Peering in virtuellen Netzwerken

Durch das Peering virtueller Netzwerke können Sie zwei oder mehr virtuelle Netzwerke nahtlos in Azure verbinden. Die virtuellen Netzwerke werden für Verbindungszwecke als einzelnes Element angezeigt. Der Datenverkehr zwischen virtuellen Computern in virtuellen Netzwerken mit Peering erfolgt über die Microsoft-Backboneinfrastruktur. Wie der Datenverkehr zwischen virtuellen Computern im selben Netzwerk wird der Datenverkehr nur über das private Netzwerk von Microsoft geleitet.

Standardmäßig kann für ein virtuelles Netzwerk ein Peering mit bis zu 500 anderen virtuellen Netzwerken durchgeführt werden. Mithilfe der Konnektivitätskonfiguration für Azure Virtual Network Manager können Sie diese Grenze erhöhen und für bis zu 1.000 virtuelle Netzwerke ein Peering mit einem einzigen virtuellen Netzwerk durchführen. Mit dieser größeren Größe können Sie beispielsweise eine Hub-and-Spoke-Topologie mit 1.000 virtuellen Spoke-Netzwerken erstellen. Sie können auch ein Mesh mit 1.000 virtuellen Spoke-Netzwerken erstellen, in dem alle virtuellen Spoke-Netzwerke direkt miteinander verbunden sind.

Azure unterstützt die folgenden Arten von Peering:

• Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken in derselben Azure-Region.
• Globales Peering virtueller Netzwerke: Herstellen von Verbindungen zwischen virtuellen Netzwerken über Azure-Regionen hinweg.

Die Verwendung von VNET-Peering (lokal oder global) bietet unter anderem folgende Vorteile:

• Niedrige Latenz, Verbindung mit hoher Bandbreite zwischen Ressourcen in unterschiedlichen virtuellen Netzwerken
• Die Möglichkeit zur Kommunikation für Ressourcen in einem virtuellen Netzwerk mit Ressourcen in einem anderen virtuellen Netzwerk.
• Die Möglichkeit, Daten zwischen virtuellen Netzwerken über Azure-Abonnements, Microsoft Entra-Mandanten, Bereitstellungsmodelle und Azure-Regionen hinweg zu übertragen.
• Die Möglichkeit zum Peering virtueller Netzwerke, die über Azure Resource Manager erstellt wurden.
• Die Möglichkeit zum Peering eines über Resource Manager erstellten virtuellen Netzwerks mit einem über das klassische Bereitstellungsmodell erstellten virtuellen Netzwerks. Weitere Informationen zu den Azure-Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.
• Keine Downtime für Ressourcen in beiden virtuellen Netzwerken beim Erstellen des Peerings oder nachdem das Peering erstellt wurde

Netzwerkdatenverkehr zwischen virtuellen Netzwerken, die mittels Peering verknüpft sind, ist privat. Datenverkehr zwischen den virtuellen Netzwerken bleibt innerhalb des Microsoft-Backbone-Netzwerks. Die Kommunikation zwischen den virtuellen Netzwerken kommt ohne öffentliches Internet, Gateways oder Verschlüsselung aus.

Konnektivität

Für virtuelle Netzwerke mit Peering kann für Ressourcen in einem der virtuellen Netzwerke eine direkte Verbindung mit den Ressourcen im virtuellen Peernetzwerk hergestellt werden.

Die Netzwerklatenz zwischen virtuellen Computern in per Peering verknüpften virtuellen Netzwerken in der gleichen Region entspricht der Netzwerklatenz in einem einzelnen virtuellen Netzwerk. Der Netzwerkdurchsatz basiert auf der Bandbreite, die für den virtuellen Computer proportional zu seiner Größe zulässig ist. Beim Peering bestehen keine zusätzlichen Bandbreiteneinschränkungen.

Der Datenverkehr zwischen virtuellen Computern in mittels Peering verknüpften virtuellen Netzwerken wird nicht über ein Gateway oder das öffentliche Internet, sondern direkt über die Microsoft-Backbone-Infrastruktur geleitet.

Sie können Netzwerksicherheitsgruppen in beiden virtuellen Netzwerken anwenden, um den Zugriff auf andere virtuelle Netzwerke oder Subnetze zu blockieren. Wenn Sie Peering virtueller Netzwerke konfigurieren, können Sie die Regeln für Netzwerksicherheitsgruppen zwischen den virtuellen Netzwerken öffnen oder schließen. Wenn Sie sich für das Öffnen der vollständigen Konnektivität zwischen den mittels Peering verknüpften virtuellen Netzwerken entscheiden, können Sie Netzwerksicherheitsgruppen verwenden, um den spezifischen Zugriff jeweils zu blockieren oder zu verweigern. „Vollständige Konnektivität“ ist die Standardoption. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Sicherheitsgruppen.

Ändern der Größe des Adressraums virtueller Azure-Netzwerke mit Peering

Sie können die Größe des Adressraums der virtuellen Azure-Netzwerke mit Peering ändern, ohne dass Ausfallzeiten für den aktuellen Adressraum mit Peering auftreten. Dieses Feature ist nützlich, wenn Sie die Größe des Adressraums der virtuellen Netzwerke ändern müssen, nachdem Sie Ihre Workloads skaliert haben. Nachdem die Größe des Adressraums geändert wurde, müssen Peers sich mit den neuen Adressraumänderungen synchronisieren. Die Größenänderung funktioniert sowohl für IPv4- als auch für IPv6-Adressräume.

Die Größe von Adressen kann wie folgt geändert werden:

• Ändern des Präfixes eines vorhandenen Adressbereichs (z. B. von 10.1.0.0/16 in 10.1.0.0/18).
• Hinzufügen von Adressbereichen zu einem virtuellen Netzwerk.
• Löschen von Adressbereichen aus einem virtuellen Netzwerk.

Das Ändern der Größe des Adressraums wird mandantenübergreifend unterstützt.

Sie können virtuelle Netzwerkspeers über das Azure-Portal oder mit Azure PowerShell synchronisieren. Es wird empfohlen, die Synchronisierung nach jedem Ändern der Größe des Adressraumvorgangs auszuführen, anstatt mehrere Größenänderungsvorgänge auszuführen und den Synchronisierungsvorgang dann auszuführen. Informationen zum Aktualisieren des Adressraums für ein virtuelles Netzwerk mit Peering finden Sie unter Aktualisieren des Adressraums für ein virtuelles Netzwerk mit Peering.

Wichtig

Dieses Feature unterstützt keine Szenarien, in denen für das zu aktualisierende virtuelle Netzwerk ein Peering mit einem klassischen virtuellen Netzwerk durchgeführt wird.

Dienstverkettung

Eine Dienstverkettung ermöglicht es, Datenverkehr über benutzerdefinierte Routen (User-Defined Routes, UDRs) aus einem virtuellen Netzwerk an ein virtuelles Gerät oder Gateway in einem Netzwerk mit Peering zu leiten.

Um die Dienstverkettung zu aktivieren, konfigurieren Sie UDRs, die auf virtuelle Computer in virtuellen Netzwerken mit Peering als IP-Adresse für den nächsten Hop verweisen. UDRs können auch auf Gateways für virtuelle Netzwerke verweisen, um die Dienstverkettung zu aktivieren.

Sie können auch Hub-and-Spoke-Netzwerke bereitstellen, in denen das virtuelle Hub-Netzwerk Infrastrukturkomponenten wie ein virtuelles Netzwerkgerät oder ein VPN-Gateway hostet. Alle virtuellen Spoke-Netzwerke können dann mittels Peering mit dem virtuellen Hubnetzwerk verknüpft werden. Der Datenverkehr durchläuft virtuelle Netzwerkgeräte oder VPN-Gateways im virtuellen Hubnetzwerk.

Beim Peering virtueller Netzwerke kann es sich bei dem nächsten Hop einer UDR um die IP-Adresse eines virtuellen Computers im virtuellen Netzwerk mit Peering oder um ein VPN-Gateway handeln. Zwischen virtuellen Netzwerken ist jedoch kein Routing über eine UDR möglich, die als Art des nächsten Hops ein Azure ExpressRoute-Gateway angibt. Weitere Informationen zu UDRs finden Sie unter Übersicht zu benutzerdefinierten Routen. Informationen zum Erstellen einer Hub-and-Spoke-Netzwerktopologie finden Sie unter Hub-and-Spoke-Netzwerktopologie in Azure.

Gateways und lokale Konnektivität

Jedes virtuelle Netzwerk, einschließlich eines mittels Peering verknüpften virtuellen Netzwerks, kann ein eigenes Gateway besitzen. Ein virtuelles Netzwerk kann sein Gateway verwenden, um eine Verbindung mit einem lokalen Netzwerk herzustellen. Sie können auch VNET-zu-VNET-Verbindungen unter Verwendung von Gateways konfigurieren, selbst für mittels Peering verknüpfte virtuelle Netzwerke.

Wenn Sie beide Optionen für Verbindungen zwischen virtuellen Netzwerken konfigurieren, fließt der Datenverkehr zwischen den virtuellen Netzwerken über die Peeringkonfiguration. Der Datenverkehr verwendet den Azure-Backbone.

Sie können auch das Gateway im mittels Peering verknüpften virtuellen Netzwerk als Transitpunkt für ein lokales Netzwerk konfigurieren. In diesem Fall kann das virtuelle Netzwerk, das ein Remotegateway verwendet, kein eigenes Gateway besitzen. Ein virtuelles Netzwerk kann nur ein Gateway aufweisen. Bei diesem Gateway handelt es sich um ein lokales Gateway oder ein Remotegateway im virtuellen Netzwerk mit Peering, wie in der folgenden grafischen Darstellung zu sehen ist.

Sowohl das Peering virtueller Netzwerke als auch das globale Peering virtueller Netzwerke unterstützen den Gatewaytransit.

Gatewaytransit zwischen virtuellen Netzwerken, die mit unterschiedlichen Bereitstellungsmodellen erstellt wurden, wird unterstützt. Das Gateway muss sich im virtuellen Netzwerk im Azure Resource Manager-Modell befinden. Weitere Informationen zur Verwendung eines Gateways für den Transit finden Sie unter Konfigurieren eines VPN-Gateways für den Transit in einem Peering virtueller Netzwerke.

Wenn Sie ein Peering für virtuelle Netzwerke durchführen, die sich eine einzelne Azure ExpressRoute-Verbindung teilen, durchläuft der Datenverkehr zwischen ihnen die Peeringbeziehung. Der Datenverkehr verwendet das Azure-Backbone-Netzwerk. Sie können in den einzelnen virtuellen Netzwerken weiterhin lokale Gateways verwenden, um eine Verbindung mit der lokalen Umgebung herzustellen. Andernfalls können Sie ein gemeinsam genutztes Gateway verwenden und den Transit für lokale Konnektivität konfigurieren.

Problembehandlung

Sie können effektive Routen überprüfen, um zu bestätigen, dass virtuelle Netzwerke mittels Peering verknüpft sind. Überprüfen Sie die Routen für eine Netzwerkschnittstelle in einem beliebigen Subnetz in einem virtuellen Netzwerk. Ist das Peering virtueller Netzwerke vorhanden, verfügen alle Subnetze innerhalb des virtuellen Netzwerks über Routen, deren Art des nächsten Hops Peering virtueller Netzwerke lautet. Dies gilt für jeden Adressraum in jedem virtuellen Netzwerk mit Peering. Weitere Informationen finden Sie unter Diagnose des Routingproblems einer VM.

Probleme bei der Konnektivität mit einem virtuellen Computer in einem virtuellen Netzwerk mit Peering können auch mithilfe von Azure Network Watcher behandelt werden. Mit der Konnektivitätsprüfung können Sie ermitteln, wie Datenverkehr von der Netzwerkschnittstelle eines virtuellen Quellcomputers an die Netzwerkschnittstelle eines virtuellen Zielcomputers geleitet wird. Weitere Informationen finden Sie unter Problembehandlung für Verbindungen mit Azure Network Watcher mithilfe des Azure-Portals.

Sie können auch die Anleitung zum Beheben von Problemen beim Peering virtueller Netzwerke ausprobieren.

Einschränkungen für virtuelle Netzwerke mit Peering

Die folgenden Einschränkungen gelten nur, wenn virtuelle Netzwerke über globales Peering verbunden werden:

• Ressourcen in einem virtuellen Netzwerk können nicht mit der Front-End-IP-Adresse einer (internen oder öffentlichen) Load Balancer-Instanz im Tarif „Basic“ in einem per globalem Peering verbundenen virtuellen Netzwerk kommunizieren.
• Einige Dienste, die eine Load Balancer-Instanz im Tarif „Basic“ verwenden, funktionieren nicht über globales Peering virtueller Netzwerke. Weitere Informationen finden Sie unter Welche Einschränkungen gibt es im Zusammenhang mit globalem Peering virtueller Netzwerke und Lastenausgleichsmodulen?

Sie können keine virtuellen Netzwerk-Peerings als Teil des virtuellen Netzwerkvorgangs PUT ausführen.

Weitere Informationen finden Sie unter Anforderungen und Einschränkungen. Weitere Informationen zur unterstützten Peeringanzahl finden Sie unter Grenzwerte für Netzwerke.

Berechtigungen

Informationen zu erforderlichen Berechtigungen für die Erstellung eines Peerings virtueller Netzwerke finden Sie unter Berechtigungen.

Preise

Für ein- und ausgehenden Datenverkehr, der eine Verbindung für das Peering virtueller Netzwerke verwendet, fällt eine Gebühr an. Weitere Informationen finden Sie unter Virtual Network – Preise.

Gatewaytransit ist eine Peeringeigenschaft, die es einem virtuellen Netzwerk ermöglicht, ein virtuelles privates Netzwerk oder ein ExpressRoute-Gateway im virtuellen Netzwerk mit Peering zu nutzen. Gatewaytransit funktioniert sowohl für standortübergreifende als auch für Netzwerk-zu-Netzwerk-Verbindungen. Für den Datenverkehr über das Gateway (eingehend oder ausgehend) im per Peering verbundenen virtuellen Netzwerk fallen entsprechende Gebühren im virtuellen Spoke-Netzwerk an (oder im virtuellen Netzwerk ohne VPN-Gateway). Weitere Informationen zu den Gebühren für VPN Gateways und ExpressRoute-Gateways finden Sie unter VPN Gateway – Preise.

Hinweis

In einer früheren Version dieses Dokuments war angegeben, dass im virtuellen Spoke-Netzwerk (oder virtuellen Netzwerk ohne Gateway) mit Gatewaytransit keine Gebühren für virtuelle Netzwerke mit Peering anfallen. Es spiegelt jetzt die genauen Preise gemäß der Preisübersicht wider.

Zugehöriger Inhalt

• Sie können das Peering zwischen zwei virtuellen Netzwerken erstellen. Die Netzwerke können zu demselben Abonnement, zu verschiedenen Bereitstellungsmodellen innerhalb desselben Abonnements oder zu verschiedenen Abonnements gehören. Arbeiten Sie ein Tutorial für eines der folgenden Szenarien durch:

  Azure-Bereitstellungsmodell	Subscription
  Beide mit Resource Manager	Gleich
  	Unterschiedlich
  Einmal Resource Manager, einmal klassisch	Gleich
  	Unterschiedlich

• Informationen zum Erstellen einer Hub-and-Spoke-Netzwerktopologie finden Sie unter Hub-and-Spoke-Netzwerktopologie in Azure.

• Informationen zu allen Einstellungen für das Peering virtueller Netzwerke finden Sie unter Erstellen, Ändern oder Löschen eines Peerings virtueller Netzwerke.

• Antworten auf allgemeine Fragen zum Peering virtueller Netzwerke und zum globalen Peering virtueller Netzwerke finden Sie unter Peering virtueller Netzwerke.