Peering för virtuella nätverk

Med peering för virtuella nätverk kan du smidigt ansluta virtuella nätverk i en Azure Stack Hub-miljö. De virtuella nätverken visas som ett i anslutningssyfte. Trafiken mellan virtuella datorer använder den underliggande SDN-infrastrukturen. Precis som trafik mellan virtuella datorer i samma nätverk dirigeras trafik endast via det privata Azure Stack Hub-nätverket.

Azure Stack Hub stöder inte global peering eftersom begreppet "regioner" inte gäller.

Fördelarna med att använda peering för virtuella nätverk är följande:

  • En anslutning med låg latens och hög bandbredd mellan resurser i olika virtuella nätverk inom samma Azure Stack Hub-stämpel.
  • Möjligheten för resurser i ett virtuellt nätverk att kommunicera med resurser i ett annat virtuellt nätverk inom samma Azure Stack Hub-stämpel.
  • Möjligheten att överföra data mellan virtuella nätverk mellan olika prenumerationer inom samma Azure Active Directory klientorganisation.
  • Inga driftstopp för resurser i de virtuella nätverken när du skapar peer-kopplingen eller när peer-kopplingen har skapats.

Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. Trafik mellan virtuella nätverk sparas i infrastrukturlagret. Inget offentligt Internet, gatewayer eller kryptering krävs i kommunikationen mellan virtuella nätverk.

Anslutning

För peerkopplade virtuella nätverk kan resurser i något av de virtuella nätverken ansluta direkt till resurser i det peerkopplade virtuella nätverket.

Nätverksfördröjningen mellan virtuella datorer i peer-kopplade virtuella nätverk i samma region är densamma som svarstiden inom ett enda virtuellt nätverk. Nätverkets genomflöde baseras på den bandbredd som tillåts för den virtuella datorn i proportion till dess storlek. Det finns inte några ytterligare begränsning vad gäller bandbredden inom peerkopplingen.

Trafiken mellan virtuella datorer i peerkopplade virtuella nätverk dirigeras direkt via SDN-lagret, inte via en gateway eller via det offentliga Internet.

Du kan använda nätverkssäkerhetsgrupper i antingen virtuella nätverk för att blockera åtkomst till andra virtuella nätverk eller undernät. När du konfigurerar peering för virtuella nätverk öppnar eller stänger du reglerna för nätverkssäkerhetsgruppen mellan de virtuella nätverken. Om du öppnar fullständig anslutning mellan peerkopplade virtuella nätverk kan du använda nätverkssäkerhetsgrupper för att blockera eller neka specifik åtkomst. Fullständig anslutning är standardalternativet. Mer information om nätverkssäkerhetsgrupper finns i Säkerhetsgrupper.

Tjänstlänkning

Med tjänstlänkning kan du dirigera trafik från ett virtuellt nätverk till en virtuell installation eller gateway i ett peer-kopplat nätverk via användardefinierade vägar.

Om du vill aktivera tjänstlänkning konfigurerar du användardefinierade vägar som pekar på virtuella datorer i peerkopplade virtuella nätverk som nästa hopp-IP-adress.

Du kan distribuera hub-and-spoke-nätverk , där det virtuella hubbnätverket är värd för infrastrukturkomponenter som en virtuell nätverksinstallation eller VPN-gateway. Alla virtuella ekernätverk kan peer-kopplas till det virtuella navnätverket. Trafiken flödar via virtuella nätverksinstallationer eller VPN-gatewayer i det virtuella hubbnätverket.

Med peering för virtuella nätverk kan nästa hopp i en användardefinierad väg vara IP-adressen för en virtuell dator i det peerkopplade virtuella nätverket. Mer information om användardefinierade vägar finns i översikten över användardefinierade vägar. Information om hur du skapar en nätverkstopologi för nav och ekrar finns i Nätverkstopologi för hub-spoke i Azure.

Gateways och lokala anslutningar

Varje virtuellt nätverk, inklusive ett peer-kopplat virtuellt nätverk, kan ha en egen gateway. Ett virtuellt nätverk kan använda sin gateway för att ansluta till ett lokalt nätverk. Läs dokumentationen om Azure Stack Hub Virtual Network Gateway.

Du kan också konfigurera gatewayen i det peerkopplade virtuella nätverket som en överföringspunkt till ett lokalt nätverk. I det här fallet kan det virtuella nätverk som använder en fjärrgateway inte ha en egen gateway. Ett virtuellt nätverk har bara en gateway. Gatewayen är antingen en lokal gateway eller en fjärrgateway i det peerkopplade virtuella nätverket, enligt följande bild:

VPN gateway topology

Observera att ett anslutningsobjekt måste skapas i VPN-gatewayen innan du aktiverar alternativen UseRemoteGateways i peering.

Viktigt

Azure Stack Hub konfigurerar systemvägar baserat på peer-kopplade virtuella nätverk, inte adressprefixet för det virtuella nätverket. Detta skiljer sig från Azure-implementeringen. Om du vill åsidosätta systemets standardvägar, till exempel scenariot som beskrivs i Scenario: Dirigera trafik via en virtuell nätverksinstallation (NVA) eller hub-spoke-nätverkstopologi i Azure, där du vill dirigera trafik till en NVA- eller brandväggsinstallation, måste du skapa en vägpost för varje undernät i det virtuella nätverket.

Peeringkonfiguration för virtuella nätverk

Tillåt åtkomst till virtuellt nätverk: Genom att aktivera kommunikation mellan virtuella nätverk kan resurser som är anslutna till något av de virtuella nätverken kommunicera med varandra med samma bandbredd och svarstid som om de var anslutna till samma virtuella nätverk. All kommunikation mellan resurser i de två virtuella nätverken dirigeras via det interna SDN-lagret.

En anledning till att inte aktivera nätverksåtkomst kan vara ett scenario där du har peerkopplat ett virtuellt nätverk med ett annat virtuellt nätverk, men ibland vill inaktivera trafikflödet mellan de två virtuella nätverken. Det kan vara enklare att aktivera/inaktivera än att ta bort och återskapa peerings. När den här inställningen är inaktiverad flödar inte trafiken mellan de peerkopplade virtuella nätverken.

Tillåt vidarebefordrad trafik: Markera den här rutan om du vill tillåta att trafik som vidarebefordras av en virtuell nätverksinstallation i ett virtuellt nätverk (som inte kom från det virtuella nätverket) flödar till det virtuella nätverket via en peering. Överväg till exempel tre virtuella nätverk med namnet Spoke1, Spoke2 och Hub. Det finns en peering mellan varje virtuellt ekernätverk och det virtuella hubbnätverket, men peerings finns inte mellan de virtuella ekernätverken. En virtuell nätverksinstallation distribueras i det virtuella hubbnätverket och användardefinierade vägar tillämpas på varje virtuellt ekernätverk som dirigerar trafik mellan undernäten via den virtuella nätverksinstallationen. Om den här kryssrutan inte är markerad för peering mellan varje virtuellt ekernätverk och det virtuella hubbnätverket flödar inte trafiken mellan de virtuella ekernätverken eftersom hubben inte vidarebefordrar trafiken mellan de virtuella nätverken. När du aktiverar den här funktionen kan vidarebefordrad trafik via peering skapas inga användardefinierade vägar eller virtuella nätverksinstallationer. Användardefinierade vägar och virtuella nätverksinstallationer skapas separat. Läs mer om användardefinierade vägar. Du behöver inte kontrollera den här inställningen om trafik vidarebefordras mellan virtuella nätverk via en VPN Gateway.

Tillåt gatewayöverföring: Markera den här rutan om du har en virtuell nätverksgateway ansluten till det här virtuella nätverket och vill tillåta trafik från det peerkopplade virtuella nätverket att flöda genom gatewayen. Det här virtuella nätverket kan till exempel kopplas till ett lokalt nätverk via en virtuell nätverksgateway. Om du markerar den här rutan kan trafik från det peerkopplade virtuella nätverket flöda genom gatewayen som är ansluten till det här virtuella nätverket till det lokala nätverket. Om du markerar den här kryssrutan kan inte det peerkopplade virtuella nätverket ha en gateway konfigurerad. Det peerkopplade virtuella nätverket måste ha rutan Använd fjärrgatewayer markerad när du konfigurerar peering från det andra virtuella nätverket till det virtuella nätverket. Om du lämnar den här rutan avmarkerad (standard) flödar trafik från det peerkopplade virtuella nätverket fortfarande till det här virtuella nätverket, men kan inte flöda genom en virtuell nätverksgateway som är ansluten till det här virtuella nätverket.

Använd fjärrgatewayer: Markera den här kryssrutan om du vill tillåta att trafik från det här virtuella nätverket flödar genom en virtuell nätverksgateway som är ansluten till det virtuella nätverk som du peerkopplar med. Det virtuella nätverk som du peerkopplar med har till exempel en VPN-gateway som möjliggör kommunikation till ett lokalt nätverk. Om du markerar den här rutan kan trafik från det här virtuella nätverket flöda genom VPN-gatewayen som är ansluten till det peerkopplade virtuella nätverket. Om du markerar den här kryssrutan måste det peerkopplade virtuella nätverket ha en virtuell nätverksgateway kopplad till den och måste ha kryssrutan Tillåt gatewayöverföring markerad. Om du lämnar den här rutan avmarkerad (standard) kan trafik från det peerkopplade virtuella nätverket fortfarande flöda till det här virtuella nätverket, men kan inte flöda genom en virtuell nätverksgateway som är ansluten till det här virtuella nätverket.

Du kan inte använda fjärrgatewayer om du redan har en gateway konfigurerad i ditt virtuella nätverk.

Behörigheter

Kontrollera att när du skapar peerings med virtuella nätverk i olika prenumerationer i samma Azure AD-klientorganisationer har kontona minst rollen Nätverksdeltagare tilldelad.

Viktigt

Azure Stack Hub stöder inte VNET-peering mellan virtuella nätverk i olika prenumerationer och på olika Azure AD-klientorganisationer. Den stöder VNET-peering mellan virtuella nätverk på olika prenumerationer så länge dessa prenumerationer tillhör samma Azure AD-klientorganisation. Detta skiljer sig från Azure-implementeringen.

Vanliga frågor och svar om peering för virtuella nätverk

Vad är peering för virtuellt nätverk?

Med peering för virtuella nätverk kan du ansluta virtuella nätverk. Med en VNet-peeringanslutning mellan virtuella nätverk kan du dirigera trafik mellan dem privat via IPv4-adresser. Virtuella datorer i de peerkopplade virtuella nätverken kan kommunicera med varandra som om de finns i samma nätverk. VNet-peeringanslutningar kan också skapas i flera prenumerationer i samma Azure AD-klientorganisation.

Stöder Azure Stack Hub global VNET-peering?

Azure Stack Hub stöder inte global peering eftersom begreppet "regioner" inte gäller.

Vilken Azure Stack Hub-uppdatering kommer peering för virtuella nätverk att vara tillgängligt?

peering för virtuella nätverk är tillgängligt i Azure Stack Hub från och med 2008-uppdateringen.

Kan jag peerkoppla mitt virtuella nätverk i Azure Stack Hub till ett virtuellt nätverk i Azure?

Nej, peering mellan Azure och Azure Stack Hub stöds inte just nu.

Kan jag peerkoppla mitt virtuella nätverk i Azure Stack Hub1 till ett virtuellt nätverk i Azure Stack Hub2?

Nej, peering kan bara skapas mellan virtuella nätverk i ett Azure Stack Hub-system. Mer information om hur du ansluter två virtuella nätverk från olika stämplar finns i Upprätta ett VNET till VNET-anslutning i Azure Stack Hub.

Kan jag aktivera peering om mina virtuella nätverk tillhör prenumerationer inom olika Azure Active Directory klientorganisationer?

Nej. Det går inte att upprätta VNet-peering om dina prenumerationer tillhör olika Azure Active Directory klientorganisationer. Detta är en specifik begränsning för Azure Stack Hub.

Kan jag peerkoppla mitt virtuella nätverk med ett virtuellt nätverk i en annan prenumeration?

Ja. Du kan peer-koppla virtuella nätverk mellan olika prenumerationer om de tillhör samma Azure AD-klientorganisation.

Finns det några bandbreddsbegränsningar för peering-anslutningar?

Nej. Peering för virtuella nätverk medför inga bandbreddsbegränsningar. Bandbredden begränsas endast av den virtuella datorn eller beräkningsresursen.

Peeringanslutningen för mitt virtuella nätverk är i ett initierat tillstånd, varför kan jag inte ansluta?

Om peering-anslutningen är i ett initierat tillstånd innebär det att du bara har skapat en länk. En dubbelriktad länk måste skapas för att upprätta en lyckad anslutning. Till exempel för peer-VNet A till VNet B måste en länk skapas från VNet A till VNet B och från VNet B till VNet A. Om du skapar båda länkarna ändras tillståndet till Ansluten.

Min peeringanslutning för virtuella nätverk är i frånkopplat tillstånd, varför kan jag inte skapa en peeringanslutning?

Om peeringanslutningen för det virtuella nätverket är i ett frånkopplat tillstånd innebär det att en av länkarna som skapades har tagits bort. Om du vill återupprätta en peeringanslutning tar du bort länken och återskapar den.

Krypteras peering-trafik för virtuella nätverk?

Nej. Trafik mellan resurser i peerkopplade virtuella nätverk är privat och isolerad. Den förblir helt i SDN-lagret i Azure Stack Hub-systemet.

Betyder det att VNet A och VNet C är peerkopplade om jag peerkopplar VNet A till VNet B och VNet C?

Nej. Transitiv peering stöds inte. Du måste peer-koppla VNet A och VNet C.

Nästa steg