Een subnet van een virtueel netwerk peering maken, wijzigen of verwijderen

Meer informatie over het maken, wijzigen of verwijderen van peering van een virtueel netwerk. Met peering voor virtuele netwerken kunt u virtuele netwerken in dezelfde regio verbinden en tussen regio's (ook wel Global Virtual Network Peering genoemd) via het Backbone-netwerk van Azure. Zodra de peering is uitgevoerd, worden de virtuele netwerken nog steeds beheerd als afzonderlijke resources. Als u geen kennis hebt van peering van virtuele netwerken, kunt u er meer informatie over vinden in het overzicht van peering van virtuele netwerken of door de zelfstudie voor peering van virtuele netwerken te voltooien.

Vereisten

Als u geen Azure-account met een actief abonnement hebt, maakt u er gratis een. Voer een van deze taken uit voordat u de rest van dit artikel start:

Meld u aan bij Azure Portal met een Azure-account met de benodigde machtigingen om met peerings te werken.

Peering maken

Voordat u een peering maakt, moet u vertrouwd raken met de vereisten en beperkingen en de benodigde machtigingen.

  1. Voer in het zoekvak bovenaan Azure Portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer in virtuele netwerken het netwerk waarvoor u een peering wilt maken.

  3. Selecteer Peerings in Instellingen.

  4. Selecteer +Toevoegen.

  5. Voer waarden in of selecteer deze voor de volgende instellingen en selecteer vervolgens Toevoegen.

    Instellingen Beschrijving
    Dit virtuele netwerk
    Naam van peeringkoppeling De naam van de peering van het lokale virtuele netwerk. De naam moet uniek zijn binnen het virtuele netwerk.
    'vnet-1' toegang geven tot 'vnet-2' Deze optie is standaard geselecteerd.

    - Als u communicatie tussen de twee virtuele netwerken via de standaardstroom VirtualNetwork wilt inschakelen, selecteert u Toestaan dat vnet-1 toegang heeft tot vnet-2 (standaard). Hierdoor kunnen resources die zijn verbonden met een virtueel netwerk met elkaar communiceren via het privénetwerk van Azure. De VirtualNetwork-servicetag voor netwerkbeveiligingsgroepen bevat het virtuele netwerk en het gekoppelde virtuele netwerk wanneer deze instelling is geselecteerd. Zie Azure-servicetags voor meer informatie over servicetags.
    Toestaan dat 'vnet-1' doorgestuurd verkeer van vnet-2 ontvangt Deze optie is niet standaard geselecteerd.

    -Als u doorgestuurd verkeer van het gekoppelde virtuele netwerk wilt toestaan, selecteert u 'vnet-1' toestaan om doorgestuurd verkeer van vnet-2 te ontvangen. Deze instelling kan worden geselecteerd als u verkeer wilt toestaan dat niet afkomstig is van vnet-2 om vnet-1 te bereiken. Als vnet-2 bijvoorbeeld een NVA heeft die verkeer van buiten vnet-2 ontvangt dat wordt doorgestuurd naar vnet-1, kunt u deze instelling selecteren om toe te staan dat verkeer vnet-1 bereikt van vnet-2. Als u deze mogelijkheid inschakelt, wordt het doorgestuurde verkeer via de peering toegestaan, maar er worden geen door de gebruiker gedefinieerde routes of virtuele netwerkapparaten gemaakt. Door de gebruiker gedefinieerde routes en virtuele netwerkapparaten worden afzonderlijk gemaakt. Meer informatie over door de gebruiker gedefinieerde routes.

    OPMERKING:Als u de instelling 'vnet-1 toestaan' niet selecteert om doorgestuurd verkeer van vnet-2 te ontvangen, wordt alleen de definitie van de VirtualNetwork-servicetag gewijzigd. Het voorkomt niet volledig dat de verkeersstroom over de peerverbinding loopt, zoals wordt uitgelegd in deze instellingsbeschrijving.
    Gateway in vnet-1 toestaan verkeer door te sturen naar 'vnet-2' Deze optie is niet standaard geselecteerd.

    - Selecteer Gateway toestaan in vnet-1 om verkeer door te sturen naar vnet-2 als u wilt dat vnet-2 verkeer ontvangt van de gateway/routeserver van vnet-1. vnet-1 moet een gateway bevatten om deze optie in te schakelen.
    Schakel vnet-1 in om externe gateway 'vnet-2' te gebruiken Deze optie is niet standaard geselecteerd.

    - Selecteer Vnet-1 inschakelen om externe gateway 'vnet-2' te gebruiken als u wilt dat vnet-1de gateway of routeserver van vnet-2 gebruikt. vnet-1 kan alleen een externe gateway of routeserver gebruiken vanaf één peeringverbinding. vnet-2 moet een gateway of routeserver hebben om deze optie te kunnen selecteren. Het virtuele netwerk waarmee u peering uitvoert, heeft bijvoorbeeld een VPN-gateway waarmee communicatie met een on-premises netwerk mogelijk is. Als u deze instelling selecteert, kan verkeer van dit virtuele netwerk via de VPN-gateway in het gekoppelde virtuele netwerk stromen.

    U kunt deze optie ook selecteren als u wilt dat dit virtuele netwerk de externe routeserver gebruikt om routes uit te wisselen, raadpleegt u Azure Route Server.

    OPMERKING: U kunt geen externe gateways gebruiken als u al een gateway hebt geconfigureerd in uw virtuele netwerk. Zie Een VPN-gateway configureren voor doorvoer in peering van een virtueel netwerk voor meer informatie over het gebruik van een gateway voor doorvoer.
    Extern virtueel netwerk
    Naam van peeringkoppeling De naam van de peering vanuit het externe virtuele netwerk. De naam moet uniek zijn binnen het virtuele netwerk.
    Implementatiemodel voor het virtuele netwerk Selecteer via welk implementatiemodel het virtuele netwerk waarmee u wilt peeren, is geïmplementeerd.
    Ik ken mijn resource-id Als u leestoegang hebt tot het virtuele netwerk waarmee u wilt peeren, laat u dit selectievakje uitgeschakeld. Als u geen leestoegang hebt tot het virtuele netwerk of abonnement waarmee u wilt peeren, schakelt u dit selectievakje in.
    Resource-id Dit veld wordt weergegeven wanneer u het selectievakje Mijn resource-id kent. De resource-id die u invoert, moet zijn voor een virtueel netwerk dat zich in hetzelfde netwerk bevindt of een andere Azure-regio ondersteunt als dit virtuele netwerk.

    De volledige resource-id ziet er ongeveer als /subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>volgt uit.

    U kunt de resource-id voor een virtueel netwerk ophalen door de eigenschappen voor een virtueel netwerk weer te geven. Zie Virtuele netwerken beheren voor meer informatie over het weergeven van de eigenschappen voor een virtueel netwerk. Gebruikersmachtigingen moeten worden toegewezen als het abonnement is gekoppeld aan een andere Microsoft Entra-tenant dan het abonnement met het virtuele netwerk dat u peering gebruikt. Voeg een gebruiker uit elke tenant toe als gastgebruiker in de tegenovergestelde tenant.
    Abonnement Selecteer het abonnement van het virtuele netwerk waarmee u wilt peeren. Een of meer abonnementen worden weergegeven, afhankelijk van het aantal abonnementen waarvoor uw account leestoegang heeft. Als u het selectievakje Ik weet dat mijn resource-id is ingeschakeld, is deze instelling niet beschikbaar.
    Virtueel netwerk Selecteer het virtuele netwerk waarmee u wilt peeren. U kunt een virtueel netwerk selecteren dat is gemaakt via een van beide Azure-implementatiemodellen. Als u een virtueel netwerk in een andere regio wilt selecteren, moet u een virtueel netwerk in een ondersteunde regio selecteren. U moet leestoegang hebben tot het virtuele netwerk, zodat het zichtbaar is in de lijst. Als een virtueel netwerk wordt weergegeven, maar grijs wordt weergegeven, kan dit komen doordat de adresruimte voor het virtuele netwerk overlapt met de adresruimte voor dit virtuele netwerk. Als adresruimten van virtuele netwerken elkaar overlappen, kunnen ze niet worden gekoppeld. Als u het selectievakje Ik weet dat mijn resource-id is ingeschakeld, is deze instelling niet beschikbaar.
    'vnet-2' toegang geven tot 'vnet-1' Deze optie is standaard geselecteerd.

    - Selecteer Toestaan dat vnet-2 toegang krijgt tot vnet-1 als u communicatie tussen de twee virtuele netwerken wilt inschakelen via de standaardstroom VirtualNetwork . Als u communicatie tussen virtuele netwerken inschakelt, kunnen resources die zijn verbonden met een virtueel netwerk met elkaar communiceren via het privénetwerk van Azure. De VirtualNetwork-servicetag voor netwerkbeveiligingsgroepen omvat het virtuele netwerk en het gekoppelde virtuele netwerk wanneer deze instelling is ingesteld op Geselecteerd. Zie Azure-servicetags voor meer informatie over servicetags.
    Toestaan dat 'vnet-2' doorgestuurd verkeer van 'vnet-1' ontvangt Deze optie is niet standaard geselecteerd.

    -Als u doorgestuurd verkeer van het gekoppelde virtuele netwerk wilt toestaan, selecteert u 'vnet-2' toestaan om doorgestuurd verkeer van vnet-1 te ontvangen. Deze instelling kan worden geselecteerd als u verkeer wilt toestaan dat niet afkomstig is van vnet-1 om vnet-2 te bereiken. Als vnet-1 bijvoorbeeld een NVA heeft die verkeer van buiten vnet-1 ontvangt dat wordt doorgestuurd naar vnet-2, kunt u deze instelling selecteren om toe te staan dat verkeer vnet-2 bereikt vanaf vnet-1. Als u deze mogelijkheid inschakelt, wordt het doorgestuurde verkeer via de peering toegestaan, maar er worden geen door de gebruiker gedefinieerde routes of virtuele netwerkapparaten gemaakt. Door de gebruiker gedefinieerde routes en virtuele netwerkapparaten worden afzonderlijk gemaakt. Meer informatie over door de gebruiker gedefinieerde routes.

    OPMERKING:Als u de instelling 'vnet-1 toestaan' niet selecteert om doorgestuurd verkeer van vnet-2 te ontvangen, wordt alleen de definitie van de VirtualNetwork-servicetag gewijzigd. Het voorkomt niet volledig dat de verkeersstroom over de peerverbinding loopt, zoals wordt uitgelegd in deze instellingsbeschrijving.
    Gateway in vnet-2 toestaan verkeer door te sturen naar vnet-1 Deze optie is niet standaard geselecteerd.

    - Selecteer Gateway toestaan in vnet-2 om verkeer door te sturen naar vnet-1 als u wilt dat vnet-1 verkeer ontvangt van de gateway/routeserver van vnet-2. vnet-2 moet een gateway bevatten om deze optie in te schakelen.
    Schakel 'vnet-2' in om de externe gateway van vnet-1 te gebruiken Deze optie is niet standaard geselecteerd.

    - Selecteer Vnet-2 inschakelen om externe gateway vnet-1 te gebruiken als u wilt dat vnet-2de gateway of routeserver van vnet-1 gebruikt. vnet-2 kan alleen een externe gateway of routeserver van één peeringverbinding gebruiken. vnet-1 moet een gateway of routeserver hebben om deze optie te kunnen selecteren. Het virtuele netwerk waarmee u peering uitvoert, heeft bijvoorbeeld een VPN-gateway waarmee communicatie met een on-premises netwerk mogelijk is. Als u deze instelling selecteert, kan verkeer van dit virtuele netwerk via de VPN-gateway in het gekoppelde virtuele netwerk stromen.

    U kunt deze optie ook selecteren als u wilt dat dit virtuele netwerk de externe routeserver gebruikt om routes uit te wisselen, raadpleegt u Azure Route Server.

    Voor dit scenario is het implementeren van door de gebruiker gedefinieerde routes vereist waarmee de gateway van het virtuele netwerk als het volgende hoptype wordt opgegeven. Meer informatie over door de gebruiker gedefinieerde routes. U kunt alleen een VPN-gateway opgeven als een volgend hoptype in een door de gebruiker gedefinieerde route. U kunt geen ExpressRoute-gateway opgeven als het volgende hoptype in een door de gebruiker gedefinieerde route.

    OPMERKING: U kunt geen externe gateways gebruiken als u al een gateway hebt geconfigureerd in uw virtuele netwerk. Zie Een VPN-gateway configureren voor doorvoer in peering van een virtueel netwerk voor meer informatie over het gebruik van een gateway voor doorvoer.

    Screenshot of peering configuration page.

    Notitie

    Als u een virtuele netwerkgateway gebruikt om on-premises verkeer transitief naar een gekoppeld virtueel netwerk te verzenden, moet het IP-bereik van het gekoppelde virtuele netwerk voor het on-premises VPN-apparaat worden ingesteld op 'interessant' verkeer. Mogelijk moet u alle CIDR-adressen van het virtuele Azure-netwerk toevoegen aan de site-2-site-IPSec VPN-tunnelconfiguratie op het on-premises VPN-apparaat. CIDR-adressen bevatten resources zoals Hub, Spokes en PUNT-2-site-IP-adresgroepen. Anders kunnen uw on-premises resources niet communiceren met resources in het gekoppelde VNet. Interessant verkeer wordt gecommuniceerd via beveiligingskoppelingen van fase 2. De beveiligingskoppeling maakt een toegewezen VPN-tunnel voor elk opgegeven subnet. De laag on-premises en Azure VPN Gateway moet hetzelfde aantal site-2-site-VPN-tunnels en Azure VNet-subnetten ondersteunen. Anders kunnen uw on-premises resources niet communiceren met resources in het gekoppelde VNet. Raadpleeg uw on-premises VPN-documentatie voor instructies voor het maken van fase 2-beveiligingskoppelingen voor elk opgegeven Azure VNet-subnet.

  6. Selecteer de knop Vernieuwen na een paar seconden en de peeringstatus wordt gewijzigd van Bijwerken naar Verbinding maken ed.

    Screenshot of virtual network peering status on peerings page.

Zie de volgende stappen voor stapsgewijze instructies voor het implementeren van peering tussen virtuele netwerken in verschillende abonnementen en implementatiemodellen.

Peering-instellingen weer te geven of te wijzigen

Voordat u een peering wijzigt, moet u vertrouwd raken met de vereisten en beperkingen en de benodigde machtigingen.

  1. Voer in het zoekvak bovenaan Azure Portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer het virtuele netwerk dat u wilt weergeven of wijzigen in virtuele netwerken.

  3. Selecteer Peerings in Instellingen en selecteer vervolgens de peering waarvoor u instellingen wilt weergeven of wijzigen.

    Screenshot of select a peering to change settings from the virtual network.

  4. Wijzig de juiste instelling. Lees meer over de opties voor elke instelling in stap 4 van het maken van een peering. Selecteer Vervolgens Opslaan om de configuratiewijzigingen te voltooien.

    Screenshot of changing virtual network peering settings.

Een peering te verwijderen

Voordat u een peering verwijdert, moet u vertrouwd raken met de vereisten en beperkingen en de benodigde machtigingen.

Wanneer een peering tussen twee virtuele netwerken wordt verwijderd, kan verkeer niet meer tussen de virtuele netwerken stromen. Als u wilt dat virtuele netwerken soms communiceren, maar niet altijd, in plaats van een peering te verwijderen, deselecteert u de instelling Verkeer naar extern virtueel netwerk toestaan als u verkeer naar het externe virtuele netwerk wilt blokkeren. Het is mogelijk dat u netwerktoegang uitschakelt en inschakelt, dan peerings verwijderen en opnieuw maken.

  1. Voer in het zoekvak bovenaan Azure Portal het virtuele netwerk in. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer het virtuele netwerk dat u wilt weergeven of wijzigen in virtuele netwerken.

  3. Selecteer Peerings in Instellingen.

    Screenshot of select a peering to delete from the virtual network.

  4. Selecteer aan de rechterkant van de peering die u wilt verwijderen de ... en selecteer vervolgens Verwijderen.

    Screenshot of deleting a peering from the virtual network.

  5. Selecteer Ja om te bevestigen dat u de peering en de bijbehorende peer wilt verwijderen.

    Screenshot of peering delete confirmation.

    Notitie

    Wanneer u een peering van een virtueel netwerk verwijdert uit een virtueel netwerk, wordt de peering van het externe virtuele netwerk ook verwijderd.

Vereisten en beperkingen

  • U kunt virtuele netwerken in dezelfde regio of verschillende regio's koppelen. Peering van virtuele netwerken in verschillende regio's wordt ook wel Global Virtual Network Peering genoemd.

  • Wanneer u een wereldwijde peering maakt, kunnen de gekoppelde virtuele netwerken bestaan in elke openbare Azure-cloudregio of In China-cloudregio's of in cloudregio's van de overheid. U kunt niet peeren tussen clouds. Een virtueel netwerk in de openbare Azure-cloud kan bijvoorbeeld niet worden gekoppeld aan een virtueel netwerk in Microsoft Azure dat wordt beheerd door de 21Vianet-cloud.

  • Resources in één virtueel netwerk kunnen niet communiceren met het front-end-IP-adres van een basic load balancer (intern of openbaar) in een wereldwijd gekoppeld virtueel netwerk. Ondersteuning voor basic load balancer bestaat alleen binnen dezelfde regio. Ondersteuning voor standard load balancer bestaat voor zowel peering van virtuele netwerken als globale peering van virtuele netwerken. Sommige services die gebruikmaken van een basic load balancer werken niet via wereldwijde peering van virtuele netwerken. Zie Beperkingen met betrekking tot peering van wereldwijde virtuele netwerken en load balancers voor meer informatie.

  • U kunt externe gateways gebruiken of gatewayoverdracht toestaan in wereldwijd gekoppelde virtuele netwerken en lokaal gekoppelde virtuele netwerken.

  • De virtuele netwerken kunnen zich in dezelfde of verschillende abonnementen bevinden. Wanneer u virtuele netwerken in verschillende abonnementen peert, kunnen beide abonnementen worden gekoppeld aan dezelfde of een andere Microsoft Entra-tenant. Als u nog geen AD-tenant hebt, kunt u er een maken.

  • De virtuele netwerken die u peert, moeten niet-overlapping VAN IP-adresruimten hebben.

  • U kunt twee virtuele netwerken koppelen die zijn geïmplementeerd via Resource Manager of een virtueel netwerk dat is geïmplementeerd via Resource Manager met een virtueel netwerk dat is geïmplementeerd via het klassieke implementatiemodel. U kunt geen twee virtuele netwerken koppelen die zijn gemaakt via het klassieke implementatiemodel. Lees het artikel Over Azure-implementatiemodellen als u niet bekend bent met Azure-implementatiemodellen . U kunt VPN Gateway gebruiken om twee virtuele netwerken te koppelen die zijn gemaakt via het klassieke implementatiemodel.

  • Wanneer u twee virtuele netwerken koppelt die zijn gemaakt via Resource Manager, moet er een peering worden geconfigureerd voor elk virtueel netwerk in de peering. U ziet een van de volgende typen voor peeringstatus:

    • Gestart: Wanneer u de eerste peering maakt, wordt de status gestart.

    • Verbinding maken ed: Wanneer u de tweede peering maakt, wordt de peeringstatus Verbinding maken voor beide peerings. De peering is pas tot stand gebracht nadat de peeringstatus voor beide peerings voor beide virtuele netwerkpeeringen is Verbinding maken.

  • Wanneer u een virtueel netwerk koppelt dat is gemaakt via Resource Manager met een virtueel netwerk dat is gemaakt via het klassieke implementatiemodel, configureert u alleen een peering voor het virtuele netwerk dat is geïmplementeerd via Resource Manager. U kunt peering niet configureren voor een virtueel netwerk (klassiek) of tussen twee virtuele netwerken die zijn geïmplementeerd via het klassieke implementatiemodel. Wanneer u de peering maakt van het virtuele netwerk (Resource Manager) naar het virtuele netwerk (klassiek), wordt de peeringstatus bijgewerkt en wordt de peering binnenkort gewijzigd in Verbinding maken ed.

  • Er wordt een peering tussen twee virtuele netwerken tot stand gebracht. Peerings zelf zijn niet transitief. Als u peerings maakt tussen:

    • VirtualNetwork1 en VirtualNetwork2

    • VirtualNetwork2 en VirtualNetwork3

      Er is geen verbinding tussen VirtualNetwork1 en VirtualNetwork3 via VirtualNetwork2. Als u wilt dat VirtualNetwork1 en VirtualNetwork3 rechtstreeks communiceren, moet u een expliciete peering maken tussen VirtualNetwork1 en VirtualNetwork3 of een NVA in het Hub-netwerk doorlopen. Zie Hub-spoke-netwerktopologie in Azure voor meer informatie.

  • U kunt namen in gekoppelde virtuele netwerken niet omzetten met behulp van standaard Azure-naamomzetting. Als u namen in andere virtuele netwerken wilt omzetten, moet u Azure Privé-DNS of een aangepaste DNS-server gebruiken. Zie Naamomzetting met uw eigen DNS-server voor meer informatie over het instellen van uw eigen DNS-server.

  • Resources in gekoppelde virtuele netwerken in dezelfde regio kunnen met elkaar communiceren met dezelfde latentie als binnen hetzelfde virtuele netwerk. De netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de virtuele machine, evenredig aan de grootte. Er is geen extra beperking voor bandbreedte binnen de peering. Elke grootte van de virtuele machine heeft een eigen maximale netwerkbandbreedte. Zie Grootten voor virtuele machines in Azure voor meer informatie over de maximale netwerkbandbreedte voor verschillende grootten van virtuele machines.

  • Een virtueel netwerk kan worden gekoppeld aan een ander virtueel netwerk en kan ook worden verbonden met een ander virtueel netwerk met een virtuele Azure-netwerkgateway. Wanneer virtuele netwerken zijn verbonden via peering en een gateway, stroomt verkeer tussen de virtuele netwerken via de peeringconfiguratie in plaats van de gateway.

  • Punt-naar-site-VPN-clients moeten opnieuw worden gedownload nadat peering van virtuele netwerken is geconfigureerd om ervoor te zorgen dat de nieuwe routes naar de client worden gedownload.

  • Er worden nominale kosten in rekening gebracht voor inkomend en uitgaand verkeer dat gebruikmaakt van peering van een virtueel netwerk. Zie voor meer informatie de pagina met prijzen.

  • Toepassingsgateways waarvoor netwerkisolatie niet is ingeschakeld, staan niet toe dat verkeer wordt verzonden tussen gekoppelde VNET's wanneer verkeer naar extern virtueel netwerk is uitgeschakeld.

Machtigingen

De accounts die u gebruikt om te werken met peering van virtuele netwerken, moeten worden toegewezen aan de volgende rollen:

  • Inzender voor het netwerk: voor een virtueel netwerk dat is geïmplementeerd via Resource Manager.

  • Inzender voor klassiek netwerk: voor een virtueel netwerk dat is geïmplementeerd via het klassieke implementatiemodel.

Als uw account niet is toegewezen aan een van de vorige rollen, moet dit worden toegewezen aan een aangepaste rol waaraan de benodigde acties uit de volgende tabel zijn toegewezen:

Actie Naam
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write Vereist voor het maken van een peering van virtueel netwerk A naar virtueel netwerk B. Virtueel netwerk A moet een virtueel netwerk zijn (Resource Manager)
Microsoft.Network/virtualNetworks/peer/action Vereist voor het maken van een peering van virtueel netwerk B (Resource Manager) naar virtueel netwerk A
Microsoft.ClassicNetwork/virtualNetworks/peer/action Vereist voor het maken van een peering van virtueel netwerk B (klassiek) naar virtueel netwerk A
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Een peering van een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete Een peering van een virtueel netwerk verwijderen

Volgende stappen