Peering op virtueel netwerk
Met peering van virtuele netwerken kunt u naadloos twee of meer virtuele netwerken in Azure verbinden. De virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden. Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken maakt gebruik van de Microsoft-backbone-infrastructuur. Net als verkeer tussen virtuele machines in hetzelfde netwerk wordt verkeer alleen gerouteerd via het privénetwerk van Microsoft.
ondersteuning voor Azure de volgende typen peering:
Peering van virtuele netwerken: Verbinding maken virtuele netwerken binnen dezelfde Azure-regio.
Wereldwijde peering van virtuele netwerken: Verbinding maken virtuele netwerken in Azure-regio's.
Enkele voordelen van het gebruik van peering van virtuele netwerken - lokaal of globaal - zijn:
Een verbinding met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken.
De mogelijkheid voor resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk.
De mogelijkheid om gegevens over te dragen tussen virtuele netwerken in Azure-abonnementen, Microsoft Entra-tenants, implementatiemodellen en Azure-regio's.
De mogelijkheid om virtuele netwerken te koppelen die zijn gemaakt via Azure Resource Manager.
De mogelijkheid om een virtueel netwerk dat is gemaakt via Resource Manager te koppelen aan een netwerk dat is gemaakt via het klassieke implementatiemodel. Zie Over Azure-implementatiemodellen voor meer informatie over Azure-implementatiemodellen.
Geen downtime tot bronnen in een virtueel netwerk bij het maken van de peering of nadat de peering is gemaakt.
Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Verkeer tussen de virtuele netwerken wordt opgeslagen in het Microsoft-backbone-netwerk. Er zijn geen openbare internetverbinding, gateways of versleuteling vereist in de communicatie tussen de virtuele netwerken.
Connectiviteit
Voor gekoppelde virtuele netwerken kunnen resources in beide virtuele netwerken rechtstreeks verbinding maken met resources in het gekoppelde virtuele netwerk.
De netwerklatentie tussen virtuele machines in gekoppelde virtuele netwerken in dezelfde regio is gelijk aan de latentie binnen één virtueel netwerk. De netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de virtuele machine, evenredig aan de grootte. Er is geen extra beperking voor bandbreedte binnen de peering.
Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken wordt rechtstreeks doorgestuurd via de Microsoft-backbone-infrastructuur, niet via een gateway of via het openbare internet.
U kunt netwerkbeveiligingsgroepen in een virtueel netwerk toepassen om de toegang tot andere virtuele netwerken of subnetten te blokkeren. Wanneer u peering voor virtuele netwerken configureert, opent of sluit u de regels voor de netwerkbeveiligingsgroep tussen de virtuele netwerken. Als u volledige connectiviteit opent tussen gekoppelde virtuele netwerken, kunt u netwerkbeveiligingsgroepen toepassen om specifieke toegang te blokkeren of te weigeren. Volledige connectiviteit is de standaardoptie. Zie Beveiligingsgroepen voor meer informatie over netwerkbeveiligingsgroepen.
Het formaat van de adresruimte wijzigen van virtuele Azure-netwerken die zijn gekoppeld
U kunt de grootte van de adresruimte van virtuele Azure-netwerken die zijn gekoppeld, wijzigen zonder dat er downtime is opgetreden in de momenteel gekoppelde adresruimte. Deze functie is handig wanneer u de grootte van de adresruimte van het virtuele netwerk wilt wijzigen nadat u de werkbelastingen hebt geschaald. Zodra de adresruimte is gewijzigd, moeten peers worden gesynchroniseerd met de nieuwe adresruimte. Het wijzigen van de grootte werkt voor zowel IPv4- als IPv6-adresruimten.
De grootte van adressen kan op de volgende manieren worden gewijzigd:
Het adresbereikvoorvoegsel van een bestaand adresbereik wijzigen (bijvoorbeeld 10.1.0.0/16 wijzigen in 10.1.0.0/18)
Adresbereiken toevoegen aan een virtueel netwerk
Adresbereiken verwijderen uit een virtueel netwerk
Het formaat van de adresruimte wordt ondersteund voor meerdere tenants
Synching van peers voor virtuele netwerken kan worden uitgevoerd via Azure Portal of met Azure PowerShell. U wordt aangeraden de synchronisatie uit te voeren na elke bewerking voor het wijzigen van de adresruimte in plaats van meerdere bewerkingen uit te voeren en vervolgens de synchronisatiebewerking uit te voeren. Zie De adresruimte voor een gekoppeld virtueel netwerk bijwerken voor een gekoppeld virtueel netwerk voor informatie over het bijwerken van de adresruimte voor een gekoppeld virtueel netwerk.
Belangrijk
Deze functie biedt geen ondersteuning voor scenario's waarbij het virtuele netwerk dat moet worden bijgewerkt, is gekoppeld aan:
- Een klassiek virtueel netwerk
Servicechaining
Met servicechaining kunt u verkeer van één virtueel netwerk naar een virtueel apparaat of gateway in een gekoppeld netwerk leiden via door de gebruiker gedefinieerde routes.
Als u servicechaining wilt inschakelen, configureert u door de gebruiker gedefinieerde routes die verwijzen naar virtuele machines in gekoppelde virtuele netwerken als het IP-adres van de volgende hop . Door de gebruiker gedefinieerde routes kunnen ook verwijzen naar gateways van virtuele netwerken om servicechaining mogelijk te maken.
U kunt hub-and-spoke-netwerken implementeren, waarbij het virtuele hubnetwerk infrastructuuronderdelen host, zoals een virtueel netwerkapparaat of VPN-gateway. Alle virtuele spoke-netwerken kunnen vervolgens worden gekoppeld aan het virtuele hub-netwerk. Verkeer stroomt via virtuele netwerkapparaten of VPN-gateways in het virtuele hubnetwerk.
Met peering van virtuele netwerken kan de volgende hop op de door de gebruiker gedefinieerde route het IP-adres zijn van een virtuele machine in het gekoppelde virtuele netwerk of VPN-gateway. U kunt niet routeren tussen virtuele netwerken met een door de gebruiker gedefinieerde route die een Azure ExpressRoute-gateway opgeeft als het volgende hoptype. Zie Door de gebruiker gedefinieerde routes voor meer informatie over door de gebruiker gedefinieerde routes. Zie de sternetwerktopologie in Azure voor meer informatie over het maken van een hub- en spoke-netwerktopologie.
Gateways en on-premises connectiviteit
Elk virtueel netwerk, inclusief een gekoppeld virtueel netwerk, kan een eigen gateway hebben. Een virtueel netwerk kan de gateway gebruiken om verbinding te maken met een on-premises netwerk. U kunt ook virtuele netwerk-naar-virtuele netwerkverbindingen configureren met behulp van gateways, zelfs voor gekoppelde virtuele netwerken.
Wanneer u beide opties configureert voor interconnectiviteit van virtuele netwerken, loopt het verkeer tussen de virtuele netwerken via de peeringconfiguratie. Het verkeer maakt gebruik van de Azure-backbone.
U kunt de gateway in het gekoppelde virtuele netwerk ook configureren als een transitpunt naar een on-premises netwerk. In dit geval kan het virtuele netwerk dat een externe gateway gebruikt, geen eigen gateway hebben. Een virtueel netwerk kan slechts één gateway hebben. De gateway moet een lokale of externe gateway in het gekoppelde virtuele netwerk zijn, zoals wordt weergegeven in het volgende diagram:
Peering van virtuele netwerken en peering van virtuele netwerken ondersteunen gatewayoverdracht.
Gatewayoverdracht tussen virtuele netwerken die zijn gemaakt via verschillende implementatiemodellen, wordt ondersteund. De gateway moet zich in het virtuele netwerk in het Resource Manager-model bevinden. Zie voor meer informatie over het gebruik van een gateway voor de doorvoer, Een VPN-gateway configureren voor de doorvoer in een virtueel netwerkpeering.
Wanneer u virtuele netwerken koppelt die één Azure ExpressRoute-verbinding delen, gaat het verkeer tussen deze netwerken via de peeringrelatie. Dat verkeer maakt gebruik van het Azure backbone-netwerk. U kunt nog steeds in elk virtueel netwerk lokale gateways gebruiken om verbinding te maken met het on-premises circuit. Anders kunt u een gedeelde gateway gebruiken en doorvoer configureren voor on-premises connectiviteit.
Problemen oplossen
Als u wilt controleren of virtuele netwerken zijn gekoppeld, kunt u effectieve routes controleren. Controleer routes voor een netwerkinterface in een subnet in een virtueel netwerk. Als een peering op een virtueel netwerk bestaat, hebben alle subnets binnen het virtuele netwerk routes met het volgende hoptype VNet-peering voor elke adresruimte in elk gekoppeld virtueel netwerk. Zie Diagnose van een routeringsprobleem met virtuele machines voor meer informatie.
U kunt ook problemen met de connectiviteit met een virtuele machine in een gekoppeld virtueel netwerk oplossen met behulp van Azure Network Watcher. Met een connectiviteitscontrole kunt u zien hoe verkeer wordt gerouteerd van de netwerkinterface van een virtuele bronmachine naar de netwerkinterface van een doel-VM. Zie Problemen met verbindingen met Azure Network Watcher oplossen met behulp van Azure Portal voor meer informatie.
U kunt ook peeringproblemen met virtuele netwerken oplossen.
Beperkingen voor gekoppelde virtuele netwerken
De volgende beperkingen zijn alleen van toepassing wanneer virtuele netwerken wereldwijd zijn gekoppeld:
Resources in één virtueel netwerk kunnen niet communiceren met het front-end-IP-adres van een Basic Load Balancer (intern of openbaar) in een wereldwijd gekoppeld virtueel netwerk.
Sommige services die gebruikmaken van een Basic Load Balancer werken niet via wereldwijde peering van virtuele netwerken. Zie Wat zijn de beperkingen met betrekking tot Globale VNet-peering en Load Balancers? voor meer informatie.
Zie Vereisten en beperkingen voor meer informatie. Zie Netwerklimieten voor meer informatie over het ondersteunde aantal peerings.
Bevoegdheden
Zie Machtigingen voor meer informatie over machtigingen die zijn vereist voor het maken van peering van een virtueel netwerk.
Prijzen
Er worden nominale kosten in rekening gebracht voor inkomend en uitgaand verkeer dat gebruikmaakt van een peeringverbinding voor virtuele netwerken. Zie Prijzen voor Virtual Network voor meer informatie.
Gateway Transit is een peering-eigenschap waarmee een virtueel netwerk een VPN/ExpressRoute-gateway kan gebruiken in een gekoppeld virtueel netwerk. Gatewayoverdracht werkt voor zowel cross-premises als netwerk-naar-netwerkconnectiviteit. Verkeer naar de gateway (inkomend of uitgaand verkeer) in het gekoppelde virtuele netwerk brengt kosten in rekening voor peering van virtuele netwerken in het virtuele spoke-netwerk (of virtueel netwerk zonder een VPN-gateway). Zie prijzen voor VPN Gateway voor vpn-gatewaykosten en Prijzen voor ExpressRoute Gateway voor ExpressRoute-gatewaykosten voor meer informatie.
Notitie
Een eerdere versie van dit document heeft aangegeven dat peeringkosten voor virtuele netwerken niet van toepassing zijn op het spoke-VNet (of niet-gateway-VNet) met Gateway Transit. Het weerspiegelt nu nauwkeurige prijzen per pagina met prijzen.
Volgende stappen
U kunt een peering tussen twee virtuele netwerken maken. De netwerken kunnen deel uitmaken van hetzelfde abonnement, verschillende implementatiemodellen in hetzelfde abonnement of verschillende abonnementen. Volg een zelfstudie voor een van de volgende scenario's:
Azure-implementatiemodel Abonnement Beide in Resource Manager Hetzelfde Verschillend Eén in Resource Manager, één klassiek Hetzelfde Verschillend Zie de sternetwerktopologie in Azure voor meer informatie over het maken van een hub- en spoke-netwerktopologie.
Zie Peering voor virtuele netwerken maken, wijzigen of verwijderen voor meer informatie over alle peeringinstellingen voor virtuele netwerken.
Zie VNet-peering voor antwoorden op veelvoorkomende peering van virtuele netwerken en algemene vragen over peering van virtuele netwerken.