Пиринговая связь между виртуальными сетямиVirtual network peering

Пиринг виртуальных сетей позволяет легко подключать Azure виртуальных сетей.Virtual network peering enables you to seamlessly connect Azure virtual networks. После создания пиринговой связи две виртуальные сети выглядят как одна сеть при подключении.Once peered, the virtual networks appear as one, for connectivity purposes. Трафик между виртуальными машинами в виртуальных сетях с пиринговой связью направляется через магистральную инфраструктуру Майкрософт, точно так же, как трафик между виртуальными машинами в одной виртуальной сети направляется только через частные IP-адреса.The traffic between virtual machines in the peered virtual networks is routed through the Microsoft backbone infrastructure, much like traffic is routed between virtual machines in the same virtual network, through private IP addresses only. Azure поддерживает следующие сценарии:Azure supports:

  • пиринговая связь между виртуальными сетями — подключение между виртуальными сетями в одном регионе Azure;VNet peering - connecting VNets within the same Azure region
  • глобальная пиринговая связь между виртуальными сетями — подключение между виртуальными сетями в разных регионах Azure.Global VNet peering - connecting VNets across Azure regions

Преимущества пиринговой связи между виртуальными сетями (как локальной, так и глобальной):The benefits of using virtual network peering, whether local or global, include:

  • Сетевой трафик между одноранговыми виртуальными сетями является закрытым.Network traffic between peered virtual networks is private. Трафик между виртуальными сетями хранится в магистральной сети Майкрософт.Traffic between the virtual networks is kept on the Microsoft backbone network. При обмене данными между виртуальными сетями не требуется общий доступ к Интернету, шлюзы или шифрование.No public Internet, gateways, or encryption is required in the communication between the virtual networks.
  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;A low-latency, high-bandwidth connection between resources in different virtual networks.
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети после установки пиринга между виртуальными сетями.The ability for resources in one virtual network to communicate with resources in a different virtual network, once the virtual networks are peered.
  • Эта возможность позволяет передавать данные между подписками Azure, моделями развертывания и регионами Azure.The ability to transfer data across Azure subscriptions, deployment models, and across Azure regions.
  • Пиринговую связь можно создать между двумя виртуальными сетями, созданными с помощью Azure Resource Manager, или между виртуальной сетью, созданную с помощью Resource Manager, и виртуальной сетью, созданной с помощью классической модели развертывания.The ability to peer virtual networks created through the Azure Resource Manager or to peer one virtual network created through Resource Manager to a virtual network created through the classic deployment model. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.To learn more about Azure deployment models, see Understand Azure deployment models.
  • Отсутствие задержки при доступе к ресурсам в любой виртуальной сети при создании пиринга или после его создания.No downtime to resources in either virtual network when creating the peering, or after the peering is created.

СоединениеConnectivity

После создания пиринговой связи между виртуальными сетями ресурсы в одной виртуальной сети могут напрямую подключаться к ресурсам в связанной виртуальной сети.After virtual networks are peered, resources in either virtual network can directly connect with resources in the peered virtual network.

Задержки в сети между виртуальными машинами в пиринговых виртуальных сетях такие же, как и в пределах одной виртуальной сети.The network latency between virtual machines in peered virtual networks in the same region is the same as the latency within a single virtual network. Пропускная способность сети зависит от пропускной способности виртуальной машины, которая пропорциональна ее размеру.The network throughput is based on the bandwidth that's allowed for the virtual machine, proportionate to its size. Дополнительные ограничения пропускной способности при пиринге не применяются.There isn't any additional restriction on bandwidth within the peering.

Трафик между виртуальными машинами в пиринговых виртуальных сетях передается напрямую через магистральную инфраструктуру Майкрософт, а не через шлюз или Интернет.The traffic between virtual machines in peered virtual networks is routed directly through the Microsoft backbone infrastructure, not through a gateway or over the public Internet.

Чтобы заблокировать доступ к другим виртуальным сетям или подсетям, в любой виртуальной сети можно использовать группы безопасности сети.Network security groups can be applied in either virtual network to block access to other virtual networks or subnets, if desired. При настройке пиринга можно открыть или закрыть правила группы безопасности сети между виртуальными сетями.When configuring virtual network peering, you can either open or close the network security group rules between the virtual networks. При открытии полного подключения между пиринговыми виртуальными сетями (что является параметром по умолчанию) можно применить группы безопасности сети для определенных подсетей или виртуальных машин, чтобы блокировать или запретить доступ к ним.If you open full connectivity between peered virtual networks (which is the default option), you can apply network security groups to specific subnets or virtual machines to block or deny specific access. Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.To learn more about network security groups, see Network security groups overview.

Цепочка службService chaining

Вы можете настроить определяемые пользователем маршруты, указывающие, какие виртуальные машины в пиринговых виртуальных сетях используются для IP-адреса следующего прыжка или для шлюзов виртуальной сети, чтобы обеспечить цепочку служб.You can configure user-defined routes that point to virtual machines in peered virtual networks as the next hop IP address, or to virtual network gateways, to enable service chaining. Цепочка служб позволяет направлять трафик из одной виртуальной сети на виртуальное устройство или шлюз виртуальной сети в пиринговой виртуальной сети через определенные пользователем маршруты.Service chaining enables you to direct traffic from one virtual network to a virtual appliance, or virtual network gateway, in a peered virtual network, through user-defined routes.

Можно развернуть сети со звездообразным подключением, в которых в центральной виртуальной сети могут размещаться компоненты инфраструктуры, например виртуальный сетевой модуль или VPN-шлюз.You can deploy hub-and-spoke networks, where the hub virtual network can host infrastructure components such as a network virtual appliance or VPN gateway. Все остальные виртуальные сети ("лучи") могут подключаться по пиринговой связи к центральной виртуальной сети.All the spoke virtual networks can then peer with the hub virtual network. Трафик сможет проходить через виртуальные сетевые модули или VPN-шлюзы в центральной виртуальной сети.Traffic can flow through network virtual appliances or VPN gateways in the hub virtual network.

В определяемой пользователем таблице маршрутизации можно указать для следующего прыжка IP-адрес виртуальной машины, входящей в пиринговую виртуальную сеть, или VPN-шлюз.Virtual network peering enables the next hop in a user-defined route to be the IP address of a virtual machine in the peered virtual network, or a VPN gateway. Однако перемещение между виртуальными сетями невозможно, если в определяемой пользователем таблице маршрутизации для следующего прыжка указан шлюз ExpressRoute.You cannot however, route between virtual networks with a user-defined route specifying an ExpressRoute gateway as the next hop type. Дополнительные сведения об определяемых пользователем маршрутах см. в статье Определяемые пользователем маршруты и IP-пересылка.To learn more about user-defined routes, see User-defined routes overview. Сведения о создании топологии с центральной и периферийной сетью см. здесь.To learn how to create a hub and spoke network topology, see hub and spoke network topology.

Использование шлюзов для локального подключенияGateways and on-premises connectivity

Для каждой виртуальной сети, независимо от наличия пиринговой связи с другой виртуальной сетью, можно настроить собственный шлюз, который будет использоваться для подключения к локальной сети.Each virtual network, regardless of whether it is peered with another virtual network, can still have its own gateway and use it to connect to an on-premises network. С помощью шлюзов также можно настроить подключение между виртуальными сетями, даже если для них установлена пиринговая связь.You can also configure virtual network-to-virtual network connections by using gateways, even though the virtual networks are peered.

Если для виртуальных сетей настроены оба типа подключения, трафик между виртуальными сетями проходит через пиринговую связь (т. е. через магистральную сеть Azure).When both options for virtual network interconnectivity are configured, the traffic between the virtual networks flows through the peering configuration (that is, through the Azure backbone).

Если между виртуальными сетями установлена пиринговая связь, можно использовать шлюз в одной из этих сетей в качестве транзитного пункта при подключении к локальной сети.When virtual networks are peered, you can also configure the gateway in the peered virtual network as a transit point to an on-premises network. В этом случае виртуальная сеть, использующая удаленный шлюз, не может иметь свой собственный.In this case, the virtual network that is using a remote gateway cannot have its own gateway. У виртуальной сети может быть только один шлюз.A virtual network can have only one gateway. Это может быть локальный или удаленный шлюз (в пиринговой виртуальной сети), как показано на следующем рисунке:The gateway can be either a local or remote gateway (in the peered virtual network), as shown in the following picture:

Транзит в пиринговой виртуальной сети

Транзит через шлюз поддерживается для Пиринга и Пиринга глобальной виртуальной сети.Gateway transit is supported for both VNet Peering and Global VNet Peering. Транзит через шлюз между виртуальными сетями, созданными с помощью разных моделей развертывания (Resource Manager и классическая модель) поддерживается только в том случае, если шлюз находится в виртуальной сети (Resource Manager).Gateway transit between virtual networks created through different deployment models (Resource Manager and classic) is supported only if the gateway is in the virtual network (Resource Manager). См. дополнительные сведения о настройке VPN-шлюза для передачи данных с помощью пиринга между виртуальными сетями.To learn more about using a gateway for transit, see Configure a VPN gateway for transit in a virtual network peering.

Трафик между пиринговыми виртуальными сетями, которые используют одно подключение Azure ExpressRoute, передается по пиринговой связи (т. е. через магистральную сеть Azure).When the virtual networks that are sharing a single Azure ExpressRoute connection are peered, the traffic between them goes through the peering relationship (that is, through the Azure backbone network). Вы по-прежнему можете использовать в каждой виртуальной сети локальные шлюзы для подключения к локальному каналу.You can still use local gateways in each virtual network to connect to the on-premises circuit. или настроить транзит через общий шлюз для локального подключения.Alternatively, you can use a shared gateway and configure transit for on-premises connectivity.

Устранение неполадокTroubleshoot

Чтобы подтвердить пиринг между виртуальными сетями, вы можете проверить действующие маршруты для сетевого интерфейса в любой подсети виртуальной сети.To confirm a virtual network peering, you can check effective routes for a network interface in any subnet in a virtual network. Если пиринг между виртуальными сетями настроен, все подсети виртуальной сети будут иметь маршруты со следующим прыжком типа Пиринг виртуальных сетей для каждого адресного пространства в каждой пиринговой виртуальной сети.If a virtual network peering exists, all subnets within the virtual network have routes with next hop type VNet peering, for each address space in each peered virtual network.

Чтобы устранить неполадки подключения к виртуальной машине в пиринговой виртуальной сети, используйте проверку подключения службы "Наблюдатель за сетями".You can also troubleshoot connectivity to a virtual machine in a peered virtual network using Network Watcher's connectivity check. Проверка подключения позволяет увидеть, как трафик направляется из сетевого интерфейса исходящей виртуальной машины к сетевому интерфейсу конечной виртуальной машины.Connectivity check lets you see how traffic is routed from a source virtual machine's network interface to a destination virtual machine's network interface.

Также см. статью об устранении неполадок с пирингом между виртуальными сетями.You can also try the Troubleshooter for virtual network peering issues.

Требования и ограниченияRequirements and constraints

Когда создается глобальный пиринг виртуальных сетей, действуют следующие ограничения:The following constraints apply only when virtual networks are globally peered:

  • Ресурсы в одной виртуальной сети не может взаимодействовать с IP-адрес внешнего интерфейса основные внутренней подсистемы балансировки нагрузки в глобально пиринговой виртуальной сети.Resources in one virtual network cannot communicate with the front-end IP address of a Basic internal load balancer in a globally peered virtual network. Поддержка основные подсистемы балансировки нагрузки существует только в одном регионе.Support for Basic Load Balancer only exists within the same region. Поддержка стандартных подсистемы балансировки нагрузки существует, Пиринга и Пиринга глобальной виртуальной сети.Support for Standard Load Balancer exists for both, VNet Peering and Global VNet Peering. Описаны служб, использующих подсистему балансировки нагрузки основные, не будет работать по глобальный Пиринг здесь.Services that use a Basic load balancer which will not work over Global VNet Peering are documented here.

См. дополнительные сведения о требованиях и ограничениях для виртуальных сетей.To learn more about requirements and constraints, see Virtual network peering requirements and constraints. Дополнительные сведения об ограничениях на число пиринговых подключений, которые можно создать для виртуальной сети, см. в разделе о сетевых ограничениях Azure.To learn about the limits for the number of peerings you can create for a virtual network, see Azure networking limits.

РазрешенияPermissions

Дополнительные сведения о разрешениях, необходимых для создания пирингового подключения между виртуальными сетями, см. в разделе Разрешения.To learn about permissions required to create a virtual network peering, see Virtual network peering permissions.

ЦеныPricing

За входящий и исходящий трафик по пиринговой связи между виртуальными сетями взимается номинальная плата.There is a nominal charge for ingress and egress traffic that utilizes a virtual network peering connection. Дополнительные сведения о пиринговой связи виртуальных сетей и ценах на глобальную пиринговую связь между ними см. на странице цен.For more information on VNet Peering and Global VNet peering pricing, see the pricing page.

Транзит через шлюз — это пиринга свойство, которое позволяет использовать шлюз VPN или ExpressRoute в пиринговой виртуальной сети для кросс-подключения к сети для локальной или виртуальной сети.Gateway transit is a peering property that enables a virtual network to utilize a VPN/ExpressRoute gateway in a peered virtual network for cross premises or VNet-to-VNet connectivity. Трафику, проходящему через шлюз удаленных в этом сценарии определяется плата шлюза VPN или шлюз ExpressRoute расходов и не требует плата пиринга виртуальной сети.Traffic passing through a remote gateway in this scenario is subject to VPN gateway charges or ExpressRoute gateway charges and does not incur VNet peering charges. Например VNetA имеет VPN-шлюза для подключения к локальным ресурсам, VNetB является одноранговой для VNetA для соответствующего свойства, настроенные трафик из VNetB-локально только оплачивается исходящие данные за цены на шлюз VPN или ExpressRoute цены.For example, If VNetA has a VPN gateway for on-premises connectivity and VNetB is peered to VNetA with appropriate properties configured, traffic from VNetB to on-premises is only charged egress per VPN gateway pricing or ExpressRoute pricing. Плата за пиринговую связь между виртуальными сетями не начисляется.VNet peering charges do not apply. Узнайте, как настроить транзит VPN-шлюзов для пиринговой связи между виртуальными сетями.Learn how to configure VPN gateway transit for virtual network peering.

Дальнейшие действияNext steps