Peering de rede virtualVirtual network peering

O peering de rede virtual permite ao utilizador ligar duas redes virtuais do Azure de forma totalmente integrada.Virtual network peering enables you to seamlessly connect two Azure virtual networks. Uma vez executado o peering, as redes virtuais aparecem como uma única, para fins de conectividade.Once peered, the virtual networks appear as one, for connectivity purposes. O tráfego entre máquinas virtuais nas redes virtuais em modo de peering será encaminhado através da infraestrutura principal da Microsoft, tal como o tráfego é encaminhado entre máquinas virtuais na mesma rede virtual através apenas de endereços IP privados.The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only. O Azure suporta:Azure supports:

  • VNet Peering - Ligar VNets na mesma região do AzureVNet peering - connecting VNets within the same Azure region
  • Global VNET Peering - Ligar VNets entre regiões do AzureGlobal VNet peering - connecting VNets across Azure regions

As vantagens da utilização do peering de redes virtuais, sejam locais ou globais, incluem:The benefits of using virtual network peering, whether local or global, include:

  • O tráfego de rede entre redes virtuais em modo de peering é privado.Network traffic between peered virtual networks is private. O tráfego entre as redes virtuais é mantido na rede principal da Microsoft.Traffic between the virtual networks is kept on the Microsoft backbone network. Não é necessária Internet pública, gateways ou encriptação na comunicação entre as redes virtuais.No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • Uma ligação de baixa latência e largura de banda alta entre os recursos em redes virtuais diferentes.A low-latency, high-bandwidth connection between resources in different virtual networks.
  • A capacidade dos recursos numa rede virtual comunicarem com os recursos numa rede virtual diferente, assim que as redes virtuais forem colocadas em modo de peering.The ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • A capacidade de transferir dados entre subscrições do Azure, modelos de implementação e entre regiões do Azure.The ability to transfer data across Azure subscriptions, deployment models, and across Azure regions.
  • A capacidade de configurar o peering entre redes virtuais criadas através do Azure Resource Manager ou o peering entre uma rede virtual criada através do Resource Manager e outra criada através do modelo de implementação clássica.The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Para saber mais sobre os modelos de implementação do Azure, veja Understand Azure deployment models (Compreender os modelos de implementação do Azure).To learn more about Azure deployment models, see Understand Azure deployment models.
  • Sem períodos de indisponibilidade para recursos em qualquer rede virtual durante ou após a criação do peering.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

ConectividadeConnectivity

Depois das redes virtuais serem colocadas em modo de peering, os recursos em cada uma destas podem ligar-se diretamente a recursos na rede virtual em modo de peering.After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

A latência de rede entre máquinas virtuais em redes virtuais no modo de peering na mesma região é igual à latência numa rede virtual individual.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. O débito de rede baseia-se na largura de banda que é permitida para a máquina virtual proporcionalmente ao respetivo tamanho.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Não existe qualquer restrição adicional na largura de banda no peering.There isn't any additional restriction on bandwidth within the peering.

O tráfego entre as máquinas virtuais nas redes virtuais em modo de peering é encaminhado diretamente através da infraestrutura principal da Microsoft e não através de um gateway ou numa Internet pública.The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

Os grupos de segurança de rede podem ser aplicados a qualquer rede virtual para bloquear o acesso a outras redes virtuais ou sub-redes, se assim o desejar.Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. Ao configurar o peering de rede virtual, pode abrir ou fechar as regras do grupo de segurança de rede entre as redes virtuais.When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. Se abrir a conectividade total entre as redes virtuais em modo de peering (que é a opção predefinida), pode aplicar grupos de segurança de rede a sub-redes ou máquinas virtuais específicas, para bloquear ou negar o acesso específico.If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. Para saber mais sobre os grupos de segurança de rede, veja Descrição geral dos grupos de segurança de rede.To learn more about network security groups, see Network security groups overview.

Encadeamento de serviçosService chaining

Para ativar o encadeamento de serviços, pode configurar rotas definidas pelo utilizador que apontem para máquinas virtuais em redes virtuais em modo de peering como o endereço IP de próximo salto ou para gateways de rede virtuais.You can configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address, or to virtual network gateways, to enable service chaining. O encadeamento se serviços permite-lhe encaminhar o tráfego de uma rede virtual para um dispositivo de rede numa rede virtual, ou gateways de rede virtual, em modo de peering através de rotas definidas pelo utilizador.Service chaining enables you to direct traffic from one virtual network to a virtual appliance, or virtual network gateway, in a peered virtual network, through user-defined routes.

Pode implementar redes "hub-and-spoke", nas quais o hub de rede virtual pode alojar componentes de infraestruturas tais como aplicações virtuais de rede ou gateways VPN.You can deploy hub-and-spoke networks, where the hub virtual network can host infrastructure components such as a network virtual appliance or VPN gateway. Todas as redes virtuais “spoke” podem, então, configurar o peering com a rede virtual do concentrador.All the spoke virtual networks can then peer with the hub virtual network. O tráfego pode fluir dos dispositivos de rede virtual ou gateways VPN na rede virtual do concentrador.Traffic can flow through network virtual appliances or VPN gateways in the hub virtual network.

O peering de rede virtual permite que o próximo salto numa rota definida pelo utilizador seja o endereço IP de uma máquina virtual na rede virtual em modo de peering ou um gateway VPN.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network, or a VPN gateway. No entanto, não é possível encaminhar rotas entre redes virtuais com uma rota definida pelo utiliza a especificar um gateway ExpressRoute como o tipo de salto seguinte.You cannot however, route between virtual networks with a user-defined route specifying an ExpressRoute gateway as the next hop type. Para saber mais sobre as rotas definidas pelo utilizador, veja Descrição geral das rotas definidas pelo utilizador.To learn more about user-defined routes, see User-defined routes overview. Para saber como criar uma topologia de rede hub-and-spoke, veja Topologia de rede hub-and-spoke.To learn how to create a hub and spoke network topology, see hub and spoke network topology.

Gateways e conetividade no localGateways and on-premises connectivity

Cada rede virtual, independentemente de estar ou não em modo de peering com outra, pode continuar a ter um gateway próprio e a utilizá-lo para se ligar a uma rede no local.Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. Também pode configurar ligações de rede virtual a rede virtual através de gateways, mesmo que as redes virtuais estejam em modo de peering.You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

Quando ambas as opções de inter-conetividade de rede virtual estiverem configuradas, o tráfego entre as redes virtuais irá fluir através da configuração em modo de peering (ou seja, através da estrutura principal do Azure).When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

Quando as redes virtuais estão em modo de peering na mesma região, também pode configurar o gateway na rede virtual em modo de peering como um ponto de trânsito para uma rede no local.When virtual networks are peered in the same region, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. Neste caso, a rede virtual que está a utilizar um gateway remoto não pode ter um gateway próprio.In this case, the virtual network that is using a remote gateway cannot have its own gateway. Uma rede virtual pode ter apenas um gateway.A virtual network can have only one gateway. O gateway pode ser local ou remoto (na rede virtual em modo de peering), conforme mostrado na imagem seguinte:The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

trânsito de peering de rede virtual

O trânsito de gateway não é suportado na relação de peering entre redes virtuais criadas em regiões diferentes.Gateway transit is not supported in the peering relationship between virtual networks created in different regions. Para que o trânsito de gateway funcione, ambas as redes virtuais na relação de peering têm de existir na mesma região.Both virtual networks in the peering relationship must exist in the same region for gateway transit to work. O trânsito de gateway entre redes virtuais criadas através de modelos de implementação diferentes (Resource Manager e clássico), só é suportado se o gateway estiver na rede virtual (Resource Manager).Gateway transit between virtual networks created through different deployment models (Resource Manager and classic), is supported only if the gateway is in the virtual network (Resource Manager). Para saber mais sobre como utilizar um gateway para trânsito, veja Configurar um gateway de VPN para trânsito num peering de rede virtual.To learn more about using a gateway for transit, see Configure a VPN gateway for transit in a virtual network peering.

Quando as redes virtuais que partilham uma única ligação ExpressRoute do Azure estão em modo de peering, o tráfego entre as mesmas passa pela relação de peering (ou seja, pela rede principal do Azure).When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). Pode continuar a utilizar gateways locais em cada rede virtual para ligar ao circuito no local.You can still use local gateways in each virtual network to connect to the on-premises circuit. Em alternativa, pode utilizar um gateway partilhado e configurar o trânsito para conectividade no local.Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

Resolução de problemasTroubleshoot

Para confirmar o peering de uma rede virtual peering, pode verificar as rotas efetivas para uma interface de rede em qualquer sub-rede numa rede virtual.To confirm a virtual network peering, you can check effective routes for a network interface in any subnet in a virtual network. Se um peering de rede virtual existe, todas as sub-redes na rede virtual têm rotas com o tipo de salto seguinte VNet peering, para cada espaço de endereços em cada virtual rede peered.If a virtual network peering exists, all subnets within the virtual network have routes with next hop type VNet peering, for each address space in each peered virtual network.

Também pode resolver problemas relacionados com a conectividade a uma máquina virtual numa rede virtual em modo de peering através da verificação de conectividade do Observador de Rede.You can also troubleshoot connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. A verificação da conectividade permite-lhe ver como o tráfego é encaminhado da interface de rede de uma máquina de virtual de origem para a interface de rede de uma máquina de virtual de destino.Connectivity check lets you see how traffic is routed from a source virtual machine's network interface to a destination virtual machine's network interface.

Requisitos e limitaçõesRequirements and constraints

As seguintes restrições aplicam-se quando as redes virtuais são colocadas no modo de peering global:The following constraints apply when virtual networks are globally peered:

  • As redes virtuais podem existir em qualquer região de cloud pública do Azure, mas não em clouds nacionais do Azure.The virtual networks can exist in any Azure public cloud region, but not in Azure national clouds.
  • Os recursos numa rede virtual não conseguem comunicar com o endereço IP do front-end de um balanceador de carga interno do Azure na rede virtual em modo de peering global.Resources in one virtual network cannot communicate with the frontend IP address of an Azure internal load balancer in the globally peered virtual network. O balanceador de carga e os recursos que comunicam com o mesmo têm de estar na mesma região.The load balancer and the resources that communicate with it must be in the same region.
  • Não pode utilizar gateways remotos ou permitir trânsito de gateway.You cannot use remote gateways or allow gateway transit. Para utilizar gateways remotos ou permitir trânsito de gateway, as redes virtuais em modo de peering têm de estar na mesma região.To use remote gateways or allow gateway transit, peered virtual networks in must be in the same region.

Para saber mais sobre os requisitos e as limitações, veja Requisitos e limitações do peering de rede virtual.To learn more about requirements and constraints, see Virtual network peering requirements and constraints. Para saber mais sobre os limites ao número de peerings que pode criar para uma rede virtual, veja Azure networking limits (Limites de rede do Azure).To learn about the limits for the number of peerings you can create for a virtual network, see Azure networking limits.

PermissõesPermissions

Para saber mais sobre as permissões necessárias para criar um peering de rede virtual, veja Virtual network peering permissions (Permissões de peering de rede virtual).To learn about permissions required to create a virtual network peering, see Virtual network peering permissions.

PreçosPricing

Existe uma cobrança nominal para o tráfego de entrada e de saída que utilize uma ligação de peering de rede virtual.There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. Para obter mais informações sobre o VNet Peering e os preços do Global VNet Peering, veja a página de preços.For more information on VNet Peering and Global VNet peering pricing, see the pricing page.

O trânsito do gateway é uma propriedade de peering que permite a uma rede virtual utilizar um gateway de VPN na rede virtual no modo de peering e, assim, permitir a conetividade entre vários locais ou VNet a VNet.Gateway transit is a peering property that enables a virtual network to utilize a VPN gateway in a peered virtual network for cross premises or VNet-to-VNet connectivity. O tráfego que passa através de um gateway remoto neste cenário está sujeito a custos de gateway de VPN e não incorre em custos de VNet peering.Traffic passing through a remote gateway in this scenario is subject to VPN gateway charges and does not incur VNet peering charges. Por exemplo, se a VNetA tiver um gateway de VPN para conectividade no local e a VNetB estiver ligada à VNetA com as propriedades adequadas configuradas, o tráfego da VNetB no local apenas é cobrado por gateway VPN.For example, If VNetA has a VPN gateway for on-premise connectivity and VNetB is peered to VNetA with appropriate properties configured, traffic from VNetB to on-premises is only charged egress per VPN gateway pricing. Não se aplicam custos de VNet peering.VNet peering charges do not apply. Saiba como configurar o trânsito do gateway de VPN para peering de rede virtualLearn how to configure VPN gateway transit for virtual network peering.

Passos SeguintesNext steps