仮想ネットワーク ピアリング

仮想ネットワーク ピアリングを使用すると、Azure で 2 つ以上の Virtual Network をシームレスに接続できます。 仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。 ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックには、Microsoft のバックボーンインフラストラクチャが使用されます。 同じネットワーク内の仮想マシン間のトラフィックと同様に、トラフィックは Microsoft のプライベート ネットワークのみを介してルーティングされます。

Azure では、次の種類のピアリングがサポートされています。

  • 仮想ネットワーク ピアリング: 同じ Azure リージョン内の仮想ネットワークを接続します。
  • グローバル仮想ネットワーク ピアリング: Azure リージョン間で仮想ネットワークを接続します。

ローカルまたはグローバルの仮想ネットワーク ピアリングを使うことには、次のような利点があります。

  • 異なる仮想ネットワーク内のリソース間で、待ち時間の短い広帯域幅の接続が可能である。
  • ある仮想ネットワーク内のリソースが、別の仮想ネットワーク内のリソースと通信するための機能。
  • Azure サブスクリプション、Azure Active Directory テナント、デプロイ モデル、Azure リージョン間にまたがる仮想ネットワーク間でデータを転送する機能。
  • Azure Resource Manager によって作成された仮想ネットワークをピアリングする機能。
  • Resource Manager を使用して作成された仮想ネットワークを、クラシック デプロイ モデルで作成されたものにピアリングする機能。 Azure のデプロイメント モデルの詳細は、Azure のデプロイメント モデルの概要に関する記事をご覧ください。
  • ピアリングの作成時またはピアリングの作成後に、いずれの仮想ネットワークのリソースにもダウンタイムは発生しない。

ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートです。 仮想ネットワーク間のトラフィックは、Microsoft のバックボーン ネットワーク上で保持されます。 仮想ネットワーク間の通信では、パブリック インターネット、ゲートウェイ、暗号化が必要ありません。

接続

ピアリングされた仮想ネットワークでは、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。

同一リージョンでピアリングされた仮想ネットワーク内の仮想マシン間のネットワーク待ち時間は、単一の仮想ネットワーク内での待ち時間と同じです。 ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。 ピアリング内の帯域幅に関してそれ以外の制限は一切ありません。

ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、ゲートウェイやパブリック インターネット経由ではなく、Microsoft のバックボーン インフラストラクチャを通じて直接ルーティングされます。

どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用して、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。 仮想ネットワーク ピアリングを構成するときに、仮想ネットワーク間のネットワーク セキュリティ グループの規則を開く、または閉じます。 ピアリングされた仮想ネットワーク間で完全な接続を開く場合、ネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。 完全な接続が規定のオプションです。 ネットワーク セキュリティ グループの詳細については、セキュリティ グループに関するページをご覧ください。

ピアリングされている Azure 仮想ネットワークのアドレスのサイズを変更する

ダウンタイムを発生させずに、ピアリングされている Azure 仮想ネットワークのアドレスのサイズを変更することが可能です。 この機能は、ワークロードのスケーリング後に Azure の仮想ネットワークを拡大またはサイズ変更する必要がある場合に便利です。 この機能では、仮想ネットワーク上のアドレス プレフィックスを追加または削除する前に、仮想ネットワーク上の既存のピアリングを削除する必要はありません。 この機能は、IPv4 と IPv6 の両方のアドレス空間で動作することができます。

注:

この機能では、更新する仮想ネットワークが以下でピアリングされている場合、以降のシナリオはサポートされません。

  • クラシック仮想ネットワーク
  • マネージド仮想ネットワーク (Azure VWAN ハブなど)

サービス チェイニング

サービス チェイニングを利用すると、一方の仮想ネットワークのトラフィックを、ユーザー定義ルートを介して、ピアリングされたネットワーク内の仮想アプライアンスまたはゲートウェイに向けることができます。

サービス チェイニングを可能にするには、ピアリングされた仮想ネットワーク内の仮想マシンを指し示すユーザー定義ルートを次ホップの IP アドレスとして構成します。 ユーザー定義のルートを仮想ネットワーク ゲートウェイをポイントして、サービス チェーンを有効にすることもできます。

ハブ アンド スポーク型のネットワークを展開することができます。この場合、ハブ仮想ネットワークでインフラストラクチャ コンポーネント (ネットワーク仮想アプライアンスや VPN ゲートウェイなど) をホストします。 すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。 トラフィックは、ハブ仮想ネットワークでネットワーク仮想アプライアンスまたは VPN ゲートウェイを経由します。

仮想ネットワーク ピアリングによって、ユーザー定義ルート上の次ホップを、ピアリングされた仮想ネットワーク内の仮想マシンまたは VPN ゲートウェイの IP アドレスにすることができます。 Azure ExpressRoute ゲートウェイを次ホップの種類として指定するユーザー定義のルートを使用して、仮想ネットワーク間をルーティングすることはできません。 ユーザー定義ルートの詳細については、ユーザー定義ルートの概要に関する記事をご覧ください。 ハブとスポークのネットワーク トポロジを作成する方法については、「Azure のハブスポーク ネットワーク トポロジ」を参照してください。

ゲートウェイとオンプレミスの接続

各仮想ネットワークには、ピアリングされた仮想ネットワークも含め、独自のゲートウェイを持つことができます。 仮想ネットワークは、独自のゲートウェイを使用して、オンプレミス ネットワークに接続できます。 ピアリングされた仮想ネットワークであっても、ゲートウェイを使用して仮想ネットワーク間接続を構成できます。

仮想ネットワーク間の接続に両方の方法を構成すると、ピアリング構成を介して仮想ネットワーク間のトラフィックが流れます。 トラフィックは、Azure のバックボーンを使用します。

そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。 この場合、リモート ゲートウェイを使用する仮想ネットワークが、自身のゲートウェイを持つことはできません。 1 つの仮想ネットワークが所有できるゲートウェイは 1 つに限られています。 ゲートウェイは、以下の図に示すように、ローカル ゲートウェイとピアリングされた仮想ネットワークのリモート ゲートウェイのどちらかになります。

仮想ネットワーク ピアリングのトランジット

仮想ネットワーク ピアリングとグローバル仮想ネットワーク ピアリングの両方で、ゲートウェイ転送がサポートされます。

異なるデプロイメント モデルを使用して作成された仮想ネットワーク間のゲートウェイ転送がサポートされています。 ゲートウェイは、Resource Manager モデルの仮想ネットワーク内にある必要があります。 ゲートウェイ転送の使用についての詳細は、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」をご覧ください。

1 つの Azure ExpressRoute 接続を共有する仮想ネットワークをピアリングする場合、その間のトラフィックはピアリング関係を経由します。 トラフィックは、Azure のバックボーン ネットワークを使用します。 それでも、各仮想ネットワークのローカル ゲートウェイを使用してオンプレミス回線に接続できます。 また、共有ゲートウェイを使用して、オンプレミス接続用の転送を構成することもできます。

トラブルシューティング

仮想ネットワークがピアリングされていることを確認するには、有効なルートを確認します。 仮想ネットワーク内の任意のサブネット内のネットワーク インターフェイスのルートを確認します。 仮想ネットワークのピアリングが存在する場合、仮想ネットワーク内のすべてのサブネットには、ピアリングされている各仮想ネットワークのアドレス空間ごとに、VNet ピアリングという種類の次ホップとのルートがあります。 詳細については、「仮想マシンのルーティングに関する問題を診断する」をご覧ください。

Azure Network Watcher を使って、ピアリングされた仮想ネットワーク内の仮想マシンへの接続をトラブルシューティングすることもできます。 接続チェックを実行すると、接続元の仮想マシンのネットワーク インターフェイスから接続先の仮想マシンのネットワーク インターフェイスまでのトラフィックのルーティング方法がわかります。 詳細については、「Azure portal を使用した Azure Network Watcher との接続のトラブルシューティング」を参照してください。

また、「仮想ネットワーク ピアリングの問題をトラブルシューティングする」もお試しください。

ピアリングした仮想ネットワークの制約

仮想ネットワークがグローバルにピアリングされている場合のみ、次の制約が適用されます。

  • 仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワークの Basic 内部ロード バランサー (ILB) のフロントエンド IP アドレスと通信することはできません。
  • Basic ロード バランサーを使用する一部のサービスは、グローバルな仮想ネットワーク ピアリングでは動作しません。 詳細については、「グローバル VNet ピアリングとロード バランサーに関連する制約は何ですか?」を参照してください。

詳細については、「要件と制約」を参照してください。 サポートされているピアリングの数の詳細については、「ネットワークの制限」を参照してください。

アクセス許可

仮想ネットワーク ピアリングを作成するために必要なアクセス許可については、アクセス許可に関するページを参照してください。

価格

仮想ネットワーク ピアリング接続を利用するイングレスとエグレス トラフィックには少額の料金が発生します。 詳細については、「Virtual Network の価格」を参照してください。

ゲートウェイ転送は、1 つの仮想ネットワークがピアリングされた仮想ネットワーク内の VPN/ExpressRoute ゲートウェイを活用できるようにするピアリング プロパティです。 ゲートウェイの転送は、クロス プレミスとネットワーク間接続の両方で機能します。 ピアリングされた仮想ネットワークでのゲートウェイ (イングレスまたはエグレス) へのトラフィックには、スポーク VNet (または非ゲートウェイ VNet) で仮想ネットワークのピアリングの料金が発生します。 VPN gateway の料金については、「VPN Gateway の価格」、ExpressRoute ゲートウェイの料金については、ExpressRoute ゲートウェイの料金についてのページを参照してください。

Note

このドキュメントの以前のバージョンでは、仮想ネットワークのピアリングの料金は、スポーク VNet (または非ゲートウェイ VNet) のゲートウェイ転送には適用されないと規定されていました。 価格ページごとに正確な価格が反映されるようになりました。

次のステップ

  • 2 つの仮想ネットワーク間のピアリングを作成できます。 ネットワークは、同じサブスクリプション、同じサブスクリプション内の異なるデプロイメント モデル、または異なるサブスクリプションに属することができます。 次のいずれかのシナリオのチュートリアルを完了します。

    Azure デプロイメント モデル サブスクリプション
    両方が Resource Manager 同じ
    異なる
    一方が Resource Manager、もう一方がクラシック 同じ
    異なる
  • ハブとスポークのネットワーク トポロジを作成する方法については、「Azure のハブスポーク ネットワーク トポロジ」を参照してください。

  • すべての仮想ネットワーク ピアリング設定の詳細については、「仮想ネットワーク ピアリングの作成、変更、削除」を参照してください。

  • 一般的な仮想ネットワーク ピアリングとグローバル仮想ネットワーク ピアリングの質問に対する回答については、「VNet ピアリング」を参照してください。