仮想ネットワーク ピアリングの作成、変更、削除
仮想ネットワーク ピアリングを作成、変更、削除する方法について説明します。 仮想ネットワーク ピアリングを使用すると、Azure バックボーン ネットワークを介して、同じリージョン内の仮想ネットワークとリージョン間 (グローバル仮想ネットワーク ピアリングとも呼ばれます) で仮想ネットワークを接続できます。 ピアリング後も、仮想ネットワークは個別のリソースとして管理されます。 仮想ネットワーク ピアリングが初めての方は、仮想ネットワーク ピアリングの概要に関するページを参照するか、仮想ネットワーク ピアリングのチュートリアルを行うことで詳しく学習できます。
[前提条件]
Azure アカウントとアクティブなサブスクリプションをお持ちでない場合は、無料で作成できます。 この記事の残りを始める前に、次のいずれかのタスクを完了します。
ピアリングを操作するために必要なアクセス許可が Azure アカウントを使用して、 Azure portal にサインインします。
ピアリングの作成
ピアリングを作成する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。
Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
仮想ネットワークで、ピアリングを作成するネットワークを選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。
-
設定 説明 この仮想ネットワーク [Peering link name](ピアリング リンク名) ローカル仮想ネットワークからのピアリングの名前。 仮想ネットワーク内で一意となる名前を使用してください。 'vnet-1' に 'vnet-2' へのアクセスを許可する 既定では、このオプションが選択されています。 - 既定 VirtualNetwork
のフローを使用して 2 つの仮想ネットワーク間の通信を有効にするには、'vnet-1' に 'vnet-2' へのアクセスを許可する (既定値) を選択します。 これにより、いずれかの仮想ネットワークに接続されているリソースは、Azure プライベート ネットワーク経由で相互に通信できます。 ネットワーク セキュリティ グループの VirtualNetwork サービス タグには、この設定を選択すると、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。 サービス タグの詳細については、Azure のサービス タグに関するページを参照してください。'vnet-1' が 'vnet-2' から転送されたトラフィックを受信することを許可する このオプションは 既定では選択されていません。 -ピアリングされた仮想ネットワークからの転送トラフィックを許可するには、'vnet-1' が 'vnet-2' から転送されたトラフィックを受信することを許可する を選択します。 この設定は、vnet-2 から発信されていないトラフィックが vnet-1 に到達することを許可する場合に選択できます。 たとえば、vnet-2 に vnet-1 に転送される vnet-2 の外部からトラフィックを受信する NVA がある場合は、この設定を選択して、そのトラフィックが vnet-2 から vnet-1 に到達できるようにします。 この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。 ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。 ユーザー定義ルートについては、こちらをご覧ください。 注:'vnet-1' で 'vnet-2' から転送されたトラフィックを受信できるようにする設定を選択しない場合、VirtualNetwork サービス タグの定義のみが変更されます。この設定に説明されているように、Peer ノード接続間のトラフィック フローを完全に防止 わけではありません。 'vnet-1' のゲートウェイが 'vnet-2' にトラフィックを転送することを許可する このオプションは 既定では選択されていません。 - vnet-2 で vnet-1 のゲートウェイ/Azure Route Server からのトラフィックを受信する場合は、'vnet-1' のゲートウェイを 'vnet-2' にトラフィックを転送することを許可するを選択します。 このオプションを有効にするには、vnet-1 にゲートウェイが含まれている必要があります。 'vnet-1' で 'vnet-2' リモート ゲートウェイを使用できるようにする このオプションは 既定では選択されていません。 - vnet-1 で vnet-2 のゲートウェイまたは Azure Route Server を使用する場合は、'vnet-1' で 'vnet-2' リモート ゲートウェイを使用できるようにするを選択します。 vnet-1 では、1 つのピアリング接続からのみリモート ゲートウェイまたは Azure Route Server を使用できます。 このオプションを選択するには、vnet-2 にゲートウェイまたは Azure Route Server が必要です。 たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミス ネットワークとの通信が可能になっているとします。 この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。 このオプションを選択することもでき、この仮想ネットワークでリモート ルート サーバーを使用してルートを交換する場合は、「Azure Route Server」を参照してください。 注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモート ゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワーク ピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。 リモート仮想ネットワーク [Peering link name](ピアリング リンク名) リモート仮想ネットワークからのピアリングの名前。 仮想ネットワーク内で一意となる名前を使用してください。 仮想ネットワークのデプロイ モデル ピアリングする仮想ネットワークのデプロイに使用されたデプロイ モデルを選択します。 リソース ID を知っている ピアリングする仮想ネットワークへの読み取りアクセス権がある場合は、このチェック ボックスをオフのままにしておきます。 ピアリングする仮想ネットワークまたはサブスクリプションへの読み取りアクセス権がない場合は、このチェック ボックスをオンにします。 Resource ID このフィールドは、[リソース ID を知っている] チェック ボックスをオンにすると表示されます。 この仮想ネットワークと同じ Azure リージョン、またはサポートされている異なる Azure リージョンに存在する、仮想ネットワークのリソース ID を入力する必要があります。 完全なリソース ID は、 /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
aのようになります。 仮想ネットワークのプロパティを表示することで、仮想ネットワークのリソース ID を取得できます。 仮想ネットワークのプロパティを表示する方法については、「仮想ネットワークと設定の表示」を参照してください。 サブスクリプションが、ピアリングしている仮想ネットワークを持つサブスクリプションとは異なる Microsoft Entra テナントに関連付けられている場合は、ユーザーのアクセス許可を割り当てる必要があります。 各テナントのユーザーを、反対のテナントに ゲスト ユーザー として追加します。サブスクリプション ピアリングする仮想ネットワークのサブスクリプションを選択します。 アカウントに読み取りアクセス権があるサブスクリプションの数に応じて、1 つ以上のサブスクリプションが表示されます。 [リソース ID を知っている] チェック ボックスをオンにした場合は、この設定は使用できません。 仮想ネットワーク ピアリングする仮想ネットワークを選択します。 いずれかの Azure デプロイ モデルで作成された仮想ネットワークを選択できます。 異なるリージョンの仮想ネットワークを選ぶ場合は、サポートされているリージョンの仮想ネットワークを選ぶ必要があります。 仮想ネットワークを一覧に表示するには、その仮想ネットワークへの読み取りアクセス権が必要です。 仮想ネットワークが一覧に表示されていても、淡色表示されている場合、仮想ネットワークのアドレス空間がこの仮想ネットワークのアドレス空間と重複している可能性があります。 仮想ネットワークのアドレス空間が重複している場合は、それらの仮想ネットワークをピアリングすることはできません。 [リソース ID を知っている] チェック ボックスをオンにした場合は、この設定は使用できません。 'vnet-2' に 'vnet-1' へのアクセスを許可する 既定では、このオプションが選択されています。 - 既定の VirtualNetwork
フローを使用して 2 つの仮想ネットワーク間の通信を有効にする場合は、'vnet-2' に 'vnet-1' へのアクセスを許可する を選択します。 仮想ネットワーク間の通信を有効にすると、これらの仮想ネットワークに接続されているリソースが Azure プライベート ネットワーク経由で相互に通信できるようになります。 ネットワーク セキュリティ グループの VirtualNetwork サービス タグには、この設定が 選択済み に設定されている場合、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。 サービス タグの詳細については、Azure のサービス タグに関するページを参照してください。'vnet-2' が 'vnet-1' から転送されたトラフィックを受信することを許可する このオプションは 既定では選択されていません。 - ピアリングされた仮想ネットワークからの転送トラフィックを許可するには、'vnet-2' が 'vnet-1' から転送されたトラフィックを受信することを許可する'を選択します。 この設定は、vnet-1 から発信されていないトラフィックが vnet-2 に到達することを許可する場合に選択できます。 たとえば、vnet-1 に vnet-1 の外部からのトラフィックを受信する NVA が vnet-2 に転送される場合は、この設定を選択して、そのトラフィックが vnet-1 から vnet-2 に到達できるようにします。 この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。 ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。 ユーザー定義ルートについては、こちらをご覧ください。 注:'vnet-1' で 'vnet-2' から転送されたトラフィックを受信できるようにする設定を選択しない場合、VirtualNetwork サービス タグの定義のみが変更されます。この設定に説明されているように、Peer ノード接続間のトラフィック フローを完全に防止 わけではありません。 'vnet-2' のゲートウェイが 'vnet-1' にトラフィックを転送することを許可する このオプションは 既定では選択されていません。 - vnet-1 が vnet-2 のゲートウェイ/Azure Route Server からのトラフィックを受信する場合は、「'vnet-2' のゲートウェイが 'vnet-1' にトラフィックを転送することを許可する」を選択します。 このオプションを有効にするには、vnet-2 にゲートウェイが含まれている必要があります。 'vnet-2' で 'vnet-1' リモート ゲートウェイを使用できるようにする このオプション は既定では選択されていません。 - vnet-2 で vnet-1 のゲートウェイまたは Azure Route Server を使用する場合は、「'vnet-2' で 'vnet-1' リモート ゲートウェイを使用できるようにする」 を選択します。 vnet-2 では、1 つのピアリング接続からのみリモート ゲートウェイまたは Azure Route Server を使用できます。 このオプションを選択するには、vnet-1 にゲートウェイまたは Azure Route Server が必要です。 たとえば、ピアリングの相手である仮想ネットワークに VPN ゲートウェイがあり、これによってオンプレミス ネットワークとの通信が可能になっているとします。 この設定を選択すると、この仮想ネットワークからのトラフィックを、ピアリングされた仮想ネットワーク内の VPN ゲートウェイ経由で流すことができます。 このオプションを選択することもでき、この仮想ネットワークでリモート ルート サーバーを使用してルートを交換する場合は、「Azure Route Server」を参照してください。 このシナリオでは、次ホップの種類として仮想ネットワーク ゲートウェイを指定するユーザー定義ルートを実装する必要があります。 ユーザー定義ルートについては、こちらをご覧ください。 ユーザー定義ルートでネクスト ホップの種類として指定できるのは、VPN ゲートウェイだけです。ユーザー定義ルートで、ネクスト ホップの種類として ExpressRoute ゲートウェイを指定することはできません。 注:仮想ネットワーク内に既にゲートウェイが構成されている場合は、リモート ゲートウェイを使用することはできません。転送にゲートウェイを使用する方法の詳細については、仮想ネットワーク ピアリングで転送するために VPN ゲートウェイを構成することに関するページを参照してください。 Note
Microsoft Azure Virtual Network ゲートウェイを使用して、ピアリングされた仮想ネットワークにオンプレミスのトラフィックを推移的に送信する場合は、オンプレミス VPN デバイスのピアリングされた仮想ネットワーク IP 範囲を "興味深い" トラフィックに設定する必要があります。 オンプレミス VPN デバイス上のサイト-2-サイト IPSec VPN Tunnel 構成に、Azure 仮想ネットワークのすべての CIDR アドレスを追加することが必要になる場合があります。 CIDR アドレスには、 Hub、スポーク、ポイント-2-サイト IP アドレス プールなどのリソースが含まれます。 そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。 興味深いトラフィックは、フェーズ 2 のセキュリティ アソシエーションを介して通信されます。 セキュリティ アソシエーションにより、指定のサブネットごとに専用の VPN トンネルが作成されます。 オンプレミスと Azure VPN Gateway 層で、同じ数のサイト間 VPN トンネルと Azure VNet サブネットがサポートされている必要があります。 そうしないと、オンプレミスのリソースがピアリングされた VNet 内のリソースと通信できなくなります。 指定の Azure VNet サブネットごとにフェーズ 2 のセキュリティ アソシエーションを作成する手順については、オンプレミス VPN のドキュメントを参照してください。
数秒後に [更新] ボタンを選択すると、ピアリングの状態が [更新中] から [接続済み] に変わります。
異なるサブスクリプションおよびデプロイ モデルの仮想ネットワーク間にピアリングを実装する手順については、次の手順をご覧ください。
ピアリング設定の表示または変更
ピアリングを変更する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。
Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択してから、設定を表示または変更するピアリングを選択します。
該当する設定を変更します。 各設定のオプションについては、「ピアリングの作成」の手順 4 を参照してください。 その後、 [保存] を選択して構成の変更を完了します。
ピアリングの削除
ピアリングを削除する前に、要件と制約および必要なアクセス許可を十分に理解しておいてください。
2 つの仮想ネットワーク間のピアリングが削除されると、その仮想ネットワーク間でトラフィックが流れることはできなくなります。 仮想ネットワークがピアリングを削除するのではなく、必ずしも通信する場合に、リモート仮想ネットワークへのトラフィックをブロックする場合は、 リモート仮想ネットワークへのトラフィックを許可する 設定の選択を解除します。 ピアリングを削除し、再作成するよりも、ネットワーク アクセスを無効化/有効化する方が簡単な場合があります。
Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択します。
削除するピアリングの右側にある [...] を選択し、 [削除] を選択します。
[はい] を選択して、ピアリングと対応するピアを削除することを確認します。
Note
仮想ネットワーク ピアリングを仮想ネットワークから削除すると、そのピアリングはリモート仮想ネットワークからも削除されます。
要件と制約
同じリージョンまたは異なるリージョンの仮想ネットワークをピアリングできます。 異なるリージョンの仮想ネットワークのピアリングは、グローバル仮想ネットワーク ピアリング とも呼ばれます。
グローバル ピアリングの作成では、ピアリングされた仮想ネットワークは Azure パブリック クラウドの任意のリージョン、または China クラウド リージョン、あるいは Government クラウド リージョンに存在できます。 クラウド間ではピアリングできません。 たとえば、Azure パブリック クラウド内の仮想ネットワークを、21Vianet クラウドが運用する Microsoft Azure の仮想ネットワークにピアリングすることはできません。
1 つの仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワーク内の基本ロード バランサー (内部またはパブリック) のフロントエンド IP アドレスと通信できません。 基本ロード バランサーのサポートは、同じリージョン内にのみ存在します。 Standard ロード バランサーのサポートは、仮想ネットワーク ピアリングとグローバル仮想ネットワーク ピアリングの両方に対して存在します。 基本的なロード バランサーを使用する一部のサービスは、グローバルな仮想ネットワーク ピアリングでは動作しません。 詳細については、グローバル仮想ネットワーク ピアリングとロード バランサーに関連する制約を参照してください。
グローバルにピアリングされた仮想ネットワークおよびローカルにピアリングされた仮想ネットワークでは、リモート ゲートウェイを使用でき、ゲートウェイ転送を許可できます。
仮想ネットワークが属しているサブスクリプションは同じでも、異なっていてもかまいません。 異なるサブスクリプションの仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Microsoft Entra テナントに関連付けることができます。 AD テナントをまだ持っていない場合は、作成できます。
ピアリングする仮想ネットワークには、重複しない IP アドレス空間が必要です。
Resource Manager を使用してデプロイされた 2 つの仮想ネットワーク、または Resource Manager を使用してデプロイされた仮想ネットワークとクラシック デプロイ モデルを使用してデプロイされた仮想ネットワークをピアリングできます。 クラシック デプロイ モデルを使用して作成された 2 つの仮想ネットワークをピアリングすることはできません。 Azure デプロイ モデルの知識がない場合は、Azure デプロイ モデルの概要に関する記事をご覧ください。 クラシック デプロイ モデルを使って作成された 2 つの仮想ネットワークは、VPN Gateway を使用して接続できます。
Resource Manager を使用して作成された 2 つの仮想ネットワークをピアリングする場合は、ピアリング内の仮想ネットワークごとにピアリングを構成する必要があります。 ピアリングの状態の種類として次のいずれかが表示されます。
開始済み: 最初のピアリングを作成するとき、その状態は "開始済み" となります。
接続済み: 2 つ目のピアリングを作成すると、ピアリングの状態はどちらのピアリングも [接続済み] になります。 両方の仮想ネットワーク ピアリングの状態が "接続済み" になるまで、ピアリングは正常に確立されません。
Resource Manager を使用して作成された仮想ネットワークを、クラシック デプロイ モデルを使用して作成された仮想ネットワークとピアリングするときは、Resource Manager を使用してデプロイされた仮想ネットワークのピアリングだけを構成します。 ピアリングを仮想ネットワーク (クラシック) に対して構成することや、クラシック デプロイ モデルを使用してデプロイされた 2 つの仮想ネットワークの間に構成することはできません。 仮想ネットワーク (Resource Manager) から仮想ネットワーク (クラシック) へのピアリングを作成すると、ピアリングの状態が "更新中" になった後、すぐに "接続済み" に変わります。
ピアリングは 2 つの仮想ネットワーク間で確立されます。 ピアリング自体は推移的ではありません。 次の仮想ネットワーク間のピアリングを作成したとします。
VirtualNetwork1 と VirtualNetwork2
VirtualNetwork2 と VirtualNetwork3
VirtualNetwork1 と VirtualNetwork3 の間の接続が VirtualNetwork2 を通して確立されることはありません。 VirtualNetwork1 と VirtualNetwork3 を直接通信する場合は、VirtualNetwork1 と VirtualNetwork3 の間に明示的なピアリングを作成するか、 Hub ネットワーク内の NVA を経由する必要があります。 詳細については、Azure Hub-spoke ネットワーク トポロジを参照してください。
既定の Azure 名前解決を使用して、ピアリングされた仮想ネットワークで名前を解決することはできません。 他の仮想ネットワーク内の名前を解決するには、Azure プライベート DNS またはカスタム DNS サーバーを使う必要があります。 独自の DNS サーバーを設定する方法については、「独自 DNS サーバー使用の名前解決」をご覧ください。
同じリージョン内のピアリングされた仮想ネットワークのリソースは、これらが同じ仮想ネットワーク内に存在する場合と同様の待機時間で相互に通信できます。 ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。 ピアリング内の帯域幅に関して他の制限は一切ありません。 仮想マシンのサイズごとに、独自の最大ネットワーク帯域幅が設定されています。 さまざまな仮想マシン サイズの最大ネットワーク帯域幅の詳細については、「Azure の仮想マシンのサイズ」を参照してください。
仮想ネットワークは、別の仮想ネットワークとピアリングすることができ、Azure 仮想ネットワーク ゲートウェイを使用して別の仮想ネットワークに接続することもできます。 ピアリングとゲートウェイの両方を使用して仮想ネットワークが接続されている場合、仮想ネットワーク間のトラフィックは、ゲートウェイではなく、ピアリング構成を介して流れます。
新しいルートをクライアントに確実にダウンロードするには、仮想ネットワーク ピアリングが正常に構成された後で、もう一度ポイント対サイト VPN クライアントをダウンロードする必要があります。
仮想ネットワーク ピアリングを利用するイングレスとエグレスのトラフィックには少額の料金が発生します。 詳細については、 価格に関するページを参照してください。
ネットワーク分離が有効になっていない Application Gateway では、リモート仮想ネットワークへのトラフィックの許可が無効になっている場合、ピアリングされた VNET 間でトラフィックを送信することはできません。
アクセス許可
仮想ネットワークのピアリングを扱うために使用するアカウントは、次のロールに割り当てる必要があります。
ネットワーク共同作成者:Resource Manager を通じてデプロイされる仮想ネットワークの場合。
クラシック ネットワーク共同作成者: クラシック デプロイ モデルを使用してデプロイされた仮想ネットワークの場合。
アカウントが上記のロールの 1 つに割り当てられていない場合は、次の表から必要なアクションが割り当てられているカスタム ロールにアカウントを割り当てる必要があります。
アクション | 名前 |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | 仮想ネットワーク A から仮想ネットワーク B へのピアリングを作成するために必要です。仮想ネットワーク A は仮想ネットワーク (Resource Manager) である必要があります |
Microsoft.Network/virtualNetworks/peer/action | 仮想ネットワーク B (Resource Manager) から仮想ネットワーク A へのピアリングを作成するために必要です |
Microsoft.ClassicNetwork/virtualNetworks/peer/action | 仮想ネットワーク B (クラシック) から仮想ネットワーク A へのピアリングを作成するために必要です |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | 仮想ネットワーク ピアリングの読み取り |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | 仮想ネットワーク ピアリングの削除 |
次のステップ
仮想ネットワーク ピアリングは仮想ネットワーク間に作成されますが、これらの仮想ネットワークの作成に使用されたデプロイ モデルは同じでも異なっていてもかまいません。また、仮想ネットワークが存在するサブスクリプションは同じでも異なっていてもかまいません。 次のいずれかのシナリオのチュートリアルを完了します。
Azure デプロイメント モデル サブスクリプション 両方が Resource Manager 同じ 異なる 一方が Resource Manager、もう一方がクラシック 同じ 異なる ハブ とスポークのネットワーク トポロジを作成する方法について説明します
PowerShell または Azure CLI のサンプル スクリプトを使って、または Azure Resource Manager テンプレートを使って、仮想ネットワーク ピアリングを作成します
仮想ネットワーク用に Azure Policy 定義を作成して割り当てる