Peering in virtuellen NetzwerkenVirtual network peering

Das Peering virtueller Netzwerke ermöglicht das nahtlose Verbinden zweier virtueller Azure-Netzwerke.Virtual network peering enables you to seamlessly connect two Azure virtual networks. Nach dem Peering werden die virtuellen Netzwerke für Verbindungszwecke als einzelnes Element angezeigt.Once peered, the virtual networks appear as one, for connectivity purposes. Der Datenverkehr zwischen virtuellen Computern in den virtuellen Netzwerken, die mittels Peering verknüpft sind, wird ähnlich wie der Datenverkehr zwischen virtuellen Computern im gleichen Netzwerk nur über private IP-Adressen über die Microsoft-Backbone-Infrastruktur geleitet.The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only. Azure unterstützt:Azure supports:

  • VNET-Peering: Verbinden von VNETS in derselben Azure-RegionVNet peering - connecting VNets within the same Azure region
  • Globales VNET-Peering: Verbinden von VNETS in verschiedenen Azure-RegionenGlobal VNet peering - connecting VNets across Azure regions

Die Verwendung von VNET-Peering (lokal oder global) bietet unter anderem folgende Vorteile:The benefits of using virtual network peering, whether local or global, include:

  • Netzwerkdatenverkehr zwischen virtuellen Netzwerken, die mittels Peering verknüpft sind, ist privat.Network traffic between peered virtual networks is private. Datenverkehr zwischen den virtuellen Netzwerken bleibt innerhalb des Microsoft-Backbone-Netzwerks.Traffic between the virtual networks is kept on the Microsoft backbone network. Die Kommunikation zwischen den virtuellen Netzwerken kommt ganz ohne öffentliches Internet, Gateways oder Verschlüsselung aus.No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen NetzwerkenA low-latency, high-bandwidth connection between resources in different virtual networks.
  • Möglichkeit zur Kommunikation zwischen Ressourcen in verschiedenen virtuellen Netzwerken nach dem Peering der virtuellen NetzwerkeThe ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • Möglichkeit zur Übertragung von Daten über Azure-Abonnements, Bereitstellungsmodelle und Azure-Regionen hinwegThe ability to transfer data across Azure subscriptions, deployment models, and across Azure regions.
  • Möglichkeit zum Peering von virtuellen Netzwerken, die mit dem Azure Resource Manager erstellt wurden, oder eines virtuellen Netzwerks, das mit dem Azure Resource Manager-Modell erstellt wurde, mit einem virtuellen Netzwerk, das auf dem klassischen Bereitstellungsmodell basiert.The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Weitere Informationen zu den Azure-Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.To learn more about Azure deployment models, see Understand Azure deployment models.
  • Keine Ausfallzeiten für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings oder nachdem das Peering erstellt wurdeNo downtime to resources in either virtual network when creating the peering, or after the peering is created.

KonnektivitätConnectivity

Nachdem das Peering für virtuelle Netzwerke durchgeführt wurde, kann für Ressourcen in einem der virtuellen Netzwerke eine direkte Verbindung mit den Ressourcen im virtuellen Peernetzwerk hergestellt werden.After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

Die Netzwerklatenz zwischen virtuellen Computern in per Peering verknüpften virtuellen Netzwerken in der gleichen Region entspricht der Netzwerklatenz in einem einzelnen virtuellen Netzwerk.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. Der Netzwerkdurchsatz basiert auf der Bandbreite, die für den virtuellen Computer proportional zu seiner Größe zulässig ist.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Im Peering bestehen keine weiteren Bandbreiteneinschränkungen.There isn't any additional restriction on bandwidth within the peering.

Der Datenverkehr zwischen virtuellen Computern in mittels Peering verknüpften virtuellen Netzwerken wird nicht über ein Gateway oder das öffentliche Internet, sondern direkt über die Microsoft-Backbone-Infrastruktur geleitet.The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

Netzwerksicherheitsgruppen können bei Bedarf in beiden virtuellen Netzwerken angewendet werden, um den Zugriff auf andere virtuelle Netzwerke oder Subnetze zu blockieren.Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. Beim Konfigurieren des VNET-Peerings können Sie die Regeln für Netzwerksicherheitsgruppen zwischen den virtuellen Netzwerken öffnen oder schließen.When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. Wenn Sie sich für das Öffnen der vollständigen Konnektivität zwischen den mittels Peering verknüpften virtuellen Netzwerken entscheiden (Standardoption), können Sie Netzwerksicherheitsgruppen in bestimmten Subnetzen oder auf virtuellen Computern verwenden, um den Zugriff jeweils spezifisch zu blockieren oder zu verweigern.If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht.To learn more about network security groups, see Network security groups overview.

DienstverkettungService chaining

Sie können benutzerdefinierte Routingtabellen konfigurieren, die auf virtuelle Computer in mittels Peering verknüpften virtuellen Netzwerken als IP-Adresse für den nächsten Hop (oder auf virtuelle Netzwerkgateways) verweisen, um die Dienstverkettung zu aktivieren.You can configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address, or to virtual network gateways, to enable service chaining. Eine Dienstverkettung ermöglicht es, Datenverkehr über benutzerdefinierte Routingtabellen aus einem virtuellen Netzwerk an ein virtuelles Gerät (oder virtuelles Netzwerkgateway) in einem mittels Peering verknüpften virtuellen Netzwerk zu leiten.Service chaining enables you to direct traffic from one virtual network to a virtual appliance, or virtual network gateway, in a peered virtual network, through user-defined routes.

Sie können auch Hub-and-Spoke-Netzwerke bereitstellen, in denen das virtuelle Hubnetzwerk Infrastrukturkomponenten wie etwa ein virtuelles Netzwerkgerät oder ein VPN-Gateway hosten kann.You can deploy hub-and-spoke networks, where the hub virtual network can host infrastructure components such as a network virtual appliance or VPN gateway. Alle virtuellen Spoke-Netzwerke können dann mittels Peering mit dem virtuellen Hubnetzwerk verknüpft werden.All the spoke virtual networks can then peer with the hub virtual network. Datenverkehr kann virtuelle Netzwerkgeräte oder VPN-Gateways im virtuellen Hubnetzwerk durchlaufen.Traffic can flow through network virtual appliances or VPN gateways in the hub virtual network.

Beim VNET-Peering kann es sich bei dem nächsten Hop einer benutzerdefinierten Route um die IP-Adresse eines virtuellen Computers im mittels Peering verknüpften virtuellen Netzwerk oder um ein VPN-Gateway handeln.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network, or a VPN gateway. Zwischen virtuellen Netzwerken ist jedoch kein Routing über eine benutzerdefinierte Route möglich, die als Art des nächsten Hops ein ExpressRoute-Gateway angibt.You cannot however, route between virtual networks with a user-defined route specifying an ExpressRoute gateway as the next hop type. Für weitere Informationen zu benutzerdefinierten Routen können Sie sich die Übersicht zu benutzerdefinierten Routen ansehen.To learn more about user-defined routes, see User-defined routes overview. Informationen zum Erstellen einer Hub-Spoke-Netzwerktopologie finden Sie unter Implement a hub-spoke network topology in Azure (Implementieren einer Hub-Spoke-Netzwerktopologie in Azure).To learn how to create a hub and spoke network topology, see hub and spoke network topology.

Gateways und lokale KonnektivitätGateways and on-premises connectivity

Jedes virtuelle Netzwerk kann unabhängig davon, ob eine mittels Peering hergestellte Verknüpfung mit einem anderen virtuellen Netzwerk besteht, weiterhin über ein eigenes Gateway verfügen und dieses zum Herstellen einer Verbindung mit einem lokalen Netzwerk verwenden.Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. Sie können auch dann VNET-zu-VNET-Verbindungen unter Verwendung von Gateways konfigurieren, wenn die virtuellen Netzwerke mittels Peering miteinander verknüpft sind.You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

Wenn beide Optionen für Verbindungen zwischen virtuellen Netzwerken konfiguriert sind, fließt der Datenverkehr zwischen den virtuellen Netzwerken über die Peeringkonfiguration (also über den Azure-Backbone).When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

Wenn virtuelle Netzwerke mittels Peering in derselben Region verknüpft sind, können Sie auch das Gateway im mittels Peering verknüpften virtuellen Netzwerk als Transitpunkt für ein lokales Netzwerk konfigurieren.When virtual networks are peered in the same region, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. In diesem Fall kann das virtuelle Netzwerk, das ein Remotegateway verwendet, kein eigenes Gateway besitzen.In this case, the virtual network that is using a remote gateway cannot have its own gateway. Ein virtuelles Netzwerk kann immer nur ein einzelnes Gateway aufweisen.A virtual network can have only one gateway. Bei diesem Gateway kann es sich um ein lokales Gateway oder ein Remotegateway (im mittels Peering verknüpften virtuellen Netzwerk) handeln, wie im folgenden Bild zu sehen ist:The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

VNET-Peering – Transit

Gatewaytransit wird in der Peeringbeziehung zwischen virtuellen Netzwerken, die in unterschiedlichen Regionen erstellt wurden, nicht unterstützt.Gateway transit is not supported in the peering relationship between virtual networks created in different regions. Damit der Gatewaytransit funktioniert, müssen beide virtuellen Netzwerke der Peeringbeziehung in derselben Region vorhanden sein.Both virtual networks in the peering relationship must exist in the same region for gateway transit to work. Der Gatewaytransit zwischen virtuellen Netzwerken, die mittels verschiedener Bereitstellungsmodelle (Ressourcen-Manager und klassische) erstellt wurden, wird nur unterstützt, wenn sich das Gateway im virtuellen Netzwerk befindet (Ressourcen-Manager).Gateway transit between virtual networks created through different deployment models (Resource Manager and classic), is supported only if the gateway is in the virtual network (Resource Manager). Weitere Informationen zur Verwendung eines Gateways für den Transit finden Sie unter Konfigurieren eines VPN-Gateways für den Transit in einem Peering virtueller Netzwerke.To learn more about using a gateway for transit, see Configure a VPN gateway for transit in a virtual network peering.

Wenn die virtuellen Netzwerke, die gemeinsam eine einzelne ExpressRoute-Verbindung nutzen, mittels Peering verknüpft sind, fließt der Datenverkehr zwischen ihnen über die Peeringbeziehung (also über das Azure-Backbonenetzwerk).When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). Sie können in den einzelnen virtuellen Netzwerken weiterhin lokale Gateways verwenden, um eine Verbindung mit der lokalen Umgebung herzustellen.You can still use local gateways in each virtual network to connect to the on-premises circuit. Alternativ können Sie ein gemeinsam genutztes Gateway verwenden und den Transit für lokale Konnektivität konfigurieren.Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

ProblembehandlungTroubleshoot

Zur Bestätigung eines VNET-Peerings können Sie für eine Netzwerkschnittstelle in einem beliebigen Subnetz eines virtuellen Netzwerks effektive Routen überprüfen.To confirm a virtual network peering, you can check effective routes for a network interface in any subnet in a virtual network. Ist ein VNET-Peering vorhanden, verfügen alle Subnetze innerhalb des virtuellen Netzwerks über Routen, deren Art des nächsten Hops VNET-Peering lautet. Dies gilt für jeden Adressraum in jedem mittels Peering verknüpften virtuellen Netzwerk.If a virtual network peering exists, all subnets within the virtual network have routes with next hop type VNet peering, for each address space in each peered virtual network.

Probleme mit der Konnektivität eines virtuellen Computers in einem mittels Peering verknüpften virtuellen Netzwerk können auch mithilfe der Konnektivitätsprüfung von Network Watcher behandelt werden.You can also troubleshoot connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. Mit der Konnektivitätsprüfung können Sie ermitteln, wie Datenverkehr von der Netzwerkschnittstelle eines virtuellen Quellcomputers an die Netzwerkschnittstelle eines virtuellen Zielcomputers geleitet wird.Connectivity check lets you see how traffic is routed from a source virtual machine's network interface to a destination virtual machine's network interface.

Anforderungen und EinschränkungenRequirements and constraints

Wenn virtuelle Netzwerke über globales Peering verbunden werden, gelten die folgenden Einschränkungen:The following constraints apply when virtual networks are globally peered:

  • Die virtuellen Netzwerke können sich in einer beliebigen Region einer öffentlichen Azure-Cloud befinden, jedoch nicht in Regionen nationaler Azure-Clouds.The virtual networks can exist in any Azure public cloud region, but not in Azure national clouds.
  • Ressourcen in einem virtuellen Netzwerk können nicht mit der Front-End-IP-Adresse eines internen Azure-Lastenausgleichs in einem per globalem Peering verbundenen virtuellen Netzwerk kommunizieren.Resources in one virtual network cannot communicate with the frontend IP address of an Azure internal load balancer in the globally peered virtual network. Der Lastenausgleich und die Ressourcen, die mit diesem kommunizieren, müssen sich in derselben Region befinden.The load balancer and the resources that communicate with it must be in the same region.
  • Sie können keine Remotegateways verwenden oder einen Gatewaytransit zulassen.You cannot use remote gateways or allow gateway transit. Dies ist nur möglich, wenn sich per Peering verbundene virtuelle Netzwerke in derselben Region befinden.To use remote gateways or allow gateway transit, peered virtual networks in must be in the same region.

Informationen zu Anforderungen und Einschränkungen finden Sie unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.To learn more about requirements and constraints, see Virtual network peering requirements and constraints. Informationen zu den Grenzwerten für die Anzahl von Peerings, die für ein virtuelles Netzwerk erstellt werden können, finden Sie unter Netzwerkgrenzwerte – Azure Resource Manager.To learn about the limits for the number of peerings you can create for a virtual network, see Azure networking limits.

BerechtigungenPermissions

Informationen zu erforderlichen Berechtigungen für die Erstellung eines Peerings virtueller Netzwerke finden Sie unter Berechtigungen.To learn about permissions required to create a virtual network peering, see Virtual network peering permissions.

PreisePricing

Für ein- und ausgehenden Datenverkehr, der eine VNET-Peeringverbindung verwendet, fällt eine Gebühr an.There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. Weitere Informationen zu den Preisen für VNET-Peering und globales VNET-Peering finden Sie auf der Seite mit der Preisübersicht.For more information on VNet Peering and Global VNet peering pricing, see the pricing page.

Gatewaytransit ist eine Peeringeigenschaft, die es einem virtuellen Netzwerk ermöglicht, ein VPN-Gateway im virtuellen Netzwerk mit Peeringbeziehung für standortübergreifende oder VNET-zu-VNET-Konnektivität zu nutzen.Gateway transit is a peering property that enables a virtual network to utilize a VPN gateway in a peered virtual network for cross premises or VNet-to-VNet connectivity. In diesem Szenario fallen für Datenverkehr über ein Remotegateway Gebühren für das VPN-Gateway, aber keine Gebühren für VNET-Peering an.Traffic passing through a remote gateway in this scenario is subject to VPN gateway charges and does not incur VNet peering charges. Beispiel: Wenn VNetA ein VPN-Gateway für lokale Verbindungen nutzt und VNetB über Peering mit VNetA verbunden ist und die entsprechenden Eigenschaften konfiguriert sind, wird nur ausgehender Datenverkehr von VNetB an lokale Ressourcen gemäß den Preisen für VPN-Gateways in Rechnung gestellt.For example, If VNetA has a VPN gateway for on-premise connectivity and VNetB is peered to VNetA with appropriate properties configured, traffic from VNetB to on-premises is only charged egress per VPN gateway pricing. Es fallen keine Gebühren für VNET-Peering an.VNet peering charges do not apply. Lesen Sie mehr über das Konfigurieren des VPN-Gatewaytransits für ein Peering virtueller Netzwerke.Learn how to configure VPN gateway transit for virtual network peering.

Nächste SchritteNext steps