク ゲートウェイを介して、この仮想ネットワークをオンプレミス ネットワークに接続できます。 ゲートウェイは、ExpressRoute または VPN ゲートウェイを指定できます。 この設定を選択すると、ピアリングされた仮想ネットワークからのトラフィックを、この仮想ネットワーク内にデプロイされたゲートウェイ経由でオンプレミス ネットワークに流すことができます。
    - この仮想ネットワークにルート サーバーがデプロイされており、ピアリングされた仮想ネットワークがルート サーバーと通信してルートを交換する場合。 詳細については、Azure Route Server に関するページを参照してください。

    [この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を選択する場合は、ピアリングされた仮想ネットワークにゲートウェイが構成されていてはなりません。 他の仮想ネットワークからこの仮想ネットワークへのピアリングを設定するときは、ピアリングされた仮想ネットワークで [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] が選択されている必要があります。 この設定を [なし] (既定値) のままにした場合も、ピアリングされた仮想ネットワークからのトラフィックはこの仮想ネットワークに流れますが、この仮想ネットワーク内にデプロイされた仮想ネットワーク ゲートウェイ経由で流れることはできません。 ピアリングが仮想ネットワーク (Resource Manager) と仮想ネットワーク (クラシック) の間で行われる場合、ゲートウェイは仮想ネットワーク (Resource Manager) 内にある必要があります。

    VPN ゲートウェイでは、トラフィックをオンプレミス ネットワークに転送するだけでなく、自身が置かれている仮想ネットワークとピアリングされた仮想ネットワーク間のネットワーク トラフィックを、それらの仮想ネットワークを相互にピアリングすることなく転送できます。 VPN ゲートウェイを使用したトラフィックの転送は、ハブ内の VPN ゲートウェイを使用して、相互にピアリングされていないスポーク仮想ネットワーク間のトラフィックをルーティングする場合に便利です ( [転送されたトラフィックを許可する] について説明したハブとスポークの例をご覧ください)。 転送へのゲートウェイの使用許可について詳しくは、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」をご覧ください。 このシナリオを実行するには、次ホップの種類として仮想ネットワーク ゲートウェイを指定したユーザー定義ルートを実装する必要があります。 ユーザー定義ルートについては、こちらをご覧ください。 ユーザー定義ルートでネクスト ホップの種類として指定できるのは、VPN ゲートウェイだけです。ユーザー定義ルートで、ネクスト ホップの種類として ExpressRoute ゲートウェイを指定することはできません。

    [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] は次の場合に選択します。
    - この仮想ネットワークからのトラフィックが、ピアリングの相手である仮想ネットワーク内にデプロイされた仮想ネットワーク ゲートウェイ経由で流れることを許可する場合。 たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミス ネットワークとの通信が可能になっているとします。 この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。
    - この仮想ネットワークで、リモートのルート サーバーを使用してルートを交換する場合。 詳細については、Azure Route Server に関するページを参照してください。

    この設定を選択する場合は、ピアリングされた仮想ネットワーク側で、その中に仮想ネットワーク ゲートウェイがデプロイされていることと、[この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] 設定が選択されていることが必要です。 この設定を [なし] (既定値) のままにした場合も、この仮想ネットワークからのトラフィックはピアリングされた仮想ネットワークに流れることができますが、ピアリングされた仮想ネットワーク内の仮想ネットワーク ゲートウェイ経由で流れることはできません。 この設定は、この仮想ネットワークの 1 つのピアリングに対してのみ有効にすることができます。

    注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモート ゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワーク ピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。
    リモート仮想ネットワーク
    [Peering link name](ピアリング リンク名) リモート仮想ネットワーク上のピアリングの名前。 仮想ネットワーク内で一意となる名前を使用してください。
    仮想ネットワークのデプロイ モデル ピアリングする仮想ネットワークのデプロイに使用されたデプロイ モデルを選択します。
    リソース ID を知っている ピアリングする仮想ネットワークへの読み取りアクセス権がある場合は、このチェック ボックスをオフのままにしておきます。 ピアリングの相手となる仮想ネットワークまたはサブスクリプションへの読み取りアクセス権がない場合は、このチェック ボックスをオンにします。 チェック ボックスをオンにしたときに表示される [リソース ID] ボックスに、ピアリングの相手となる仮想ネットワークの完全なリソース ID を入力します。 この仮想ネットワークと同じ Azure リージョン、またはサポートされている異なる Azure リージョンに存在する、仮想ネットワークのリソース ID を入力する必要があります。 完全なリソース ID は /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name> のようになります。 仮想ネットワークのリソース ID を取得するには、仮想ネットワークのプロパティを表示します。 仮想ネットワークのプロパティを表示する方法については、「仮想ネットワークと設定の表示」を参照してください。 サブスクリプションが、ピアリングを作成している仮想ネットワークを含むサブスクリプションと異なる Azure Active Directory テナントに関連付けられている場合、まず各テナントのユーザーをゲスト ユーザーとして他方のテナントに追加します。
    Resource ID このフィールドは、[リソース ID を知っている] チェック ボックスをオンにすると表示されます。 この仮想ネットワークと同じ Azure リージョン、またはサポートされている異なる Azure リージョンに存在する、仮想ネットワークのリソース ID を入力する必要があります。 完全なリソース ID は /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name> のようになります。 仮想ネットワークのリソース ID を取得するには、仮想ネットワークのプロパティを表示します。 仮想ネットワークのプロパティを表示する方法については、「仮想ネットワークと設定の表示」を参照してください。 サブスクリプションが、ピアリングを作成している仮想ネットワークを含むサブスクリプションと異なる Azure Active Directory テナントに関連付けられている場合、まず各テナントのユーザーをゲスト ユーザーとして他方のテナントに追加します。
    サブスクリプション ピアリングする仮想ネットワークのサブスクリプションを選択します。 アカウントに読み取りアクセス権があるサブスクリプションの数に応じて、1 つ以上のサブスクリプションが表示されます。 [リソース ID を知っている] チェック ボックスをオンにした場合は、この設定は使用できません。
    仮想ネットワーク ピアリングする仮想ネットワークを選択します。 いずれかの Azure デプロイ モデルで作成された仮想ネットワークを選択できます。 異なるリージョンの仮想ネットワークを選ぶ場合は、サポートされているリージョンの仮想ネットワークを選ぶ必要があります。 仮想ネットワークを一覧に表示するには、その仮想ネットワークへの読み取りアクセス権が必要です。 仮想ネットワークが一覧に表示されていても、淡色表示されている場合、仮想ネットワークのアドレス空間がこの仮想ネットワークのアドレス空間と重複している可能性があります。 仮想ネットワークのアドレス空間が重複している場合は、それらの仮想ネットワークをピアリングすることはできません。 [リソース ID を知っている] チェック ボックスをオンにした場合は、この設定は使用できません。
    [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) - [許可] (既定値) は、既定の VirtualNetwork フローを通して 2 つの仮想ネットワーク間の通信ができるようにする場合に選択します。 仮想ネットワーク間の通信を有効にすると、これらの仮想ネットワークに接続されているリソースが Azure プライベート ネットワーク経由で相互に通信できるようになります。 この設定が [許可] のときは、ネットワーク セキュリティ グループの VirtualNetwork サービス タグには仮想ネットワークと、ピアリングされた仮想ネットワークが含まれます。 サービス タグの詳細については、Azure のサービス タグに関するページを参照してください。
    - [リモート仮想ネットワークへのトラフィックをすべてブロックする] は、ピアリングされた仮想ネットワークにトラフィックが既定では流れないようにする場合に選択します。 この設定は、2 つの仮想ネットワーク間にピアリングがあるが、それらの間の既定のトラフィック フローを時折無効にする必要がある場合に選択できます。 ピアリングを削除し、再作成するよりも、有効化/無効化する方が便利な場合があります。 この設定が選択されているときは、ピアリングされた仮想ネットワーク間で既定ではトラフィックが流れることはありませんが、適切な IP アドレスまたはアプリケーション セキュリティ グループが含まれるネットワーク セキュリティ グループ ルール経由で明示的に許可されている場合はトラフィックが流れることがあります。

    注:[リモート仮想ネットワークへのトラフィックをすべてブロックする] 設定を選択しても、VirtualNetwork サービス タグの定義が変更されるだけです。この設定の説明に記載されているように、ピア接続でのトラフィック フローが完全に停止するわけではありません。
    [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) [許可] (既定値) は、リモート仮想ネットワーク内のネットワーク仮想アプライアンスによって "転送" されたトラフィック (そのリモート仮想ネットワークから発生したのではないもの) を、ピアリングを通じてこの仮想ネットワークに流す場合に選択します。 たとえば、Spoke1、Spoke2、およびハブという 3 つの仮想ネットワークがあるとします。 各スポーク仮想ネットワークとハブ仮想ネットワークの間にはピアリングが存在しますが、スポーク仮想ネットワーク間にはピアリングが存在しません。 ハブ仮想ネットワークにはネットワーク仮想アプライアンスがデプロイされており、ユーザー定義ルートは、ネットワーク仮想アプライアンスを通じてサブネット間のトラフィックをルーティングする、各スポーク仮想ネットワークに適用されます。 各スポーク仮想ネットワークとハブ仮想ネットワーク間のピアリングに対してこの設定が選択されていない場合、仮想ネットワーク間のトラフィックがハブによって転送されないため、スポーク仮想ネットワーク間ではトラフィックは流れません。 この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。 ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。 ユーザー定義ルートについては、こちらをご覧ください。

    注:Azure VPN Gateway を通じて仮想ネットワーク間でトラフィックが転送される場合は、この設定を選択する必要はありません。
    仮想ネットワーク ゲートウェイまたは Route Server [この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] は以下の場合に選択します:
    - この仮想ネットワーク内に仮想ネットワーク ゲートウェイがデプロイされており、ピアリングされた仮想ネットワークからのトラフィックがこのゲートウェイ経由で流れることを許可する場合。 たとえば、仮想ネットワーク ゲートウェイを介して、この仮想ネットワークをオンプレミス ネットワークに接続できます。 ゲートウェイは、ExpressRoute または VPN ゲートウェイを指定できます。 この設定を選択すると、ピアリングされた仮想ネットワークからのトラフィックを、この仮想ネットワーク内にデプロイされたゲートウェイ経由でオンプレミス ネットワークに流すことができます。
    - この仮想ネットワークにルート サーバーがデプロイされており、ピアリングされた仮想ネットワークがルート サーバーと通信してルートを交換する場合。 詳細については、Azure Route Server に関するページを参照してください。

    [この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を選択する場合は、ピアリングされた仮想ネットワークにゲートウェイが構成されていてはなりません。 他の仮想ネットワークからこの仮想ネットワークへのピアリングを設定するときは、ピアリングされた仮想ネットワークで [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] が選択されている必要があります。 この設定を [なし] (既定値) のままにした場合も、ピアリングされた仮想ネットワークからのトラフィックはこの仮想ネットワークに流れますが、この仮想ネットワーク内にデプロイされた仮想ネットワーク ゲートウェイ経由で流れることはできません。 ピアリングが仮想ネットワーク (Resource Manager) と仮想ネットワーク (クラシック) の間で行われる場合、ゲートウェイは仮想ネットワーク (Resource Manager) 内にある必要があります。

    VPN ゲートウェイでは、トラフィックをオンプレミス ネットワークに転送するだけでなく、自身が置かれている仮想ネットワークとピアリングされた仮想ネットワーク間のネットワーク トラフィックを、それらの仮想ネットワークを相互にピアリングすることなく転送できます。 VPN ゲートウェイを使用したトラフィックの転送は、ハブ内の VPN ゲートウェイを使用して、相互にピアリングされていないスポーク仮想ネットワーク間のトラフィックをルーティングする場合に便利です ( [転送されたトラフィックを許可する] について説明したハブとスポークの例をご覧ください)。 転送へのゲートウェイの使用許可について詳しくは、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」をご覧ください。 このシナリオを実行するには、次ホップの種類として仮想ネットワーク ゲートウェイを指定したユーザー定義ルートを実装する必要があります。 ユーザー定義ルートについては、こちらをご覧ください。 ユーザー定義ルートでネクスト ホップの種類として指定できるのは、VPN ゲートウェイだけです。ユーザー定義ルートで、ネクスト ホップの種類として ExpressRoute ゲートウェイを指定することはできません。

    [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] は次の場合に選択します。
    - この仮想ネットワークからのトラフィックが、ピアリングの相手である仮想ネットワーク内にデプロイされた仮想ネットワーク ゲートウェイ経由で流れることを許可する場合。 たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミス ネットワークとの通信が可能になっているとします。 この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。
    - この仮想ネットワークで、リモートのルート サーバーを使用してルートを交換する場合。 詳細については、Azure Route Server に関するページを参照してください。

    この設定を選択する場合は、ピアリングされた仮想ネットワーク側で、その中に仮想ネットワーク ゲートウェイがデプロイされていることと、[この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] 設定が選択されていることが必要です。 この設定を [なし] (既定値) のままにした場合も、この仮想ネットワークからのトラフィックはピアリングされた仮想ネットワークに流れることができますが、ピアリングされた仮想ネットワーク内の仮想ネットワーク ゲートウェイ経由で流れることはできません。 この設定は、この仮想ネットワークの 1 つのピアリングに対してのみ有効にすることができます。

    注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモート ゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワーク ピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。

    ピアリング構成ページのスクリーンショット。

    Note

    Virtual Network ゲートウェイを使用してオンプレミスのトラフィックをピアリングされた VNet に推移的に送信する場合は、オンプレミスの VPN デバイスのピアリングされた VNet IP の範囲を "対象" トラフィックに設定する必要があります。 オンプレミス VPN デバイス上のサイト間 IPSec VPN トンネル構成にすべての Azure VNet の CIDR アドレスを追加する必要がある場合があります。 CIDR アドレスには、ハブ、スポーク、ポイント対サイト IP アドレス プールなどのリソースが含まれます。 そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。 インタレスティング トラフィックは、フェーズ 2 のセキュリティ アソシエーションを介して通信されます。 セキュリティ アソシエーションにより、指定のサブネットごとに専用の VPN トンネルが作成されます。 オンプレミスと Azure VPN Gateway 層で、同じ数のサイト間 VPN トンネルと Azure VNet サブネットがサポートされている必要があります。 そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。 指定の Azure VNet サブネットごとにフェーズ 2 のセキュリティ アソシエーションを作成する手順については、オンプレミス VPN のドキュメントを参照してください。

  5. 数秒後に [更新] ボタンを選択すると、ピアリングの状態が [更新中] から [接続済み] に変わります。

    ピアリング ページの仮想ネットワーク ピアリング状態のスクリーンショット。

異なるサブスクリプションおよびデプロイ モデルの仮想ネットワーク間にピアリングを実装する手順については、次の手順をご覧ください。

ピアリング設定の表示または変更

ピアリングを変更する前に、要件と制約必要なアクセス許可を十分に理解しておいてください。

  1. どの仮想ネットワークのピアリング設定を表示または変更するかを選択します。

    サブスクリプション内の仮想ネットワークの一覧のスクリーンショット。

  2. [設定][ピアリング] を選択してから、設定を表示または変更するピアリングを選択します。

    仮想ネットワークから設定を変更するピアリングの選択のスクリーンショット。

  3. 該当する設定を変更します。 各設定のオプションについては、「ピアリングの作成」の手順 4 を参照してください。 その後、 [保存] を選択して構成の変更を完了します。

    仮想ネットワーク ピアリング設定の変更のスクリーンショット。

ピアリングの削除

ピアリングを削除する前に、要件と制約および必要なアクセス許可を十分に理解しておいてください。

2 つの仮想ネットワーク間のピアリングが削除されると、その仮想ネットワーク間でトラフィックが流れることはできなくなります。 仮想ネットワーク間で通信することはあっても、常に通信するわけではない場合は、ピアリングを削除するのではなく、 [リモート仮想ネットワークへのトラフィック] 設定を、 [リモート仮想ネットワークへのトラフィックをすべてブロックする] に設定します。 ピアリングを削除し、再作成するよりも、ネットワーク アクセスを無効化/有効化する方が簡単な場合があります。

  1. ピアリングを削除する仮想ネットワークを一覧から選択します。

    サブスクリプションで仮想ネットワークを選択しているスクリーンショット。

  2. [設定][ピアリング] を選択します。

    仮想ネットワークから削除するピアリングの選択のスクリーンショット。

  3. 削除するピアリングの右側にある [...] を選択し、 [削除] を選択します。

    仮想ネットワークからピアリングを削除するスクリーンショット。

  4. [はい] を選択して、ピアリングと対応するピアを削除することを確認します。

    ピアリング削除の確認のスクリーンショット。

    Note

    仮想ネットワーク ピアリングを仮想ネットワークから削除すると、そのピアリングはリモート仮想ネットワークからも削除されます。

要件と制約

  • 同じリージョンまたは異なるリージョンの仮想ネットワークをピアリングできます。 異なるリージョン内の仮想ネットワークのピアリングは "グローバル VNet ピアリング" とも呼ばれます。

  • グローバル ピアリングの作成では、ピアリングされた仮想ネットワークは Azure パブリック クラウドの任意のリージョン、または China クラウド リージョン、あるいは Government クラウド リージョンに存在できます。 クラウド間ではピアリングできません。 たとえば、Azure パブリック クラウド内の VNet を Azure 中国クラウド内の VNet にピアリングすることはできません。

  • 仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワークの Basic Load Balancer (内部またはパブリック) のフロントエンド IP アドレスと通信することはできません。 Basic Load Balancer のサポートは、同じリージョン内でのみ存在します。 Standard Load Balancer のサポートは VNet Peering と Global VNet Peering の両方に存在します。 Basic ロード バランサーを使用する一部のサービスは、グローバルな仮想ネットワーク ピアリングでは動作しません。 詳細については、グローバル VNet ピアリングとロード バランサーに関連する制約についてのページを参照してください。

  • グローバルにピアリングされた仮想ネットワークおよびローカルにピアリングされた仮想ネットワークでは、リモート ゲートウェイを使用でき、ゲートウェイ転送を許可できます。

  • 仮想ネットワークが属しているサブスクリプションは同じでも、異なっていてもかまいません。 異なるサブスクリプションに属する仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Azure Active Directory テナントに関連付けることができます。 AD テナントをまだ持っていない場合は、作成できます。

  • ピアリングする仮想ネットワークの IP アドレス空間が重複していてはいけません。

  • Resource Manager を使用してデプロイされた 2 つの仮想ネットワーク、または Resource Manager を使用してデプロイされた仮想ネットワークとクラシック デプロイ モデルを使用してデプロイされた仮想ネットワークをピアリングできます。 クラシック デプロイ モデルを使用して作成された 2 つの仮想ネットワークをピアリングすることはできません。 Azure デプロイ モデルの知識がない場合は、Azure デプロイ モデルの概要に関する記事をご覧ください。 クラシック デプロイ モデルを使って作成された 2 つの仮想ネットワークは、VPN Gateway を使用して接続できます。

  • Resource Manager を使用して作成された 2 つの仮想ネットワークをピアリングするときは、ピアリングする仮想ネットワークごとにピアリングを構成する必要があります。 ピアリングの状態の種類として次のいずれかが表示されます。

    • 開始済み: 最初のピアリングを作成するとき、その状態は "開始済み" となります。
    • 接続済み: 2 つ目のピアリングを作成すると、ピアリングの状態はどちらのピアリングも [接続済み] になります。 両方の仮想ネットワーク ピアリングの状態が "接続済み" になるまで、ピアリングは正常に確立されません。
  • Resource Manager を使用して作成された仮想ネットワークを、クラシック デプロイ モデルを使用して作成された仮想ネットワークとピアリングするときは、Resource Manager を使用してデプロイされた仮想ネットワークのピアリングだけを構成します。 ピアリングを仮想ネットワーク (クラシック) に対して構成することや、クラシック デプロイ モデルを使用してデプロイされた 2 つの仮想ネットワークの間に構成することはできません。 仮想ネットワーク (Resource Manager) から仮想ネットワーク (クラシック) へのピアリングを作成すると、ピアリングの状態が "更新中" になった後、すぐに "接続済み" に変わります。

  • ピアリングは 2 つの仮想ネットワーク間で確立されます。 ピアリング自体は推移的ではありません。 次の仮想ネットワーク間のピアリングを作成したとします。

    • VirtualNetwork1 と VirtualNetwork2

    • VirtualNetwork2 と VirtualNetwork3

      VirtualNetwork1 と VirtualNetwork3 の間の接続が VirtualNetwork2 を通して確立されることはありません。 VirtualNetwork1 と VirtualNetwork3 が直接通信できるようにするには、VirtualNetwork1 と VirtualNetwork3 の間に明示的なピアリングを作成するか、ハブ ネットワーク内の NVA を通過する必要があります。 詳細については、「Azure のハブスポーク ネットワーク トポロジ」を参照してください。

  • 既定の Azure 名前解決を使用して、ピアリングされた仮想ネットワークで名前を解決することはできません。 他の仮想ネットワーク内の名前を解決するには、Azure プライベート DNS またはカスタム DNS サーバーを使う必要があります。 独自の DNS サーバーを設定する方法については、「独自 DNS サーバー使用の名前解決」をご覧ください。

  • 同じリージョン内のピアリングされた仮想ネットワークのリソースは、これらが同じ仮想ネットワーク内に存在する場合と同様の待機時間で相互に通信できます。 ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。 ピアリング内の帯域幅に関して他の制限は一切ありません。 仮想マシンのサイズごとに、独自の最大ネットワーク帯域幅が設定されています。 さまざまな仮想マシン サイズの最大ネットワーク帯域幅の詳細については、「Azure の仮想マシンのサイズ」を参照してください。

  • 仮想ネットワークは、別の仮想ネットワークとピアリングすることができ、Azure 仮想ネットワーク ゲートウェイを使用して別の仮想ネットワークに接続することもできます。 ピアリングとゲートウェイの両方を使用して仮想ネットワークが接続されている場合、仮想ネットワーク間のトラフィックは、ゲートウェイではなく、ピアリング構成を介して流れます。

  • 新しいルートをクライアントに確実にダウンロードするには、仮想ネットワーク ピアリングが正常に構成された後で、もう一度ポイント対サイト VPN クライアントをダウンロードする必要があります。

  • 仮想ネットワーク ピアリングを利用するイングレスとエグレスのトラフィックには少額の料金が発生します。 詳細については、 価格に関するページを参照してください。

アクセス許可

仮想ネットワークのピアリングを扱うために使用するアカウントは、次のロールに割り当てる必要があります。

アカウントが上記のロールの 1 つに割り当てられていない場合は、次の表から必要なアクションが割り当てられているカスタム ロールにアカウントを割り当てる必要があります。

アクション 名前
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write 仮想ネットワーク A から仮想ネットワーク B へのピアリングを作成するために必要です。仮想ネットワーク A は仮想ネットワーク (Resource Manager) である必要があります
Microsoft.Network/virtualNetworks/peer/action 仮想ネットワーク B (Resource Manager) から仮想ネットワーク A へのピアリングを作成するために必要です
Microsoft.ClassicNetwork/virtualNetworks/peer/action 仮想ネットワーク B (クラシック) から仮想ネットワーク A へのピアリングを作成するために必要です
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read 仮想ネットワーク ピアリングの読み取り
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete 仮想ネットワーク ピアリングの削除

次のステップ

  • 仮想ネットワーク ピアリングは仮想ネットワーク間に作成されますが、これらの仮想ネットワークの作成に使用されたデプロイ モデルは同じでも異なっていてもかまいません。また、仮想ネットワークが存在するサブスクリプションは同じでも異なっていてもかまいません。 次のいずれかのシナリオのチュートリアルを完了します。

    Azure デプロイメント モデル サブスクリプション
    両方が Resource Manager 同じ
    異なる
    一方が Resource Manager、もう一方がクラシック 同じ
    異なる
  • ハブおよびスポーク ネットワーク トポロジを作成する方法を学習します

  • PowerShell または Azure CLI のサンプル スクリプトを使って、または Azure Resource Manager テンプレートを使って、仮想ネットワーク ピアリングを作成します

  • 仮想ネットワーク用に Azure Policy 定義を作成して割り当てる