Criar, alterar ou eliminar um peering de rede virtual
Saiba como criar, alterar ou excluir um emparelhamento de rede virtual. O emparelhamento de rede virtual permite conectar redes virtuais na mesma região e entre regiões (também conhecido como Emparelhamento de Rede Virtual Global) por meio da rede de backbone do Azure. Uma vez emparelhadas, as redes virtuais ainda são gerenciadas como recursos separados. Se você é novo no emparelhamento de rede virtual, pode saber mais sobre ele na visão geral do emparelhamento de rede virtual ou concluindo o tutorial de emparelhamento de rede virtual.
Pré-requisitos
Se não tiver uma conta do Azure com uma subscrição ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante deste artigo:
Entre no portal do Azure com uma conta do Azure que tenha as permissões necessárias para trabalhar com emparelhamentos.
Criar um peering
Antes de criar um peering, familiarize-se com os requisitos e restrições e permissões necessárias.
Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Em Redes virtuais, selecione a rede para a qual deseja criar um emparelhamento.
Selecione Emparelhamento em Configurações.
Selecione + Adicionar.
Introduza ou selecione valores para as seguintes definições e, em seguida, selecione Adicionar.
Administração Descrição Resumo da rede virtual remota Nome do link de emparelhamento O nome do emparelhamento da rede virtual local. O nome tem de ser exclusivo dentro da rede virtual. Modelo de implantação de rede virtual Selecione o modelo de implantação pelo qual a rede virtual com a qual você deseja emparelhar foi implantada. Sei o meu ID de recurso Se você tiver acesso de leitura à rede virtual com a qual deseja emparelhar, deixe essa caixa de seleção desmarcada. Se você não tiver acesso de leitura à rede virtual ou assinatura com a qual deseja emparelhar, marque esta caixa de seleção. ID do Recurso Este campo aparece quando marca a caixa de verificação Sei o meu ID de recurso. A ID do recurso que você insere deve ser para uma rede virtual que exista na mesma região do Azure ou que ofereça suporte a uma região diferente dessa rede virtual.
O ID completo do recurso é semelhante ao/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>
.
Você pode obter a ID do recurso para uma rede virtual exibindo as propriedades de uma rede virtual. Para saber como exibir as propriedades de uma rede virtual, consulte Gerenciar redes virtuais. As permissões de usuário devem ser atribuídas se a assinatura estiver associada a um locatário do Microsoft Entra diferente da assinatura com a rede virtual que você está emparelhando. Adicione um usuário de cada locatário como um usuário convidado no locatário oposto.Subscrição Selecione a assinatura da rede virtual com a qual deseja emparelhar. Uma ou mais assinaturas são listadas, dependendo de quantas assinaturas sua conta tem acesso de leitura. Rede virtual Selecione a rede virtual remota. Configurações de emparelhamento de rede virtual remota Permitir que a rede virtual emparelhada acesse 'vnet-1' Por padrão, essa opção é selecionada.
- Selecione esta opção para permitir o tráfego da rede virtual emparelhada para 'vnet-1'. Essa configuração permite a comunicação entre hub e spoke na topologia de rede hub-spoke e permite que uma VM na rede virtual emparelhada se comunique com uma VM em 'vnet-1'. A marca de serviço VirtualNetwork para grupos de segurança de rede inclui a rede virtual e a rede virtual emparelhada quando essa configuração é selecionada. Para saber mais sobre tags de serviço, consulte Tags de serviço do Azure.Permitir que a rede virtual emparelhada receba tráfego encaminhado de 'vnet-1' Esta opção não está selecionada por padrão.
- Ativar esta opção permitirá que a rede virtual emparelhada receba tráfego de redes virtuais emparelhadas para 'vnet-1'. Por exemplo, se vnet-2 tiver um NVA que recebe tráfego de fora de vnet-2 que encaminha para vnet-1, você pode selecionar essa configuração para permitir que esse tráfego alcance vnet-1 a partir de vnet-2. Embora a habilitação desse recurso permita o tráfego encaminhado por meio do emparelhamento, ele não cria rotas definidas pelo usuário ou dispositivos virtuais de rede. As rotas definidas pelo usuário e os dispositivos virtuais de rede são criados separadamente.Permitir que o gateway ou o servidor de rotas na rede virtual emparelhada encaminhe o tráfego para 'vnet-1' Esta opção não está selecionada por padrão.
- Habilitar essa configuração permitirá que 'vnet-1' receba tráfego do gateway ou servidor de rotas das redes virtuais emparelhadas. Para que essa opção seja habilitada, a rede virtual emparelhada deve conter um gateway ou servidor de rota.Habilite a rede virtual emparelhada para usar o gateway remoto 'vnet-1's' ou o servidor de rotas Esta opção não está selecionada por padrão.
- Esta opção só pode ser ativada se 'vnet-1' tiver um gateway remoto ou servidor de rota e 'vnet-1' permitir que "Permitir gateway em 'vnet-1' encaminhe tráfego para a rede virtual emparelhada". Esta opção pode ser ativada em apenas um dos emparelhamentos das redes virtuais emparelhadas.
Você também pode selecionar essa opção, se quiser que essa rede virtual use o Servidor de Rotas remoto para trocar rotas, consulte Servidor de Rotas do Azure.
OBSERVAÇÃO: Você não pode usar gateways remotos se já tiver um gateway configurado em sua rede virtual. Para saber mais sobre como usar um gateway para trânsito, consulte Configurar um gateway VPN para trânsito em um emparelhamento de rede virtual.Resumo da rede virtual local Nome do link de emparelhamento O nome do emparelhamento da rede virtual remota. O nome tem de ser exclusivo dentro da rede virtual. Configurações de emparelhamento de rede virtual local Permitir que 'vnet-1' acesse a rede virtual emparelhada Por padrão, essa opção é selecionada.
- Selecione esta opção para permitir o tráfego de 'vnet-1' para a rede virtual emparelhada. Essa configuração permite a comunicação entre hub e spoke na topologia de rede hub-spoke e permite que uma VM em 'vnet-1' se comunique com uma VM na rede virtual emparelhada.Permitir que 'vnet-1' receba tráfego encaminhado da rede virtual emparelhada Esta opção não está selecionada por padrão.
- Ativar esta opção permitirá que 'vnet-1' receba tráfego de redes virtuais emparelhadas para a rede virtual emparelhada. Por exemplo, se vnet-2 tem um NVA que recebe tráfego de fora de vnet-2 que é encaminhado para vnet-1, você pode selecionar essa configuração para permitir que esse tráfego alcance vnet-1 de vnet-2. Embora a habilitação desse recurso permita o tráfego encaminhado por meio do emparelhamento, ele não cria rotas definidas pelo usuário ou dispositivos virtuais de rede. As rotas definidas pelo usuário e os dispositivos virtuais de rede são criados separadamente.Permitir que o gateway ou o servidor de rotas em 'vnet-1' encaminhe o tráfego para a rede virtual emparelhada Esta opção não está selecionada por padrão.
- Habilitar essa configuração permitirá que a rede virtual emparelhada receba tráfego do gateway ou servidor de rotas 'vnet-1's. Para que esta opção seja ativada, 'vnet-1' deve conter um gateway ou servidor de rota.Habilite o 'vnet-1' para usar o gateway remoto ou o servidor de rotas das redes virtuais emparelhadas Esta opção não está selecionada por padrão.
- Esta opção só pode ser ativada se a rede virtual emparelhada tiver um gateway remoto ou servidor de rota e a rede virtual emparelhada permitir "Permitir que o gateway na rede virtual emparelhada encaminhe tráfego para 'vnet-1'". Esta opção pode ser ativada em apenas um dos pares 'vnet-1's.Nota
Se você usar um Gateway de Rede Virtual para enviar tráfego local transitivamente para uma rede virtual emparelhada, o intervalo de IP da rede virtual emparelhada para o dispositivo VPN local deverá ser definido como tráfego 'interessante'. Talvez seja necessário adicionar todos os endereços CIDR da rede virtual do Azure à configuração do Túnel VPN IPSec Site-2-Site no dispositivo VPN local. Os endereços CIDR incluem recursos como Hub, Raios e pools de endereços IP do Ponto 2. Caso contrário, seus recursos locais não poderão se comunicar com recursos na VNet emparelhada. O tráfego interessante é comunicado através de associações de segurança da Fase 2. A associação de segurança cria um túnel VPN dedicado para cada sub-rede especificada. A camada local e a camada do Gateway de VPN do Azure precisam oferecer suporte ao mesmo número de túneis VPN Site-2-Site e sub-redes VNet do Azure. Caso contrário, seus recursos locais não poderão se comunicar com recursos na VNet emparelhada. Consulte a documentação da VPN local para obter instruções sobre como criar associações de segurança da Fase 2 para cada sub-rede VNet do Azure especificada.
Selecione o botão Atualizar após alguns segundos e o status de emparelhamento mudará de Atualização para Conectado.
Para obter instruções passo a passo sobre como implementar o emparelhamento entre redes virtuais em diferentes assinaturas e modelos de implantação, consulte as próximas etapas.
Ver ou alterar definições de peering
Antes de alterar um peering, familiarize-se com os requisitos e restrições e permissões necessárias.
Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione a rede virtual que você gostaria de exibir ou altere suas configurações de emparelhamento em Redes virtuais.
Selecione Emparelhamento em Configurações e, em seguida, selecione o emparelhamento para o qual deseja exibir ou alterar as configurações.
Altere a configuração apropriada. Leia sobre as opções para cada configuração na etapa 4 de criar um emparelhamento. Em seguida, selecione Salvar para concluir as alterações de configuração.
Eliminar um peering
Antes de excluir um peering, familiarize-se com os requisitos e restrições e permissões necessárias.
Quando um emparelhamento entre duas redes virtuais é excluído, o tráfego não pode mais fluir entre as redes virtuais. Se desejar que as redes virtuais se comuniquem às vezes, mas nem sempre, em vez de excluir um emparelhamento, desmarque a configuração Permitir tráfego para rede virtual remota se quiser bloquear o tráfego para a rede virtual remota. Você pode achar que desabilitar e habilitar o acesso à rede é mais fácil do que excluir e recriar pares.
Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione a rede virtual que você gostaria de exibir ou altere suas configurações de emparelhamento em Redes virtuais.
Selecione Emparelhamento em Configurações.
Selecione a caixa junto ao emparelhamento que pretende eliminar e, em seguida, selecione Eliminar.
Em Excluir emparelhamentos, digite excluir na caixa de confirmação e selecione Excluir.
Nota
Quando você exclui um emparelhamento de rede virtual de uma rede virtual, o emparelhamento da rede virtual remota também será excluído.
Selecione Excluir para confirmar a exclusão em Excluir confirmação.
Requisitos e restrições
Você pode emparelhar redes virtuais na mesma região ou em regiões diferentes. O emparelhamento de redes virtuais em diferentes regiões também é conhecido como Emparelhamento de Rede Virtual Global.
Ao criar um emparelhamento global, as redes virtuais emparelhadas podem existir em qualquer região de nuvem pública do Azure ou regiões de nuvem da China ou regiões de nuvem do governo. Não é possível espiar entre nuvens. Por exemplo, uma rede virtual na nuvem pública do Azure não pode ser emparelhada a uma rede virtual no Microsoft Azure operada pela nuvem 21Vianet.
Quando parte de um emparelhamento, uma rede virtual não pode ser movida. Se precisar mover uma rede virtual para um grupo de recursos ou assinatura diferente, exclua o emparelhamento, mova a rede virtual e recrie o emparelhamento.
Os recursos em uma rede virtual não podem se comunicar com o endereço IP front-end de um balanceador de carga básico (interno ou público) em uma rede virtual globalmente emparelhada. O suporte para balanceador de carga básico só existe dentro da mesma região. O suporte para balanceador de carga padrão existe para emparelhamento de rede virtual e emparelhamento de rede virtual global. Alguns serviços que usam um balanceador de carga básico não funcionam no emparelhamento de rede virtual global. Para obter mais informações, consulte Restrições relacionadas ao emparelhamento de rede virtual global e balanceadores de carga.
Você pode usar gateways remotos ou permitir o trânsito de gateway em redes virtuais globalmente emparelhadas e redes virtuais emparelhadas localmente.
As redes virtuais podem estar nas mesmas subscrições ou em subscrições diferentes. Quando você emparelha redes virtuais em assinaturas diferentes, ambas as assinaturas podem ser associadas ao mesmo locatário ou a um locatário diferente do Microsoft Entra. Se ainda não tiver um inquilino do AD, pode criar um.
As redes virtuais que você emparelhar devem ter espaços de endereço IP não sobrepostos.
Você pode emparelhar duas redes virtuais implantadas por meio do Resource Manager ou uma rede virtual implantada por meio do Resource Manager com uma rede virtual implantada por meio do modelo de implantação clássico. Não é possível emparelhar duas redes virtuais criadas por meio do modelo de implantação clássico. Se você não estiver familiarizado com os modelos de implantação do Azure, leia o artigo Compreender os modelos de implantação do Azure. Pode utilizar um Gateway de VPN para ligar duas redes virtuais criadas através do modelo de implementação clássica.
Quando você emparelha duas redes virtuais criadas por meio do Gerenciador de Recursos, um emparelhamento deve ser configurado para cada rede virtual no emparelhamento. Você vê um dos seguintes tipos para o status de emparelhamento:
Iniciado: Quando você cria o primeiro emparelhamento, seu status é Iniciado.
Conectado: Quando você cria o segundo emparelhamento, o status de emparelhamento torna-se Conectado para ambos os emparelhamentos. O emparelhamento não é estabelecido com êxito até que o status de emparelhamento para ambos os emparelhamentos de rede virtual seja Conectado.
Ao emparelhar uma rede virtual criada através do Resource Manager com uma rede virtual criada através do modelo de implementação clássico, apenas configura um emparelhamento para a rede virtual implementada através do Resource Manager. Não é possível configurar o emparelhamento para uma rede virtual (clássica) ou entre duas redes virtuais implantadas por meio do modelo de implantação clássico. Quando você cria o emparelhamento da rede virtual (Gerenciador de Recursos) para a rede virtual (Clássico), o status do emparelhamento é Atualizando e, em seguida, muda para Conectado.
Um emparelhamento é estabelecido entre duas redes virtuais. Os peerings por si só não são transitivos. Se você criar emparelhamento entre:
VirtualNetwork1 e VirtualNetwork2
VirtualNetwork2 e VirtualNetwork3
Não há conectividade entre VirtualNetwork1 e VirtualNetwork3 através de VirtualNetwork2. Se você quiser que VirtualNetwork1 e VirtualNetwork3 se comuniquem diretamente, você precisa criar um emparelhamento explícito entre VirtualNetwork1 e VirtualNetwork3 ou passar por um NVA na rede Hub . Para saber mais, consulte Topologia de rede Hub-spoke no Azure.
Não é possível resolver nomes em redes virtuais emparelhadas usando a resolução de nomes padrão do Azure. Para resolver nomes em outras redes virtuais, você deve usar o DNS Privado do Azure ou um servidor DNS personalizado. Para saber como configurar seu próprio servidor DNS, consulte Resolução de nomes usando seu próprio servidor DNS.
Os recursos em redes virtuais emparelhadas na mesma região podem se comunicar entre si com a mesma latência como se estivessem dentro da mesma rede virtual. O débito de rede baseia-se na largura de banda que é permitida para a máquina virtual proporcionalmente ao respetivo tamanho. Não há nenhuma restrição extra de largura de banda dentro do emparelhamento. Cada tamanho de máquina virtual tem sua própria largura de banda máxima de rede. Para saber mais sobre a largura de banda máxima da rede para diferentes tamanhos de máquina virtual, consulte Tamanhos para máquinas virtuais no Azure.
Uma rede virtual pode ser emparelhada a outra rede virtual e também ser conectada a outra rede virtual com um gateway de rede virtual do Azure. Quando as redes virtuais são conectadas por meio de emparelhamento e um gateway, o tráfego entre as redes virtuais flui através da configuração de emparelhamento, em vez do gateway.
Os clientes VPN ponto a site devem ser baixados novamente após o emparelhamento de rede virtual ter sido configurado com êxito para garantir que as novas rotas sejam baixadas para o cliente.
Há uma taxa nominal para o tráfego de entrada e saída que utiliza um emparelhamento de rede virtual. Para obter mais informações, consulte a página de preços.
Os Gateways de Aplicativos que não têm o Isolamento de Rede habilitado não permitem que o tráfego seja enviado entre VNETs emparelhadas quando Permitir tráfego para rede virtual remota estiver desabilitado.
Permissões
As contas que você usa para trabalhar com emparelhamento de rede virtual devem ser atribuídas às seguintes funções:
Colaborador de Rede: Para uma rede virtual implantada por meio do Gerenciador de Recursos.
Colaborador de rede clássico: para uma rede virtual implantada por meio do modelo de implantação clássico.
Se sua conta não estiver atribuída a uma das funções anteriores, ela deverá ser atribuída a uma função personalizada à qual sejam atribuídas as ações necessárias na tabela a seguir:
Ação | Nome |
---|---|
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/gravação | Necessário para criar um emparelhamento da rede virtual A para a rede virtual B. A rede virtual A deve ser uma rede virtual (Gerenciador de Recursos) |
Microsoft.Network/virtualNetworks/par/ação | Necessário para criar um emparelhamento da rede virtual B (Gerenciador de Recursos) para a rede virtual A |
Microsoft.ClassicNetwork/virtualNetworks/peer/action | Necessário para criar um emparelhamento da rede virtual B (clássica) para a rede virtual A |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/ler | Ler um emparelhamento de rede virtual |
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/excluir | Excluir um emparelhamento de rede virtual |
Próximos passos
Um emparelhamento de rede virtual pode ser criado entre redes virtuais criadas por meio do mesmo ou de diferentes modelos de implantação que existem na mesma assinatura ou de assinaturas diferentes. Conclua um tutorial para um dos cenários seguintes:
Modelo de implementação do Azure Subscrição Ambas com Resource Manager Mesma Diferente Uma com Resource Manager, outra com clássica Mesma Diferente Saiba como criar uma topologia de rede hub and spoke
Criar um emparelhamento de rede virtual usando scripts de exemplo do PowerShell ou da CLI do Azure ou usando modelos do Azure Resource Manager
Criar e atribuir definições de Política do Azure para redes virtuais