Ansluta tjänster med hjälp av peering för virtuella nätverk
Du kan använda peering för virtuella nätverk för att ansluta virtuella Azure-nätverk direkt tillsammans. När du använder peering för att ansluta virtuella nätverk kan virtuella datorer i dessa nätverk kommunicera med varandra som om de finns i samma nätverk.
Med peerkopplade virtuella nätverk dirigeras trafik mellan virtuella datorer via Azure-nätverket. Trafiken använder endast privata IP-adresser. Den förlitar sig inte på Internetanslutningar, gatewayer eller krypterade anslutningar. Trafiken är alltid privat och drar nytta av Azure-stamnätverkets stora bandbredd och låga latens.
De två typerna av peering-anslutningar skapas på samma sätt:
- Peering för virtuella nätverk ansluter virtuella nätverk inom samma Azure-region, till exempel två virtuella nätverk i Europa, norra.
- Global peering för virtuella nätverk ansluter virtuella nätverk som finns i olika Azure-regioner, till exempel ett virtuellt nätverk i Europa, norra och ett virtuellt nätverk i Europa, västra.
Peering för virtuella nätverk påverkar eller stör inte eventuella resurser som du redan har distribuerat till de virtuella nätverken. När du använder peering för virtuella nätverk bör du överväga de viktiga funktioner som definierats i följande avsnitt.
Ömsesidiga anslutningar
När du skapar en peering-anslutning för virtuella nätverk med Azure PowerShell eller Azure CLI skapas bara en sida av peering. För att slutföra peeringkonfigurationen för virtuella nätverk måste du konfigurera peering i omvänd riktning för att upprätta anslutningen. När du skapar peering-anslutningen för virtuella nätverk via Azure-portalen slutförs konfigurationen för båda sidor samtidigt.
Tänk på hur du ansluter två nätverksväxlar tillsammans. Du skulle ansluta en kabel till varje växel och kanske konfigurera vissa inställningar så att växlarna kan kommunicera. Peering för virtuella nätverk kräver liknande anslutningar i varje virtuellt nätverk. Det åstadkommer du med ömsesidiga anslutningar.
Peering för virtuella nätverk mellan prenumerationer
Du kan använda peering för virtuella nätverk även när båda nätverken finns i olika prenumerationer. Den här konfigurationen kan vara nödvändig för sammanslagningar och förvärv, eller för att ansluta virtuella nätverk i prenumerationer som olika avdelningar hanterar. Virtuella nätverk kan finnas i olika prenumerationer och prenumerationerna kan använda samma eller olika Microsoft Entra-klienter.
När du använder peering för virtuella nätverk mellan prenumerationer kanske du upptäcker att administratören för en prenumeration inte hanterar peer-nätverkets prenumeration. Administratören kanske inte kan konfigurera båda ändar av anslutningen. Om du vill peer-koppla de virtuella nätverken när båda prenumerationerna finns i olika Microsoft Entra-klienter måste administratörerna för varje prenumeration ge peer-prenumerationens administratör Network Contributor rollen i deras virtuella nätverk.
Transitivitet
Peering för virtuella nätverk är icke-transitiv. Endast virtuella nätverk som är direkt peer-kopplade kan kommunicera med varandra. Virtuella nätverk kan inte kommunicera med peer-datorer till sina peer-datorer.
Anta till exempel att dina tre virtuella nätverk (A, B, C) är peerkopplade så här: A <–> B <–> C. Resurser i A kan inte kommunicera med resurser i C eftersom trafiken inte kan passera genom det virtuella nätverket B. Om du behöver kommunikation mellan det virtuella nätverket A och det virtuella nätverket C måste du uttryckligen peer-koppla dessa två virtuella nätverk.
Gatewayöverföring
Du kan ansluta till ditt lokala nätverk från ett peer-kopplat virtuellt nätverk om du aktiverar gatewayöverföring från ett virtuellt nätverk som har en VPN-gateway. Med gatewayöverföring kan du upprätta en lokal anslutning utan att distribuera virtuella nätverksgatewayer till alla dina virtuella nätverk. Den här metoden kan minska den totala kostnaden och komplexiteten i nätverket. Genom att använda peering för virtuella nätverk med gatewayöverföring kan du konfigurera ett enda virtuellt nätverk som ett navnätverk. Anslut det här navnätverket till ditt lokala datacenter och dela den virtuella nätverksgatewayen med peer-datorer.
Om du vill aktivera gatewayöverföring konfigurerar du alternativet Tillåt gatewayöverföring i det virtuella navnätverket där du har distribuerat gateway-anslutningen till ditt lokala nätverk. Konfigurera också alternativet Använd fjärrgateway i eventuella virtuella nätverk av spoke-typ.
Kommentar
Om du vill aktivera alternativet Använd fjärrgateway i en peer-koppling för ett spoke-nätverk, kan du inte distribuera en virtuell nätverksgateway i spoke-nätverket.
Överlappande adressutrymmen
IP-adressutrymmen för anslutna nätverk i Azure, mellan Azure och ditt lokala nätverk kan inte överlappa varandra. Det här gäller även peer-kopplade virtuella nätverk. Ha den här regeln i åtanke när du planerar utformningen av nätverket. I alla nätverk som du ansluter via peering för virtuella nätverk, VPN eller ExpressRoute tilldelar du olika adressutrymmen som inte överlappar varandra.
Alternativa anslutningsmetoder
Peering för virtuella nätverk är det minst komplexa sättet att ansluta virtuella nätverk tillsammans. Andra metoder fokuserar främst på anslutningen mellan lokala nätverk och Azure-nätverk i stället för anslutningar mellan virtuella nätverk.
Du kan också ansluta virtuella nätverk via en ExpressRoute-krets. ExpressRoute är en dedikerad, privat anslutning mellan ett lokalt datacenter och Azure-stamnätverket. Virtuella nätverk som är anslutna till samma ExpressRoute-krets ingår i samma routningsdomän och kan kommunicera sinsemellan. Kommunikationen med Azure-tjänsterna blir så säker som möjligt eftersom ExpressRoute-anslutningar inte går via det offentliga Internet.
VPN:er använder Internet för att ansluta ditt lokala datacenter till Azures stamnät via en krypterad tunnel. Du kan använda en plats-till-plats-konfiguration för att koppla samman virtuella nätverk via VPN-gatewayer. VPN-gatewayer har högre latens än konfigurationer med peering för virtuella nätverk. De är mer komplexa och kan kosta mer att hantera.
När virtuella nätverk är anslutna via både en gateway och peering för virtuella nätverk går trafiken via peeringkonfigurationen.
Situationer då du ska välja peering för virtuella nätverk
Peering för virtuella nätverk kan vara ett bra sätt att aktivera nätverksanslutningen mellan tjänster som är i olika virtuella nätverk. Eftersom det är enkelt att implementera och distribuera och det fungerar bra i regioner och prenumerationer, är peering för virtuella nätverk ett naturligt förstahandsval när du behöver integrera virtuella Azure-nätverk.
Peering kanske inte är det bästa alternativet om du har befintliga VPN- eller ExpressRoute-anslutningar eller -tjänster bakom Azure Basic Load Balancers som skulle nås från ett peer-kopplat virtuellt nätverk. I dessa fall bör du utforska andra alternativ.