Virtual Network peeringVirtual Network peering

Met Virtual Network-peering kunt u naadloos verbinding maken met virtuele netwerken in een Azure Stack hub-omgeving.Virtual network peering enables you to seamlessly connect virtual networks in an Azure Stack Hub environment. De virtuele netwerken worden als een voor connectiviteits doeleinden weer gegeven.The virtual networks appear as one for connectivity purposes. Het verkeer tussen virtuele machines maakt gebruik van de onderliggende SDN-infra structuur.The traffic between virtual machines uses the underlying SDN infrastructure. Net als verkeer tussen virtuele machines in hetzelfde netwerk, wordt verkeer alleen gerouteerd via het privé netwerk van de Azure Stack hub.Like traffic between virtual machines in the same network, traffic is only routed through the Azure Stack Hub private network.

Azure Stack hub biedt geen ondersteuning voor globale peering, omdat het concept van "regio's" niet van toepassing is.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

De voor delen van het gebruik van virtuele netwerk peering zijn als volgt:The benefits of using virtual network peering are as follows:

  • Een verbinding met lage latentie en hoge bandbreedte tussen resources in verschillende virtuele netwerken.A low-latency, high-bandwidth connection between resources in different virtual networks.
  • De mogelijkheid van resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk.The ability of resources in one virtual network to communicate with resources in a different virtual network.
  • De mogelijkheid om gegevens over te dragen tussen virtuele netwerken in verschillende abonnementen en Azure Active Directory tenants.The ability to transfer data between virtual networks across different subscriptions and Azure Active Directory tenants.
  • Geen downtime tot bronnen in een virtueel netwerk bij het maken van de peering of nadat de peering is gemaakt.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

Netwerkverkeer tussen gekoppelde virtuele netwerken is privé.Network traffic between peered virtual networks is private. Verkeer tussen virtuele netwerken wordt bewaard in de laag van de infra structuur.Traffic between virtual networks is kept in the infrastructure layer. Er zijn geen open bare Internet, gateways of versleuteling vereist in de communicatie tussen virtuele netwerken.No public internet, gateways, or encryption is required in the communication between virtual networks.

ConnectiviteitConnectivity

Voor gekoppelde virtuele netwerken kunnen resources in een virtueel netwerk rechtstreeks verbinding maken met resources in het peered virtuele netwerk.For peered virtual networks, resources in either virtual network can directly connect with resources in the peered virtual network.

De netwerklatentie tussen virtuele machines in gekoppelde virtuele netwerken in dezelfde regio is gelijk aan de latentie binnen één virtueel netwerk.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. De netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de virtuele machine, evenredig aan de grootte.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Er gelden verder geen extra beperkingen voor bandbreedte binnen de peering.There isn't any additional restriction on bandwidth within the peering.

Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken wordt rechtstreeks doorgestuurd via de SDN-laag, niet via een gateway of via het open bare Internet.The traffic between virtual machines in peered virtual networks is routed directly through the SDN layer, not through a gateway or over the public internet.

U kunt netwerk beveiligings groepen in beide virtuele netwerken Toep assen om de toegang tot andere virtuele netwerken of subnetten te blok keren.You can apply network security groups in either virtual network to block access to other virtual networks or subnets. Wanneer u peering voor het virtuele netwerk configureert, opent of sluit u de regels voor de netwerk beveiligings groep tussen de virtuele netwerken.When configuring virtual network peering, either open or close the network security group rules between the virtual networks. Als u de volledige connectiviteit tussen gekoppelde virtuele netwerken opent, kunt u netwerk beveiligings groepen Toep assen voor het blok keren of weigeren van specifieke toegang.If you open full connectivity between peered virtual networks, you can apply network security groups to block or deny specific access. Volledige connectiviteit is de standaard optie.Full connectivity is the default option. Zie beveiligings groepenvoor meer informatie over netwerk beveiligings groepen.To learn more about network security groups, see Security groups.

ServicechainingService chaining

Met Service ketens kunt u verkeer van het ene virtuele netwerk naar een virtueel apparaat of gateway in een gekoppeld netwerk omleiden via door de gebruiker gedefinieerde routes.Service chaining enables you to direct traffic from one virtual network to a virtual appliance or gateway in a peered network through user-defined routes.

Als u service ketening wilt inschakelen, configureert u door de gebruiker gedefinieerde routes die naar virtuele machines in gekoppelde virtuele netwerken verwijzen als het volgende hop -IP-adres.To enable service chaining, configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address.

U kunt hub-en-spoke netwerken implementeren, waarbij het virtuele netwerk van de hub fungeert als host voor infrastructuur onderdelen, zoals een virtueel netwerk apparaat of een VPN-gateway.You can deploy hub-and-spoke networks, where the hub virtual network hosts infrastructure components such as a network virtual appliance or VPN gateway. Alle virtuele spoke-netwerken kunnen vervolgens worden gekoppeld aan het virtuele hub-netwerk.All the spoke virtual networks can then peer with the hub virtual network. Verkeer loopt via virtuele netwerk apparaten of VPN-gateways in het virtuele hub-netwerk.Traffic flows through network virtual appliances or VPN gateways in the hub virtual network.

Met peering voor virtuele netwerken kan de volgende hop in een door de gebruiker gedefinieerde route het IP-adres zijn van een virtuele machine in het gekoppelde virtuele netwerk.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network. Zie Door de gebruiker gedefinieerde routes voor meer informatie over door de gebruiker gedefinieerde routes.To learn more about user-defined routes, see User-defined routes overview. Zie hub-spoke-netwerk topologie in azurevoor meer informatie over het maken van een hub-en-spoke-netwerk topologie.To learn how to create a hub and spoke network topology, see Hub-spoke network topology in Azure.

Gateways en on-premises connectiviteitGateways and on-premises connectivity

Elk virtueel netwerk, met inbegrip van een gekoppeld virtueel netwerk, kan een eigen gateway hebben.Each virtual network, including a peered virtual network, can have its own gateway. Een virtueel netwerk kan de gateway gebruiken om verbinding te maken met een on-premises netwerk.A virtual network can use its gateway to connect to an on-premises network. Raadpleeg de documentatie van de Virtual Network-gateway.Please review the Virtual Network Gateway documentation.

U kunt de gateway in het gekoppelde virtuele netwerk ook configureren als een doorvoer punt naar een on-premises netwerk.You can also configure the gateway in the peered virtual network as a transit point to an on-premises network. In dit geval kan het virtuele netwerk dat gebruikmaakt van een externe gateway, geen eigen gateway hebben.In this case, the virtual network that is using a remote gateway can't have its own gateway. Een virtueel netwerk heeft maar één gateway.A virtual network has only one gateway. De gateway is een lokale of externe gateway in het gekoppelde virtuele netwerk, zoals wordt weer gegeven in de volgende afbeelding:The gateway is either a local or remote gateway in the peered virtual network, as shown in the following figure:

VPN-gateway topologie

Houd er rekening mee dat er een verbindings object moet worden gemaakt in de VPN-gateway voordat u de UseRemoteGateways -opties in de peering inschakelt.Note that a Connection object must be created in the VPN gateway prior to enabling the UseRemoteGateways options in the peering.

Configuratie van peering voor virtuele netwerkenVirtual network peering configuration

Toegang tot virtueel netwerk toestaan: Door communicatie tussen virtuele netwerken in te scha kelen, kunnen resources die zijn verbonden met een virtueel netwerk communiceren met elkaar met dezelfde band breedte en latentie alsof ze zijn verbonden met hetzelfde virtuele netwerk.Allow virtual network access: Enabling communication between virtual networks allows resources connected to either virtual network to communicate with each other with the same bandwidth and latency as if they were connected to the same virtual network. Alle communicatie tussen bronnen in de twee virtuele netwerken wordt doorgestuurd via de interne SDN-laag.All communication between resources in the two virtual networks is routed through the internal SDN layer.

Een van de redenen om netwerk toegang niet in te scha kelen, is mogelijk een scenario waarin u een virtueel netwerk met een ander virtueel netwerk hebt gekoppeld, maar af en toe de verkeers stroom tussen de twee virtuele netwerken wilt uitschakelen.One reason to not enable network access might be a scenario where you've peered a virtual network with another virtual network, but occasionally want to disable traffic flow between the two virtual networks. Het is mogelijk dat u het in-en uitschakelen van de peers kunt vergemakkelijken.You might find enabling/disabling is more convenient than deleting and re-creating peerings. Als deze instelling is uitgeschakeld, loopt verkeer niet tussen de gekoppelde virtuele netwerken.When this setting is disabled, traffic does not flow between the peered virtual networks.

Doorgestuurd verkeer toestaan: Schakel dit selectie vakje in om verkeer dat wordt doorgestuurd door een virtueel netwerk apparaat in een virtueel netwerk (dat niet afkomstig is van het virtuele netwerk), te laten door lopen op dit virtuele netwerk via een peering.Allow forwarded traffic: Check this box to allow traffic forwarded by a network virtual appliance in a virtual network (that didn't originate from the virtual network) to flow to this virtual network through a peering. Denk bijvoorbeeld aan drie virtuele netwerken met de naam Spoke1, Spoke2 en hub.For example, consider three virtual networks named Spoke1, Spoke2, and Hub. Er bestaat een peering tussen elk spoke-virtueel netwerk en het virtuele hub-netwerk, maar er zijn geen peerings tussen de spoke-virtuele netwerken.A peering exists between each spoke virtual network and the Hub virtual network, but peerings don't exist between the spoke virtual networks. Een virtueel netwerk apparaat wordt geïmplementeerd in het virtuele netwerk van de hub en door de gebruiker gedefinieerde routes worden toegepast op elk spoke-virtueel netwerk dat verkeer tussen de subnetten via het virtuele netwerk apparaat routeert.A network virtual appliance is deployed in the Hub virtual network, and user-defined routes are applied to each spoke virtual network that route traffic between the subnets through the network virtual appliance. Als dit selectie vakje niet is ingeschakeld voor de peering tussen elk spoke-virtueel netwerk en het virtuele netwerk van de hub, loopt verkeer niet tussen de spoke-virtuele netwerken omdat de hub het verkeer tussen de virtuele netwerken niet doorstuurt.If this checkbox is not checked for the peering between each spoke virtual network and the hub virtual network, traffic doesn't flow between the spoke virtual networks because the hub is not forwarding the traffic between the virtual networks. Hoewel het inschakelen van deze mogelijkheid het doorgestuurde verkeer via de peering toestaat, worden er geen door de gebruiker gedefinieerde routes of virtuele netwerk apparaten gemaakt.While enabling this capability allows the forwarded traffic through the peering, it does not create any user-defined routes or network virtual appliances. Door de gebruiker gedefinieerde routes en virtuele netwerk apparaten worden afzonderlijk gemaakt.User-defined routes and network virtual appliances are created separately. Meer informatie over door de gebruiker gedefinieerde routes.Learn about user-defined routes. U hoeft deze instelling niet te controleren als verkeer wordt doorgestuurd tussen virtuele netwerken via een VPN Gateway.You do not need to check this setting if traffic is forwarded between virtual networks through a VPN Gateway.

Transit door gateway toestaan: Schakel dit selectie vakje in als u een virtuele netwerk gateway hebt die is gekoppeld aan dit virtuele netwerk, en verkeer van het gekoppelde virtuele netwerk wilt toestaan om via de gateway te stromen.Allow gateway transit: Check this box if you have a virtual network gateway attached to this virtual network, and want to allow traffic from the peered virtual network to flow through the gateway. Dit virtuele netwerk kan bijvoorbeeld worden gekoppeld aan een on-premises netwerk via een virtuele netwerk gateway.For example, this virtual network may be attached to an on-premises network through a virtual network gateway. Als u dit selectie vakje inschakelt, kan verkeer van het gekoppelde virtuele netwerk stromen via de gateway die is gekoppeld aan dit virtuele netwerk aan het on-premises netwerk.Checking this box allows traffic from the peered virtual network to flow through the gateway attached to this virtual network to the on-premises network. Als u dit selectie vakje inschakelt, kan er geen gateway worden geconfigureerd in het gekoppelde virtuele netwerk.If you check this box, the peered virtual network cannot have a gateway configured. Voor het gekoppelde virtuele netwerk moet het selectie vakje externe gateways gebruiken zijn ingeschakeld bij het instellen van de peering van het andere virtuele netwerk op dit virtuele netwerk.The peered virtual network must have the Use remote gateways box checked when setting up the peering from the other virtual network to this virtual network. Als u dit selectie vakje uitschakelt (de standaard instelling), loopt verkeer van het gekoppelde virtuele netwerk nog steeds door naar dit virtuele netwerk, maar kan er geen stroom worden gemaakt door een virtuele netwerk gateway die is gekoppeld aan dit virtuele netwerk.If you leave this box unchecked (the default), traffic from the peered virtual network still flows to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

Externe gateways gebruiken: Schakel dit selectie vakje in om verkeer van dit virtuele netwerk te laten stromen via een virtuele netwerk gateway die is gekoppeld aan het virtuele netwerk waarmee u peering uitvoert.Use remote gateways: Check this box to allow traffic from this virtual network to flow through a virtual network gateway attached to the virtual network you're peering with. Het virtuele netwerk waarmee u een peer maakt, heeft bijvoorbeeld een VPN-gateway die is gekoppeld aan een on-premises netwerk.For example, the virtual network you're peering with has a VPN gateway attached that enables communication to an on-premises network. Als u dit selectie vakje inschakelt, kan verkeer van dit virtuele netwerk stromen via de VPN-gateway die is gekoppeld aan het gekoppelde virtuele netwerk.Checking this box allows traffic from this virtual network to flow through the VPN gateway attached to the peered virtual network. Als u dit selectie vakje inschakelt, moet er een virtuele netwerk gateway aan zijn gekoppeld aan het gekoppelde virtuele netwerk en moet het vakje Gateway-Transit toestaan zijn ingeschakeld.If you check this box, the peered virtual network must have a virtual network gateway attached to it and must have the Allow gateway transit box checked. Als u dit selectie vakje uitschakelt (de standaard instelling), kan verkeer van het gekoppelde virtuele netwerk nog steeds naar dit virtuele netwerk stromen, maar kan er geen stroom worden gemaakt door een virtuele netwerk gateway die is gekoppeld aan dit virtuele netwerk.If you leave this box unchecked (the default), traffic from the peered virtual network can still flow to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

U kunt geen externe gateways gebruiken als u al een gateway in uw virtuele netwerk hebt geconfigureerd.You can't use remote gateways if you already have a gateway configured in your virtual network.

MachtigingenPermissions

Zorg ervoor dat bij het maken van peerings met VNETs in verschillende abonnementen en Azure AD-tenants, aan de accounts de rol Inzender is toegewezen.Please ensure that when creating peerings with VNETs in different subscriptions and Azure AD tenants, the accounts have the Contributor role assigned. Daarnaast is er geen gebruikers interface mogelijkheid voor peering tussen verschillende Azure AD-tenants.Additionally, there is no user interface capability for peering between different Azure AD tenants. U kunt Azure CLI en Power shell gebruiken om de peerings te maken.You can use Azure CLI and PowerShell to create the peerings.

Veelgestelde vragen over peering in virtuele netwerken (FAQ)Virtual network peering frequently asked questions (FAQ)

Wat is peering van virtuele netwerken?What is Virtual network peering?

Met Virtual Network-peering kunt u virtuele netwerken verbinden.Virtual network peering enables you to connect virtual networks. Met een VNet-peering-verbinding tussen virtuele netwerken kunt u verkeer via IPv4-adressen routeren tussen hun eigen gegevens.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Virtuele machines in de peered VNets kunnen met elkaar communiceren alsof ze zich in hetzelfde netwerk bevinden.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. VNet-peering-verbindingen kunnen ook worden gemaakt voor meerdere abonnementen.VNet peering connections can also be created across multiple subscriptions.

Ondersteunt Azure Stack hub wereld wijde VNET-peering?Does Azure Stack Hub support Global VNET peering?

Azure Stack hub biedt geen ondersteuning voor globale peering, omdat het concept van "regio's" niet van toepassing is.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

Op welke Azure Stack hub-update wordt peering van virtuele netwerken beschikbaar?On which Azure Stack Hub update will virtual network peering be available?

peering van het virtuele netwerk is beschikbaar in Azure Stack hub, te beginnen met de 2008-update.virtual network peering is available in Azure Stack Hub starting with the 2008 update.

Kan ik mijn virtuele netwerk in Azure Stack hub koppelen aan een virtueel netwerk in azure?Can I peer my virtual network in Azure Stack Hub to a virtual network in Azure?

Nee, peering tussen Azure en Azure Stack hub wordt op dit moment niet ondersteund.No, peering between Azure and Azure Stack hub is not supported at this time.

Kan ik mijn virtuele netwerk in Azure Stack Hub1 koppelen aan een virtueel netwerk in Azure Stack Hub2?Can I peer my virtual network in Azure Stack Hub1 to a virtual network in Azure Stack Hub2?

Nee, peering kan alleen worden gemaakt tussen virtuele netwerken in een Azure Stack hub-systeem.No, peering can only be created between virtual networks in one Azure Stack Hub system. Zie een vnet-verbinding tot stand brengen in azure stack hubvoor meer informatie over het verbinden van twee virtuele netwerken op basis van verschillende stem pels.For more information about how to connect two virtual networks from different stamps, see Establish a VNET to VNET connection in Azure Stack Hub.

Kan ik peering inschakelen als mijn virtuele netwerken deel uitmaken van abonnementen binnen verschillende Azure Active Directory tenants?Can I enable peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Ja.Yes. Het is mogelijk om VNet-peering tot stand te brengen als uw abonnementen deel uitmaken van verschillende Azure Active Directory tenants.It is possible to establish VNet Peering if your subscriptions belong to different Azure Active Directory tenants. U kunt dit doen via Power shell of CLI.You can do this via PowerShell or CLI. De portal wordt nog niet ondersteund.The portal is not yet supported.

Kan ik mijn virtuele netwerk koppelen aan een virtueel netwerk in een ander abonnement?Can I peer my virtual network with a virtual network in a different subscription?

Ja.Yes. U kunt virtuele netwerken op meerdere computers peeren.You can peer virtual networks across subscriptions.

Zijn er bandbreedte beperkingen voor peering-verbindingen?Are there any bandwidth limitations for peering connections?

Nee.No. De peering van het virtuele netwerk legt geen beperkingen voor de band breedte voor.Virtual network peering does not impose any bandwidth restrictions. Band breedte wordt alleen beperkt door de virtuele machine of de compute-resource.Bandwidth is only limited by the VM or the compute resource.

De peering-verbinding van mijn virtuele netwerk bevindt zich in een gestarte staat, waarom kan ik geen verbinding maken?My virtual network peering connection is in an Initiated state, why can't I connect?

Als uw peering-verbinding een geïnitieerde status heeft, betekent dit dat u slechts één koppeling hebt gemaakt.If your peering connection is in an Initiated state, it means you have created only one link. Er moet een bidirectionele koppeling worden gemaakt om een geslaagde verbinding te kunnen maken.A bidirectional link must be created in order to establish a successful connection. Bijvoorbeeld, voor peer VNet A naar VNet B, moet een koppeling worden gemaakt van VNet A naar VNet B en van VNet B naar VNet A. Als u beide koppelingen maakt, wordt de status gewijzigd in verbonden.For example, to peer VNet A to VNet B, a link must be created from VNet A to VNet B, and from VNet B to VNet A. Creating both links changes the state to Connected.

De verbinding met de peering van het virtuele netwerk is verbroken , waarom kan ik geen peering-verbinding maken?My virtual network peering connection is in a Disconnected state, why can't I create a peering connection?

Als de verbinding met de peering van het virtuele netwerk de status verbroken heeft, betekent dit dat een van de gemaakte koppelingen is verwijderd.If your virtual network peering connection is in a Disconnected state, it means one of the links created was deleted. Als u een peering-verbinding wilt herstellen, verwijdert u de koppeling en maakt u deze opnieuw.In order to re-establish a peering connection, delete the link and recreate it.

Is peering-verkeer voor virtuele netwerken versleuteld?Is virtual network peering traffic encrypted?

Nee.No. Verkeer tussen bronnen in gekoppelde virtuele netwerken is privé en geïsoleerd.Traffic between resources in peered virtual networks is private and isolated. Het blijft volledig aanwezig in de SDN-laag van het Azure Stack hub-systeem.It remains completely in the SDN layer of the Azure Stack Hub system.

Als ik VNet A naar VNet B en I peer VNet B naar VNet C, betekent dat dat VNet A en VNet C gelijkwaardig zijn?If I peer VNet A to VNet B and I peer VNet B to VNet C, does that mean VNet A and VNet C are peered?

Nee.No. Transitieve peering wordt niet ondersteund.Transitive peering is not supported. U moet de peer VNet A en VNet C.You must peer VNet A and VNet C.

Volgende stappenNext steps