仮想ネットワーク ピアリングVirtual network peering

仮想ネットワーク ピアリングを使用すると、2 つの Azure 仮想ネットワーク間をシームレスに接続できます。Virtual network peering enables you to seamlessly connect two Azure virtual networks. ピアリングされた仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。Once peered, the virtual networks appear as one, for connectivity purposes. ピアリングされた仮想ネットワークに存在する仮想マシン間のトラフィックは Microsoft のバックボーン インフラストラクチャを介して、"プライベート" IP アドレスのみを使った同一仮想ネットワーク内の仮想マシン間のトラフィックと同じようにルーティングされます。The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only. Azure では、次のことがサポートされています。Azure supports:

  • VNet ピアリング - 同じ Azure リージョン内の VNet を接続するVNet peering - connecting VNets within the same Azure region
  • グローバル VNet ピアリング - 複数の Azure リージョンにわたる VNet を接続するGlobal VNet peering - connecting VNets across Azure regions

ローカルまたはグローバルの仮想ネットワーク ピアリングを使うことには、次のような利点があります。The benefits of using virtual network peering, whether local or global, include:

  • ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートである。Network traffic between peered virtual networks is private. 仮想ネットワーク間のトラフィックは、Microsoft のバックボーン ネットワーク上で保持されます。Traffic between the virtual networks is kept on the Microsoft backbone network. 仮想ネットワーク間の通信では、パブリック インターネット、ゲートウェイ、暗号化が必要ありません。No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • 異なる仮想ネットワーク内のリソース間で、待機時間の短い広帯域幅の接続が可能である。A low-latency, high-bandwidth connection between resources in different virtual networks.
  • 仮想ネットワークがピアリングされると、ある仮想ネットワーク内のリソースは別の仮想ネットワーク内のリソースとの通信できる。The ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • Azure サブスクリプション間、デプロイ モデル間、および Azure リージョン間でデータを転送できる。The ability to transfer data across Azure subscriptions, deployment models, and across Azure regions.
  • Azure Resource Manager を使って作成された仮想ネットワークをピアリングできることに加え、Resource Manager を使って作成された仮想ネットワークとクラシック デプロイ モデルを使って作成された仮想ネットワークをピアリングできる。The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Azure のデプロイメント モデルについて詳しくは、Azure のデプロイメント モデルの概要に関する記事をご覧ください。To learn more about Azure deployment models, see Understand Azure deployment models.
  • ピアリングの作成時またはピアリングの作成後に、いずれの仮想ネットワークのリソースにもダウンタイムは発生しない。No downtime to resources in either virtual network when creating the peering, or after the peering is created.

接続Connectivity

仮想ネットワークをピアリングすると、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

同一リージョンでピアリングされた仮想ネットワーク内の仮想マシン間のネットワーク待ち時間は、単一の仮想ネットワーク内での待ち時間と同じです。The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. ピアリング内の帯域幅に関してそれ以外の制限は一切ありません。There isn't any additional restriction on bandwidth within the peering.

ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、ゲートウェイやパブリック インターネット経由ではなく、Microsoft のバックボーン インフラストラクチャを通じて直接ルーティングされます。The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用すれば、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. 仮想ネットワーク ピアリングを構成するときに、仮想ネットワーク間のネットワーク セキュリティ グループの規則を開くことも閉じることもできます。When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. ピアリングされた仮想ネットワーク間で完全な接続を開く場合 (既定のオプション)、特定のサブネットまたは仮想マシンにネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関する記事を参照してください。To learn more about network security groups, see Network security groups overview.

サービス チェイニングService chaining

ユーザーは、ピアリングされた仮想ネットワーク内の仮想マシンを指し示すユーザー定義ルートを次ホップまたは仮想ネットワーク ゲートウェイの IP アドレスに構成して、サービス チェイニングを可能にすることができます。You can configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address, or to virtual network gateways, to enable service chaining. サービス チェイニングを利用すると、一方の仮想ネットワークのトラフィックを、ユーザー定義ルートを介して、ピアリングされた仮想ネットワーク内の仮想アプライアンスまたは仮想ネットワーク ゲートウェイに向けることができます。Service chaining enables you to direct traffic from one virtual network to a virtual appliance, or virtual network gateway, in a peered virtual network, through user-defined routes.

ハブ アンド スポーク型のネットワークを展開することができます。この場合、ハブ仮想ネットワークでインフラストラクチャ コンポーネント (ネットワーク仮想アプライアンスや VPN ゲートウェイなど) をホストできます。You can deploy hub-and-spoke networks, where the hub virtual network can host infrastructure components such as a network virtual appliance or VPN gateway. すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。All the spoke virtual networks can then peer with the hub virtual network. トラフィックは、ハブ仮想ネットワークでネットワーク仮想アプライアンスまたは VPN ゲートウェイを経由することができます。Traffic can flow through network virtual appliances or VPN gateways in the hub virtual network.

仮想ネットワーク ピアリングによって、ユーザー定義ルート上の次ホップを、ピアリングされた仮想ネットワーク内の仮想マシンまたは VPN ゲートウェイの IP アドレスにすることができます。Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network, or a VPN gateway. ただし、ExpressRoute ゲートウェイを次ホップの種類として指定するユーザー定義のルートを使用して、仮想ネットワーク間をルーティングすることはできません。You cannot however, route between virtual networks with a user-defined route specifying an ExpressRoute gateway as the next hop type. ユーザー定義ルートの詳細については、ユーザー定義ルートの概要に関する記事をご覧ください。To learn more about user-defined routes, see User-defined routes overview. ハブとスポークのネットワーク トポロジを作成する方法については、ハブとスポークのネットワーク トポロジに関する記事を参照してください。To learn how to create a hub and spoke network topology, see hub and spoke network topology.

ゲートウェイとオンプレミスの接続Gateways and on-premises connectivity

すべての仮想ネットワークは、別の仮想ネットワークとピアリングされているかどうかに関係なく独自のゲートウェイを持っており、そのゲートウェイを使用してオンプレミスのネットワークに接続することができます。Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. ゲートウェイを使用して仮想ネットワーク間接続を構成するときに、それらの仮想ネットワークがピアリングされていてもかまいません。You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

仮想ネットワーク間の接続に両方の方法が構成されているときは、ピアリング構成を介して (つまり Azure バックボーンを介して) 仮想ネットワーク間のトラフィックが流れます。When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

同一リージョンで仮想ネットワークがピアリングされているとき、そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。When virtual networks are peered in the same region, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. この場合、リモート ゲートウェイを使用する仮想ネットワークが、その独自のゲートウェイを持つことはできません。In this case, the virtual network that is using a remote gateway cannot have its own gateway. 1 つの仮想ネットワークが所有できるゲートウェイは 1 つに限られています。A virtual network can have only one gateway. ゲートウェイは、以下の図に示すように、ローカル ゲートウェイと (ピアリングされた仮想ネットワークの) リモート ゲートウェイのどちらかになります。The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

仮想ネットワーク ピアリングのトランジット

ゲートウェイ転送は、異なるリージョンに作成された仮想ネットワーク間のピアリング関係ではサポートされません。Gateway transit is not supported in the peering relationship between virtual networks created in different regions. ゲートウェイ転送が機能するためには、ピアリング関係にある両方の仮想ネットワークが、同じリージョンに存在する必要があります。Both virtual networks in the peering relationship must exist in the same region for gateway transit to work. 異なるデプロイ モデル (Resource Manager とクラシック) を使って作成された仮想ネットワーク間のゲートウェイ転送は、ゲートウェイが仮想ネットワーク (Resource Manager) 内にある場合にのみサポートされます。Gateway transit between virtual networks created through different deployment models (Resource Manager and classic), is supported only if the gateway is in the virtual network (Resource Manager). 転送へのゲートウェイの使用について詳しくは、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」をご覧ください。To learn more about using a gateway for transit, see Configure a VPN gateway for transit in a virtual network peering.

1 本の Azure ExpressRoute 接続を共有する仮想ネットワークどうしをピアリングした場合、両者間のトラフィックは、そのピアリング関係を通過することになります (つまり Azure バックボーン ネットワークが使用されます)。When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). それでも、各仮想ネットワークのローカル ゲートウェイを使用してオンプレミス回線に接続できます。You can still use local gateways in each virtual network to connect to the on-premises circuit. また、共有ゲートウェイを使用して、オンプレミス接続用のトランジットを構成することもできます。Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

トラブルシューティングTroubleshoot

仮想ネットワークのピアリングを確認するには、仮想ネットワークの任意のサブネットでネットワーク インターフェイスの有効なルートを確認します。To confirm a virtual network peering, you can check effective routes for a network interface in any subnet in a virtual network. 仮想ネットワークのピアリングが存在する場合、仮想ネットワーク内のすべてのサブネットは、ピアリングされている各仮想ネットワークのアドレス空間ごとに、VNet ピアリングという種類の次ホップとのルートがあります。If a virtual network peering exists, all subnets within the virtual network have routes with next hop type VNet peering, for each address space in each peered virtual network.

Network Watcher の接続チェックを使って、ピアリングされた仮想ネットワーク内の仮想マシンへの接続をトラブルシューティングすることもできます。You can also troubleshoot connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. 接続チェックを実行すると、接続元の仮想マシンのネットワーク インターフェイスから接続先の仮想マシンのネットワーク インターフェイスまでのトラフィックのルーティング方法がわかります。Connectivity check lets you see how traffic is routed from a source virtual machine's network interface to a destination virtual machine's network interface.

要件と制約Requirements and constraints

要件と制約については、仮想ネットワーク ピアリングの要件と制約に関するページを参照してください。To learn about requirements and constraints, see Virtual network peering requirements and constraints. 仮想ネットワークで作成できるピアリングの数の制限については、Azure ネットワーキングの制限に関するページを参照してください。To learn about the limits for the number of peerings you can create for a virtual network, see Azure networking limits.

アクセス許可Permissions

仮想ネットワーク ピアリングを作成するために必要なアクセス許可については、仮想ネットワーク ピアリングのアクセス許可に関するページを参照してください。To learn about permissions required to create a virtual network peering, see Virtual network peering permissions.

価格Pricing

仮想ネットワーク ピアリング接続を利用するイグレス トラフィックとエグレス トラフィックには少額の料金が発生します。There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

次の手順Next steps