仮想ネットワーク ピアリング

仮想ネットワーク ピアリングにより、同じリージョン内の 2 つの仮想ネットワークを Azure のバックボーン ネットワークを介して接続できます。 ピアリングされた 2 つの仮想ネットワークは、接続において、見かけ上 1 つのネットワークとして機能します。 2 つの仮想ネットワークはあくまで個別のリソースとして管理されますが、ピアリングされた仮想マシンは互いに、プライベート IP アドレスを使用して直接通信を行うことができます。

ピアリングされた仮想ネットワークに存在する仮想マシン間のトラフィックは Azure インフラストラクチャを介して、同一仮想ネットワーク内の仮想マシン間のトラフィックと同じようにルーティングされます。 以下、仮想ネットワーク ピアリングを使う利点をいくつか挙げます。

  • 異なる仮想ネットワーク内のリソース間で、待機時間の短い広帯域幅の接続が可能である。
  • ネットワーク アプライアンスや VPN ゲートウェイなどのリソースを、ピアリングされた仮想ネットワークのトランジット ポイントとして使用できる。
  • Azure Resource Manager デプロイメント モデルを使って作成された 2 つの仮想ネットワークをピアリングできることに加え、Resource Manager を使って作成された仮想ネットワークとクラシック デプロイメント モデルを使って作成された仮想ネットワークをピアリングできる。 Azure の 2 つのデプロイメント モデルの違いの詳細については、Azure のデプロイメント モデルの概要に関する記事を参照してください。

要件と制約

  • ピアリングする仮想ネットワークは同じ Azure リージョンに存在する必要があります。 別々の Azure リージョンにある仮想ネットワークは、VPN Gateway を使って接続することができます。
  • ピアリングする仮想ネットワークの IP アドレス空間は、重複していてはなりません。
  • 仮想ネットワークが別の仮想ネットワークとピアリングされた後で、仮想ネットワークに対してアドレス空間の追加または削除を実行することはできません。
  • 仮想ネットワーク ピアリングは、2 つの仮想ネットワーク間の関係です。 ピアリング間で派生する推移的な関係は存在しません。 たとえば、virtualNetworkA が virtualNetworkB とピアリングし、virtualNetworkB が virtualNetworkC とピアリングしている場合、virtualNetworkA とvirtualNetworkC にはピアリング関係は "ありません"。
  • 2 つの異なるサブスクリプションに存在する仮想ネットワークをピアリングできます。そのためには、両方のサブスクリプションの特権ユーザー (具体的なアクセス許可については、こちらを参照) がピアリングを承認しており、サブスクリプションが同じ Azure Active Directory テナントに関連付けられていることが必要となります。 別々の Active Directory テナントに関連付けられているサブスクリプション内の仮想ネットワークは、VPN Gateway を使って接続することができます。
  • ピアリングは、Resource Manager デプロイメント モデルを使って作成された仮想ネットワーク同士か、Resource Manager デプロイメント モデルを使って作成された仮想ネットワークとクラシック デプロイメント モデルを使って作成された仮想ネットワークの間で行うことができます。 ただし、クラシック デプロイメント モデルを使って作成された 2 つの仮想ネットワークを互いにピアリングすることはできません。 クラシック デプロイメント モデルを使って作成された 2 つの仮想ネットワークは、VPN Gateway を使用して接続できます。
  • ピアリングされた仮想ネットワークに存在する仮想マシン間の通信には帯域幅上の特別な制限はありませんが、仮想マシンのサイズに基づく帯域幅の上限は依然として適用されます。 さまざまなサイズの仮想マシンの最大ネットワーク帯域幅の詳細については、Windows または Linux の VM サイズに関する記事を参照してください。
  • Azure には、仮想マシンに対する内部的な DNS 名前解決の機構が備わっていますが、その名前解決は、ピアリングされた仮想ネットワーク越しには機能しません。 仮想マシンの内部 DNS 名を解決できるのは、ローカルの仮想ネットワーク内に限られます。 ただし、ピアリングされた仮想ネットワークに接続されている仮想マシンを、仮想ネットワークの DNS サーバーとして構成することはできます。 詳細については、独自の DNS サーバーを使用する名前解決に関する記事を参照してください。

基本的な仮想ネットワーク ピアリング

接続

2 つの仮想ネットワークをピアリングすると、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。 その 2 つの仮想ネットワーク間には、IP レベルの完全な接続が確立されます。

ピアリングされた仮想ネットワークに存在する 2 つの仮想マシン間のネットワーク ラウンド トリップの待機時間は、単一の仮想ネットワーク内のラウンド トリップと変わりません。 ネットワーク スループットは、仮想マシンに許可された帯域幅を基準としています。許可されている帯域幅は、仮想マシンのサイズに比例するものです。 ピアリング内の帯域幅に関してそれ以外の制限は一切ありません。

ピアリングされた仮想ネットワークに存在する仮想マシン間のトラフィックは、ゲートウェイを介さず、Azure のバックエンド インフラストラクチャを介して直接ルーティングされます。

仮想ネットワークに接続された仮想マシンは、ピアリングされた仮想ネットワーク内の内部負荷分散エンドポイントにアクセスすることができます。 どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用すれば、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。

仮想ネットワーク ピアリングを構成するときに、仮想ネットワーク間のネットワーク セキュリティ グループの規則を開くことも閉じることもできます。 ピアリングされた仮想ネットワーク間で完全な接続を開く場合 (既定のオプション)、特定のサブネットまたは仮想マシンにネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関する記事をご覧ください。

サービス チェイニング

ユーザーは、ピアリングされた仮想ネットワーク内の仮想マシンを指し示すユーザー定義ルートを "次ホップ" の IP アドレスとして構成して、サービス チェイニングを可能にすることができます。 サービス チェイニングを利用すると、一方の仮想ネットワークのトラフィックを、ユーザー定義ルートを介して、ピアリングされた仮想ネットワーク内の仮想アプライアンスに向けることができます。

また、ハブ アンド スポーク型の環境を効果的に構築することもできます。この場合、ハブでインフラストラクチャ コンポーネント (ネットワーク仮想アプライアンスなど) をホストできます。 すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。 トラフィックは、ハブ仮想ネットワークで実行されているネットワーク仮想アプライアンスを経由することができます。 つまり、仮想ネットワーク ピアリングによって、ユーザー定義ルート上の次ホップ IP アドレスを、ピアリングされた仮想ネットワーク内の仮想マシンの IP アドレスにすることができます。 ユーザー定義ルートの詳細については、ユーザー定義ルートの概要に関する記事をご覧ください。

ゲートウェイとオンプレミスの接続

すべての仮想ネットワークは、別の仮想ネットワークとピアリングされているかどうかに関係なく独自のゲートウェイを持っており、そのゲートウェイを使用してオンプレミスのネットワークに接続することができます。 ゲートウェイを使用して仮想ネットワーク間接続を構成するときに、それらの仮想ネットワークがピアリングされていてもかまいません。

仮想ネットワーク間の接続に両方の方法が構成されているときは、ピアリング構成を介して (つまり Azure バックボーンを介して) 仮想ネットワーク間のトラフィックが流れます。

仮想ネットワークがピアリングされているとき、そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。 この場合、リモート ゲートウェイを使用する仮想ネットワークが、その独自のゲートウェイを持つことはできません。 1 つの仮想ネットワークが所有できるゲートウェイは 1 つに限られています。 ゲートウェイは、以下の図に示すように、ローカル ゲートウェイと (ピアリングされた仮想ネットワークの) リモート ゲートウェイのどちらかになります。

VNET peering transit

ゲートウェイ トランジットは、異なるデプロイメント モデルを使って作成された仮想ネットワーク間のピアリング関係ではサポートされません。 ゲートウェイ トランジットが機能するためには、ピアリング関係にある両方の仮想ネットワークが Resource Manager を介して作成されている必要があります。

1 本の Azure ExpressRoute 接続を共有する仮想ネットワークどうしをピアリングした場合、両者間のトラフィックは、そのピアリング関係を通過することになります (つまり Azure バックボーン ネットワークが使用されます)。 それでも、各仮想ネットワークのローカル ゲートウェイを使用してオンプレミス回線に接続できます。 また、共有ゲートウェイを使用して、オンプレミス接続用のトランジットを構成することもできます。

プロビジョニング

仮想ネットワーク ピアリングは、特権の下で許可される操作であり、 VirtualNetworks 名前空間に独立した機能として存在します。 ユーザーに特定の権限を付与することによってピアリングを承認することができます。 仮想ネットワークに対する読み取り/書き込みアクセス権を持つユーザーには、この権限が自動的に継承されます。

仮想ネットワークに対するピアリング操作は、管理者権限を持つユーザーまたはピアリング機能の特権を与えられたユーザーが開始できます。 対応するピアリング要求がもう一方の側に存在し、その他各種の要件が満たされた場合にピアリングは確立されます。

制限

1 つの仮想ネットワークで許容されるピアリングの数には制限があります。 詳しくは、Azure ネットワークの制限に関するセクションをご覧ください。

価格

仮想ネットワーク ピアリングを利用するイグレス トラフィックとエグレス トラフィックには少額の料金が発生します。 詳細については、 価格に関するページを参照してください。

次のステップ

  • 仮想ネットワークのピアリング チュートリアルを完了します。 仮想ネットワーク ピアリングは、同じまたは異なるサブスクリプションに存在する同じまたは異なるデプロイメント モデルを使って作成された仮想ネットワーク間に作成されます。 次のいずれかのシナリオのチュートリアルを完了します。

    Azure デプロイメント モデル [サブスクリプション]
    両方が Resource Manager 同じ
    異なる
    一方が Resource Manager、もう一方がクラシック 同じ
    異なる
  • ハブおよびスポーク ネットワーク トポロジを作成する方法を学習します。

  • すべての仮想ネットワーク ピアリング設定とその変更方法を学習します。