仮想ネットワーク ピアリングを使用してサービスを接続する
仮想ネットワーク ピアリングを使用して、Azure 仮想ネットワークを相互に直接接続できます。 ピアリングを使用して仮想ネットワークを接続すると、それらのネットワーク内の仮想マシン (VM) は、同じネットワーク内にあるかのように、相互に通信できます。
ピアリングされた仮想ネットワークでは、仮想マシン間のトラフィックは、Azure のネットワークを通してルーティングされます。 トラフィックでは、プライベート IP アドレスのみが使用されます。 インターネット接続、ゲートウェイ、または暗号化された接続には依存しません。 トラフィックは常にプライベートであり、Azure のバックボーン ネットワークの高帯域幅と低待機時間を活用できます。
ピアリング接続の 2 つの種類は、どちらも同じ方法で作成されます。
- 仮想ネットワーク ピアリングでは、北ヨーロッパの 2 つの仮想ネットワークのように、同じ Azure リージョン内の仮想ネットワークが接続されます。
- グローバル仮想ネットワーク ピアリングでは、北ヨーロッパの仮想ネットワークと西ヨーロッパの仮想ネットワークのように、異なる Azure リージョン内に存在する仮想ネットワークが接続されます。
仮想ネットワーク ピアリングにより、仮想ネットワークに既にデプロイされているリソースが影響を受けたり中断されたりすることはありません。 仮想ネットワーク ピアリングを使用するときは、以下のセクションで定義する主な機能を検討してください。
逆方向の接続
Azure PowerShell または Azure CLI を使って仮想ネットワーク ピアリング接続を作成すると、片側のピアリングのみが作成されます。 仮想ネットワーク ピアリングの構成を完了するには、逆方向のピアリングを構成して接続を確立する必要があります。 Azure portal から仮想ネットワーク ピアリング接続を作成すると、両側の構成が同時に完了します。
2 つのネットワーク スイッチを接続する方法を考えてみてください。 各スイッチにケーブルを接続し、スイッチが通信できるようにおそらくいくつかの設定を構成するでしょう。 仮想ネットワーク ピアリングでも、仮想ネットワークごとに同じような接続が必要です。 逆方向の接続により、この機能が提供されます。
サブスクリプション間の仮想ネットワーク ピアリング
両方の仮想ネットワークが異なるサブスクリプションに存在する場合でも、仮想ネットワーク ピアリングを使用できます。 このような設定は、企業の合併吸収の場合、または異なる部門によって管理されているサブスクリプション内の仮想ネットワークを接続する場合に、必要になることがあります。 仮想ネットワークは異なるサブスクリプション内であってもよく、サブスクリプションの Microsoft Entra テナントは同じでも別でもかまいません。
サブスクリプション間で仮想ネットワーク ピアリングを使用するときは、一方のサブスクリプションの管理者が、ピア ネットワークのサブスクリプションを管理していないことがあります。 1 人の管理者で、接続の両端を構成することができない場合あります。 異なる Microsoft Entra テナント内にあるサブスクリプションの仮想ネットワークをピアリングするには、各サブスクリプションの管理者が、ピア サブスクリプションの管理者に対し、仮想ネットワークでの Network Contributor ロールを付与する必要があります。
推移性
仮想ネットワーク ピアリングは推移的ではありません。 直接ピアリングされた仮想ネットワークのみが、相互に通信できます。 仮想ネットワークは、ピアのピアと通信することはできません。
たとえば、3 つの仮想ネットワーク (A、B、C) が、次のようにピアリングされているとします: A <-> B <-> C。A 内のリソースは、C 内のリソースと通信できません。トラフィックが仮想ネットワーク B を通して推移できないためです。仮想ネットワーク A と仮想ネットワーク C の間で通信する必要がある場合は、これら 2 つの仮想ネットワークを明示的にピアリングする必要があります。
ゲートウェイ トランジット
VPN ゲートウェイがある仮想ネットワークからゲートウェイ トランジットを有効にすると、ピアリングされた仮想ネットワークからオンプレミス ネットワークに接続できます。 ゲートウェイ トランジットを使用すると、すべての仮想ネットワークに仮想ネットワーク ゲートウェイをデプロイすることなしに、オンプレミスの接続を有効にできます。 この方法により、ネットワーク全体のコストと複雑さを軽減することができます。 ゲートウェイ トランジットによる仮想ネットワーク ピアリングを使うことで、1 つの仮想ネットワークをハブ ネットワークとして構成できます。 このハブ ネットワークをオンプレミスのデータセンターに接続し、その仮想ネットワーク ゲートウェイをピアと共有します。
ゲートウェイ転送を有効にするには、オンプレミスのネットワークに対するゲートウェイ接続をデプロイしたハブ仮想ネットワークで、[ゲートウェイ転送を許可する] オプションを構成します。 また、すべてのスポーク仮想ネットワークで [リモート ゲートウェイを使用する] オプションを構成します。
注意
スポーク ネットワーク ピアリングで [リモート ゲートウェイを使用する] オプションを有効にする場合は、仮想ネットワーク ゲートウェイをスポーク仮想ネットワークにデプロイすることはできません。
重複するアドレス空間
Azure 内および Azure とオンプレミス ネットワークの間で接続されたネットワークの IP アドレス空間は、重複することができません。 これはピアリングされた仮想ネットワークにも当てはまります。 ネットワークの設計を計画するときは、この規則に留意してください。 仮想ネットワーク ピアリング、VPN、または ExpressRoute で接続するすべてのネットワークでは、重複していない異なるアドレス空間を割り当てます。
代わりの接続方法
仮想ネットワークを相互に接続するには、仮想ネットワーク ピアリングが最も複雑ではない方法です。 他の方法では、仮想ネットワーク間の接続ではなく、主にオンプレミスと Azure ネットワーク間の接続に重点が置かれます。
また、ExpressRoute 回線を経由して仮想ネットワークを接続することもできます。 ExpressRoute は、オンプレミスのデータセンターと Azure のバックボーン ネットワークの間の、専用プライベート接続です。 ExpressRoute 回線に接続する仮想ネットワークは、同じルーティング ドメインの一部であり、相互に通信できます。 ExpressRoute 接続がパブリック インターネットまで達することはないので、Azure サービスとの通信は可能な限り保護されます。
VPN では、インターネットを使用し、暗号化されたトンネルを介して、オンプレミスのデータセンターが Azure のバックボーンに接続されます。 サイト間構成を使用すると、VPN ゲートウェイを通して仮想ネットワーク同士を接続できます。 仮想ネットワーク ピアリングの設定より、VPN ゲートウェイの方が、待機時間が長くなります。 これはより複雑であり、管理コストも高くなります。
ゲートウェイと仮想ネットワーク ピアリングの両方で仮想ネットワークが接続されていると、トラフィックはピアリング構成を通って流れます。
どのようなときに仮想ネットワーク ピアリングを選択するか
仮想ネットワーク ピアリングは、異なる仮想ネットワーク内に存在するサービス間のネットワーク接続を有効にするための優れた方法です。 実装とデプロイが簡単で、リージョンやサブスクリプションをまたいでも問題なく動作するので、Azure 仮想ネットワークを統合する必要があるときは、仮想ネットワーク ピアリングを最初の選択肢にすべきです。
既存の VPN または ExpressRoute 接続がある場合、またはピアリングされた仮想ネットワークからアクセスするサービスが Azure Basic Load Balancer の背後にある場合は、ピアリングが最適なオプションではないことがあります。 このような場合は、代わりの手段を調査する必要があります。