仮想ネットワークピアリングの問題をトラブルシューティングする

[アーティクル]
06/01/2023

このトラブルシューティングガイドでは、ほとんどの仮想ネットワークピアリングの問題の解決に役立つ手順を提供します。

Diagram of virtual network peering

2 つの仮想ネットワーク間に仮想ネットワークピアリングを構成する

仮想ネットワークが同じサブスクリプションまたは異なるサブスクリプションにありますか?

仮想ネットワークが同じサブスクリプション内にある

同じサブスクリプションにある仮想ネットワークの仮想ネットワークピアリングを構成するには、次の記事にある方法を使用します。

仮想ネットワークが同じリージョンにある場合は、「ピアリングの作成」を参照してください。
仮想ネットワークが異なるリージョンにある場合は、「仮想ネットワークピアリング」を参照してください。

Note

次のリソースについては、グローバル仮想ネットワークピアリング経由での接続が機能しません。

Basic 内部ロードバランサー (ILB) SKU の背後にある仮想マシン (VM)
Redis Cache (Basic ILB SKU を使用)
Application Gateway v1 (Basic ILB SKU を使用)
仮想マシンスケールセット (Basic ILB SKU を使用)
Azure Service Fabric クラスター (Basic ILB SKU を使用)
SQL Server Always On (Basic ILB SKU を使用)
PowerApps 用 Azure App Service 環境 (Basic ILB SKU を使用)
Azure API Management (Basic ILB SKU を使用)
Microsoft Entra Domain Services (Basic ILB SKU を使用)

詳細については、グローバルピアリングの「要件と制約」を参照してください。

仮想ネットワークが異なるサブスクリプションまたは Active Directory テナントにある

異なるサブスクリプションまたは Active Directory テナント内の仮想ネットワークの仮想ネットワークピアリングを構成するには、異なるサブスクリプション間での仮想ネットワークピアリングの作成に関する記事を参照してください。

Note

ネットワークピアリングを構成するには、両方のサブスクリプションでネットワーク共同作成者のアクセス許可を持っている必要があります。詳細については、ピアリングのアクセス許可に関するページを参照してください。

オンプレミスリソースを使用するハブスポークトポロジで仮想ネットワークピアリングを構成する

Diagram of virtual network peering with on-premises spoke

サイト間接続または ExpressRoute 接続の場合

次の手順に従います: 仮想ネットワークピアリングの VPN ゲートウェイ転送を構成する。

ポイント対サイト接続の場合

次の手順に従います: 仮想ネットワークピアリングの VPN ゲートウェイ転送を構成する。
仮想ネットワークピアリングが確立または変更された後、ポイント対サイトクライアントでスポーク仮想ネットワークへの更新されたルートを取得できるように、ポイント対サイトパッケージをダウンロードして再びインストールします。

ハブスポークトポロジ仮想ネットワークを使用して仮想ネットワークピアリングを構成する

Diagram of virtual network peering with a virtual network spoke

仮想ネットワークが同じリージョン内にある

ハブ仮想ネットワークで、ネットワーク仮想アプライアンス (NVA) を構成します。
スポーク仮想ネットワークで、ユーザー定義ルートに次ホップの種類 "ネットワーク仮想アプライアンス" を適用します。

詳細については、「サービスチェイニング」を参照してください。

Note

NVA の設定に関するヘルプが必要な場合は、NVA のベンダーにお問い合わせください。

NVA デバイスの設定とルーティングのトラブルシューティングに関するヘルプについては、「Azure でのネットワーク仮想アプライアンスの問題」を参照してください。

仮想ネットワークが異なるリージョン内にある

グローバル仮想ネットワークピアリング経由の転送がサポートされるようになりました。次のリソースについては、グローバル仮想ネットワークピアリング経由での接続が機能しません。

Basic ILB SKU の背後にある VM
Redis Cache (Basic ILB SKU を使用)
Application Gateway (Basic ILB SKU を使用)
スケールセット (Basic ILB SKU を使用)
Service Fabric クラスター (Basic ILB SKU を使用)
SQL Server Always On (Basic ILB SKU を使用)
App Service Environment (Basic ILB SKU を使用)
API Management (Basic ILB SKU を使用)
Microsoft Entra Domain Services (Basic ILB SKU を使用)

グローバルピアリングの要件と制約の詳細については、「仮想ネットワークピアリング」を参照してください。

ピアリングした 2 つの仮想ネットワーク間の接続に関する問題のトラブルシューティング

必要なロールとアクセス許可があるアカウントで、Azure portal にサインインします。仮想ネットワークを選択して、 [ピアリング] を選び、 [状態] フィールドを確認します。状態はどうなっていますか?

ピアリングの状態は [接続済み]

この問題のトラブルシューティングを行うには:

ネットワークトラフィックフローを確認する:

接続のトラブルシューティングと、ソース VM から宛先 VM への IP フロー検証を使用して、トラフィックフローの干渉の原因となっている NSG または UDR があるかどうかを判断します。

ファイアウォールまたは NVA を使用している場合:
1. この手順の完了後に復元できるように、UDR パラメーターをドキュメント化します。
2. 次ホップとして NVA を指すソース VM サブネットまたは NIC から UDR を削除します。ソース VM から、NVA をバイパスしている宛先への直接の接続を確認します。この手順がうまくいかない場合は、NVA トラブルシューティングツールに関するページを参照してください。
ネットワークトレースを取得する:
1. 宛先 VM でネットワークトレースを開始します。 Windows の場合は、Netsh を使用できます。 Linux の場合は、TCPDump を使用します。
2. ソースから宛先 IP への TcpPing または PsPing を実行します。
  
  これは TcpPing コマンドの例です: tcping64.exe -t <destination VM address> 3389
3. TcpPing が完了した後、宛先のネットワークトレースを停止します。
4. ソースからパケットが到着した場合、ネットワークの問題はありません。 VM ファイアウォールと、そのポートでリッスンしているアプリケーションの両方を調べ、構成の問題を特定します。
Note

グローバル仮想ネットワークピアリング (異なるリージョン内の仮想ネットワーク) 経由では、次の種類のリソースに接続することはできません。
- Basic ILB SKU の背後にある VM
- Redis Cache (Basic ILB SKU を使用)
- Application Gateway (Basic ILB SKU を使用)
- スケールセット (Basic ILB SKU を使用)
- Service Fabric クラスター (Basic ILB SKU を使用)
- SQL Server Always On (Basic ILB SKU を使用)
- App Service Environment (Basic ILB SKU を使用)
- API Management (Basic ILB SKU を使用)
- Microsoft Entra Domain Services (Basic ILB SKU を使用)

詳細については、グローバルピアリングの「要件と制約」を参照してください。

ピアリングの状態は [切断]

この問題を解決するには、両方の仮想ネットワークからピアリングを削除し、再作成します。

ハブスポーク仮想ネットワークとオンプレミスリソースの間の接続に関する問題のトラブルシューティング

ネットワークでサードパーティの NVA または VPN ゲートウェイが使用されていますか?

自分のネットワークでサードパーティの NVA または VPN ゲートウェイが使用されている

サードパーティの NVA または VPN ゲートウェイに影響する接続問題のトラブルシューティングを行う場合は、次の記事を参照してください。

自分のネットワークでサードパーティの NVA や VPN ゲートウェイが使用されていない

ハブ仮想ネットワークとスポーク仮想ネットワークには VPN ゲートウェイがありますか?

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがある

リモートゲートウェイの使用はサポートされていません。

スポーク仮想ネットワークに既に VPN ゲートウェイがある場合、スポーク仮想ネットワークでは [リモートゲートウェイを使用する] オプションはサポートされません。これは、仮想ネットワークピアリングの制限によるものです。

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがない

サイト間接続または Azure ExpressRoute 接続の場合は、オンプレミスからリモート仮想ネットワークへの接続に関する問題の、以下に示す主な原因を確認します。

ゲートウェイがある仮想ネットワークで [転送されたトラフィックを許可する] チェックボックスがオンになっていることを確認します。
ゲートウェイがない仮想ネットワークで [リモートゲートウェイを使用する] チェックボックスがオンになっていることを確認します。
オンプレミスデバイスを調べ、それらすべてにリモート仮想ネットワークアドレス空間が追加されていることを確認するようにネットワーク管理者に依頼します。

ポイント対サイト接続の場合:

ゲートウェイがある仮想ネットワークで [転送されたトラフィックを許可する] チェックボックスがオンになっていることを確認します。
ゲートウェイがない仮想ネットワークで [リモートゲートウェイを使用する] チェックボックスがオンになっていることを確認します。
ポイント対サイトクライアントパッケージをダウンロードして再インストールします。新しくピアリングされた仮想ネットワークルートでは、ポイント対サイトクライアントにルートが自動的に追加されません。

同じリージョン内のスポーク仮想ネットワーク間のハブスポークネットワーク接続に関する問題のトラブルシューティング

ハブネットワークに NVA がある必要があります。 NVA が次ホップとして設定されているスポークで UDR を構成し、ハブ仮想ネットワークで [転送されたトラフィックを許可する] を有効にします。

詳細については、「サービスチェイニング」を参照し、選択した NVA ベンダーとこれらの要件について相談してください。

異なるリージョンのスポーク仮想ネットワーク間のハブスポークネットワーク接続に関する問題のトラブルシューティング

Basic ILB SKU の背後にある VM
Redis Cache (Basic ILB SKU を使用)
Application Gateway (Basic ILB SKU を使用)
スケールセット (Basic ILB SKU を使用)
Service Fabric クラスター (Basic ILB SKU を使用)
SQL Server Always On (Basic ILB SKU を使用)
App Service Environment (Basic ILB SKU を使用)
API Management (Basic ILB SKU を使用)
Microsoft Entra Domain Services (Basic ILB SKU を使用)

詳細については、グローバルピアリングの「要件と制約」、およびさまざまな VPN トポロジに関するページを参照してください。

Web アプリとスポーク仮想ネットワークの間のハブスポークネットワーク接続に関する問題のトラブルシューティング

この問題のトラブルシューティングを行うには:

Azure portal にサインインします。
Web アプリで [ネットワーク] を選択し、 [VNet 統合] を選びます。
リモート仮想ネットワークが表示されているかどうかを確認します。リモート仮想ネットワークのアドレス空間を手動で入力します ( [ネットワークの同期] と [ルートの追加] )。

詳細については、次の記事を参照してください。

仮想ネットワークピアリング構成エラーメッセージのトラブルシューティング

現在のテナント `<TENANT ID>` は、リンクされているサブスクリプションにアクセスする権限がありません

この問題を解決するには、異なるサブスクリプション間での仮想ネットワークピアリングの作成に関する記事を参照してください。

[未接続]

この問題を解決するには、両方の仮想ネットワークからピアリングを削除し、再作成します。

Databricks 仮想ネットワークをピアリングできませんでした

この問題を解決するには、 [Azure Databricks] から仮想ネットワークピアリングを構成し、 [リソース ID] を使用してターゲット仮想ネットワークを指定します。詳細については、「Databricks 仮想ネットワークからリモート仮想ネットワークへのピアリング」を参照してください。

リモート仮想ネットワークにゲートウェイがありません

この問題は、別のテナントの仮想ネットワークをピアリングし、後で Use Remote Gateways を構成する場合に発生します。 Azure portal の制限により、別のテナントの仮想ネットワークに仮想ネットワークゲートウェイが存在するかどうかを検証できません。

この問題を解決するには、次の 2 つの方法があります。

ピアリングを削除し、新しいピアリングを作成するときに Use Remote Gateways オプションをアクティブにします。
Azure portal ではなく、PowerShell または CLI を使用して Use Remote Gateways を有効にします。

次のステップ

Azure VM 間の接続に関する問題のトラブルシューティング

仮想ネットワーク ピアリングの問題をトラブルシューティングする

2 つの仮想ネットワーク間に仮想ネットワーク ピアリングを構成する

仮想ネットワークが同じサブスクリプション内にある

仮想ネットワークが異なるサブスクリプションまたは Active Directory テナントにある

オンプレミス リソースを使用するハブスポーク トポロジで仮想ネットワーク ピアリングを構成する

サイト間接続または ExpressRoute 接続の場合

ポイント対サイト接続の場合

ハブスポーク トポロジ仮想ネットワークを使用して仮想ネットワーク ピアリングを構成する

仮想ネットワークが同じリージョン内にある

仮想ネットワークが異なるリージョン内にある

ピアリングした 2 つの仮想ネットワーク間の接続に関する問題のトラブルシューティング

ピアリングの状態は [接続済み]

ピアリングの状態は [切断]

ハブスポーク仮想ネットワークとオンプレミス リソースの間の接続に関する問題のトラブルシューティング

自分のネットワークでサードパーティの NVA または VPN ゲートウェイが使用されている

自分のネットワークでサードパーティの NVA や VPN ゲートウェイが使用されていない

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがある

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがない

同じリージョン内のスポーク仮想ネットワーク間のハブスポーク ネットワーク接続に関する問題のトラブルシューティング

異なるリージョンのスポーク仮想ネットワーク間のハブスポーク ネットワーク接続に関する問題のトラブルシューティング

Web アプリとスポーク仮想ネットワークの間のハブスポーク ネットワーク接続に関する問題のトラブルシューティング

仮想ネットワーク ピアリング構成エラー メッセージのトラブルシューティング

現在のテナント <TENANT ID> は、リンクされているサブスクリプションにアクセスする権限がありません

[未接続]

Databricks 仮想ネットワークをピアリングできませんでした

リモート仮想ネットワークにゲートウェイがありません

次のステップ

その他のリソース

仮想ネットワークピアリングの問題をトラブルシューティングする

2 つの仮想ネットワーク間に仮想ネットワークピアリングを構成する

オンプレミスリソースを使用するハブスポークトポロジで仮想ネットワークピアリングを構成する

ハブスポークトポロジ仮想ネットワークを使用して仮想ネットワークピアリングを構成する

ハブスポーク仮想ネットワークとオンプレミスリソースの間の接続に関する問題のトラブルシューティング

同じリージョン内のスポーク仮想ネットワーク間のハブスポークネットワーク接続に関する問題のトラブルシューティング

異なるリージョンのスポーク仮想ネットワーク間のハブスポークネットワーク接続に関する問題のトラブルシューティング

Web アプリとスポーク仮想ネットワークの間のハブスポークネットワーク接続に関する問題のトラブルシューティング

仮想ネットワークピアリング構成エラーメッセージのトラブルシューティング

現在のテナント `<TENANT ID>` は、リンクされているサブスクリプションにアクセスする権限がありません