Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Subnetz-Peering verbindet zwei virtuelle Netzwerke, indem bestimmte Subnetze anstelle von gesamten virtuellen Netzwerkadressräumen verknüpft werden. Mit diesem Ansatz können Sie präzise steuern, welche Subnetze an der Peeringbeziehung zwischen lokalen und remote virtuellen Netzwerken teilnehmen.
Subnetz-Peering bietet Flexibilität im virtuellen Netzwerk-Peering. Sie können bestimmte Subnetze für das Peering über virtuelle Netzwerke auswählen. Geben Sie die Liste der Subnetze in den virtuellen Netzwerken an, die Sie für das Peering verwenden möchten. Im Gegensatz dazu verbindet normales virtuelles Netzwerk-Peering ganze Adressbereiche und Subnetze über die virtuellen Netzwerke hinweg.
Die folgenden Einschränkungen gelten für die Verwendung von Subnetz-Peering:
Abonnement-Zulassungsliste: Um dieses Feature zu verwenden, müssen Sie das Abonnement registrieren, für das Sie Subnetz-Peering konfigurieren möchten. Füllen Sie dieses Formular aus, um Ihr Abonnement zu registrieren.
Verfügbarkeit: Das Feature ist in allen Regionen verfügbar. Sie können sie jedoch nur über Terraform, PowerShell, API, CLI und ARM-Vorlage konfigurieren.
Voraussetzungen
Ein Azure-Konto mit einem aktiven Abonnement. Kostenlos ein Konto erstellen.
Um den Zugriff auf dieses Feature zu ermöglichen, registrieren Sie Ihr Abonnement über den Allowlisting-Prozess.
Konfigurieren von Subnetz-Peering
- Für diesen Artikel ist mindestens Version 2.31.0 der Azure CLI erforderlich. Wenn Sie Azure Cloud Shell verwenden, ist die neueste Version bereits installiert.
Im vorhandenen Erstellungsprozess für das Peering virtueller Netzwerke werden einige neue optionale Parameter eingeführt. In diesem Abschnitt werden die einzelnen Parameter beschrieben:
Neue optionale Parameter
--peer-complete-vnet
Wählen Sie Subnetz-Peering aus. Standardmäßig ist dieser Parameterwert auf „true“ gesetzt, was bedeutet, dass alle virtuellen Netzwerke für das Peering verwendet werden (alle Adressräume und Subnetze). Um Subnetz-Peering zu verwenden, legen Sie diesen Parameter auf "false" fest.
Akzeptierte Werte: 0, 1, f, false, n, nein, t, true, y, ja
Standardwert: True--local-subnet-names
Geben Sie die lokalen Subnetznamen ein, die Sie mit den Remotesubnetzen verknüpfen möchten, wenn Subnetz-Peering aktiviert ist, indem Sie den Parameterpeer-complete-vnetauf 0 setzen.--remote-subnet-names
Geben Sie die Namen der Remote-Subnetze ein, die Sie mit den lokalen Subnetzen für das Peering verwenden möchten, wenn Subnetz-Peering aktiviert ist, indem Sie den Parameterpeer-complete-vnetauf 0 setzen.--enable-only-ipv6
Konfigurieren von Subnetz-Peering nur über IPv6-Adressraum (für Dualstapel-Subnetze). Standardmäßig ist der Wert für diesen Parameter auf "false" festgelegt. Peering erfolgt standardmäßig über IPv4-Adressen. Wenn dieser Wert auf "true" festgelegt ist, erfolgt peering über IPv6 in Zweistapel-Subnetzen.
Akzeptierte Werte: 0, 1, f, false, n, nein, t, true, y, ja
az network vnet peering create --name
--remote-vnet
--resource-group
--vnet-name
[--allow-forwarded-traffic {0, 1, f, false, n, no, t, true, y, yes}]
[--allow-gateway-transit {0, 1, f, false, n, no, t, true, y, yes}]
[--allow-vnet-access {0, 1, f, false, n, no, t, true, y, yes}]
[--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
[--use-remote-gateways {0, 1, f, false, n, no, t, true, y, yes}]
[--peer-complete-vnet {0, 1(default), f, false, n, no, t, true, y, yes}]
[--enable-only-ipv6 {0(default), 1, f, false, n, no, t, true, y, yes}]
[--local-subnet-names]
[--remote-subnet-names]
Verwenden Sie az group create, um eine Ressourcengruppe namens test-rg am Standort eastus2 zu erstellen.
az group create \ --name test-rg \ --location eastus2Verwenden Sie az network vnet create , um zwei virtuelle Netzwerke namens vnet-1 und vnet-2 zu erstellen.
az network vnet create \ --name vnet-1 \ --resource-group test-rg \ --location eastus2 \ --address-prefix 10.0.0.0/16 && \ az network vnet create \ --name vnet-2 \ --resource-group test-rg \ --location eastus2 \ --address-prefix 10.1.0.0/16Verwenden Sie az network vnet subnet create, um ein Subnetz mit mehreren Präfixen zu erstellen.
az network vnet subnet create \ --name subnet-1 \ --resource-group test-rg \ --vnet-name vnet-1 \ --address-prefix 10.0.1.0/24 && \ az network vnet subnet create \ --name subnet-2 \ --resource-group test-rg \ --vnet-name vnet-1 \ --address-prefix 10.0.2.0/24 && \ az network vnet subnet create \ --name subnet-3 \ --resource-group test-rg \ --vnet-name vnet-2 \ --address-prefix 10.1.1.0/24 && \ az network vnet subnet create \ --name subnet-4 \ --resource-group test-rg \ --vnet-name vnet-2 \ --address-prefix 10.1.2.0/24Nachdem Sie die erforderlichen Subnetze erstellt haben, möchten Sie möglicherweise nur Subnetz-1 von vnet-1 und Subnetz-3 von vnet-2 verbinden, anstatt das gesamte virtuelle Netzwerk zu peeren. Verwenden Sie die zuvor beschriebenen optionalen Parameter, um diese Konfiguration zu erreichen.
Führen Sie den Befehl "virtuelles Netzwerk-Peering erstellen" mit den optionalen Parametern aus.az network vnet peering create --name vnet-1_to_vnet-2 --resource-group test-rg --vnet-name vnet-1 --remote-vnet vnet-2 --allow-forwarded-traffic --allow-gateway-transit --allow-vnet-access --peer-complete-vnet false --local-subnet-names subnet-1 --remote-subnet-names subnet-3 az network vnet peering create --name vnet-2_to_vnet-1 --resource-group test-rg --vnet-name vnet-2 --remote-vnet vnet-1 --allow-forwarded-traffic --allow-gateway-transit --allow-vnet-access --peer-complete-vnet false --local-subnet-names subnet-3 --remote-subnet-names subnet-1Hinzufügen eines neuen Subnetzes zu Peering
az network vnet peering update --name vnet-1_to_vnet-2 --resource-group test-rg --vnet-name vnet-1 --local-subnet-names subnet-1 subnet-2 az network vnet peering update --name vnet-2_to_vnet-1 --resource-group test-rg --vnet-name vnet-2 --remote-subnet-names subnet-3 subnet-4Entfernen von Subnetzen aus Peering
az network vnet peering update --name vnet-1_to_vnet-2 --resource-group test-rg --vnet-name vnet-1 --local-subnet-names subnet-1 az network vnet peering update --name vnet-2_to_vnet-1 --resource-group test-rg --vnet-name vnet-2 --remote-subnet-names subnet-3Synchronisieren von Peerings
az network vnet peering sync --name vnet-1_to_vnet-2 --resource-group test-rg --vnet-name vnet-1 az network vnet peering sync --name vnet-2_to_vnet-1 --resource-group test-rg --vnet-name vnet-2Anzeigen von Peerings
az network vnet peering show --name vnet-1_to_vnet-2 --resource-group test-rg --vnet-name vnet-1 az network vnet peering show --name vnet-2_to_vnet-1 --resource-group test-rg --vnet-name vnet-2
Überprüfungen und Einschränkungen für Subnetz-Peering
Das folgende Diagramm zeigt die beim Konfigurieren von Subnetz-Peering und aktuellen Einschränkungen durchgeführten Prüfungen an.
Die teilnehmenden Subnetze müssen eindeutig sein und müssen zu eindeutigen Adressräumen gehören.
- Beim Peering zwischen dem virtuellen Netzwerk A und dem virtuellen Netzwerk C (in der Abbildung als schwarze Linie mit Pfeilspitze gezeigt) kann das virtuelle Netzwerk A beispielsweise kein Subnetz-Peering über Subnetz 1, Subnetz 2 und Subnetz 3 mit einem der Subnetze im virtuellen Netzwerk C durchführen, da diese Subnetze des virtuellen Netzwerks A zum Adressraum 10.1.0.0/16 gehören, der auch im virtuellen Netzwerk C existiert.
- Das Subnetz 4 (10.0.1.0/24) des virtuellen Netzwerks A kann jedoch ein Peering mit Subnetz 5 in dem virtuellen Netzwerk C (10.6.1.0/24) erstellen, da diese Subnetze einzigartig sind und zu eindeutigen Adressräumen gehören. Subnetz 4 gehört zum Adressraum 10.0.0.0/16 im virtuellen Netzwerk A und Subnetz 5 gehört zu 10.6.0.0/16 Adressraum im virtuellen Netzwerk C.
Es kann nur eine Peeringverbindung zwischen zwei virtuellen Netzwerken vorhanden sein. Wenn Sie Subnetze aus dem Peeringlink hinzufügen oder entfernen möchten, müssen Sie denselben Peeringlink aktualisieren. Mehrere exklusive Peerings zwischen Subnetzgruppen sind nicht möglich.
Sie können einen bestimmten Peeringlinktyp nicht ändern. Wenn es ein virtuelles Netzwerk-Peering zwischen virtuellem Netzwerk A und virtuellem Netzwerk B gibt und Sie dieses Peering in Subnetz-Peering ändern möchten, müssen Sie den vorhandenen virtuellen Netzwerk-Peeringlink löschen und einen neuen Peering mit den erforderlichen Parametern für Subnetz-Peering erstellen und umgekehrt.Die Anzahl der Subnetze, die an einer einzelnen Peeringverbindung teilnehmen, ist auf 200 pro Seite beschränkt (200 aus dem lokalen virtuellen Netzwerk und 200 aus dem virtuellen Remotenetzwerk). Darüber hinaus sollte die Gesamtanzahl der Subnetze, die über alle Peeringverbindungen für ein bestimmtes virtuelles Netzwerk gepeert werden können, 1.000 nicht überschreiten.
- Bei der Peering-Verbindung zwischen dem virtuellen Netzwerk A und dem virtuellen Netzwerk B (dargestellt durch die blaue Linie mit Pfeilspitze) sollte die Gesamtzahl der am Peering teilnehmenden Subnetze aus VNET A <=200 und aus VNET B <= 200 betragen.
- Die Gesamtzahl der Subnetze in allen Speichen (VNET B und VNET C), die mit VNET A verbunden werden können, sollte <= 1000 betragen. In der obigen Abbildung sind es insgesamt 3 (2 von VNET B-Seite, 1 von VNET C-Seite)
In der aktuellen Version (Funktion weiterhin hinter Abonnement-Flag), existiert eine Weiterleitungsroute von einem nicht für das Peering verwendeten Subnetz zu einem für das Peering verwendeten Subnetz – Im aktuellen Szenario mit Peering zwischen den virtuellen Netzwerken A und B verwendet Subnetz 2 des virtuellen Netzwerks A zwar kein Peering, hat aber dennoch eine Route für die Subnetze 1 und 2 im virtuellen Netzwerk B.
Im Subnetzpeering für das virtuelle Netzwerk A und das virtuelle Netzwerk B erwarten Sie, dass nur Subnetz 1 und Subnetz 3 von virtuellem Netzwerk A über eine Route zu Subnetz 1 und Subnetz 2 im entfernten virtuellen Netzwerk B verfügen. Allerdings verfügen auch Subnetz 2 und Subnetz 4 (von lokalem virtuellen Netzwerk A, das nicht verbunden ist) über Routen zu Subnetz 1 und Subnetz 2 auf der Remoteseite (virtuelles Netzwerk B). Dies bedeutet, dass die nicht verbundenen Subnetze Pakete an den Zielknoten im Peering-Subnetz senden können, obwohl das Paket verworfen wird und den virtuellen Computer nicht erreicht.
Wir empfehlen, NSGs auf die teilnehmenden Subnetze anzuwenden, um den Datenverkehr nur von den geprüften Subnetzen und Adressräumen zuzulassen. Diese Einschränkung wird in der Version nach der allgemeinen Verfügbarkeit aufgehoben.
Subnetz-Peering und AVNM
- Verbundene Gruppe
Wenn zwei virtuelle Netzwerke in einer „Verbundenen Gruppe“ verbunden sind und Sie Subnetz-Peering über diese beiden virtuellen Netzwerke konfigurieren, hat das Subnetz-Peering Vorrang, und die Konnektivität Subnetzen ohne Peering wird unterbrochen. - AVNM-Konnektivitätskonfiguration
AVNM kann heute nicht zwischen virtuellem Netzwerk-Peering und Subnetz-Peering unterscheiden. Wenn Subnetz-Peering zwischen virtuellem Netzwerk A und virtuellem Netzwerk B vorhanden ist und später ein AVNM-Benutzer versucht, ein virtuelles Netzwerk-Peering zwischen virtuellem Netzwerk A und virtuellem Netzwerk B über einige AVNM-Konnektivitätskonfigurationen (Hub- und Spoke-Bereitstellung) einzurichten, geht AVNM davon aus, dass Peering zwischen virtuellem Netzwerk A und virtuellem Netzwerk B bereits vorhanden ist und die neue Peeringanforderung ignoriert. Seien Sie in solchen konfliktbehafteten Szenarien vorsichtig, wenn Sie AVNM und Subnetz-Peering verwenden.
- Verbundene Gruppe
Harte Einschränkung: Wenn Sie planen, die Funktion in der Produktion zu verwenden, müssen Sie Intel-basierte V5 SKUs verwenden bzw. auf V5 SKUs migrieren (Intel-basierte 5. Generation von VM SKUs oder AMD Genoa oder Cobalt 100-basierte SKUs), um einen möglichen Ausfall aufgrund eines Fehlers bei älteren SKU-Generationen zu vermeiden.
Nächste Schritte
Subnetz-Peering hilft Ihnen, IPv4-Speicherplatz zu sparen, indem Sie Adressräume in Subnetzen wiederverwenden können, die nicht verbunden werden müssen. Sie verhindert außerdem die unnötige Exposition des gesamten virtuellen Netzwerkadressraums über Gateways zu lokalen Umgebungen. Mit nur IPv6-Peering können Sie Peering über IPv6-only für Dual-Stack-Subnetze oder nur IPv6-Subnetze konfigurieren. Erkunden Sie diese Funktionen, und teilen Sie Ihr Feedback und Ihre Vorschläge.
Weitere Informationen zum Peering finden Sie unter Virtual Network Peering.