Virtual Network komunikacji równorzędnejVirtual Network peering

Komunikacja równorzędna sieci wirtualnych umożliwia bezproblemowe łączenie sieci wirtualnych w środowisku centrum Azure Stack.Virtual network peering enables you to seamlessly connect virtual networks in an Azure Stack Hub environment. Sieci wirtualne są wyświetlane jako jedna na potrzeby łączności.The virtual networks appear as one for connectivity purposes. Ruch między maszynami wirtualnymi odbywa się przy użyciu podstawowej infrastruktury SDN.The traffic between virtual machines uses the underlying SDN infrastructure. Podobnie jak ruch między maszynami wirtualnymi w tej samej sieci, ruch jest kierowany tylko za pomocą sieci prywatnej centrum Azure Stack.Like traffic between virtual machines in the same network, traffic is only routed through the Azure Stack Hub private network.

Centrum Azure Stack nie obsługuje globalnej komunikacji równorzędnej, ponieważ pojęcie "regionów" nie ma zastosowania.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

Zalety korzystania z komunikacji równorzędnej sieci wirtualnej są następujące:The benefits of using virtual network peering are as follows:

  • Połączenie o małych opóźnieniach i dużej przepustowości między zasobami w różnych sieciach wirtualnych.A low-latency, high-bandwidth connection between resources in different virtual networks.
  • Możliwość komunikowania się zasobów w jednej sieci wirtualnej z zasobami w innej sieci wirtualnej.The ability of resources in one virtual network to communicate with resources in a different virtual network.
  • Możliwość transferu danych między sieciami wirtualnymi w różnych subskrypcjach i Azure Active Directory dzierżawców.The ability to transfer data between virtual networks across different subscriptions and Azure Active Directory tenants.
  • Brak przestojów zasobów w sieci wirtualnej podczas tworzenia komunikacji równorzędnej albo po utworzeniu komunikacji równorzędnej.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny.Network traffic between peered virtual networks is private. Ruch między sieciami wirtualnymi jest przechowywany w warstwie infrastruktury.Traffic between virtual networks is kept in the infrastructure layer. Komunikacja między sieciami wirtualnymi nie wymaga publicznego Internetu, bram ani szyfrowania.No public internet, gateways, or encryption is required in the communication between virtual networks.

ŁącznośćConnectivity

W przypadku sieci wirtualnych za pomocą komunikacji równorzędnej zasoby w jednej sieci wirtualnej mogą łączyć się bezpośrednio z zasobami w równorzędnej sieci wirtualnej.For peered virtual networks, resources in either virtual network can directly connect with resources in the peered virtual network.

Opóźnienie sieciowe między maszynami wirtualnymi w równorzędnych sieciach wirtualnych w tym samym regionie jest takie samo jak opóźnienie w pojedynczej sieci wirtualnej.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. Przepływność sieci zależy od przepustowości dozwolonej dla maszyny wirtualnej proporcjonalnie do jej rozmiaru.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Nie ma żadnych dodatkowych ograniczeń przepustowości w obrębie komunikacji równorzędnej.There isn't any additional restriction on bandwidth within the peering.

Ruch między maszynami wirtualnymi w równorzędnych sieciach wirtualnych odbywa się bezpośrednio za pośrednictwem warstwy SDN, a nie za pośrednictwem bramy lub publicznego Internetu.The traffic between virtual machines in peered virtual networks is routed directly through the SDN layer, not through a gateway or over the public internet.

Aby zablokować dostęp do innych sieci wirtualnych lub podsieci, można zastosować sieciowe grupy zabezpieczeń w jednej sieci wirtualnej.You can apply network security groups in either virtual network to block access to other virtual networks or subnets. Podczas konfigurowania komunikacji równorzędnej sieci wirtualnej należy otworzyć lub zamknąć reguły sieciowej grupy zabezpieczeń między sieciami wirtualnymi.When configuring virtual network peering, either open or close the network security group rules between the virtual networks. W przypadku otwarcia pełnej łączności między równorzędnymi sieciami wirtualnymi można zastosować sieciowe grupy zabezpieczeń, aby zablokować lub odmówić określonego dostępu.If you open full connectivity between peered virtual networks, you can apply network security groups to block or deny specific access. Pełna łączność jest opcją domyślną.Full connectivity is the default option. Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz grupy zabezpieczeń.To learn more about network security groups, see Security groups.

Tworzenie łańcuchów usługService chaining

Łańcuchy usług umożliwiają kierowanie ruchu z jednej sieci wirtualnej do urządzenia wirtualnego lub bramy w sieci równorzędnej za pośrednictwem tras zdefiniowanych przez użytkownika.Service chaining enables you to direct traffic from one virtual network to a virtual appliance or gateway in a peered network through user-defined routes.

Aby włączyć tworzenie łańcucha usług, należy skonfigurować trasy zdefiniowane przez użytkownika, które wskazują na maszyny wirtualne w sieciach wirtualnych równorzędnych jako adres IP następnego przeskoku .To enable service chaining, configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address.

Można wdrożyć sieci gwiazdy , w których Centrum sieci wirtualnej hostuje składniki infrastruktury, takie jak sieciowe urządzenie wirtualne lub Brama sieci VPN.You can deploy hub-and-spoke networks, where the hub virtual network hosts infrastructure components such as a network virtual appliance or VPN gateway. Następnie wszystkie sieci wirtualne typu gwiazda można połączyć za pomocą komunikacji równorzędnej z centralną siecią wirtualną.All the spoke virtual networks can then peer with the hub virtual network. Ruch przepływów przez wirtualne urządzenia sieciowe lub bramy sieci VPN w sieci wirtualnej centrum.Traffic flows through network virtual appliances or VPN gateways in the hub virtual network.

Komunikacja równorzędna sieci wirtualnej umożliwia następnym przeskoku w trasie zdefiniowanej przez użytkownika jako adres IP maszyny wirtualnej w równorzędnej sieci wirtualnej.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network. Aby dowiedzieć się więcej o trasach definiowanych przez użytkownika, zobacz User-defined routes overview (Omówienie tras definiowanych przez użytkownika).To learn more about user-defined routes, see User-defined routes overview. Aby dowiedzieć się, jak utworzyć topologię sieci piasty i szprych, zobacz topologia sieci gwiazdy na platformie Azure.To learn how to create a hub and spoke network topology, see Hub-spoke network topology in Azure.

Bramy i łączność lokalnaGateways and on-premises connectivity

Każda sieć wirtualna, w tym równorzędna Sieć wirtualna, może mieć własną bramę.Each virtual network, including a peered virtual network, can have its own gateway. Sieć wirtualna może używać jej do łączenia się z siecią lokalną.A virtual network can use its gateway to connect to an on-premises network. Zapoznaj się z dokumentacją bramy Virtual Network.Please review the Virtual Network Gateway documentation.

Możesz również skonfigurować bramę w wirtualnej sieci równorzędnej jako punkt tranzytowy do sieci lokalnej.You can also configure the gateway in the peered virtual network as a transit point to an on-premises network. W takim przypadku Sieć wirtualna korzystająca z bramy zdalnej nie może mieć własnej bramy.In this case, the virtual network that is using a remote gateway can't have its own gateway. Sieć wirtualna ma tylko jedną bramę.A virtual network has only one gateway. Brama jest lokalną lub zdalną bramą w równorzędnej sieci wirtualnej, jak pokazano na poniższej ilustracji:The gateway is either a local or remote gateway in the peered virtual network, as shown in the following figure:

Topologia bramy sieci VPN

Należy pamiętać, że przed włączeniem opcji useremotegateways o wartości w komunikacji równorzędnej należy utworzyć obiekt połączenia w bramie sieci VPN.Note that a Connection object must be created in the VPN gateway prior to enabling the UseRemoteGateways options in the peering.

Konfiguracja komunikacji równorzędnej sieci wirtualnychVirtual network peering configuration

Zezwalaj na dostęp do sieci wirtualnej: Włączenie komunikacji między sieciami wirtualnymi pozwala zasobom połączonym z siecią wirtualną komunikować się ze sobą za pomocą tej samej przepustowości i opóźnienia, tak jakby były połączone z tą samą siecią wirtualną.Allow virtual network access: Enabling communication between virtual networks allows resources connected to either virtual network to communicate with each other with the same bandwidth and latency as if they were connected to the same virtual network. Cała komunikacja między zasobami w dwóch sieciach wirtualnych jest kierowana przez wewnętrzną warstwę SDN.All communication between resources in the two virtual networks is routed through the internal SDN layer.

Jedną z przyczyn niewłączania dostępu do sieci może być scenariusz, w którym Komunikacja równorzędna jest siecią wirtualną z inną siecią wirtualną, ale czasami warto wyłączyć przepływ ruchu między dwiema sieciami wirtualnymi.One reason to not enable network access might be a scenario where you've peered a virtual network with another virtual network, but occasionally want to disable traffic flow between the two virtual networks. Włączenie/wyłączenie może być wygodniejsze niż usunięcie i ponowne utworzenie komunikacji równorzędnej.You might find enabling/disabling is more convenient than deleting and re-creating peerings. Gdy to ustawienie jest wyłączone, ruch nie przepływa między równorzędnymi sieciami wirtualnymi.When this setting is disabled, traffic does not flow between the peered virtual networks.

Zezwalaj na ruch przesłany dalej: Zaznacz to pole wyboru, aby zezwalać na ruch kierowany przez sieciowe urządzenie wirtualne w sieci wirtualnej (niepochodzącej od sieci wirtualnej) do przepływu tej sieci wirtualnej za pośrednictwem komunikacji równorzędnej.Allow forwarded traffic: Check this box to allow traffic forwarded by a network virtual appliance in a virtual network (that didn't originate from the virtual network) to flow to this virtual network through a peering. Rozważmy na przykład trzy sieci wirtualne o nazwach Spoke1, Spoke2 i Hub.For example, consider three virtual networks named Spoke1, Spoke2, and Hub. Komunikacja równorzędna istnieje między każdą siecią wirtualną szprych i centralną siecią wirtualną, ale Komunikacja równorzędna między sieciami wirtualnymi szprych nie istnieje.A peering exists between each spoke virtual network and the Hub virtual network, but peerings don't exist between the spoke virtual networks. Wirtualne urządzenie sieciowe jest wdrażane w centrum sieci wirtualnej, a trasy zdefiniowane przez użytkownika są stosowane do każdej sieci wirtualnej szprych, która kieruje ruchem między podsieciami za pomocą wirtualnego urządzenia sieciowego.A network virtual appliance is deployed in the Hub virtual network, and user-defined routes are applied to each spoke virtual network that route traffic between the subnets through the network virtual appliance. Jeśli to pole wyboru nie jest zaznaczone dla komunikacji równorzędnej między sieciami wirtualnymi szprych i siecią wirtualną Hub, ruch między sieciami wirtualnymi szprych nie przepływa, ponieważ koncentrator nie przekazuje ruchu między sieciami wirtualnymi.If this checkbox is not checked for the peering between each spoke virtual network and the hub virtual network, traffic doesn't flow between the spoke virtual networks because the hub is not forwarding the traffic between the virtual networks. Włączenie tej funkcji umożliwia przesyłanie dalej ruchu przez komunikację równorzędną, ale nie tworzy żadnych tras zdefiniowanych przez użytkownika ani sieciowych urządzeń wirtualnych.While enabling this capability allows the forwarded traffic through the peering, it does not create any user-defined routes or network virtual appliances. Trasy zdefiniowane przez użytkownika i wirtualne urządzenia sieciowe są tworzone osobno.User-defined routes and network virtual appliances are created separately. Dowiedz się więcej o trasach zdefiniowanych przez użytkownika.Learn about user-defined routes. Nie trzeba sprawdzać tego ustawienia, jeśli ruch jest przesyłany między sieciami wirtualnymi za pomocą VPN Gateway.You do not need to check this setting if traffic is forwarded between virtual networks through a VPN Gateway.

Zezwalaj na tranzyt bramy: Zaznacz to pole, jeśli masz dołączoną bramę sieci wirtualnej do tej sieci wirtualnej i chcesz zezwolić na przepływ ruchu z sieci wirtualnej komunikacji równorzędnej za pośrednictwem bramy.Allow gateway transit: Check this box if you have a virtual network gateway attached to this virtual network, and want to allow traffic from the peered virtual network to flow through the gateway. Na przykład ta sieć wirtualna może być dołączona do sieci lokalnej za pomocą bramy sieci wirtualnej.For example, this virtual network may be attached to an on-premises network through a virtual network gateway. Zaznaczenie tego pola wyboru umożliwia ruch z równorzędnej sieci wirtualnej do przepływu za pośrednictwem bramy dołączonej do tej sieci wirtualnej do sieci lokalnej.Checking this box allows traffic from the peered virtual network to flow through the gateway attached to this virtual network to the on-premises network. Po zaznaczeniu tego pola, równorzędna Sieć wirtualna nie może mieć skonfigurowanej bramy.If you check this box, the peered virtual network cannot have a gateway configured. Komunikacja równorzędna sieci wirtualnej musi mieć zaznaczone pole Używaj bram zdalnych podczas konfigurowania komunikacji równorzędnej z innej sieci wirtualnej do tej sieci wirtualnej.The peered virtual network must have the Use remote gateways box checked when setting up the peering from the other virtual network to this virtual network. Jeśli to pole nie jest zaznaczone (domyślnie), ruch z równorzędnej sieci wirtualnej nadal jest przenoszony do tej sieci wirtualnej, ale nie może przepływać przez bramę sieci wirtualnej podłączonej do tej sieci wirtualnej.If you leave this box unchecked (the default), traffic from the peered virtual network still flows to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

Korzystanie z bram zdalnych: Zaznacz to pole, aby zezwolić na przepływ ruchu z tej sieci wirtualnej przez bramę sieci wirtualnej dołączoną do sieci wirtualnej, z którą nawiązujesz komunikację równorzędną.Use remote gateways: Check this box to allow traffic from this virtual network to flow through a virtual network gateway attached to the virtual network you're peering with. Na przykład Sieć wirtualna, z którą nawiązano połączenie, ma dołączoną bramę sieci VPN, która umożliwia komunikację z siecią lokalną.For example, the virtual network you're peering with has a VPN gateway attached that enables communication to an on-premises network. Zaznaczenie tego pola wyboru umożliwia przepływ ruchu z tej sieci wirtualnej do przepływu przez bramę sieci VPN dołączoną do sieci wirtualnej komunikacji równorzędnej.Checking this box allows traffic from this virtual network to flow through the VPN gateway attached to the peered virtual network. Po zaznaczeniu tego pola, równorzędna Sieć wirtualna musi mieć dołączoną bramę sieci wirtualnej i musi mieć zaznaczone pole Zezwalaj na tranzyt bramy .If you check this box, the peered virtual network must have a virtual network gateway attached to it and must have the Allow gateway transit box checked. Jeśli to pole nie jest zaznaczone (domyślnie), ruch z równorzędnej sieci wirtualnej może nadal przepływać do tej sieci wirtualnej, ale nie może przepływać przez bramę sieci wirtualnej podłączonej do tej sieci wirtualnej.If you leave this box unchecked (the default), traffic from the peered virtual network can still flow to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

Nie można używać bram zdalnych, jeśli masz już skonfigurowaną bramę w sieci wirtualnej.You can't use remote gateways if you already have a gateway configured in your virtual network.

UprawnieniaPermissions

Upewnij się, że podczas tworzenia komunikacji równorzędnej z sieci wirtualnych w różnych subskrypcjach i dzierżawach usługi Azure AD konta mają przypisaną rolę współautora .Please ensure that when creating peerings with VNETs in different subscriptions and Azure AD tenants, the accounts have the Contributor role assigned. Ponadto nie ma możliwości interfejsu użytkownika w przypadku komunikacji równorzędnej między różnymi dzierżawami usługi Azure AD.Additionally, there is no user interface capability for peering between different Azure AD tenants. Do tworzenia komunikacji równorzędnej można użyć interfejsu wiersza polecenia platformy Azure i programu PowerShell.You can use Azure CLI and PowerShell to create the peerings.

Komunikacja równorzędna sieci wirtualnych — często zadawane pytaniaVirtual network peering frequently asked questions (FAQ)

Co to jest Komunikacja równorzędna sieci wirtualnej?What is Virtual network peering?

Komunikacja równorzędna sieci wirtualnych umożliwia łączenie sieci wirtualnych.Virtual network peering enables you to connect virtual networks. Połączenie komunikacji równorzędnej wirtualnej między sieciami wirtualnymi pozwala na kierowanie ruchu między nimi prywatnie przy użyciu adresów IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. Maszyny wirtualne w sieci wirtualnych równorzędnym mogą komunikować się ze sobą, tak jakby znajdowały się w tej samej sieci.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. Połączenia komunikacji równorzędnej sieci wirtualnej można również tworzyć w wielu subskrypcjach.VNet peering connections can also be created across multiple subscriptions.

Czy usługa Azure Stack Hub obsługuje globalną komunikację równorzędną sieci wirtualnej?Does Azure Stack Hub support Global VNET peering?

Centrum Azure Stack nie obsługuje globalnej komunikacji równorzędnej, ponieważ pojęcie "regionów" nie ma zastosowania.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

Za pomocą której Azure Stackej aktualizacji centrum komunikacji równorzędnej sieci wirtualnej będzie dostępny?On which Azure Stack Hub update will virtual network peering be available?

wirtualne sieci równorzędne są dostępne w centrum Azure Stack, począwszy od aktualizacji 2008.virtual network peering is available in Azure Stack Hub starting with the 2008 update.

Czy mogę połączyć się z siecią wirtualną w centrum Azure Stack w sieci wirtualnej na platformie Azure?Can I peer my virtual network in Azure Stack Hub to a virtual network in Azure?

Nie, Komunikacja równorzędna między platformą Azure i usługą Azure Stack Hub nie jest w tej chwili obsługiwana.No, peering between Azure and Azure Stack hub is not supported at this time.

Czy można nawiązać połączenie równorzędne z moją siecią wirtualną w Azure Stack Hub1 do sieci wirtualnej w usłudze Azure Stack Hub2?Can I peer my virtual network in Azure Stack Hub1 to a virtual network in Azure Stack Hub2?

Nie, Komunikacja równorzędna może być utworzona tylko między sieciami wirtualnymi w jednym Azure Stackm systemie centrum.No, peering can only be created between virtual networks in one Azure Stack Hub system. Aby uzyskać więcej informacji na temat łączenia dwóch sieci wirtualnych z różnych sygnatur, zobacz nawiązywanie połączenia sieci wirtualnej z siecią wirtualną w centrum Azure Stack.For more information about how to connect two virtual networks from different stamps, see Establish a VNET to VNET connection in Azure Stack Hub.

Czy mogę włączyć komunikację równorzędną, jeśli moje sieci wirtualne należą do subskrypcji w ramach różnych Azure Active Directory dzierżawców?Can I enable peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Tak.Yes. Istnieje możliwość ustanowienia komunikacji równorzędnej sieci wirtualnej, jeśli subskrypcje należą do różnych dzierżawców Azure Active Directory.It is possible to establish VNet Peering if your subscriptions belong to different Azure Active Directory tenants. Można to zrobić za pomocą programu PowerShell lub interfejsu wiersza polecenia.You can do this via PowerShell or CLI. Portal nie jest jeszcze obsługiwany.The portal is not yet supported.

Czy mogę połączyć sieć wirtualną z siecią wirtualną w innej subskrypcji?Can I peer my virtual network with a virtual network in a different subscription?

Tak.Yes. Można równorzędne sieci wirtualne między subskrypcjami.You can peer virtual networks across subscriptions.

Czy istnieją ograniczenia przepustowości dla połączeń komunikacji równorzędnej?Are there any bandwidth limitations for peering connections?

Nie.No. Wirtualne sieci równorzędne nie nakładają żadnych ograniczeń przepustowości.Virtual network peering does not impose any bandwidth restrictions. Przepustowość jest ograniczona tylko przez maszynę wirtualną lub zasób obliczeniowy.Bandwidth is only limited by the VM or the compute resource.

Moje połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie zainicjowanym , dlaczego nie mogę nawiązać połączenia?My virtual network peering connection is in an Initiated state, why can't I connect?

Jeśli połączenie komunikacji równorzędnej jest w stanie zainicjowanym , oznacza to, że utworzono tylko jeden link.If your peering connection is in an Initiated state, it means you have created only one link. Aby można było nawiązać połączenie, należy utworzyć dwukierunkowy link.A bidirectional link must be created in order to establish a successful connection. Na przykład, aby połączyć równorzędną sieć wirtualną z siecią wirtualną B, należy utworzyć łącze z sieci wirtualnej A na sieć VNet B oraz z sieci wirtualnej B do połączenia z siecią wirtualną. utworzenie obu linków zmienia stan na połączone.For example, to peer VNet A to VNet B, a link must be created from VNet A to VNet B, and from VNet B to VNet A. Creating both links changes the state to Connected.

Moje połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie rozłączenia , dlaczego nie można utworzyć połączenia komunikacji równorzędnej?My virtual network peering connection is in a Disconnected state, why can't I create a peering connection?

Jeśli połączenie komunikacji równorzędnej sieci wirtualnej jest w stanie odłączonym , oznacza to, że jedno z utworzonych linków zostało usunięte.If your virtual network peering connection is in a Disconnected state, it means one of the links created was deleted. Aby ponownie nawiązać połączenie komunikacji równorzędnej, Usuń łącze i ponownie utwórz je.In order to re-establish a peering connection, delete the link and recreate it.

Czy ruch komunikacji równorzędnej sieci wirtualnej jest szyfrowany?Is virtual network peering traffic encrypted?

Nie.No. Ruch między zasobami w wirtualnych sieciach równorzędnych jest prywatny i izolowany.Traffic between resources in peered virtual networks is private and isolated. Pozostanie w całości w warstwie SDN w systemie centrum Azure Stack.It remains completely in the SDN layer of the Azure Stack Hub system.

Jeśli równorzędna Sieć wirtualna A do sieci VNet B i równorzędna Sieć wirtualna B do sieci wirtualnej C, to znaczy, że średnia Sieć wirtualna a i Sieć wirtualna C są równorzędne?If I peer VNet A to VNet B and I peer VNet B to VNet C, does that mean VNet A and VNet C are peered?

Nie.No. Przechodnia Komunikacja równorzędna nie jest obsługiwana.Transitive peering is not supported. Należy nawiązać równorzędną sieć wirtualną a i sieć wirtualną C.You must peer VNet A and VNet C.

Następne krokiNext steps