Azure Virtual Network ピアリングを使用すると、Azure 内の 2 つ以上の仮想ネットワークをシームレスに接続でき、接続目的で 1 つの仮想ネットワークとして表示されます。 この強力な機能を使用すると、Microsoft のプライベート バックボーン インフラストラクチャ上のすべてのトラフィックを維持しながら、仮想ネットワーク間のセキュリティで保護された高パフォーマンスの接続を作成できるため、パブリック インターネット ルーティングの必要がなくなります。
この記事で学習する内容:
仮想ネットワーク ピアリングのしくみとその主な利点
さまざまな種類のピアリング (ローカルおよびグローバル)
接続とサービス チェーンを実装する方法
ピアリングに関する一般的な問題のトラブルシューティング
ハブアンドスポーク トポロジを設計する場合でも、リージョン間でネットワークを接続する場合でも、このガイドは仮想ネットワーク ピアリングの機能と制限事項を理解するのに役立ちます。
既定では、1 つの仮想ネットワークに最大 500 の他の仮想ネットワークがピアリングされます。 Azure Virtual Network Manager の接続構成を使用することで、この制限を引き上げて、1 つの仮想ネットワークに最大 1,000 の仮想ネットワークをピアリングできます。 このサイズを大きくすると、たとえば 1,000 スポークの仮想ネットワークを持つハブおよびスポークのトポロジを作成できます。 また、すべてのスポーク仮想ネットワークが直接的に相互接続されている、1,000 スポークの仮想ネットワークのメッシュを作成することもできます。
Azure では、次の種類のピアリングがサポートされています。
仮想ネットワーク ピアリング: 同じ Azure リージョン内の仮想ネットワークを接続します。
グローバル仮想ネットワーク ピアリング: Azure リージョン間で仮想ネットワークを接続します。
ローカルまたはグローバルの仮想ネットワーク ピアリングを使うことには、次のような利点があります。
異なる仮想ネットワーク内のリソース間で、待機時間の短い広帯域幅の接続が可能である。
ある仮想ネットワーク内のリソースは別の仮想ネットワーク内のリソースとの通信できる。
Azure サブスクリプション、Microsoft Entra テナント、デプロイ モデル、Azure リージョン間で仮想ネットワーク間でデータを転送する機能。
Azure Resource Manager を介して作成された仮想ネットワークをピアリングする機能。
Resource Manager を使用して作成された仮想ネットワークを、クラシック デプロイ モデルで作成されたものにピアリングする機能。 Azure のデプロイメント モデルについて詳しくは、Azure のデプロイメント モデルの概要に関する記事をご覧ください。
ピアリングの作成時またはピアリングの作成後に、いずれの仮想ネットワークのリソースにもダウンタイムは発生しません。
ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートである。 仮想ネットワーク間のトラフィックは、Microsoft のバックボーン ネットワーク上で保持されます。 仮想ネットワーク間の通信に、パブリック インターネット、ゲートウェイ、暗号化は要求されません。
最近、仮想ネットワーク ピアリングに加えて、"サブネット ピアリング" という柔軟性が追加されました。
仮想ネットワーク ピアリングに基づいて構築された柔軟性が向上し、ユーザーは仮想ネットワーク間でピアリングする必要がある特定のサブネットを選択できます。 ユーザーは、ピアリングする仮想ネットワーク全体のサブネットの一覧を指定または入力できます。 これに対し、通常の仮想ネットワーク ピアリングでは、仮想ネットワーク全体のアドレス空間/サブネット全体がピアリングされます。 詳細については、「 サブネット ピアリングを構成する方法」を参照してください。
接続
ピアリングされた仮想ネットワークでは、一方の仮想ネットワーク内のリソースが、ピアリングされているもう一方の仮想ネットワーク内のリソースに直接接続できるようになります。
同一リージョンでピアリングされた仮想ネットワーク内の仮想マシン間のネットワーク待ち時間は、単一の仮想ネットワーク内での待ち時間と同じです。 ネットワーク スループットは、そのサイズに比例して、仮想マシンで許可される帯域幅に基づいています。 ピアリング内の帯域幅に関して他の制限は一切ありません。
ピアリングされた仮想ネットワーク内の仮想マシン間のトラフィックは、ゲートウェイやパブリック インターネット経由ではなく、Microsoft のバックボーン インフラストラクチャを通じて直接ルーティングされます。
どちらかの仮想ネットワークにネットワーク セキュリティ グループを適用して、もう一方の仮想ネットワークやサブネットへのアクセスを適宜ブロックすることができます。 仮想ネットワーク ピアリングを構成するときに、仮想ネットワーク間のネットワーク セキュリティ グループの規則を開く、または閉じます。 ピアリングされた仮想ネットワーク間で完全な接続を開く場合、ネットワーク セキュリティ グループを適用して、特定のアクセスをブロック (拒否) することができます。 既定のオプションは、完全な接続です。 ネットワーク セキュリティ グループの詳細については、セキュリティ グループに関するページをご覧ください。
ピアリングされている Azure 仮想ネットワークのアドレス空間のサイズを変更する
現在ピアリングされているアドレス空間で、ダウンタイムを発生させずに、ピアリングされている Azure 仮想ネットワークのアドレス空間のサイズを変更することが可能です。 この機能は、ワークロードのスケーリング後に仮想ネットワークのアドレス空間をサイズ変更する必要がある場合に便利です。 アドレス空間のサイズ変更後に、ピアリングを新しいアドレス空間の変更と同期する必要があります。 サイズ変更は、IPv4 アドレス空間と IPv6 アドレス空間の両方で機能します。
アドレスのサイズは、次の方法で変更できます。
既存のアドレス範囲のアドレス範囲プレフィックスを変更 (たとえば、10.1.0.0/16 を 10.1.0.0/18 に変更) します。
仮想ネットワークにアドレス範囲を追加します。
仮想ネットワークからアドレス範囲を削除します。
アドレス空間のサイズ変更は、クロステナントでもサポートされています。
仮想ネットワーク ピアは、Azure portal または Azure PowerShell を使用して同期できます。 アドレス空間のサイズ変更操作を複数回行ってから同期操作を実行する代わりに、サイズ変更操作を行うたびに同期を実行することをお勧めします。 ピアリングされた仮想ネットワークのアドレス空間を更新する方法については、「ピアリングされた仮想ネットワークのアドレス空間を更新する」を参照してください。
重要
この機能は、更新する仮想ネットワークがクラシックの仮想ネットワークとピアリングされているシナリオは、サポートしていません。
サービス チェイニング
サービス チェイニングを利用すると、一方の仮想ネットワークのトラフィックを、ユーザー定義ルート (UDR) を介して、ピアリングされたネットワーク内の仮想アプライアンスまたはゲートウェイに向けることができます。
サービス チェイニングを可能にするには、ピアリングされた仮想ネットワーク内の仮想マシンを指し示す UDR を、次ホップの IP アドレスとして構成します。 ユーザー定義ルートが仮想ネットワーク ゲートウェイをポイントするようにして、サービス チェーンを有効にすることもできます。
ネットワーク仮想アプライアンスや VPN ゲートウェイなどのインフラストラクチャ コンポーネントをハブ仮想ネットワークがホストする、ハブおよびスポーク型のネットワークを展開することができます。 すべてのスポーク仮想ネットワークが、ハブ仮想ネットワークとピアリングできるようになります。 トラフィックは、ハブ仮想ネットワークでネットワーク仮想アプライアンスまたは VPN ゲートウェイを経由します。
仮想ネットワーク ピアリングは、UDR 内の次ホップを、ピアリングされた仮想ネットワーク内の仮想マシンまたは VPN ゲートウェイの IP アドレスにすることを可能にします。 Azure ExpressRoute ゲートウェイを次ホップ型に指定している UDR を使用して、仮想ネットワーク間をルーティングすることはできません。 UDR の詳細については、「 ユーザー定義ルートの概要」を参照してください。 ハブおよびスポークのネットワーク トポロジを作成する方法については、「Azure のハブおよびスポーク ネットワーク トポロジ」を参照してください。
ゲートウェイとオンプレミスの接続
各仮想ネットワークには、ピアリングされた仮想ネットワークも含め、独自のゲートウェイを持つことができます。 仮想ネットワークは、独自のゲートウェイを使用して、オンプレミス ネットワークに接続できます。 ピアリングされた仮想ネットワークであっても、ゲートウェイを使用して仮想ネットワーク間接続を構成できます。
仮想ネットワーク間の接続に両方の方法を構成すると、ピアリング構成を介して仮想ネットワーク間のトラフィックが流れます。 トラフィックは、Azure のバックボーンを使用します。
そのピアリングされた仮想ネットワークのゲートウェイを、オンプレミスのネットワークへのトランジット ポイントとして構成することもできます。 この場合、リモート ゲートウェイを使用している仮想ネットワークが、それ独自のゲートウェイを持つことはできません。 1 つの仮想ネットワークが所有できるゲートウェイは 1 つに限られています。 以下の図に示すようにゲートウェイは、ローカル ゲートウェイであるか、ピアリングされた仮想ネットワークのリモート ゲートウェイのどちらかになります。
仮想ネットワーク ピアリングとグローバル仮想ネットワーク ピアリングの両方で、ゲートウェイ転送がサポートされます。
異なるデプロイメント モデルを使用して作成された仮想ネットワーク間のゲートウェイ転送がサポートされています。 ゲートウェイは、Azure Resource Manager モデルの仮想ネットワーク内にある必要があります。 転送へのゲートウェイの使用について詳しくは、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」をご覧ください。
1 つの Azure ExpressRoute 接続を共有する仮想ネットワークをピアリングする場合、この間のトラフィックは、ピアリングのリレーションシップを通過します。 トラフィックは、Azure のバックボーン ネットワークを使用します。 それでも、各仮想ネットワークのローカル ゲートウェイを使用してオンプレミス回線に接続できます。 また、共有ゲートウェイを使用して、オンプレミス接続用のトランジットを構成することもできます。
トラブルシューティング
仮想ネットワークがピアリングされていることを確認するには、有効なルートを確認します。 仮想ネットワーク内の任意のサブネット内のネットワーク インターフェイスのルートを確認します。 仮想ネットワーク ピアリングが存在する場合、仮想ネットワーク内のすべてのサブネットは、ピアリングされている各仮想ネットワークのアドレス空間ごとに、型が仮想ネットワーク ピアリングである次ホップを使用するルートを含みます。 詳しくは、「仮想マシンのルーティングに関する問題を診断する」をご覧ください。
また、Azure Network Watcher 使用することで、ピアリングされた仮想ネットワーク内にある仮想マシンに対する接続のトラブルシューティングもできます。 接続チェックを実行すると、接続元の仮想マシンのネットワーク インターフェイスから接続先の仮想マシンのネットワーク インターフェイスまでのトラフィックのルーティング方法がわかります。 詳細情報については、「Azure portal を使用した Azure Network Watcher による接続のトラブルシューティング」を参照してください。
また、「仮想ネットワーク ピアリングの問題をトラブルシューティングする」もご確認ください。
ピアリングした仮想ネットワークの制約
仮想ネットワークがグローバルにピアリングされている場合のみ、次の制約が適用されます。
1 つの仮想ネットワーク内のリソースは、グローバルにピアリングされた仮想ネットワーク内の基本ロード バランサー (内部またはパブリック) のフロントエンド IP アドレスと通信できません。
Basic ロード バランサーを使用する一部のサービスは、グローバルな仮想ネットワーク ピアリングでは動作しません。 詳細情報については、「グローバル仮想ネットワーク ピアリングとロード バランサーに関する制約について」を参照してください。
PUT 仮想ネットワーク操作の一部として、仮想ネットワーク ピアリングを実行することはできません。
詳細については、要件と制約に関するセクションをご覧ください。 サポートされているピアリングの数の詳細については、「ネットワークの制限」を参照してください。
アクセス許可
仮想ネットワーク ピアリングを作成するために必要なアクセス許可については、アクセス許可に関するページを参照してください。
価格
仮想ネットワーク ピアリング接続を利用するイングレスとエグレス トラフィックには少額の料金が発生します。 詳細については、「Virtual Network の価格」を参照してください。
ゲートウェイ転送はピアリングのプロパティであり、仮想プライベート ネットワーク、またはピアリングされた仮想ネットワーク内にある ExpressRoute ゲートウェイを、仮想ネットワークが使用できるようにします。 ゲートウェイ転送は、クロスプレミスとネットワーク間接続の両方で機能します。 ピアリングされた仮想ネットワークでのゲートウェイ (イングレスまたはエグレス) へのトラフィックには、スポーク仮想ネットワーク (または VPN ゲートウェイを使用しない仮想ネットワーク) で仮想ネットワーク ピアリングの料金が発生します。 詳細情報については、「 AZure VPN Gateway の価格」で、VPN ゲートウェイの料金と ExpressRoute ゲートウェイの料金についてご確認ください。
Note
このドキュメントの以前のバージョンでは、仮想ネットワーク ピアリングの料金は、ゲートウェイ転送を使用するスポーク仮想ネットワーク (または非ゲートウェイ仮想ネットワーク) には適用されないと述べていました。 価格のページごとの価格が正確に反映されるようになりました。
次のステップ
仮想ネットワーク ピアリングを実装する準備はできましたか? シナリオを選択します。
チュートリアルを始める
- 同じサブスクリプションでピアリングを作成する - テスト環境と開発環境に最適
- サブスクリプション間でピアリングを作成する - 複数のサブスクリプション を使用するエンタープライズ シナリオに最適
詳細な構成
- ハブアンドスポーク トポロジを構築する - ネットワーク アーキテクチャをスケーリングする
- ピアリング設定の管理 - すべてのピアリング オプションの完全なリファレンス
ヘルプが必要ですか?
- 仮想ネットワーク ピアリングに関する FAQ - 一般的な質問と回答