Peering de rede virtual
O emparelhamento de rede virtual permite que você conecte diretamente duas ou mais Redes Virtuais no Azure. As redes virtuais aparecem como uma só para fins de conectividade. O tráfego entre máquinas virtuais em redes virtuais emparelhadas usa a infraestrutura de backbone da Microsoft. Tal como o tráfego entre máquinas virtuais na mesma rede, o tráfego é encaminhado apenas através da rede privada da Microsoft.
O Azure dá suporte aos seguintes tipos de emparelhamento:
Emparelhamento de rede virtual: conectando redes virtuais dentro da mesma região do Azure.
Emparelhamento de rede virtual global: conectando redes virtuais entre regiões do Azure.
As vantagens da utilização do peering de redes virtuais, sejam locais ou globais, incluem:
Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.
A capacidade de recursos em uma rede virtual para se comunicar com recursos em uma rede virtual diferente.
A capacidade de transferir dados entre redes virtuais entre assinaturas do Azure, locatários do Microsoft Entra, modelos de implantação e regiões do Azure.
A capacidade de emparelhar redes virtuais criadas através do Azure Resource Manager.
A capacidade de emparelhar uma rede virtual criada através do Resource Manager para uma criada através do modelo de implementação clássico. Para saber mais sobre os modelos de implementação do Azure, veja Understand Azure deployment models (Compreender os modelos de implementação do Azure).
Sem períodos de indisponibilidade para recursos em qualquer rede virtual durante ou após a criação do peering.
O tráfego de rede entre redes virtuais em modo de peering é privado. O tráfego entre as redes virtuais é mantido na rede principal da Microsoft. Não é necessária Internet pública, gateways ou encriptação na comunicação entre as redes virtuais.
Conectividade
Para redes virtuais emparelhadas, os recursos em qualquer rede virtual podem se conectar diretamente com recursos na rede virtual emparelhada.
A latência de rede entre máquinas virtuais em redes virtuais no modo de peering na mesma região é igual à latência numa rede virtual individual. O débito de rede baseia-se na largura de banda que é permitida para a máquina virtual proporcionalmente ao respetivo tamanho. Não há nenhuma restrição extra de largura de banda dentro do emparelhamento.
O tráfego entre as máquinas virtuais nas redes virtuais em modo de peering é encaminhado diretamente através da infraestrutura principal da Microsoft e não através de um gateway ou numa Internet pública.
Você pode aplicar grupos de segurança de rede em qualquer rede virtual para bloquear o acesso a outras redes virtuais ou sub-redes. Ao configurar o emparelhamento de rede virtual, abra ou feche as regras do grupo de segurança de rede entre as redes virtuais. Se você abrir conectividade total entre redes virtuais emparelhadas, poderá aplicar grupos de segurança de rede para bloquear ou negar acesso específico. A conectividade total é a opção padrão. Para saber mais sobre grupos de segurança de rede, consulte Grupos de segurança.
Redimensionar o espaço de endereço das redes virtuais do Azure emparelhadas
Você pode redimensionar o espaço de endereçamento das redes virtuais do Azure que são emparelhadas sem incorrer em qualquer tempo de inatividade no espaço de endereçamento emparelhado no momento. Esse recurso é útil quando você precisa redimensionar o espaço de endereçamento da rede virtual depois de dimensionar suas cargas de trabalho. Depois que o espaço de endereço é redimensionado, os pares devem sincronizar com as novas alterações de espaço de endereço. O redimensionamento funciona para espaços de endereçamento IPv4 e IPv6.
Os endereços podem ser redimensionados das seguintes maneiras:
Modificar o prefixo do intervalo de endereços de um intervalo de endereços existente (por exemplo, alterar 10.1.0.0/16 para 10.1.0.0/18)
Adicionar intervalos de endereços a uma rede virtual
Excluindo intervalos de endereços de uma rede virtual
O redimensionamento do espaço de endereçamento é suportado entre locatários
A sincronização de pares de rede virtual pode ser realizada através do portal do Azure ou com o Azure PowerShell. Recomendamos que você execute a sincronização após cada operação de redimensionamento do espaço de endereçamento em vez de executar várias operações de redimensionamento e, em seguida, executar a operação de sincronização. Para saber como atualizar o espaço de endereço para uma rede virtual emparelhada, consulte Atualizando o espaço de endereço para uma rede virtual emparelhada.
Importante
Esta funcionalidade não suporta cenários em que a rede virtual a atualizar está emparelhada com:
- Uma rede virtual clássica
Encadeamento de serviços
O encadeamento de serviços permite direcionar o tráfego de uma rede virtual para um dispositivo virtual ou gateway em uma rede emparelhada por meio de rotas definidas pelo usuário.
Para habilitar o encadeamento de serviços, configure rotas definidas pelo usuário que apontem para máquinas virtuais emparelhadas como o endereço IP do próximo salto . As rotas definidas pelo usuário também podem apontar para gateways de rede virtual para habilitar o encadeamento de serviços.
Você pode implantar redes hub-and-spoke, onde a rede virtual do hub hospeda componentes de infraestrutura, como um dispositivo virtual de rede ou gateway VPN. Todas as redes virtuais “spoke” podem, então, configurar o peering com a rede virtual do concentrador. O tráfego flui através de dispositivos virtuais de rede ou gateways VPN na rede virtual do hub.
O peering de rede virtual permite que o próximo salto numa rota definida pelo utilizador seja o endereço IP de uma máquina virtual na rede virtual em modo de peering ou um gateway VPN. Não é possível rotear entre redes virtuais com uma rota definida pelo usuário que especifique um gateway de Rota Expressa do Azure como o próximo tipo de salto. Para saber mais sobre as rotas definidas pelo utilizador, veja Descrição geral das rotas definidas pelo utilizador. Para saber como criar uma topologia de rede hub-spoke e spoke, consulte Topologia de rede Hub-spoke no Azure.
Gateways e conetividade no local
Cada rede virtual, incluindo uma rede virtual emparelhada, pode ter seu próprio gateway. Uma rede virtual pode usar seu gateway para se conectar a uma rede local. Você também pode configurar conexões de rede virtual para rede virtual usando gateways, mesmo para redes virtuais emparelhadas.
Quando você configura ambas as opções para interconectividade de rede virtual, o tráfego entre as redes virtuais flui através da configuração de emparelhamento. O tráfego usa o backbone do Azure.
Você também pode configurar o gateway na rede virtual emparelhada como um ponto de trânsito para uma rede local. Nesse caso, a rede virtual que está usando um gateway remoto não pode ter seu próprio gateway. Uma rede virtual pode ter apenas um gateway, o gateway deve ser um gateway local ou remoto na rede virtual emparelhada, conforme mostrado no diagrama a seguir:
O emparelhamento de rede virtual e o emparelhamento de rede virtual global suportam o trânsito de gateway.
Há suporte para o trânsito de gateway entre redes virtuais criadas por meio de diferentes modelos de implantação. O gateway deve estar na rede virtual no modelo do Resource Manager. Para saber mais sobre como utilizar um gateway para trânsito, veja Configurar um gateway de VPN para trânsito num peering de rede virtual.
Quando você emparelha redes virtuais que compartilham uma única conexão de Rota Expressa do Azure, o tráfego entre elas passa pela relação de emparelhamento. Esse tráfego usa a rede de backbone do Azure. Pode continuar a utilizar gateways locais em cada rede virtual para ligar ao circuito no local. Caso contrário, você pode usar um gateway compartilhado e configurar o trânsito para conectividade local.
Resolver problemas
Para confirmar se as redes virtuais estão emparelhadas, você pode verificar rotas efetivas. Verifique rotas para uma interface de rede em qualquer sub-rede em uma rede virtual. Se um peering de rede virtual existe, todas as sub-redes na rede virtual têm rotas com o tipo de salto seguinte VNet peering, para cada espaço de endereços em cada virtual rede peered. Para obter mais informações, consulte Diagnosticar um problema de roteamento de máquina virtual.
Você também pode solucionar problemas de conectividade com uma máquina virtual em uma rede virtual emparelhada usando o Azure Network Watcher. Uma verificação de conectividade permite ver como o tráfego é roteado da interface de rede de uma máquina virtual de origem para a interface de rede de uma máquina virtual de destino. Para obter mais informações, consulte Solucionar problemas de conexões com o Observador de Rede do Azure usando o portal do Azure.
Você também pode tentar solucionar problemas de emparelhamento de rede virtual.
Restrições para redes virtuais emparelhadas
As seguintes restrições aplicam-se apenas quando as redes virtuais estão globalmente emparelhadas:
Os recursos em uma rede virtual não podem se comunicar com o endereço IP front-end de um Balanceador de Carga Básico (interno ou público) em uma rede virtual globalmente emparelhada.
Alguns serviços que usam um balanceador de carga básico não funcionam no emparelhamento de rede virtual global. Para obter mais informações, consulte Quais são as restrições relacionadas ao emparelhamento de rede virtual global e aos balanceadores de carga?.
Para obter mais informações, consulte Requisitos e restrições. Para saber mais sobre o número suportado de pares, consulte Limites de rede.
Permissões
Para saber mais sobre as permissões necessárias para criar um emparelhamento de rede virtual, consulte Permissões.
Preços
Há uma cobrança nominal para o tráfego de entrada e saída que usa uma conexão de emparelhamento de rede virtual. Para obter mais informações, consulte Preços de rede virtual.
Gateway Transit é uma propriedade de emparelhamento que permite que uma rede virtual utilize um gateway VPN/ExpressRoute em uma rede virtual emparelhada. O trânsito de gateway funciona para conectividade entre locais e de rede para rede. O tráfego para o gateway (entrada ou saída) na rede virtual emparelhada incorre em encargos de emparelhamento de rede virtual na rede virtual spoke (ou rede virtual sem um gateway VPN). Para obter mais informações, consulte Preços do gateway VPN para taxas de gateway VPN e Preços do gateway ExpressRoute para taxas de gateway ExpressRoute.
Nota
Uma versão anterior deste documento afirmava que as taxas de emparelhamento de rede virtual não se aplicariam na VNet spoke (ou VNet não gateway) com o Gateway Transit. Ele agora reflete preços precisos de acordo com a página de preços.
Próximos passos
Você pode criar um emparelhamento entre duas redes virtuais. As redes podem pertencer à mesma assinatura, modelos de implantação diferentes na mesma assinatura ou assinaturas diferentes. Conclua um tutorial para um dos cenários seguintes:
Modelo de implementação do Azure Subscrição Ambas com Resource Manager Mesma Diferente Uma com Resource Manager, outra com clássica Mesma Diferente Para saber como criar uma topologia de rede hub-spoke e spoke, consulte Topologia de rede Hub-spoke no Azure.
Para saber mais sobre todas as configurações de emparelhamento de rede virtual, consulte Criar, alterar ou excluir um emparelhamento de rede virtual.
Para obter respostas a perguntas comuns sobre emparelhamento de rede virtual e emparelhamento de rede virtual global, consulte Emparelhamento de rede virtual.