Verbinding maken met services met behulp van peering voor het virtuele netwerk
U kunt peering van virtuele netwerken gebruiken om virtuele Azure-netwerken rechtstreeks met elkaar te verbinden. Wanneer u peering gebruikt om virtuele netwerken te verbinden, kunnen virtuele machines (VM's) in deze netwerken met elkaar communiceren alsof ze zich in hetzelfde netwerk bevinden.
Met gekoppelde virtuele netwerken wordt verkeer tussen virtuele machines gerouteerd via het Azure-netwerk. Het verkeer gebruikt alleen privé-IP-adressen. Het is niet afhankelijk van internetverbindingen, gateways of versleutelde verbindingen. Het verkeer is altijd privé en profiteert van de hoge bandbreedte en lage latentie van het Azure-backbone-netwerk.
De twee typen peeringverbindingen worden op dezelfde manier gemaakt:
- Peering voor het virtuele netwerk is een verbinding tussen virtuele netwerken in dezelfde Azure-regio, zoals twee virtuele netwerken in Europa - noord.
- Wereldwijde peering voor het virtuele netwerk verbindt virtuele netwerken die zich in verschillende Azure-regio's bevinden, bijvoorbeeld een virtueel netwerk in Europa - noord en een virtueel netwerk in Europa - west.
Peering van virtuele netwerken heeft geen invloed op of verstoort geen resources die al in uw virtuele netwerken zijn geïmplementeerd. Wanneer u peering van virtuele netwerken gebruikt, moet u rekening houden met de belangrijkste functies die in de volgende secties zijn gedefinieerd.
Wederzijdse verbindingen
Wanneer u een peeringverbinding voor een virtueel netwerk maakt met Azure PowerShell of Azure CLI, wordt slechts één kant van de peering gemaakt. Als u de peeringconfiguratie van het virtuele netwerk wilt voltooien, moet u de peering in de omgekeerde richting configureren om connectiviteit tot stand te brengen. Wanneer u de peeringverbinding voor het virtuele netwerk maakt via Azure Portal, wordt de configuratie voor beide zijden tegelijkertijd voltooid.
Bedenk hoe u twee netwerkswitches met elkaar zou verbinden. Mogelijk sluit u een kabel aan op elke switch en configureert u mogelijk enkele instellingen, zodat de switches kunnen communiceren. Voor Peering voor het virtuele netwerk zijn vergelijkbare verbindingen in elk virtueel netwerk vereist. Wederzijdse verbindingen bieden deze functionaliteit.
Abonnementoverschrijdende peering voor het virtuele netwerk
U kunt peering voor het virtuele netwerk gebruiken ook als beide virtuele netwerken zich in verschillende abonnementen bevinden. Deze configuratie kan nodig zijn voor fusies en overnames of om virtuele netwerken te verbinden in abonnementen die door verschillende afdelingen worden beheerd. Virtuele netwerken kunnen zich in verschillende abonnementen bevinden en de abonnementen kunnen dezelfde of verschillende Microsoft Entra-tenants gebruiken.
Wanneer u peering voor het virtuele netwerk voor abonnementen gebruikt, kan het gebeuren dat een beheerder van een abonnement niet het abonnement van het peernetwerk beheert. Mogelijk kan de beheerder niet beide uiteinden van de verbinding configureren. Als u de virtuele netwerken wilt koppelen wanneer beide abonnementen zich in verschillende Microsoft Entra-tenants bevinden, moeten de beheerders van elk abonnement de beheerder van het peerabonnement de Network Contributor rol in hun virtuele netwerk verlenen.
Transitiviteit
Peering van het virtuele netwerk is niet-transitief. Alleen virtuele netwerken die rechtstreeks zijn ingesteld als peers, kunnen met elkaar communiceren. Virtuele netwerken kunnen niet communiceren met peers van hun peers.
Stel dat uw drie virtuele netwerken (A, B, C) als volgt zijn gekoppeld: A <- B >-<> C. Resources in A kunnen niet communiceren met resources in C omdat dat verkeer niet kan worden overgedragen via virtueel netwerk B. Als u communicatie tussen virtueel netwerk A en virtueel netwerk C nodig hebt, moet u deze twee virtuele netwerken expliciet koppelen.
Gatewaydoorvoer
U kunt verbinding maken met uw on-premises netwerk vanuit een virtueel peernetwerk als u gatewayoverdracht inschakelt vanuit een virtueel netwerk met een VPN-gateway. Met behulp van gatewaydoorvoer kunt u on-premises connectiviteit mogelijk maken zonder virtuele netwerkgateways naar al uw virtuele netwerken te implementeren. Deze methode kan de totale kosten en complexiteit van uw netwerk verminderen. Met behulp van peering van virtuele netwerken met gatewayoverdracht kunt u één virtueel netwerk configureren als een hubnetwerk. Verbindt dit hubnetwerk met uw on-premises datacenter en deel de virtuele netwerkgateway ervan met peers.
Als u gatewayoverdracht wilt inschakelen, configureert u de optie Gatewayoverdracht toestaan in het virtuele hubnetwerk waar de gatewayverbinding met uw on-premises netwerk wordt geïmplementeerd. In virtuele sternetwerken configureert u ook de optie Externe gateways gebruiken.
Notitie
Als u de optie Externe gateways gebruiken wilt inschakelen in een sternetwerkpeering, kunt u geen virtuele netwerkgateway in het virtuele sternetwerk implementeren.
Overlappende adresruimten
IP-adresruimten van verbonden netwerken binnen Azure en tussen Azure en uw on-premises netwerk kunnen niet overlappen. Deze regel geldt ook voor gekoppelde virtuele netwerken. Houd rekening met deze regel wanneer u uw netwerkontwerp plant. In alle netwerken die u verbindt via peering voor het virtueel netwerk, VPN of ExpressRoute, wijst u verschillende adresruimten toe die elkaar niet overlappen.
Alternatieve connectiviteitsmethoden
Peering van virtuele netwerken is de minst complexe manier om virtuele netwerken met elkaar te verbinden. In andere methoden wordt met name aandacht besteed aan connectiviteit tussen on-premises netwerken en Azure-netwerken in plaats van verbindingen tussen virtuele netwerken.
U kunt virtuele netwerken ook met elkaar verbinden via een ExpressRoute-circuit. ExpressRoute is een toegewezen privéverbinding tussen een on-premises datacenter en het Azure-backbone-netwerk. De virtuele netwerken die zijn verbonden met een ExpressRoute-circuit maken deel uit van hetzelfde routeringsdomein en kunnen onderling met elkaar communiceren. ExpressRoute-verbindingen lopen niet via het openbare internet. Uw communicatie met Azure-services zijn daarom zo veilig mogelijk.
VPN's maken gebruik van internet om uw on-premises datacenter via een versleutelde tunnel te verbinden met de Azure-backbone. U kunt een site-naar-site-configuratie gebruiken om virtuele netwerken met elkaar te verbinden via VPN-gateways. VPN-gateways hebben een hogere latentie dan peeringinstellingen voor het virtuele netwerk. Ze zijn complexer en kunnen meer kosten kosten om te beheren.
Wanneer virtuele netwerken zijn verbonden via zowel een gateway als peering voor het virtuele netwerk, stroomt het verkeer via de peeringconfiguratie.
Wanneer kiest u voor peering voor het virtuele netwerk
Peering voor het virtuele netwerk kan een uitstekende manier zijn om netwerkverbindingen mogelijk te maken tussen services die zich in verschillende virtuele netwerken bevinden. Peering van virtuele netwerken moet uw eerste keuze zijn wanneer u virtuele Azure-netwerken moet integreren. Het is eenvoudig te implementeren en implementeren, en het werkt goed tussen regio's en abonnementen.
Peering is mogelijk niet de beste optie als u bestaande VPN- of ExpressRoute-verbindingen of -services hebt achter Azure Basic Load Balancers die toegankelijk zijn vanuit een gekoppeld virtueel netwerk. In dergelijke gevallen moet u alternatieven onderzoeken.