Peering op virtueel netwerk

Met peering voor virtuele netwerken kunt u naadloos twee of meer virtuele netwerken in Azure verbinden. De virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden. Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken maakt gebruik van de Microsoft-backbone-infrastructuur. Net als verkeer tussen virtuele machines in hetzelfde netwerk wordt verkeer alleen gerouteerd via het particuliere netwerk van Microsoft.

Azure ondersteunt de volgende typen peering:

  • Peering van virtuele netwerken: virtuele netwerken verbinden binnen dezelfde Azure-regio.
  • Wereldwijde peering voor virtuele netwerken: virtuele netwerken verbinden tussen Azure-regio's.

Enkele voordelen van het gebruik van peering van virtuele netwerken - lokaal of globaal - zijn:

  • Een verbinding met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken.
  • De mogelijkheid voor resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk.
  • De mogelijkheid om gegevens over te dragen tussen virtuele netwerken in Azure-abonnementen, Azure Active Directory-tenants, implementatiemodellen en Azure-regio's.
  • De mogelijkheid om virtuele netwerken te koppelen die zijn gemaakt via de Azure-Resource Manager.
  • De mogelijkheid om een virtueel netwerk dat is gemaakt via Resource Manager te koppelen aan een netwerk dat is gemaakt via het klassieke implementatiemodel. Zie Over Azure-implementatiemodellen voor meer informatie over Azure-implementatiemodellen.
  • Geen downtime tot bronnen in een virtueel netwerk bij het maken van de peering of nadat de peering is gemaakt.

Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Verkeer tussen de virtuele netwerken wordt opgeslagen in het Microsoft-backbone-netwerk. Er zijn geen openbare internetverbinding, gateways of versleuteling vereist in de communicatie tussen de virtuele netwerken.

Connectiviteit

Voor gekoppelde virtuele netwerken kunnen resources in beide virtuele netwerken rechtstreeks verbinding maken met resources in het gekoppelde virtuele netwerk.

De netwerklatentie tussen virtuele machines in gekoppelde virtuele netwerken in dezelfde regio is gelijk aan de latentie binnen één virtueel netwerk. De netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de virtuele machine, evenredig aan de grootte. Er is geen extra beperking voor bandbreedte binnen de peering.

Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken wordt rechtstreeks doorgestuurd via de Microsoft-backbone-infrastructuur, niet via een gateway of via het openbare internet.

U kunt netwerkbeveiligingsgroepen in een virtueel netwerk toepassen om de toegang tot andere virtuele netwerken of subnetten te blokkeren. Wanneer u peering voor virtuele netwerken configureert, opent of sluit u de regels voor de netwerkbeveiligingsgroep tussen de virtuele netwerken. Als u volledige connectiviteit opent tussen gekoppelde virtuele netwerken, kunt u netwerkbeveiligingsgroepen toepassen om specifieke toegang te blokkeren of te weigeren. Volledige connectiviteit is de standaardoptie. Zie Beveiligingsgroepen voor meer informatie over netwerkbeveiligingsgroepen.

De grootte van de adresruimte van virtuele Azure-netwerken wijzigen die zijn gekoppeld

U kunt de grootte van de adresruimte van virtuele Azure-netwerken die zijn gekoppeld, wijzigen zonder dat er downtime is opgetreden voor de momenteel gekoppelde adresruimte. Deze functie is handig wanneer u het formaat van de adresruimte van het virtuele netwerk wilt wijzigen na het schalen van uw workloads. Nadat u het formaat van de adresruimte hebt gewijzigd, hoeft alleen peers te worden gesynchroniseerd met de nieuwe adresruimtewijzigingen. Het formaat wijzigen werkt voor zowel IPv4- als IPv6-adresruimten.

Adressen kunnen op de volgende manieren worden aangepast:

  • Het adresbereikvoorvoegsel van een bestaand adresbereik wijzigen (bijvoorbeeld 10.1.0.0/16 wijzigen in 10.1.0.0/18)
  • Adresbereiken toevoegen aan een virtueel netwerk
  • Adresbereiken verwijderen uit een virtueel netwerk

Synching van peers van virtuele netwerken kan worden uitgevoerd via de Azure Portal of met Azure PowerShell. We raden u aan om de synchronisatie uit te voeren na elke bewerking voor adresruimtegrootte in plaats van meerdere groottebewerkingen uit te voeren en vervolgens de synchronisatiebewerking uit te voeren. Zie De adresruimte voor een gekoppeld virtueel netwerk bijwerken voor een gekoppeld virtueel netwerk voor meer informatie over het bijwerken van de adresruimte voor een gekoppeld virtueel netwerk.

Belangrijk

Deze functie biedt geen ondersteuning voor scenario's waarbij het virtuele netwerk dat moet worden bijgewerkt, is gekoppeld aan:

  • Een klassiek virtueel netwerk
  • Een beheerd virtueel netwerk, zoals de Azure VWAN-hub

Servicechaining

Met servicechaining kunt u verkeer van één virtueel netwerk omleiden naar een virtueel apparaat of gateway in een gekoppeld netwerk via door de gebruiker gedefinieerde routes.

Als u servicechaining wilt inschakelen, configureert u door de gebruiker gedefinieerde routes die verwijzen naar virtuele machines in gekoppelde virtuele netwerken als het IP-adres van de volgende hop . Door de gebruiker gedefinieerde routes kunnen ook verwijzen naar gateways van virtuele netwerken om serviceketens mogelijk te maken.

U kunt hub-and-spoke-netwerken implementeren, waarbij het virtuele hubnetwerk infrastructuuronderdelen host, zoals een virtueel netwerkapparaat of VPN-gateway. Alle virtuele spoke-netwerken kunnen vervolgens worden gekoppeld aan het virtuele hub-netwerk. Verkeer stroomt via virtuele netwerkapparaten of VPN-gateways in het virtuele hubnetwerk.

Met peering van virtuele netwerken kan de volgende hop op de door de gebruiker gedefinieerde route het IP-adres zijn van een virtuele machine in het gekoppelde virtuele netwerk of VPN-gateway. U kunt niet routeren tussen virtuele netwerken met een door de gebruiker gedefinieerde route die een Azure ExpressRoute-gateway opgeeft als het volgende hoptype. Zie Door de gebruiker gedefinieerde routes voor meer informatie over door de gebruiker gedefinieerde routes. Zie hub-spoke-netwerktopologie in Azure voor meer informatie over het maken van een sternetwerktopologie.

Gateways en on-premises connectiviteit

Elk virtueel netwerk, inclusief een gekoppeld virtueel netwerk, kan een eigen gateway hebben. Een virtueel netwerk kan de gateway gebruiken om verbinding te maken met een on-premises netwerk. U kunt ook virtuele netwerk-naar-virtuele netwerkverbindingen configureren met behulp van gateways, zelfs voor gekoppelde virtuele netwerken.

Wanneer u beide opties configureert voor interconnectiviteit van virtuele netwerken, loopt het verkeer tussen de virtuele netwerken via de peeringconfiguratie. Het verkeer maakt gebruik van de Azure-backbone.

U kunt de gateway in het gekoppelde virtuele netwerk ook configureren als een transitpunt naar een on-premises netwerk. In dit geval kan het virtuele netwerk dat gebruikmaakt van een externe gateway geen eigen gateway hebben. Een virtueel netwerk heeft slechts één gateway. De gateway is een lokale of externe gateway in het gekoppelde virtuele netwerk, zoals wordt weergegeven in het volgende diagram:

doorvoer bij peering van virtuele netwerken

Peering van virtuele netwerken en peering van virtuele netwerken ondersteunen gatewayoverdracht.

Gatewayoverdracht tussen virtuele netwerken die zijn gemaakt via verschillende implementatiemodellen, wordt ondersteund. De gateway moet zich in het virtuele netwerk in het Resource Manager model bevinden. Zie voor meer informatie over het gebruik van een gateway voor de doorvoer, Een VPN-gateway configureren voor de doorvoer in een virtueel netwerkpeering.

Wanneer u virtuele netwerken koppelt die één Azure ExpressRoute-verbinding delen, gaat het verkeer tussen deze netwerken via de peeringrelatie. Dat verkeer maakt gebruik van het Azure backbone-netwerk. U kunt nog steeds in elk virtueel netwerk lokale gateways gebruiken om verbinding te maken met het on-premises circuit. Anders kunt u een gedeelde gateway gebruiken en transit configureren voor on-premises connectiviteit.

Problemen oplossen

Als u wilt controleren of virtuele netwerken zijn gekoppeld, kunt u effectieve routes controleren. Controleer routes voor een netwerkinterface in een subnet in een virtueel netwerk. Als een peering op een virtueel netwerk bestaat, hebben alle subnets binnen het virtuele netwerk routes met het volgende hoptype VNet-peering voor elke adresruimte in elk gekoppeld virtueel netwerk. Zie Diagnose van een routeringsprobleem met virtuele machines voor meer informatie.

U kunt ook problemen oplossen met de verbinding met een virtuele machine in een gekoppeld virtueel netwerk met behulp van Azure Network Watcher. Met een connectiviteitscontrole kunt u zien hoe verkeer wordt doorgestuurd van de netwerkinterface van een virtuele bronmachine naar de netwerkinterface van een virtuele doelmachine. Zie Verbindingsproblemen met Azure Network Watcher oplossen met behulp van de Azure Portal voor meer informatie.

U kunt ook de problemen met peering van virtuele netwerken oplossen.

Beperkingen voor gekoppelde virtuele netwerken

De volgende beperkingen zijn alleen van toepassing wanneer virtuele netwerken wereldwijd zijn gekoppeld:

Zie Vereisten en beperkingen voor meer informatie. Zie Netwerklimieten voor meer informatie over het ondersteunde aantal peerings.

Machtigingen

Zie Machtigingen voor meer informatie over machtigingen die zijn vereist voor het maken van peering van een virtueel netwerk.

Prijzen

Er worden nominaal kosten in rekening gebracht voor inkomend en uitgaand verkeer dat gebruikmaakt van een peeringverbinding voor een virtueel netwerk. Zie Virtual Network prijzen voor meer informatie.

Gateway Transit is een peering-eigenschap waarmee een virtueel netwerk een VPN/ExpressRoute-gateway kan gebruiken in een gekoppeld virtueel netwerk. Gatewayoverdracht werkt voor zowel cross-premises als netwerk-naar-netwerkconnectiviteit. Verkeer naar de gateway (inkomend of uitgaand verkeer) in het gekoppelde virtuele netwerk leidt tot kosten voor peering van virtuele netwerken in het spoke-VNet (of niet-gateway-VNet). Zie VPN Gateway prijzen voor VPN-gatewaykosten en expressRoute-gatewayprijzen voor ExpressRoute-gatewaykosten voor meer informatie.

Notitie

In een eerdere versie van dit document werd aangegeven dat peeringkosten voor virtuele netwerken niet van toepassing zouden zijn op het spoke-VNet (of niet-gateway-VNet) met Gateway Transit. Het weerspiegelt nu nauwkeurige prijzen op de pagina met prijzen.

Volgende stappen

  • U kunt een peering tussen twee virtuele netwerken maken. De netwerken kunnen deel uitmaken van hetzelfde abonnement, verschillende implementatiemodellen in hetzelfde abonnement of verschillende abonnementen. Volg een zelfstudie voor een van de volgende scenario's:

    Azure-implementatiemodel Abonnement
    Beide in Resource Manager Hetzelfde
    Verschillend
    Eén in Resource Manager, één klassiek Hetzelfde
    Verschillend
  • Zie hub-spoke-netwerktopologie in Azure voor meer informatie over het maken van een sternetwerktopologie.

  • Zie Peering voor virtuele netwerken maken, wijzigen of verwijderen voor meer informatie over alle peeringinstellingen voor virtuele netwerken.

  • Zie VNet-peering voor antwoorden op algemene vragen over peering van virtuele netwerken en globale peering van virtuele netwerken.