Observação de rede virtualVirtual Network peering

O espreitamento de rede virtual permite-lhe conectar perfeitamente redes virtuais num ambiente Azure Stack Hub.Virtual network peering enables you to seamlessly connect virtual networks in an Azure Stack Hub environment. As redes virtuais aparecem como uma para fins de conectividade.The virtual networks appear as one for connectivity purposes. O tráfego entre máquinas virtuais utiliza a infraestrutura SDN subjacente.The traffic between virtual machines uses the underlying SDN infrastructure. Tal como o tráfego entre máquinas virtuais na mesma rede, o tráfego só é encaminhado através da rede privada Azure Stack Hub.Like traffic between virtual machines in the same network, traffic is only routed through the Azure Stack Hub private network.

O Azure Stack Hub não apoia o espreitamento global, uma vez que o conceito de "regiões" não se aplica.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

Os benefícios da utilização do espreitamento da rede virtual são os seguintes:The benefits of using virtual network peering are as follows:

  • Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.A low-latency, high-bandwidth connection between resources in different virtual networks.
  • A capacidade de recursos numa rede virtual para comunicar com recursos numa rede virtual diferente.The ability of resources in one virtual network to communicate with resources in a different virtual network.
  • A capacidade de transferir dados entre redes virtuais através de diferentes subscrições e inquilinos do Azure Ative Directory.The ability to transfer data between virtual networks across different subscriptions and Azure Active Directory tenants.
  • Sem períodos de indisponibilidade para recursos em qualquer rede virtual durante ou após a criação do peering.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

O tráfego de rede entre redes virtuais em modo de peering é privado.Network traffic between peered virtual networks is private. O tráfego entre redes virtuais é mantido na camada de infraestrutura.Traffic between virtual networks is kept in the infrastructure layer. Não é necessária internet pública, gateways ou encriptação na comunicação entre redes virtuais.No public internet, gateways, or encryption is required in the communication between virtual networks.

ConectividadeConnectivity

Para redes virtuais espreitadas, os recursos em qualquer uma das redes virtuais podem conectar-se diretamente com recursos na rede virtual espreitada.For peered virtual networks, resources in either virtual network can directly connect with resources in the peered virtual network.

A latência de rede entre máquinas virtuais em redes virtuais no modo de peering na mesma região é igual à latência numa rede virtual individual.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. O débito de rede baseia-se na largura de banda que é permitida para a máquina virtual proporcionalmente ao respetivo tamanho.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Não existe qualquer restrição adicional na largura de banda no peering.There isn't any additional restriction on bandwidth within the peering.

O tráfego entre máquinas virtuais em redes virtuais espreitadas é encaminhado diretamente através da camada SDN, não através de uma porta de entrada ou através da internet pública.The traffic between virtual machines in peered virtual networks is routed directly through the SDN layer, not through a gateway or over the public internet.

Pode aplicar grupos de segurança de rede em qualquer rede virtual para bloquear o acesso a outras redes virtuais ou sub-redes.You can apply network security groups in either virtual network to block access to other virtual networks or subnets. Ao configurar o olhar de rede virtual, abra ou feche as regras do grupo de segurança de rede entre as redes virtuais.When configuring virtual network peering, either open or close the network security group rules between the virtual networks. Se abrir a conectividade total entre redes virtuais, pode aplicar grupos de segurança de rede para bloquear ou negar acesso específico.If you open full connectivity between peered virtual networks, you can apply network security groups to block or deny specific access. A conectividade completa é a opção padrão.Full connectivity is the default option. Para saber mais sobre grupos de segurança de rede, consulte os grupos de segurança.To learn more about network security groups, see Security groups.

Encadeamento de serviçosService chaining

O acorrentado de serviço permite-lhe direcionar o tráfego de uma rede virtual para um aparelho virtual ou gateway numa rede espreitada através de rotas definidas pelo utilizador.Service chaining enables you to direct traffic from one virtual network to a virtual appliance or gateway in a peered network through user-defined routes.

Para permitir o acorrentamento de serviços, configurar rotas definidas pelo utilizador que apontam para máquinas virtuais em redes virtuais espreitadas como o próximo endereço IP de lúpulo.To enable service chaining, configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address.

Pode implementar redes de hub e spoke, onde a rede virtual do hub acolhe componentes de infraestrutura, como um aparelho virtual de rede ou gateway VPN.You can deploy hub-and-spoke networks, where the hub virtual network hosts infrastructure components such as a network virtual appliance or VPN gateway. Todas as redes virtuais “spoke” podem, então, configurar o peering com a rede virtual do concentrador.All the spoke virtual networks can then peer with the hub virtual network. O tráfego flui através de aparelhos virtuais de rede ou gateways VPN na rede virtual do hub.Traffic flows through network virtual appliances or VPN gateways in the hub virtual network.

O espreitamento de rede virtual permite que o próximo salto numa rota definida pelo utilizador seja o endereço IP de uma máquina virtual na rede virtual espreitada.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network. Para saber mais sobre as rotas definidas pelo utilizador, veja Descrição geral das rotas definidas pelo utilizador.To learn more about user-defined routes, see User-defined routes overview. Para aprender a criar um hub e a topologia da rede falada, consulte a topologia da rede falada por Hub em Azure.To learn how to create a hub and spoke network topology, see Hub-spoke network topology in Azure.

Gateways e conetividade no localGateways and on-premises connectivity

Cada rede virtual, incluindo uma rede virtual espreitada, pode ter o seu próprio portal.Each virtual network, including a peered virtual network, can have its own gateway. Uma rede virtual pode usar a sua porta de entrada para se ligar a uma rede no local.A virtual network can use its gateway to connect to an on-premises network. Por favor, reveja a documentação virtual do Gateway de rede.Please review the Virtual Network Gateway documentation.

Também pode configurar o gateway na rede virtual espreitada como um ponto de trânsito para uma rede no local.You can also configure the gateway in the peered virtual network as a transit point to an on-premises network. Neste caso, a rede virtual que está a usar um gateway remoto não pode ter o seu próprio portal.In this case, the virtual network that is using a remote gateway can't have its own gateway. Uma rede virtual tem apenas uma porta de entrada.A virtual network has only one gateway. O gateway é um gateway local ou remoto na rede virtual espreguidado, como mostra a seguinte figura:The gateway is either a local or remote gateway in the peered virtual network, as shown in the following figure:

Topologia de gateway VPN

Note que um objeto de ligação deve ser criado no gateway VPN antes de permitir as opções UseRemoteGateways no espreitamento.Note that a Connection object must be created in the VPN gateway prior to enabling the UseRemoteGateways options in the peering.

Configuração de peering de rede virtualVirtual network peering configuration

Permitir o acesso à rede virtual: Permitir a comunicação entre redes virtuais permite que os recursos ligados a qualquer uma das redes virtuais se comuniquem entre si com a mesma largura de banda e latência como se estivessem ligados à mesma rede virtual.Allow virtual network access: Enabling communication between virtual networks allows resources connected to either virtual network to communicate with each other with the same bandwidth and latency as if they were connected to the same virtual network. Toda a comunicação entre recursos nas duas redes virtuais é encaminhada através da camada interna de SDN.All communication between resources in the two virtual networks is routed through the internal SDN layer.

Uma das razões para não permitir o acesso à rede pode ser um cenário em que tenha espreitado uma rede virtual com outra rede virtual, mas ocasionalmente quer desativar o fluxo de tráfego entre as duas redes virtuais.One reason to not enable network access might be a scenario where you've peered a virtual network with another virtual network, but occasionally want to disable traffic flow between the two virtual networks. Pode achar que permitir/desativar é mais conveniente do que eliminar e recriar os seus pares.You might find enabling/disabling is more convenient than deleting and re-creating peerings. Quando esta definição é desativada, o tráfego não flui entre as redes virtuais espreitadas.When this setting is disabled, traffic does not flow between the peered virtual networks.

Permitir o tráfego reencaminhado: Verifique esta caixa para permitir que o tráfego reencaminhado por um aparelho virtual de rede numa rede virtual (que não tenha origem na rede virtual) flua para esta rede virtual através de um espreitamento.Allow forwarded traffic: Check this box to allow traffic forwarded by a network virtual appliance in a virtual network (that didn't originate from the virtual network) to flow to this virtual network through a peering. Por exemplo, considere três redes virtuais chamadas Spoke1, Spoke2 e Hub.For example, consider three virtual networks named Spoke1, Spoke2, and Hub. Existe um espreitamento entre cada rede virtual falada e a rede virtual Hub, mas os seus pares não existem entre as redes virtuais faladas.A peering exists between each spoke virtual network and the Hub virtual network, but peerings don't exist between the spoke virtual networks. Um aparelho virtual de rede é implantado na rede virtual Hub, e as rotas definidas pelo utilizador são aplicadas a cada rede virtual falada que encaminha o tráfego entre as sub-redes através do aparelho virtual de rede.A network virtual appliance is deployed in the Hub virtual network, and user-defined routes are applied to each spoke virtual network that route traffic between the subnets through the network virtual appliance. Se esta caixa de verificação não for verificada para o espreitamento entre cada rede virtual falada e a rede virtual do hub, o tráfego não flui entre as redes virtuais faladas porque o hub não está a encaminhar o tráfego entre as redes virtuais.If this checkbox is not checked for the peering between each spoke virtual network and the hub virtual network, traffic doesn't flow between the spoke virtual networks because the hub is not forwarding the traffic between the virtual networks. Ao mesmo tempo que permite que esta capacidade permita o tráfego reencaminhado através do espreitamento, não cria rotas definidas pelo utilizador ou aparelhos virtuais de rede.While enabling this capability allows the forwarded traffic through the peering, it does not create any user-defined routes or network virtual appliances. As rotas definidas pelo utilizador e os aparelhos virtuais de rede são criados separadamente.User-defined routes and network virtual appliances are created separately. Saiba mais sobre as rotas definidas pelo utilizador.Learn about user-defined routes. Não é necessário verificar esta definição se o tráfego é reencaminhado entre redes virtuais através de um Gateway VPN.You do not need to check this setting if traffic is forwarded between virtual networks through a VPN Gateway.

Permitir o trânsito de gateway: Verifique esta caixa se tem um gateway de rede virtual ligado a esta rede virtual, e quer permitir que o tráfego da rede virtual espreitada flua através do gateway.Allow gateway transit: Check this box if you have a virtual network gateway attached to this virtual network, and want to allow traffic from the peered virtual network to flow through the gateway. Por exemplo, esta rede virtual pode ser anexada a uma rede no local através de um gateway de rede virtual.For example, this virtual network may be attached to an on-premises network through a virtual network gateway. A verificação desta caixa permite que o tráfego da rede virtual esprevada flua através do gateway ligado a esta rede virtual para a rede no local.Checking this box allows traffic from the peered virtual network to flow through the gateway attached to this virtual network to the on-premises network. Se verificar esta caixa, a rede virtual esprevada não pode ter um gateway configurado.If you check this box, the peered virtual network cannot have a gateway configured. A rede virtual espreitada deve ter a caixa de gateways remotos verificada ao configurar o espreitamento da outra rede virtual para esta rede virtual.The peered virtual network must have the Use remote gateways box checked when setting up the peering from the other virtual network to this virtual network. Se deixar esta caixa desmarcada (o padrão), o tráfego da rede virtual perspetivo ainda flui para esta rede virtual, mas não pode fluir através de um gateway de rede virtual ligado a esta rede virtual.If you leave this box unchecked (the default), traffic from the peered virtual network still flows to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

Utilize gateways remotos: Verifique esta caixa para permitir que o tráfego desta rede virtual flua através de um gateway de rede virtual ligado à rede virtual com a qual está a espreitar.Use remote gateways: Check this box to allow traffic from this virtual network to flow through a virtual network gateway attached to the virtual network you're peering with. Por exemplo, a rede virtual com a qual está a espreitar tem um gateway VPN ligado que permite a comunicação a uma rede no local.For example, the virtual network you're peering with has a VPN gateway attached that enables communication to an on-premises network. A verificação desta caixa permite que o tráfego desta rede virtual flua através do gateway VPN ligado à rede virtual.Checking this box allows traffic from this virtual network to flow through the VPN gateway attached to the peered virtual network. Se verificar esta caixa, a rede virtual esprevada deve ter um gateway de rede virtual ligado à sua e deve ter a caixa de trânsito de gateway de acesso verificada.If you check this box, the peered virtual network must have a virtual network gateway attached to it and must have the Allow gateway transit box checked. Se deixar esta caixa desmarcada (o padrão), o tráfego da rede virtual perspetivo ainda pode fluir para esta rede virtual, mas não pode fluir através de um gateway de rede virtual ligado a esta rede virtual.If you leave this box unchecked (the default), traffic from the peered virtual network can still flow to this virtual network, but cannot flow through a virtual network gateway attached to this virtual network.

Não pode utilizar gateways remotos se já tiver um gateway configurado na sua rede virtual.You can't use remote gateways if you already have a gateway configured in your virtual network.

PermissõesPermissions

Certifique-se de que ao criar espreitas com VNETs em diferentes subscrições e inquilinos AD Azure, as contas têm o papel de Contribuinte atribuído.Please ensure that when creating peerings with VNETs in different subscriptions and Azure AD tenants, the accounts have the Contributor role assigned. Além disso, não existe capacidade de interface de utilizador para espreitar entre diferentes inquilinos AZure AD.Additionally, there is no user interface capability for peering between different Azure AD tenants. Pode utilizar o Azure CLI e o PowerShell para criar os seus pares.You can use Azure CLI and PowerShell to create the peerings.

A rede virtual que observa perguntas frequentes (FAQ)Virtual network peering frequently asked questions (FAQ)

O que é o olhar da rede Virtual?What is Virtual network peering?

O espreitamento de rede virtual permite-lhe ligar redes virtuais.Virtual network peering enables you to connect virtual networks. Uma ligação de observação VNet entre redes virtuais permite-lhe encaminhar o tráfego entre eles em privado através de endereços IPv4.A VNet peering connection between virtual networks enables you to route traffic between them privately through IPv4 addresses. As máquinas virtuais nos VNets espreitados podem comunicar-se umas com as outras como se estivessem dentro da mesma rede.Virtual machines in the peered VNets can communicate with each other as if they are within the same network. As ligações de peering VNet também podem ser criadas em várias subscrições.VNet peering connections can also be created across multiple subscriptions.

O Azure Stack Hub suporta o olhar global do VNET?Does Azure Stack Hub support Global VNET peering?

O Azure Stack Hub não apoia o espreitamento global, uma vez que o conceito de "regiões" não se aplica.Azure Stack Hub does not support global peering, as the concept of "regions" does not apply.

Em que atualização do Azure Stack Hub estará disponível o olhar virtual da rede?On which Azure Stack Hub update will virtual network peering be available?

O espreitamento de rede virtual está disponível no Azure Stack Hub a partir da atualização de 2008.virtual network peering is available in Azure Stack Hub starting with the 2008 update.

Posso espreitar a minha rede virtual no Azure Stack Hub para uma rede virtual em Azure?Can I peer my virtual network in Azure Stack Hub to a virtual network in Azure?

Não, espreitar entre o hub Azure e a Azure Stack não é suportado neste momento.No, peering between Azure and Azure Stack hub is not supported at this time.

Posso espreitar a minha rede virtual no Azure Stack Hub1 para uma rede virtual no Azure Stack Hub2?Can I peer my virtual network in Azure Stack Hub1 to a virtual network in Azure Stack Hub2?

Não, o espreitamento só pode ser criado entre redes virtuais num sistema Azure Stack Hub.No, peering can only be created between virtual networks in one Azure Stack Hub system. Para obter mais informações sobre como ligar duas redes virtuais de diferentes selos, consulte estabelecer uma ligação VNET a VNET no Azure Stack Hub.For more information about how to connect two virtual networks from different stamps, see Establish a VNET to VNET connection in Azure Stack Hub.

Posso permitir que as minhas redes virtuais pertençam a subscrições dentro de diferentes inquilinos do Azure Ative Directory?Can I enable peering if my virtual networks belong to subscriptions within different Azure Active Directory tenants?

Yes.Yes. É possível estabelecer a VNet Peering se as suas subscrições pertencerem a diferentes inquilinos do Azure Ative Directory.It is possible to establish VNet Peering if your subscriptions belong to different Azure Active Directory tenants. Pode fazê-lo através do PowerShell ou do CLI.You can do this via PowerShell or CLI. O portal ainda não está suportado.The portal is not yet supported.

Posso espreitar a minha rede virtual com uma rede virtual numa subscrição diferente?Can I peer my virtual network with a virtual network in a different subscription?

Yes.Yes. Pode espreitar redes virtuais através de subscrições.You can peer virtual networks across subscriptions.

Existem limitações de largura de banda para as ligações de espreitar?Are there any bandwidth limitations for peering connections?

Não.No. O espreitamento de rede virtual não impõe restrições à largura de banda.Virtual network peering does not impose any bandwidth restrictions. A largura de banda é limitada apenas pelo VM ou pelo recurso compute.Bandwidth is only limited by the VM or the compute resource.

A minha ligação de observação virtual da rede está num estado iniciado, porque não posso ligar-me?My virtual network peering connection is in an Initiated state, why can't I connect?

Se a sua ligação de observação estiver num estado iniciado, significa que criou apenas uma ligação.If your peering connection is in an Initiated state, it means you have created only one link. Deve ser criada uma ligação bidirecional para estabelecer uma ligação bem sucedida.A bidirectional link must be created in order to establish a successful connection. Por exemplo, para peer VNet A a VNet B, deve ser criada uma ligação de VNet A para VNet B, e de VNet B a VNet A. Criar ambas as ligações altera o estado para Connected.For example, to peer VNet A to VNet B, a link must be created from VNet A to VNet B, and from VNet B to VNet A. Creating both links changes the state to Connected.

A minha ligação de observação de rede virtual está num estado desligado, por que não posso criar uma ligação de espreitar?My virtual network peering connection is in a Disconnected state, why can't I create a peering connection?

Se a sua ligação de observação de rede virtual estiver num estado desligado, significa que um dos links criados foi eliminado.If your virtual network peering connection is in a Disconnected state, it means one of the links created was deleted. Para restabelecer uma ligação de espreitar, elimine o link e recrie-o.In order to re-establish a peering connection, delete the link and recreate it.

A rede virtual está a espreitar o tráfego encriptado?Is virtual network peering traffic encrypted?

Não.No. O tráfego entre recursos em redes virtuais é privado e isolado.Traffic between resources in peered virtual networks is private and isolated. Permanece completamente na camada SDN do sistema Azure Stack Hub.It remains completely in the SDN layer of the Azure Stack Hub system.

Se eu colega de VNet A a VNet B e eu par VNet B a VNet C, isso significa que VNet A e VNet C são espreitados?If I peer VNet A to VNet B and I peer VNet B to VNet C, does that mean VNet A and VNet C are peered?

Não.No. O espreitamento transitório não é suportado.Transitive peering is not supported. Tem de espreitar o VNet A e o VNet C.You must peer VNet A and VNet C.

Passos seguintesNext steps