Azure Virtual Network ピアリングの作成、変更、または削除

2025-05-11

この記事では、Azure 仮想ネットワークピアリングを作成、変更、または削除する方法について説明します。仮想ネットワークピアリングは、Azure バックボーンネットワークを使用してリージョン間で仮想ネットワークを接続します。詳細については、仮想ネットワークピアリングの概要または仮想ネットワークピアリングのチュートリアルを参照してください。

[前提条件]

Azure アカウントとアクティブなサブスクリプションをお持ちでない場合は、無料で作成できます。この記事の残りを始める前に、次のいずれかのタスクを完了します。

ピアリングを操作するために必要なアクセス許可が Azure アカウントを使用して、 Azure portal にサインインします。

Azure Cloud Shell でコマンドを実行するか、コンピューターからローカルで PowerShell を実行します。 Azure Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザータブで、 [環境の選択] ドロップダウンリストを見つけ、(まだ選択されていない場合は) [PowerShell] を選択します。

PowerShell をローカルで実行している場合、Azure PowerShell モジュールバージョン 1.0.0 以降を使用します。インストールされているバージョンを確認するには、Get-Module -ListAvailable Az.Network を実行します。インストールまたはアップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 Connect-AzAccountを実行して、仮想ネットワークピアリングを操作するために必要なアクセス許可を持つアカウントで Azure にサインインします。

Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターからローカルで Azure CLI を実行します。 Azure Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザータブで、[環境の選択] ドロップダウンリストを見つけ、(まだ選択されていない場合は) [Bash] を選びます。

ローカルで Azure CLI を実行する場合は、Azure CLI バージョン 2.0.31 以降を使用してください。インストールされているバージョンを確認するには、az --version を実行します。インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。 az loginを実行して、仮想ネットワークピアリングを操作するために必要なアクセス許可を持つアカウントで Azure にサインインします。

Azure への接続を使用するアカウントは、ネットワーク共同作成者ロール、またはアクセス許可に記載されている適切なアクションが割り当てられるカスタムロールに割り当てる必要があります。

仮想ネットワークピアリングの作成

ピアリングを作成する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
仮想ネットワークで、ピアリングを作成するネットワークを選択します。
[設定] で [ピアリング] を選択します。
[+ 追加] を選択します。

次の設定の値を入力または選択し、[追加] を選択します。

設定	説明
リモート仮想ネットワークの概要
[Peering link name](ピアリングリンク名)	ローカル仮想ネットワークからのピアリングの名前。仮想ネットワーク内で一意となる名前を使用してください。
仮想ネットワークのデプロイモデル	ピアリングする仮想ネットワークのデプロイに使用されたデプロイモデルを選択します。
リソース ID を知っている	ピアリングする仮想ネットワークへの読み取りアクセス権がある場合は、このチェックボックスをオフのままにしておきます。ピアリングする仮想ネットワークまたはサブスクリプションへの読み取りアクセス権がない場合は、このチェックボックスをオンにします。
リソースID	このフィールドは、[リソース ID を知っている] チェックボックスをオンにすると表示されます。この仮想ネットワークと同じ Azure リージョン、またはサポートされている異なる Azure リージョンに存在する、仮想ネットワークのリソース ID を入力する必要があります。完全なリソース ID は、 `/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>` aのようになります。仮想ネットワークのプロパティを表示することで、仮想ネットワークのリソース ID を取得できます。仮想ネットワークのプロパティを表示する方法については、「仮想ネットワークと設定の表示」を参照してください。サブスクリプションが、ピアリングしている仮想ネットワークを持つサブスクリプションとは異なる Microsoft Entra テナントに関連付けられている場合は、ユーザーのアクセス許可を割り当てる必要があります。各テナントのユーザーを、反対のテナントにゲストユーザーとして追加します。
サブスクリプション	ピアリングする仮想ネットワークのサブスクリプションを選択します。アカウントがアクセスできるサブスクリプションの数に応じて、1 つ以上のサブスクリプションが一覧表示されます。
仮想ネットワーク	リモート仮想ネットワークを選択します。
リモート仮想ネットワークピアリングの設定
ピアリングされた仮想ネットワークに 'vnet-1' へのアクセスを許可する	既定では、このオプションが選択されています。 - ピアリングされた仮想ネットワークから 'vnet-1' へのトラフィックを許可するには、このオプションを選択します。この設定により、ハブスポークネットワークトポロジ内のハブとスポーク間の通信が可能になり、ピアリングされた仮想ネットワーク内の VM が 'vnet-1' の VM と通信できるようになります。ネットワークセキュリティグループの VirtualNetwork サービスタグには、この設定を選択すると、仮想ネットワークとピアリングされた仮想ネットワークが含まれます。サービスタグの詳細については、Azure のサービスタグに関するページを参照してください。
ピアリングされた仮想ネットワークが 'vnet-1' からトラフィック転送を受信することを許可する	このオプションは既定では選択されていません。 - このオプションを有効にすると、ピアリングされた仮想ネットワークは、"vnet-1" にピアリングされた仮想ネットワークからトラフィックを受信できます。たとえば、vnet-1 に転送される vnet-2 の外部からのトラフィックを受信する NVA が vnet-2 にある場合は、この設定を選択すると、そのトラフィックが vnet-2 から vnet-1 に到達できるようになります。この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。
ピアリングされた仮想ネットワーク内のゲートウェイまたはルートサーバーがトラフィックを 'vnet-1' に転送することを許可する	このオプションは既定では選択されていません。 - この設定を有効にすると、"vnet-1" はピアリングされた仮想ネットワークのゲートウェイまたはルートサーバーからトラフィックを受信できます。このオプションを有効にするには、ピアリングされた仮想ネットワークにゲートウェイまたはルートサーバーが含まれる必要があります。
ピアリングされた仮想ネットワークが 'vnet-1' のリモートゲートウェイまたはルートサーバーを使用できるようにする	このオプションは既定では選択されていません。 - このオプションを有効にできるのは、'vnet-1' にリモートゲートウェイまたはルートサーバーがあり、'vnet-1' で "'vnet-1' のゲートウェイがピアリングされた仮想ネットワークにトラフィックを転送できるようにする" 場合のみです。このオプションは、ピアリングされた仮想ネットワークのピアリングのいずれかでのみ有効にすることができます。このオプションを選択することもできます。この仮想ネットワークでリモートルートサーバーを使用してルートを交換する場合は、「Azure Route Server. 注:仮想ネットワークにゲートウェイが既に構成されている場合は、リモートゲートウェイを使用できません。転送にゲートウェイを使用する方法の詳細については、「仮想ネットワークピアリングでの転送用に VPN ゲートウェイを構成する」を参照してください。
ローカル仮想ネットワークの概要
[Peering link name](ピアリングリンク名)	リモート仮想ネットワークからのピアリングの名前。仮想ネットワーク内で一意となる名前を使用してください。
ローカル仮想ネットワークピアリングの設定
ピアリングされた仮想ネットワークへのアクセスを 'vnet-1' に許可する	既定では、このオプションが選択されています。 - 'vnet-1' からピアリングされた仮想ネットワークへのトラフィックを許可するには、このオプションを選択します。この設定により、ハブスポークネットワークトポロジ内のハブとスポーク間の通信が可能になり、'vnet-1' 内の VM がピアリングされた仮想ネットワーク内の VM と通信できるようになります。
'vnet-1' がピアリングされた仮想ネットワークからトラフィック転送を受信することを許可する	このオプションは既定では選択されていません。 - このオプションを有効にすると、ピアリングされた仮想ネットワークにピアリングされた仮想ネットワークから "vnet-1" がトラフィックを受信できるようになります。たとえば、vnet-2 に vnet-1 に転送される vnet-2 の外部からトラフィックを受信する NVA がある場合は、この設定を選択して、そのトラフィックが vnet-2 から vnet-1 に到達できるようにします。この機能を有効にすると、ピアリングを介してトラフィック転送が許可されますが、ユーザー定義ルートやネットワーク仮想アプライアンスが作成されるわけではありません。ユーザー定義ルートとネットワーク仮想アプライアンスは個別に作成されます。
'vnet-1' 内のゲートウェイまたはルートサーバーがトラフィックをピアリングされた仮想ネットワークに転送することを許可する	このオプションは既定では選択されていません。 - この設定を有効にすると、ピアリングされた仮想ネットワークが 'vnet-1' のゲートウェイまたはルートサーバーからトラフィックを受信できるようになります。このオプションを有効にするには、'vnet-1' にゲートウェイまたはルートサーバーが含まれる必要があります。
'vnet-1' がピアリングされた仮想ネットワークのリモートゲートウェイまたはルートサーバーを使用できるようにする	このオプションは既定では選択されていません。 - このオプションは、ピアリングされた仮想ネットワークにリモートゲートウェイまたはルートサーバーがあり、ピアリングされた仮想ネットワークで "ピアリングされた仮想ネットワーク内のゲートウェイが "vnet-1" にトラフィックを転送できるようにする場合にのみ有効にすることができます。このオプションは、いずれかの 'vnet-1' ピアリングでのみ有効にすることができます。

仮想ネットワークピアリングの構成ページを示す Azure portal のスクリーンショット。

注

Microsoft Azure Virtual Network ゲートウェイを使用して、ピアリングされた仮想ネットワークにオンプレミスのトラフィックを推移的に送信する場合は、オンプレミス VPN デバイスのピアリングされた仮想ネットワーク IP 範囲を "興味深い" トラフィックに設定する必要があります。オンプレミス VPN デバイス上のサイト 2 サイト IPsec VPN Tunnel 構成に、Azure 仮想ネットワークのすべての CIDR アドレスを追加することが必要になる場合があります。 CIDR アドレスには、 Hub、スポーク、ポイント-2-サイト IP アドレスプールなどのリソースが含まれます。それ以外の場合、オンプレミスのリソースは、ピアリングされた仮想ネットワーク内のリソースと通信できません。興味深いトラフィックは、フェーズ 2 のセキュリティアソシエーションを介して通信されます。セキュリティアソシエーションにより、指定のサブネットごとに専用の VPN トンネルが作成されます。オンプレミスと Azure VPN Gateway レベルでは、同じ数のサイト 2 サイト VPN トンネルと Azure 仮想ネットワークサブネットをサポートする必要があります。それ以外の場合、オンプレミスのリソースは、ピアリングされた仮想ネットワーク内のリソースと通信できません。指定された Azure 仮想ネットワークサブネットごとにフェーズ 2 のセキュリティアソシエーションを作成する手順については、オンプレミスの VPN ドキュメントを参照してください。

数秒後に [更新] ボタンを選択すると、ピアリングの状態が [更新中] から [接続済み] に変わります。

異なるサブスクリプションおよびデプロイモデルの仮想ネットワーク間にピアリングを実装する手順については、次の手順をご覧ください。

Add-AzVirtualNetworkPeering を使用して仮想ネットワークピアリングを作成します。

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

az network virtual network peering create を使用して、仮想ネットワークピアリングを作成します。

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

ピアリング設定の表示または変更

ピアリングを変更する前に、要件と制約、必要なアクセス許可を十分に理解しておいてください。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択してから、設定を表示または変更するピアリングを選択します。
該当する設定を変更します。各設定のオプションについては、「ピアリングの作成」の手順 4 を参照してください。その後、 [保存] を選択して構成の変更を完了します。

Get-AzVirtualNetworkPeering を使用して仮想ネットワークのピアリングとその設定を一覧表示します。

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

Set-AzVirtualNetworkPeering を使用してピアリング設定を変更します。

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

az network vnet peering list を使用して仮想ネットワークのピアリングを一覧表示します。

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

az network vnet peering show を使用して特定のピアリングの設定を表示します。

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

az network vnet peering update を使用してピアリング設定を変更します。

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

ピアリングの削除

ピアリングを削除する前に、要件と制約および必要なアクセス許可を十分に理解しておいてください。

2 つの仮想ネットワーク間のピアリングが削除されると、その仮想ネットワーク間でトラフィックが流れることはできなくなります。仮想ネットワークがピアリングを削除するのではなく、必ずしも通信する場合に、リモート仮想ネットワークへのトラフィックをブロックする場合は、 リモート仮想ネットワークへのトラフィックを許可する 設定の選択を解除します。ピアリングを削除して再作成するよりも、ネットワークアクセスを無効にして有効にする方が簡単な場合があります。

Azure portal の上部にある検索ボックスに、「仮想ネットワーク」と入力します。検索結果で、[仮想ネットワーク] を選択します。
[仮想ネットワーク] でのピアリング設定を表示または変更する仮想ネットワークを選択します。
[設定] で [ピアリング] を選択します。
削除するピアリングの横のボックスを選んでから、[削除] を選びます。
[ピアリングの削除] で、確認ボックスに「削除」と入力し、[削除] を選択します。

注

仮想ネットワークから仮想ネットワークピアリングを削除すると、リモート仮想ネットワークからのピアリングも削除されます。
[削除] を選択し、[削除の確認] で削除を確定します。

Remove-AzVirtualNetworkPeering を使用して仮想ネットワークピアリングを削除します

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

az network vnet peering delete を使用して仮想ネットワークピアリングを削除します。

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

要件と制約

同じリージョンまたは異なるリージョンの仮想ネットワークをピアリングできます。異なるリージョンの仮想ネットワークのピアリングは、グローバル仮想ネットワークピアリング とも呼ばれます。
グローバルピアリングを作成すると、ピアリングされた仮想ネットワークは、任意の Azure パブリッククラウドリージョン、中国クラウドリージョン、または Government クラウドリージョンに存在できます。ただし、異なるクラウド間で仮想ネットワークをピアリングすることはできません。たとえば、Azure パブリッククラウド内の仮想ネットワークは、21Vianet クラウドによって運用されている Microsoft Azure の仮想ネットワークに接続できません。
ピアリングの一部である仮想ネットワークは、移動できません。仮想ネットワークを別のリソースグループまたはサブスクリプションに移動するには、まずピアリングを削除してから、仮想ネットワークを移動してから、最後にピアリングを再作成します。
1 つの仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワーク内の基本ロードバランサー (内部またはパブリック) のフロントエンド IP アドレスと通信できません。基本ロードバランサーのサポートは、同じリージョン内にのみ存在します。 Standard ロードバランサーのサポートは、仮想ネットワークピアリングとグローバル仮想ネットワークピアリングの両方に対して存在します。基本的なロードバランサーを使用する一部のサービスは、グローバルな仮想ネットワークピアリングでは動作しません。詳細については、グローバル仮想ネットワークピアリングとロードバランサーに関連する制約を参照してください。
グローバルにピアリングされた仮想ネットワークおよびローカルにピアリングされた仮想ネットワークでは、リモートゲートウェイを使用でき、ゲートウェイ転送を許可できます。
仮想ネットワークが属しているサブスクリプションは同じでも、異なっていてもかまいません。異なるサブスクリプションの仮想ネットワークをピアリングする場合、両方のサブスクリプションを同じまたは異なる Microsoft Entra テナントに関連付けることができます。 AD テナントをまだ持っていない場合は、作成できます。
ピアリングする仮想ネットワークには、重複しない IP アドレス空間が必要です。
Resource Manager を使用して作成された 2 つの仮想ネットワークをピアリングする場合は、ピアリング内の仮想ネットワークごとにピアリングを構成する必要があります。ピアリングの状態の種類として次のいずれかが表示されます。
- 開始済み: 最初のピアリングを作成するとき、その状態は "開始済み" となります。
- 接続済み: 2 つ目のピアリングを作成すると、ピアリングの状態はどちらのピアリングも [接続済み] になります。両方の仮想ネットワークピアリングの状態が "接続済み" になるまで、ピアリングは正常に確立されません。
ピアリングは 2 つの仮想ネットワーク間で確立されます。ピアリング自体は推移的ではありません。次の仮想ネットワーク間のピアリングを作成したとします。
- VirtualNetwork1 と VirtualNetwork2
- VirtualNetwork2 と VirtualNetwork3
  
  VirtualNetwork1 と VirtualNetwork3 の間の接続が VirtualNetwork2 を通して確立されることはありません。 VirtualNetwork1 と VirtualNetwork3 を直接通信する場合は、VirtualNetwork1 と VirtualNetwork3 の間に明示的なピアリングを作成するか、 Hub ネットワーク内の NVA を経由する必要があります。詳細については、Azure Hub-spoke ネットワークトポロジを参照してください。
既定の Azure 名前解決を使用して、ピアリングされた仮想ネットワークで名前を解決することはできません。他の仮想ネットワーク内の名前を解決するには、Azure プライベート DNS またはカスタム DNS サーバーを使う必要があります。独自の DNS サーバーを設定する方法については、「独自 DNS サーバー使用の名前解決」をご覧ください。
同じリージョン内のピアリングされた仮想ネットワークのリソースは、これらが同じ仮想ネットワーク内に存在する場合と同様の待機時間で相互に通信できます。ネットワークスループットは、そのサイズに比例して、仮想マシンで許可される帯域幅に基づいています。ピアリング内の帯域幅に関して他の制限は一切ありません。仮想マシンのサイズごとに、独自の最大ネットワーク帯域幅が設定されています。さまざまな仮想マシンサイズの最大ネットワーク帯域幅の詳細については、「Azure の仮想マシンのサイズ」を参照してください。
仮想ネットワークは、別の仮想ネットワークとピアリングすることができ、Azure 仮想ネットワークゲートウェイを使用して別の仮想ネットワークに接続することもできます。ピアリングとゲートウェイの両方を使用して仮想ネットワークが接続されている場合、仮想ネットワーク間のトラフィックは、ゲートウェイではなく、ピアリング構成を介して流れます。
新しいルートがクライアントに確実にダウンロードされるように仮想ネットワークピアリングが正常に構成された後、ポイント対サイト VPN クライアントを再度ダウンロードする必要があります。
仮想ネットワークピアリングを利用するイングレスとエグレスのトラフィックには少額の料金が発生します。詳細については、価格に関するページを参照してください。
ネットワーク分離が有効になっていない Application Gateway では、リモート仮想ネットワークへのトラフィックを許可するが無効になっている場合、ピアリングされた VNET 間でトラフィックを送信することはできません。

アクセス許可

仮想ネットワークピアリングの操作に使用するアカウントは、次のロールに割り当てる必要があります。

ネットワーク共同作成者

アカウントが前のロールに割り当てられていない場合は、次の表の必要なアクションが割り当てられているカスタムロールに割り当てる必要があります。

アクション	名前
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	仮想ネットワーク A から仮想ネットワーク B へのピアリングを作成するために必要です。
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	仮想ネットワークピアリングの読み取り
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	仮想ネットワークピアリングの削除

重要

リモート仮想ネットワークピアリングを削除するには、 ネットワーク共同作成者 または Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read と Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete のカスタムロールがリモート仮想ネットワークに割り当てられている必要があります。

次のステップ

仮想ネットワークピアリングは、同じサブスクリプションまたは異なるサブスクリプションに存在する仮想ネットワーク間で作成できます。次のいずれかのシナリオのチュートリアルを完了します。

Azure デプロイメントモデルサブスクリプション

リソースマネージャー同じ

異なる
ハブとスポークのネットワークトポロジを作成する方法について説明します
PowerShell または Azure CLI のサンプルスクリプトを使って、または Azure Resource Manager テンプレートを使って、仮想ネットワークピアリングを作成します
仮想ネットワーク用に Azure Policy 定義を作成して割り当てる

Azure デプロイメントモデル	サブスクリプション
リソースマネージャー	同じ
	異なる

次の方法で共有