peering Virtual Network
Met peering van virtuele netwerken kunt u virtuele netwerken naadloos verbinden in een Azure Stack Hub-omgeving. De virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden. Het verkeer tussen virtuele machines maakt gebruik van de onderliggende SDN-infrastructuur. Net als verkeer tussen virtuele machines in hetzelfde netwerk, wordt verkeer alleen doorgestuurd via het privénetwerk van Azure Stack Hub.
Azure Stack Hub biedt geen ondersteuning voor wereldwijde peering, omdat het concept 'regio's' niet van toepassing is.
De voordelen van het gebruik van peering voor virtuele netwerken zijn als volgt:
- Een verbinding met een lage latentie met hoge bandbreedte tussen resources in verschillende virtuele netwerken binnen dezelfde Azure Stack Hub-stempel.
- De mogelijkheid van resources in één virtueel netwerk om te communiceren met resources in een ander virtueel netwerk binnen dezelfde Azure Stack Hub-stempel.
- De mogelijkheid om gegevens over te dragen tussen virtuele netwerken in verschillende abonnementen binnen dezelfde Azure Active Directory tenant.
- Geen downtime tot bronnen in een virtueel netwerk bij het maken van de peering of nadat de peering is gemaakt.
Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Verkeer tussen virtuele netwerken wordt bewaard in de infrastructuurlaag. Er is geen openbaar internet, gateways of versleuteling vereist in de communicatie tussen virtuele netwerken.
Connectiviteit
Voor gekoppelde virtuele netwerken kunnen resources in beide virtuele netwerken rechtstreeks verbinding maken met resources in het gekoppelde virtuele netwerk.
De netwerklatentie tussen virtuele machines in gekoppelde virtuele netwerken in dezelfde regio is gelijk aan de latentie binnen één virtueel netwerk. De netwerkdoorvoer is gebaseerd op de bandbreedte die is toegestaan voor de virtuele machine, evenredig aan de grootte. Er gelden verder geen extra beperkingen voor bandbreedte binnen de peering.
Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken wordt rechtstreeks via de SDN-laag gerouteerd, niet via een gateway of via het openbare internet.
U kunt netwerkbeveiligingsgroepen toepassen in een virtueel netwerk om de toegang tot andere virtuele netwerken of subnetten te blokkeren. Wanneer u peering voor virtuele netwerken configureert, opent of sluit u de regels voor de netwerkbeveiligingsgroep tussen de virtuele netwerken. Als u volledige connectiviteit tussen gekoppelde virtuele netwerken opent, kunt u netwerkbeveiligingsgroepen toepassen om specifieke toegang te blokkeren of te weigeren. Volledige connectiviteit is de standaardoptie. Zie Beveiligingsgroepen voor meer informatie over netwerkbeveiligingsgroepen.
Servicechaining
Met serviceketens kunt u verkeer van het ene virtuele netwerk naar een virtueel apparaat of gateway in een gekoppeld netwerk leiden via door de gebruiker gedefinieerde routes.
Als u serviceketens wilt inschakelen, configureert u door de gebruiker gedefinieerde routes die verwijzen naar virtuele machines in gekoppelde virtuele netwerken als het IP-adres van de volgende hop .
U kunt hub-and-spoke-netwerken implementeren, waarbij het virtuele hubnetwerk infrastructuuronderdelen host, zoals een virtueel netwerkapparaat of VPN-gateway. Alle virtuele spoke-netwerken kunnen vervolgens worden gekoppeld aan het virtuele hub-netwerk. Verkeer stroomt via virtuele netwerkapparaten of VPN-gateways in het virtuele hubnetwerk.
Peering van virtuele netwerken maakt het mogelijk om de volgende hop in een door de gebruiker gedefinieerde route het IP-adres van een virtuele machine in het gekoppelde virtuele netwerk te zijn. Zie Door de gebruiker gedefinieerde routes voor meer informatie over door de gebruiker gedefinieerde routes. Zie Hub-spoke-netwerktopologie in Azure voor meer informatie over het maken van een hub- en spoke-netwerktopologie.
Gateways en on-premises connectiviteit
Elk virtueel netwerk, inclusief een gekoppeld virtueel netwerk, kan een eigen gateway hebben. Een virtueel netwerk kan de gateway gebruiken om verbinding te maken met een on-premises netwerk. Raadpleeg de documentatie voor Azure Stack Hub Virtual Network Gateway.
U kunt de gateway in het gekoppelde virtuele netwerk ook configureren als een transitpunt naar een on-premises netwerk. In dit geval kan het virtuele netwerk dat een externe gateway gebruikt, geen eigen gateway hebben. Een virtueel netwerk heeft slechts één gateway. De gateway is een lokale of externe gateway in het gekoppelde virtuele netwerk, zoals wordt weergegeven in de volgende afbeelding:
Houd er rekening mee dat er een verbindingsobject moet worden gemaakt in de VPN-gateway voordat u de useRemoteGateways-opties inschakelt in de peering.
Belangrijk
Azure Stack Hub configureert systeemroutes op basis van de subnetten van gekoppelde virtuele netwerken, niet het adresvoorvoegsel van het virtuele netwerk. Dit verschilt van de Azure-implementatie. Als u de standaardroutes van het systeem wilt overschrijven, zoals het scenario dat wordt beschreven in Scenario: Verkeer routeren via een NVA (Network Virtual Appliance) of hub-spoke-netwerktopologie in Azure, waarin u verkeer wilt routeren naar een NVA of firewallapparaat, moet u een route-vermelding maken voor elk subnet in het virtuele netwerk.
Peeringconfiguratie voor virtuele netwerken
Toegang tot virtuele netwerken toestaan: Als u communicatie tussen virtuele netwerken inschakelt, kunnen resources die zijn verbonden met een virtueel netwerk met elkaar communiceren met dezelfde bandbreedte en latentie alsof ze zijn verbonden met hetzelfde virtuele netwerk. Alle communicatie tussen resources in de twee virtuele netwerken wordt gerouteerd via de interne SDN-laag.
Een van de redenen om netwerktoegang niet in te schakelen, kan een scenario zijn waarin u een virtueel netwerk hebt gekoppeld aan een ander virtueel netwerk, maar af en toe de verkeersstroom tussen de twee virtuele netwerken wilt uitschakelen. Mogelijk is het handiger om peerings in of uit te schakelen dan peerings te verwijderen en opnieuw te maken. Wanneer deze instelling is uitgeschakeld, stroomt verkeer niet tussen de gekoppelde virtuele netwerken.
Doorgestuurd verkeer toestaan: Schakel dit selectievakje in om verkeer dat wordt doorgestuurd door een virtueel netwerkapparaat in een virtueel netwerk (dat niet afkomstig is van het virtuele netwerk) toe te staan om via peering naar dit virtuele netwerk te stromen. Denk bijvoorbeeld aan drie virtuele netwerken met de naam Spoke1, Spoke2 en Hub. Er bestaat een peering tussen elk virtueel spoke-netwerk en het virtuele Hub-netwerk, maar peerings bestaan niet tussen de virtuele spoke-netwerken. Een virtueel netwerkapparaat wordt geïmplementeerd in het virtuele Hub-netwerk en door de gebruiker gedefinieerde routes worden toegepast op elk virtueel spoke-netwerk dat verkeer routert tussen de subnetten via het virtuele netwerkapparaat. Als dit selectievakje niet is ingeschakeld voor de peering tussen elk virtueel spoke-netwerk en het virtuele hubnetwerk, stroomt verkeer niet tussen de virtuele spoke-netwerken omdat de hub het verkeer tussen de virtuele netwerken niet doorstuurt. Hoewel het inschakelen van deze mogelijkheid het doorgestuurde verkeer via de peering toestaat, worden er geen door de gebruiker gedefinieerde routes of virtuele netwerkapparaten gemaakt. Door de gebruiker gedefinieerde routes en virtuele netwerkapparaten worden afzonderlijk gemaakt. Meer informatie over door de gebruiker gedefinieerde routes. U hoeft deze instelling niet te controleren als verkeer wordt doorgestuurd tussen virtuele netwerken via een VPN Gateway.
Gatewaydoorvoer toestaan: Schakel dit selectievakje in als u een virtuele netwerkgateway hebt gekoppeld aan dit virtuele netwerk en verkeer van het gekoppelde virtuele netwerk wilt toestaan om door de gateway te stromen. Dit virtuele netwerk kan bijvoorbeeld worden gekoppeld aan een on-premises netwerk via een virtuele netwerkgateway. Als u dit selectievakje inschakelt, kan verkeer van het gekoppelde virtuele netwerk via de gateway stromen die is gekoppeld aan dit virtuele netwerk naar het on-premises netwerk. Als u dit selectievakje inschakelt, kan het gekoppelde virtuele netwerk geen gateway hebben geconfigureerd. Het gekoppelde virtuele netwerk moet het selectievakje Externe gateways gebruiken hebben ingeschakeld bij het instellen van de peering van het andere virtuele netwerk naar dit virtuele netwerk. Als u dit selectievakje uitgeschakeld laat (de standaardinstelling), loopt het verkeer van het gekoppelde virtuele netwerk nog steeds naar dit virtuele netwerk, maar kan het verkeer niet stromen via een virtuele netwerkgateway die is gekoppeld aan dit virtuele netwerk.
Externe gateways gebruiken: Schakel dit selectievakje in om verkeer van dit virtuele netwerk door te laten stromen via een virtuele netwerkgateway die is gekoppeld aan het virtuele netwerk waarmee u peering uitvoert. Het virtuele netwerk waarmee u peering uitvoert, bevat bijvoorbeeld een VPN-gateway die communicatie met een on-premises netwerk mogelijk maakt. Als u dit selectievakje uitschakelt, kan verkeer van dit virtuele netwerk stromen via de VPN-gateway die is gekoppeld aan het gekoppelde virtuele netwerk. Als u dit selectievakje inschakelt, moet aan het gekoppelde virtuele netwerk een virtuele netwerkgateway zijn gekoppeld en moet het selectievakje Gatewayoverdracht toestaan zijn ingeschakeld. Als u dit selectievakje uitgeschakeld laat (de standaardinstelling), kan verkeer van het gekoppelde virtuele netwerk nog steeds stromen naar dit virtuele netwerk, maar kan het niet stromen via een virtuele netwerkgateway die is gekoppeld aan dit virtuele netwerk.
U kunt externe gateways niet gebruiken als u al een gateway hebt geconfigureerd in uw virtuele netwerk.
Machtigingen
Zorg ervoor dat bij het maken van peerings met VNET's in verschillende abonnementen binnen dezelfde Azure AD-tenants ten minste de rol Netwerkbijdrager is toegewezen.
Belangrijk
Azure Stack Hub biedt geen ondersteuning voor VNET-peering tussen virtuele netwerken in verschillende abonnementen en voor verschillende Azure AD-tenants. VNET-peering tussen VNET's in verschillende abonnementen wordt wel ondersteund zolang deze abonnementen deel uitmaken van dezelfde Azure AD-tenant. Dit verschilt van de Azure-implementatie.
Veelgestelde vragen over peering van virtuele netwerken
Wat is peering voor virtuele netwerken?
Met peering van virtuele netwerken kunt u virtuele netwerken verbinden. Met een VNet-peeringverbinding tussen virtuele netwerken kunt u verkeer tussen deze netwerken privé routeren via IPv4-adressen. Virtuele machines in de gekoppelde VNets kunnen met elkaar communiceren alsof ze zich binnen hetzelfde netwerk bevinden. VNet-peeringverbindingen kunnen ook worden gemaakt voor meerdere abonnementen binnen dezelfde Azure AD-tenant.
Biedt Azure Stack Hub ondersteuning voor wereldwijde VNET-peering?
Azure Stack Hub biedt geen ondersteuning voor wereldwijde peering, omdat het concept 'regio's' niet van toepassing is.
Op welke Azure Stack Hub-update is peering van virtuele netwerken beschikbaar?
Peering van virtuele netwerken is beschikbaar in Azure Stack Hub vanaf de update van 2008.
Kan ik mijn virtuele netwerk in Azure Stack Hub koppelen aan een virtueel netwerk in Azure?
Nee, peering tussen Azure en Azure Stack Hub wordt momenteel niet ondersteund.
Kan ik mijn virtuele netwerk in Azure Stack Hub1 koppelen aan een virtueel netwerk in Azure Stack Hub2?
Nee, peering kan alleen worden gemaakt tussen virtuele netwerken in één Azure Stack Hub-systeem. Zie Een VNET tot stand brengen met een VNET-verbinding in Azure Stack Hub voor meer informatie over het verbinden van twee virtuele netwerken vanuit verschillende stempels.
Kan ik peering inschakelen als mijn virtuele netwerken deel uitmaken van abonnementen binnen verschillende Azure Active Directory tenants?
Nee. Het is niet mogelijk om VNet-peering tot stand te brengen als uw abonnementen deel uitmaken van verschillende Azure Active Directory tenants. Dit is een specifieke beperking voor Azure Stack Hub.
Kan ik mijn virtuele netwerk koppelen aan een virtueel netwerk in een ander abonnement?
Ja. U kunt virtuele netwerken koppelen aan verschillende abonnementen als ze deel uitmaken van dezelfde Azure AD-tenant.
Zijn er bandbreedtebeperkingen voor peeringverbindingen?
Nee. Peering van virtuele netwerken legt geen bandbreedtebeperkingen op. Bandbreedte wordt alleen beperkt door de VM of de rekenresource.
Mijn peeringverbinding voor virtuele netwerken heeft een geïnitieerde status. Waarom kan ik geen verbinding maken?
Als uw peeringverbinding de status Gestart heeft, betekent dit dat u slechts één koppeling hebt gemaakt. Er moet een bidirectionele koppeling worden gemaakt om een geslaagde verbinding tot stand te brengen. Als u bijvoorbeeld VNet A wilt koppelen aan VNet B, moet er een koppeling worden gemaakt van VNet A naar VNet B en van VNet B naar VNet A. Als u beide koppelingen wilt maken, wordt de status gewijzigd in Verbonden.
Mijn peeringverbinding voor het virtuele netwerk heeft de status Verbinding verbroken. Waarom kan ik geen peeringverbinding maken?
Als de peeringverbinding van uw virtuele netwerk de status Verbinding verbroken heeft, betekent dit dat een van de gemaakte koppelingen is verwijderd. Als u een peeringverbinding opnieuw tot stand wilt brengen, verwijdert u de koppeling en maakt u deze opnieuw.
Wordt peeringverkeer van virtuele netwerken versleuteld?
Nee. Verkeer tussen resources in gekoppelde virtuele netwerken is privé en geïsoleerd. Het blijft volledig in de SDN-laag van het Azure Stack Hub-systeem.
Als ik VNet A koppel aan VNet B en ik VNet B peer naar VNet C, betekent dit dat VNet A en VNet C zijn gekoppeld?
Nee. Transitieve peering wordt niet ondersteund. U moet VNet A en VNet C koppelen.