仮想ネットワーク ピアリングVirtual network peering

仮想ネットワーク ピアリングを使用すると、2 つの Azure 仮想ネットワーク間をシームレスに接続できます。Virtual network peering enables you to seemlessly connect two Azure virtual networks. ピアリングされた仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。Once peered, the virtual networks appear as one, for connectivity purposes. ピアリングされた仮想ネットワークに存在する仮想マシン間のトラフィックは Microsoft のバックボーン インフラストラクチャを介して、"プライベート" IP アドレスのみを使った同一仮想ネットワーク内の仮想マシン間のトラフィックと同じようにルーティングされます。The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only.

仮想ネットワーク ピアリングを使う利点をいくつか挙げます。The benefits of using virtual network peering include:

  • ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートである。Network traffic between peered virtual networks is private. 仮想ネットワーク間のトラフィックは、Microsoft のバックボーン ネットワーク上で保持されます。Traffic between the virtual networks is kept on the Microsoft backbone network. 仮想ネットワーク間の通信では、パブリック インターネット、ゲートウェイ、暗号化が必要ありません。No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • 異なる仮想ネットワーク内のリソース間で、待機時間の短い広帯域幅の接続が可能である。A low-latency, high-bandwidth connection between resources in different virtual networks.
  • 仮想ネットワークがピアリングされると、ある仮想ネットワーク内のリソースは別の仮想ネットワーク内のリソースとの通信できる。The ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • Azure サブスクリプション間、デプロイメント モデル間、および Azure リージョン間 (プレビュー) でデータを転送できる。The ability to transfer data across Azure subscriptions, deployment models, and across Azure regions (preview).
  • Azure Resource Manager を使って作成された仮想ネットワークをピアリングできることに加え、Resource Manager を使って作成された仮想ネットワークとクラシック デプロイメント モデルを使って作成された仮想ネットワークをピアリングできる。The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Azure のデプロイメント モデルについて詳しくは、Azure のデプロイメント モデルの概要に関する記事をご覧ください。To learn more about Azure deployment models, see Understand Azure deployment models.
  • ピアリングの作成時またはピアリングの作成後に、いずれの仮想ネットワークのリソースにもダウンタイムは発生しない。No downtime to resources in either virtual network when creating the peering, or after the peering is created.

要件と制約Requirements and constraints

  • 同一リージョン内の仮想ネットワーク ピアリングの機能は一般公開されています。Peering virtual networks in the same region is generally available. 異なるリージョン間での仮想ネットワーク ピアリングは現在プレビュー段階にあり、米国中西部、カナダ中部、および米国西部 2 で提供されています。Peering virtual networks in different regions is currently in preview in US West Central, Canada Central, and US West 2. 別のリージョンにある仮想ネットワークをピアリングする前に、最初にプレビュー版用にサブスクリプションを登録する必要があります。Before peering virtual networks in different regions, you must first register your subscription for the preview. プレビュー版用の登録を完了していないと、異なるリージョンの仮想ネットワーク間でピアリングを作成する試みは失敗します。Attempting to create a peering between virtual networks in different regions will fail if you haven't completed registration for the preview.

    警告

    リージョン間で作成された仮想ネットワーク ピアリングでは、一般公開リリースにおけるピアリングと同じレベルの可用性と信頼性が得られない可能性があります。Virtual network peerings created cross-region may not have the same level of availability and reliability as peerings in a general availability release. また、一部の機能が制限されている場合があります。一部の Azure リージョンではご利用いただけない場合もあります。Virtual network peerings may have constrained capabilities and may not be available in all Azure regions. この機能の可用性とステータスに関する最新の通知については、Azure Virtual Network の更新情報に関するページをご覧ください。For the most up-to-date notifications on availability and status of this feature, check the Azure Virtual Network updates page.

  • ピアリングする仮想ネットワークの IP アドレス空間は、重複していてはなりません。The peered virtual networks must have non-overlapping IP address spaces.

  • 仮想ネットワークが別の仮想ネットワークとピアリングされた後に、仮想ネットワークのアドレス空間に対してアドレス範囲の追加または削除を実行することはできません。Address ranges cannot be added to or deleted from the address space of a virtual network once a virtual network is peered with another virtual network. ピアリングされた仮想ネットワークのアドレス空間にアドレス範囲を追加する必要がある場合は、ピアリングを削除し、アドレス空間を追加してから、もう一度ピアリングを追加する必要があります。If you need to add address ranges to the address space of a peered virtual network, you must remove the peering, add the address space, and then add the peering again.
  • 仮想ネットワーク ピアリングは、2 つの仮想ネットワーク間の関係です。Virtual network peering is between two virtual networks. ピアリング間で派生する推移的な関係は存在しません。There is no derived transitive relationship across peerings. たとえば、virtualNetworkA が virtualNetworkB とピアリングし、virtualNetworkB が virtualNetworkC とピアリングしている場合、virtualNetworkA とvirtualNetworkC にはピアリング関係は "ありません"。For example, if virtualNetworkA is peered with virtualNetworkB, and virtualNetworkB is peered with virtualNetworkC, virtualNetworkA is not peered to virtualNetworkC.
  • 2 つの異なるサブスクリプションに存在する仮想ネットワークをピアリングできます。そのためには、両方のサブスクリプションの特権ユーザー (具体的なアクセス許可については、こちらを参照) がピアリングを承認しており、サブスクリプションが同じ Azure Active Directory テナントに関連付けられていることが必要となります。You can peer virtual networks that exist in two different subscriptions, as long a privileged user (see specific permissions) of both subscriptions authorizes the peering, and the subscriptions are associated to the same Azure Active Directory tenant. 別々の Active Directory テナントに関連付けられているサブスクリプション内の仮想ネットワークは、VPN Gateway を使って接続することができます。You can use a VPN Gateway to connect virtual networks in subscriptions associated to different Active Directory tenants.
  • ピアリングは、Resource Manager デプロイメント モデルを使って作成された仮想ネットワーク同士か、Resource Manager デプロイメント モデルを使って作成された仮想ネットワークとクラシック デプロイメント モデルを使って作成された仮想ネットワークの間で行うことができます。Virtual networks can be peered if both are created through the Resource Manager deployment model or if one virtual network is created through the Resource Manager deployment model and the other is created through the classic deployment model. ただし、クラシック デプロイメント モデルを使って作成された仮想ネットワークどうしをピアリングすることはできません。Virtual networks created through the classic deployment model cannot be peered to each other, however. クラシック デプロイメント モデルを使って作成された仮想ネットワークは、VPN Gateway を使用して接続できます。You can use a VPN Gateway to connect virtual networks created through the classic deployment model.
  • ピアリングされた仮想ネットワークに存在する仮想マシン間の通信には帯域幅上の特別な制限はありませんが、仮想マシンのサイズに基づく帯域幅の上限は依然として適用されます。Though the communication between virtual machines in peered virtual networks has no additional bandwidth restrictions, there is a maximum network bandwidth depending on the virtual machine size that still applies. さまざまなサイズの仮想マシンの最大ネットワーク帯域幅の詳細については、Windows または Linux の VM サイズに関する記事を参照してください。To learn more about maximum network bandwidth for different virtual machine sizes, read the Windows or Linux virtual machine sizes articles.

    基本的な仮想ネットワーク ピアリング

接続Connectivity

仮想ネットワークをピアリングすると、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

同一リージョンでピアリングされた仮想ネットワーク内の仮想マシン間のネットワーク待ち時間は、単一の仮想ネットワーク内での待ち時間と同じです。The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. ピアリング内の帯域幅に関してそれ以外の制限は一切ありません。There isn't any additional restriction on bandwidth within the peering.

ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、ゲートウェイやパブリック インターネット経由ではなく、Microsoft のバックボーン インフラストラクチャを通じて直接ルーティングされます。The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

仮想ネットワーク内の仮想マシンは、同一リージョンでピアリングされた仮想ネットワーク内の内部ロードバランサーにアクセスすることができます。Virtual machines in a virtual network can access the internal load-balancer in the peered virtual network in the same region. グローバルにピアリングされた仮想ネットワーク (プレビュー) では、内部ロード バランサーのサポートはありません。Support for internal load balancer does not extend across globally peered virtual networks (preview). グローバルな仮想ネットワーク ピアリングの一般公開リリースでは、内部ロード バランサーがサポートされる予定です。The general availability release of global virtual network peering will have support for internal load balancer.

どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用すれば、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. 仮想ネットワーク ピアリングを構成するときに、仮想ネットワーク間のネットワーク セキュリティ グループの規則を開くことも閉じることもできます。When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. ピアリングされた仮想ネットワーク間で完全な接続を開く場合 (既定のオプション)、特定のサブネットまたは仮想マシンにネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関する記事を参照してください。To learn more about network security groups, see Network security groups overview.

サービス チェイニングService chaining

ユーザーは、ピアリングされた仮想ネットワーク内の仮想マシンを指し示すユーザー定義ルートを "次ホップ" の IP アドレスとして構成して、サービス チェイニングを可能にすることができます。You can configure user-defined routes that point to virtual machines in peered virtual networks as the "next hop" IP address to enable service chaining. サービス チェイニングを利用すると、一方の仮想ネットワークのトラフィックを、ユーザー定義ルートを介して、ピアリングされた仮想ネットワーク内の仮想アプライアンスに向けることができます。Service chaining enables you to direct traffic from one virtual network to a virtual appliance in a peered virtual network through user-defined routes.

また、ハブ アンド スポーク型の環境を効果的に構築することもできます。この場合、ハブでインフラストラクチャ コンポーネント (ネットワーク仮想アプライアンスなど) をホストできます。You can also effectively build hub-and-spoke type environments, where the hub can host infrastructure components such as a network virtual appliance. すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。All the spoke virtual networks can then peer with the hub virtual network. トラフィックは、ハブ仮想ネットワークで実行されているネットワーク仮想アプライアンスを経由することができます。Traffic can flow through network virtual appliances that are running in the hub virtual network. つまり、仮想ネットワーク ピアリングによって、ユーザー定義ルート上の次ホップ IP アドレスを、ピアリングされた仮想ネットワーク内の仮想マシンの IP アドレスにすることができます。In short, virtual network peering enables the next hop IP address on the user-defined route to be the IP address of a virtual machine in the peered virtual network. ユーザー定義ルートの詳細については、ユーザー定義ルートの作成に関する記事を参照してください。To learn more about user-defined routes, see user-defined routes overview. ハブとスポークのネットワーク トポロジを作成する方法については、ハブとスポークのネットワーク トポロジに関する記事を参照してください。To learn how to create a hub and spoke network topology, see hub and spoke network topology.

ゲートウェイとオンプレミスの接続Gateways and on-premises connectivity

すべての仮想ネットワークは、別の仮想ネットワークとピアリングされているかどうかに関係なく独自のゲートウェイを持っており、そのゲートウェイを使用してオンプレミスのネットワークに接続することができます。Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. ゲートウェイを使用して仮想ネットワーク間接続を構成するときに、それらの仮想ネットワークがピアリングされていてもかまいません。You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

仮想ネットワーク間の接続に両方の方法が構成されているときは、ピアリング構成を介して (つまり Azure バックボーンを介して) 仮想ネットワーク間のトラフィックが流れます。When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

同一リージョンで仮想ネットワークがピアリングされているとき、そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。When virtual networks are peered in the same region, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. この場合、リモート ゲートウェイを使用する仮想ネットワークが、その独自のゲートウェイを持つことはできません。In this case, the virtual network that is using a remote gateway cannot have its own gateway. 1 つの仮想ネットワークが所有できるゲートウェイは 1 つに限られています。A virtual network can have only one gateway. ゲートウェイは、以下の図に示すように、ローカル ゲートウェイと (ピアリングされた仮想ネットワークの) リモート ゲートウェイのどちらかになります。The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

仮想ネットワーク ピアリングのトランジット

ゲートウェイ トランジットは、異なるデプロイメント モデルを使って作成された仮想ネットワーク間または異なるリージョンの仮想ネットワーク間のピアリング関係ではサポートされません。Gateway transit is not supported in the peering relationship between virtual networks created through different deployment models or different regions. ゲートウェイ トランジットが機能するためには、ピアリング関係にある両方の仮想ネットワークが Resource Manager を介して作成されており、同一リージョン内にある必要があります。Both virtual networks in the peering relationship must have been created through Resource Manager and must be in the same region for gateway transit to work. 現在、グローバルにピアリングされた仮想ネットワークでは、ゲートウェイ トランジットをサポートしていません。Globally peered virtual networks do not currently support gateway transit.

1 本の Azure ExpressRoute 接続を共有する仮想ネットワークどうしをピアリングした場合、両者間のトラフィックは、そのピアリング関係を通過することになります (つまり Azure バックボーン ネットワークが使用されます)。When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). それでも、各仮想ネットワークのローカル ゲートウェイを使用してオンプレミス回線に接続できます。You can still use local gateways in each virtual network to connect to the on-premises circuit. また、共有ゲートウェイを使用して、オンプレミス接続用のトランジットを構成することもできます。Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

アクセス許可Permissions

仮想ネットワーク ピアリングは、特権の下で許可される操作であり、Virtual network peering is a privileged operation. VirtualNetworks 名前空間に独立した機能として存在します。It’s a separate function under the VirtualNetworks namespace. ユーザーに特定の権限を付与することによってピアリングを承認することができます。A user can be given specific rights to authorize peering. 仮想ネットワークに対する読み取り/書き込みアクセス権を持つユーザーには、この権限が自動的に継承されます。A user who has read-write access to the virtual network inherits these rights automatically.

仮想ネットワークに対するピアリング操作は、管理者権限を持つユーザーまたはピアリング機能の特権を与えられたユーザーが開始できます。A user who is either an admin or a privileged user of the peering ability can initiate a peering operation on another virtual network. 必要な最小レベルのアクセス許可は、ネットワーク共同作成者です。The minimum level of permission required is Network Contributor. 対応するピアリング要求がもう一方の側に存在し、その他各種の要件が満たされた場合にピアリングは確立されます。If there is a matching request for peering on the other side, and if other requirements are met, the peering is established.

たとえば、myVirtualNetworkA と myVirtualNetworkB という名前の仮想ネットワークをピアリングする場合、各仮想ネットワークに対する次の最小限のロールまたはアクセス許可をアカウントに割り当てる必要があります。For example, if you were peering virtual networks named myVirtualNetworkA and myVirtualNetworkB, your account must be assigned the following minimum role or permissions for each virtual network:

Virtual NetworkVirtual network デプロイメント モデルDeployment model 役割Role アクセス許可Permissions
myVirtualNetworkAmyVirtualNetworkA リソース マネージャーResource Manager ネットワークの共同作業者Network Contributor Microsoft.Network/virtualNetworks/virtualNetworkPeerings/writeMicrosoft.Network/virtualNetworks/virtualNetworkPeerings/write
クラシックClassic 従来のネットワークの共同作業者Classic Network Contributor 該当なしN/A
myVirtualNetworkBmyVirtualNetworkB リソース マネージャーResource Manager ネットワークの共同作業者Network Contributor Microsoft.Network/virtualNetworks/peerMicrosoft.Network/virtualNetworks/peer
クラシックClassic 従来のネットワークの共同作業者Classic Network Contributor Microsoft.ClassicNetwork/virtualNetworks/peerMicrosoft.ClassicNetwork/virtualNetworks/peer

監視Monitor

Resource Manager を使用して作成された 2 つの仮想ネットワークをピアリングするときは、ピアリングする仮想ネットワークごとにピアリングを構成する必要があります。When peering two virtual networks created through Resource Manager, a peering must be configured for each virtual network in the peering. ピアリング接続の状態を監視することができます。You can monitor the status of your peering connection. ピアリングの状態は次のいずれかの状態になります。The peering status is one of the following states:

  • 開始済み: 1 つ目の仮想ネットワークから 2 つ目の仮想ネットワークへのピアリングを作成すると、ピアリングの状態が "開始済み" になります。Initiated: When you create the peering to the second virtual network from the first virtual network, the peering status is Initiated.

  • 接続済み: 2 つ目の仮想ネットワークから 1 つ目の仮想ネットワークへのピアリングを作成すると、ピアリングの状態が "接続済み" になります。Connected: When you create the peering from the second virtual network to the first virtual network, its peering status is Connected. 1 つ目の仮想ネットワークのピアリングの状態を確認すると、状態が "開始済み" から "接続済み" に変わっていることがわかります。If you view the peering status for the first virtual network, you see its status changed from Initiated to Connected. 両方の仮想ネットワーク ピアリングの状態が "接続済み" になるまで、ピアリングは正常に確立されません。The peering is not successfully established until the peering status for both virtual network peerings is Connected.

  • 切断済み: 接続が確立された後にピアリング リンクのいずれかが削除された場合、ピアリングの状態は "切断済み" になります。Disconnected: If one of your peering links is deleted after a connection was established, your peering status is disconnected.

トラブルシューティングTroubleshoot

ピアリング接続のトラフィック フローをトラブルシューティングするには、有効なルートを確認します。To troubleshoot traffic flowing across your peering connection, you can check your effective routes.

Network Watcher の接続チェックを使って、ピアリングされた仮想ネットワーク内の仮想マシンへの接続をトラブルシューティングすることもできます。You can also troubleshoot your connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. 接続チェックを行うと、接続元 VM のネットワーク インターフェイスから接続先 VM のネットワーク インターフェイスへのルーティングの状態を確認することができます。Connectivity check lets see how is routed directly from your source VM's network interface to your destination VM's network interface.

制限Limits

1 つの仮想ネットワークで許容されるピアリングの数には制限があります。There are limits on the number of peerings that are allowed for a single virtual network. 詳細については、Azure ネットワークの制限に関するページを参照してください。For details, see Azure networking limits.

価格Pricing

仮想ネットワーク ピアリング接続を利用するイグレス トラフィックとエグレス トラフィックには少額の料金が発生します。There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

次のステップNext steps