Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit virtuellem Netzwerk-Peering können Sie virtuelle Netzwerke in einer Azure Stack Hub-Umgebung nahtlos verbinden. Die virtuellen Netzwerke werden für Verbindungszwecke als einzelnes Element angezeigt. Der Datenverkehr zwischen virtuellen Computern verwendet die zugrunde liegende SDN-Infrastruktur. Wie der Datenverkehr zwischen virtuellen Computern im selben Netzwerk wird der Datenverkehr nur über das private Azure Stack Hub-Netzwerk weitergeleitet.
Azure Stack Hub unterstützt keine globale Peering, da das Konzept der "Regionen" nicht gilt.
Die Vorteile der Verwendung von virtuellem Netzwerk-Peering sind wie folgt:
- Eine Verbindung mit geringer Latenz und hoher Bandbreite zwischen Ressourcen in verschiedenen virtuellen Netzwerken innerhalb desselben Azure Stack Hub-Stempels.
- Die Fähigkeit von Ressourcen in einem virtuellen Netzwerk, mit Ressourcen in einem anderen virtuellen Netzwerk innerhalb desselben Azure Stack Hub-Stempels zu kommunizieren.
- Die Möglichkeit, Daten zwischen virtuellen Netzwerken in verschiedenen Abonnements innerhalb desselben Microsoft Entra-Mandanten zu übertragen.
- Keine Ausfallzeiten für Ressourcen in einem virtuellen Netzwerk beim Erstellen des Peerings oder nach dem Erstellen des Peerings.
Netzwerkdatenverkehr zwischen virtuellen Netzwerken, die mittels Peering verknüpft sind, ist privat. Der Datenverkehr zwischen virtuellen Netzwerken wird auf der Infrastrukturebene beibehalten. In der Kommunikation zwischen virtuellen Netzwerken ist kein öffentliches Internet, keine Gateways oder Verschlüsselung erforderlich.
Konnektivität
Für virtuelle Netzwerke mit Peering kann für Ressourcen in einem der virtuellen Netzwerke eine direkte Verbindung mit den Ressourcen im virtuellen Peernetzwerk hergestellt werden.
Die Netzwerklatenz zwischen virtuellen Computern in per Peering verknüpften virtuellen Netzwerken in der gleichen Region entspricht der Netzwerklatenz in einem einzelnen virtuellen Netzwerk. Der Netzwerkdurchsatz basiert auf der Bandbreite, die für den virtuellen Computer proportional zu seiner Größe zulässig ist. Im Peering bestehen keine weiteren Bandbreiteneinschränkungen.
Der Datenverkehr zwischen virtuellen Computern in virtuellen Peernetzwerken wird direkt über die SDN-Ebene weitergeleitet, nicht über ein Gateway oder über das öffentliche Internet.
Sie können Netzwerksicherheitsgruppen in beiden virtuellen Netzwerken anwenden, um den Zugriff auf andere virtuelle Netzwerke oder Subnetze zu blockieren. Wenn Sie virtuelle Netzwerk-Peering konfigurieren, öffnen oder schließen Sie die Regeln der Netzwerksicherheitsgruppe zwischen den virtuellen Netzwerken. Wenn Sie die vollständige Konnektivität zwischen den mittels Peering verknüpften virtuellen Netzwerken öffnen, können Sie Netzwerksicherheitsgruppen verwenden, um spezifischen Zugriff zu blockieren oder zu verweigern. „Vollständige Konnektivität“ ist die Standardoption. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Sicherheitsgruppen.
Dienstverkettung
Mit der Dienstverkettung können Sie den Datenverkehr von einem virtuellen Netzwerk zu einer virtuellen Appliance oder einem Gateway in einem peered-Netzwerk über benutzerdefinierte Routen leiten.
Um die Dienstverkettung zu aktivieren, konfigurieren Sie benutzerdefinierte Routen, die auf virtuelle Computer in peerierten virtuellen Netzwerken verweisen, als nächste Hop-IP-Adresse.
Sie können Hub-and-Spoke-Netzwerke bereitstellen, in denen die Infrastrukturkomponenten des virtuellen Hubnetzwerks gehostet werden, z. B. eine virtuelle Netzwerkanwendung oder ein VPN-Gateway. Alle virtuellen Spoke-Netzwerke können dann mittels Peering mit dem virtuellen Hubnetzwerk verknüpft werden. Der Datenverkehr durchläuft virtuelle Netzwerkgeräte oder VPN-Gateways im virtuellen Hubnetzwerk.
Mit Peering virtueller Netzwerke kann der nächste Hop einer benutzerdefinierten Route die IP-Adresse eines virtuellen Computers im mittels Peering verknüpften virtuellen Netzwerk sein. Weitere Informationen zu benutzerdefinierten Routen finden Sie unter Übersicht über benutzerdefinierte Routen. Informationen zum Erstellen einer Hub- und Speichennetzwerktopologie finden Sie unter Hub-Spoke-Netzwerktopologie in Azure.
Gateways und lokale Konnektivität
Jedes virtuelle Netzwerk, einschließlich eines mittels Peering verknüpften virtuellen Netzwerks, kann ein eigenes Gateway besitzen. Ein virtuelles Netzwerk kann sein Gateway verwenden, um eine Verbindung mit einem lokalen Netzwerk herzustellen. Bitte lesen Sie die Dokumentation zum Azure Stack Hub Virtual Network Gateway.
Sie können auch das Gateway im mittels Peering verknüpften virtuellen Netzwerk als Transitpunkt für ein lokales Netzwerk konfigurieren. In diesem Fall kann das virtuelle Netzwerk, das ein Remotegateway verwendet, nicht über ein eigenes Gateway verfügen. Ein virtuelles Netzwerk verfügt nur über ein Gateway. Das Gateway ist entweder ein lokales oder Remotegateway im virtuellen Peered-Netzwerk, wie in der folgenden Abbildung dargestellt:
Beachten Sie, dass ein Connection-Objekt im VPN-Gateway erstellt werden muss, bevor die UseRemoteGateways-Optionen im Peering aktiviert werden.
Von Bedeutung
Azure Stack Hub konfiguriert Systemrouten basierend auf den Peered Virtual Networks Subnetzen und nicht das Präfix der virtuellen Netzwerkadresse. Dies unterscheidet sich von der Azure-Implementierung. Wenn Sie die Standardrouten des Systems außer Kraft setzen möchten, z. B. das in Szenario beschriebene Szenario : Weiterleiten des Datenverkehrs über eine Network Virtual Appliance (NVA) oder Hub-Spoke-Netzwerktopologie in Azure, in der Sie Den Datenverkehr an eine NVA- oder Firewall-Appliance weiterleiten möchten, müssen Sie einen Routeneintrag für jedes Subnetz innerhalb des virtuellen Netzwerks erstellen.
Konfiguration für virtuelles Netzwerk-Peering
Zugriff auf virtuelle Netzwerke zulassen: Die Aktivierung der Kommunikation zwischen virtuellen Netzwerken ermöglicht es Ressourcen, die mit einem virtuellen Netzwerk verbunden sind, mit der gleichen Bandbreite und Latenz miteinander zu kommunizieren, als ob sie mit demselben virtuellen Netzwerk verbunden waren. Die gesamte Kommunikation zwischen Ressourcen in den beiden virtuellen Netzwerken wird über die interne SDN-Ebene geleitet.
Ein Grund, den Netzwerkzugriff nicht zu aktivieren, kann ein Szenario sein, in dem Sie ein virtuelles Netzwerk mit einem anderen virtuellen Netzwerk peered haben, aber gelegentlich den Datenverkehrsfluss zwischen den beiden virtuellen Netzwerken deaktivieren möchten. Möglicherweise ist die Aktivierung/Deaktivierung praktischer als das Löschen und erneute Erstellen von Peerings. Wenn diese Einstellung deaktiviert ist, fließt der Datenverkehr nicht zwischen den virtuellen Peernetzwerken.
Weitergeleiteten Datenverkehr zulassen: Aktivieren Sie dieses Kontrollkästchen, um Datenverkehr zuzulassen, der von einer virtuellen Netzwerk-Appliance in einem virtuellen Netzwerk (das nicht aus dem virtuellen Netzwerk stammt) weitergeleitet wird, um über einen Peering an dieses virtuelle Netzwerk zu fließen. Betrachten Sie beispielsweise drei virtuelle Netzwerke namens "Spoke1", "Spoke2" und "Hub". Ein Peering besteht zwischen jedem speichen virtuellen Netzwerk und dem virtuellen Hub-Netzwerk, aber Peerings sind nicht zwischen den virtuellen Speichennetzwerken vorhanden. Eine virtuelle Netzwerk-Appliance wird im virtuellen Hub-Netzwerk bereitgestellt, und benutzerdefinierte Routen werden auf jedes virtuelle Speichennetzwerk angewendet, das datenverkehr zwischen den Subnetzen über die virtuelle Netzwerk-Appliance leitet. Wenn dieses Kontrollkästchen nicht für das Peering zwischen jedem virtuellen Speichennetzwerk und dem virtuellen Hubnetzwerk aktiviert ist, fließt der Datenverkehr nicht zwischen den virtuellen Speichennetzwerken, da der Hub nicht den Datenverkehr zwischen den virtuellen Netzwerken weiterleite. Während die Aktivierung dieser Funktion den weitergeleiteten Datenverkehr über das Peering zulässt, werden keine benutzerdefinierten Routen oder virtuellen Netzwerkgeräte erstellt. Benutzerdefinierte Routen und virtuelle Netzwerkgeräte werden separat erstellt. Erfahren Sie mehr über benutzerdefinierte Routen. Sie müssen diese Einstellung nicht überprüfen, wenn Datenverkehr zwischen virtuellen Netzwerken über ein VPN-Gateway weitergeleitet wird.
Gatewaytransit zulassen: Aktivieren Sie dieses Kontrollkästchen, wenn Sie über ein virtuelles Netzwerkgateway verfügen, das mit diesem virtuellen Netzwerk verbunden ist, und den Datenverkehr aus dem virtuellen Peernetzwerk über das Gateway zulassen möchten. Dieses virtuelle Netzwerk kann beispielsweise über ein virtuelles Netzwerkgateway an ein lokales Netzwerk angefügt werden. Wenn Sie dieses Kontrollkästchen aktivieren, kann datenverkehr aus dem virtuellen Peernetzwerk über das Gateway fließen, das mit diesem virtuellen Netzwerk verbunden ist, an das lokale Netzwerk. Wenn Sie dieses Kontrollkästchen aktivieren, kann das virtuelle Peernetzwerk kein Gateway konfiguriert haben. Das virtuelle Peered-Netzwerk muss das Kontrollkästchen "Remotegateways verwenden " aktiviert haben, wenn das Peering vom anderen virtuellen Netzwerk zu diesem virtuellen Netzwerk eingerichtet wird. Wenn Sie dieses Kontrollkästchen deaktiviert lassen (Standard), fließt der Datenverkehr aus dem virtuellen Peered-Netzwerk weiterhin zu diesem virtuellen Netzwerk, kann aber nicht über ein virtuelles Netzwerkgateway fließen, das an dieses virtuelle Netzwerk angefügt ist.
Remotegateways verwenden: Aktivieren Sie dieses Kontrollkästchen, damit Datenverkehr von diesem virtuellen Netzwerk über ein virtuelles Netzwerkgateway fließt, das mit dem virtuellen Netzwerk verbunden ist, mit dem Sie peeren. Beispielsweise verfügt das virtuelle Netzwerk, mit dem Sie peeren möchten, über ein VPN-Gateway, das die Kommunikation mit einem lokalen Netzwerk ermöglicht. Wenn Sie dieses Kontrollkästchen aktivieren, können Datenverkehr von diesem virtuellen Netzwerk über das VPN-Gateway fließen, das mit dem virtuellen Peernetzwerk verbunden ist. Wenn Sie dieses Kontrollkästchen aktivieren, muss das virtuelle Peer-Netzwerk über ein virtuelles Netzwerkgateway verfügen, an das es angeschlossen ist, und das Kontrollkästchen "Gatewaydurchlaufzeit zulassen " aktiviert sein. Wenn Sie dieses Kontrollkästchen deaktiviert lassen (Standard), kann der Datenverkehr aus dem virtuellen Peered-Netzwerk weiterhin an dieses virtuelle Netzwerk fließen, aber nicht über ein virtuelles Netzwerkgateway fließen, das an dieses virtuelle Netzwerk angefügt ist.
Remotegateways können nicht verwendet werden, wenn Sie bereits ein Gateway in Ihrem virtuellen Netzwerk konfiguriert haben.
Erlaubnisse
Stellen Sie sicher, dass beim Erstellen von Peerings mit VNETs in verschiedenen Abonnements innerhalb derselben Microsoft Entra-Mandanten die Konten mindestens die Rolle " Netzwerkmitwirkender " zugewiesen haben.
Von Bedeutung
Azure Stack Hub unterstützt kein VNET-Peering zwischen virtuellen Netzwerken in verschiedenen Abonnements und auf verschiedenen Microsoft Entra-Mandanten. Es unterstützt VNET-Peering zwischen VNETs in verschiedenen Abonnements, solange diese Abonnements zum gleichen Microsoft Entra-Mandanten gehören. Dies unterscheidet sich von der Azure-Implementierung.
Häufig gestellte Fragen zum Peering für virtuelle Netzwerke (FAQ)
Was ist virtuelles Netzwerk-Peering?
Peering virtueller Netzwerke ermöglicht Ihnen, virtuelle Netzwerke miteinander zu verbinden. Mit einer VNet-Peeringverbindung zwischen virtuellen Netzwerken können Sie den Datenverkehr privat über IPv4-Adressen weiterleiten. Virtuelle Computer in den peered VNets können miteinander kommunizieren, als ob sie sich im selben Netzwerk befinden. VNet-Peeringverbindungen können auch über mehrere Abonnements innerhalb desselben Microsoft Entra-Mandanten erstellt werden.
Unterstützt Azure Stack Hub globale VNET-Peering?
Azure Stack Hub unterstützt keine globale Peering, da das Konzept der "Regionen" nicht gilt.
Auf welchem Azure Stack Hub-Update ist virtual network peering verfügbar?
Virtual Network Peering ist ab dem Update 2008 im Azure Stack Hub verfügbar.
Kann ich mein virtuelles Netzwerk in Azure Stack Hub mit einem virtuellen Netzwerk in Azure peeren?
Nein, Peering zwischen Azure und Azure Stack Hub wird derzeit nicht unterstützt.
Kann ich mein virtuelles Netzwerk in Azure Stack Hub1 mit einem virtuellen Netzwerk in Azure Stack Hub2 peeren?
Nein, Peering kann nur zwischen virtuellen Netzwerken in einem Azure Stack Hub-System erstellt werden. Weitere Informationen zum Verbinden von zwei virtuellen Netzwerken aus unterschiedlichen Stempeln finden Sie unter Einrichten einer VNET-zu-VNET-Verbindung in Azure Stack Hub.
Kann ich Peering aktivieren, wenn meine virtuellen Netzwerke zu Abonnements innerhalb verschiedener Microsoft Entra-Mandanten gehören?
Nein. Es ist nicht möglich, VNet-Peering einzurichten, wenn Ihre Abonnements zu verschiedenen Microsoft Entra-Mandanten gehören. Dies ist eine bestimmte Einschränkung für Azure Stack Hub.
Kann ich mein virtuelles Netzwerk mit einem virtuellen Netzwerk in einem anderen Abonnement peeren?
Ja. Sie können virtuelle Netzwerke über verschiedene Abonnements hinweg peeren, wenn sie zum gleichen Microsoft Entra-Mandanten gehören.
Gibt es Bandbreiteneinschränkungen für Peeringverbindungen?
Nein. Virtual Network Peering erzwingt keine Bandbreiteneinschränkungen. Die Bandbreite ist nur durch den virtuellen Computer oder die Computeressource begrenzt.
Meine virtuelle Netzwerk-Peeringverbindung befindet sich in einem initiierten Zustand, warum kann ich keine Verbindung herstellen?
Wenn sich Ihre Peeringverbindung im Zustand "Initiiert " befindet, bedeutet dies, dass Sie nur einen Link erstellt haben. Um eine erfolgreiche Verbindung herzustellen, muss eine bidirektionale Verknüpfung erstellt werden. Um z. B. VNet A zu VNet B zu peeren, muss ein Link von VNet A zu VNet B und von VNet B zu VNet A erstellt werden. Durch das Erstellen beider Verknüpfungen wird der Zustand in "Verbunden" geändert.
Meine virtuelle Netzwerk-Peeringverbindung befindet sich im Status "Getrennt" , warum kann ich keine Peeringverbindung erstellen?
Wenn sich Die Verbindung mit dem virtuellen Netzwerk-Peering im Zustand "Getrennt" befindet, bedeutet dies, dass eine der erstellten Verknüpfungen gelöscht wurde. Um eine Peeringverbindung erneut herzustellen, löschen Sie den Link, und erstellen Sie ihn neu.
Wird Datenverkehr für Peering virtueller Netzwerke verschlüsselt?
Nein. Der Datenverkehr zwischen Ressourcen in virtuellen Peernetzwerken ist privat und isoliert. Sie verbleibt vollständig auf der SDN-Ebene des Azure Stack Hub-Systems.
Wenn ich VNet A zu VNet B und I Peer VNet B zu VNet C peere, bedeutet dies, dass VNet A und VNet C peered werden?
Nein. Transitives Peering wird nicht unterstützt. Sie müssen VNet A und VNet C peeren.