Создание, изменение или удаление пиринга виртуальной сети Azure

2025-05-09

В этой статье объясняется, как создать, изменить или удалить пиринг между виртуальными сетями Azure. Пиринг между виртуальными сетями подключает виртуальные сети между регионами с помощью магистральной сети Azure. Дополнительные сведения см. в обзоре пиринга виртуальной сети или руководстве по пирингу виртуальной сети.

Необходимые компоненты

Если у вас нет учетной записи Azure с активной подпиской, создайте учетную запись бесплатно. Прежде чем перейти к оставшейся части этой статьи, выполните одну из следующих задач:

Войдите в портал Azure с помощью учетной записи Azure с необходимыми разрешениями для работы с пирингами.

Выполните команды в Azure Cloud Shell или запустите PowerShell локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке обозревателя Azure Cloud Shell найдите раскрывающийся список Выбор среды, а затем выберите PowerShell, если этот пункт еще не выбран.

Если вы работаете с PowerShell в локальной среде, используйте модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az.Network, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell. Запустите Connect-AzAccount, чтобы войти в Azure с учетной записью, обладающей необходимыми разрешениями для работы с пирингами виртуальной сети.

Выполните команды в Azure Cloud Shell или запустите Azure CLI локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке браузера Azure Cloud Shell найдите раскрывающийся список "Выбор среды ", а затем выберите Bash , если он еще не выбран.

Если вы используете Azure CLI локально, используйте Azure CLI версии 2.0.31 или более поздней. Выполните командлет az --version, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0. Запустите az login, чтобы войти в Azure с учетной записью, обладающей необходимыми разрешениями для работы с пирингами виртуальной сети.

Учетная запись, используемая для подключения к Azure, должна быть назначена роли участника сети или настраиваемой роли , которая назначает соответствующие действия, перечисленные в разрешениях.

Создайте пиринг виртуальной сети

Прежде чем создавать пиринг, ознакомьтесь с требованиями и ограничениями, а также с требуемыми разрешениями.

В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
В виртуальных сетях выберите сеть, для которой нужно создать пиринг.
Выберите пиринги в параметрах.
Выберите Добавить.

Введите или выберите значения для следующих параметров, а затем нажмите кнопку "Добавить".

Настройки	Описание
Сводка по удаленной виртуальной сети
Имя пиринговой связи	Имя пиринга из локальной виртуальной сети. Имя должно быть уникальным в пределах виртуальной сети.
Модель развертывания виртуальной сети	Выберите модель развертывания виртуальной сети, с которой нужно установить пиринг.
Я знаю идентификатор ресурса	Если у вас есть доступ на чтение к виртуальной сети, с которой нужно установить пиринг, не устанавливайте этот флажок. Если у вас нет доступа на чтение к виртуальной сети или подписке, с которой вы хотите установить пиринг, установите этот флажок.
ИД ресурса	Это поле отображается при проверке флажка "Идентификатор ресурса". Введенный идентификатор ресурса должен принадлежать виртуальной сети, находящейся в том же (или другом поддерживаемом) регионе Azure, что и исходная виртуальная сеть. Полный идентификатор ресурса выглядит примерно так.`/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>` Идентификатор ресурса для виртуальной сети можно получить, просмотрев свойства виртуальной сети. Сведения о просмотре свойств виртуальной сети см. в разделе Просмотр виртуальных сетей и параметров. Разрешения пользователя должны быть назначены, если подписка связана с другим клиентом Microsoft Entra, чем подписка с виртуальной сетью, которую вы пиринговаете. Добавьте пользователя из каждого клиента в качестве гостевого пользователя в противоположном клиенте.
Отток подписок	Выберите подписку виртуальной сети, с которой нужно установить пиринг. В зависимости от того, сколько подписок доступны вашей учетной записи, перечислены одна или несколько подписок.
Виртуальная сеть	Выберите удаленную виртуальную сеть.
Параметры пиринга удаленной виртуальной сети
Разрешить одноранговой виртуальной сети доступ к виртуальной сети "vnet-1"	По умолчанию этот параметр выбран. — выберите этот параметр, чтобы разрешить трафик из одноранговой виртуальной сети в "vnet-1". Этот параметр позволяет взаимодействовать между концентратором и периферией в топологии сети "концентратор-спица" и позволяет виртуальной машине в одноранговой виртуальной сети взаимодействовать с виртуальной машиной в виртуальной сети "vnet-1". Тег службы VirtualNetwork для групп безопасности сети включает виртуальную сеть и пиринговую виртуальную сеть при выборе этого параметра. Дополнительные сведения о тегах служб см. в разделе тегов службы Azure.
Разрешить пиринговой виртуальной сети получать переадресованный трафик из "vnet-1"	Этот параметр по умолчанию не выбран. — Включение этого параметра позволяет пиринговой виртуальной сети получать трафик из виртуальных сетей, пиринговых в "vnet-1". Например, если виртуальная сеть-2 имеет NVA, которая получает трафик извне виртуальной сети-2, который пересылается в виртуальную сеть-1, можно выбрать этот параметр, чтобы разрешить этому трафику доступ к виртуальной сети-1 из виртуальной сети-2. Если эта возможность активирована, перенаправленный трафик передается с помощью пирингового подключения, но при этом определяемые пользователем маршруты или виртуальные модули сетей не создаются. Определяемые пользователем маршруты или виртуальные модули сетей создаются отдельно.
Разрешить шлюзу или серверу маршрутизации в пиринговой виртуальной сети перенаправить трафик в "vnet-1"	Этот параметр по умолчанию не выбран. — Включение этого параметра позволяет "vnet-1" получать трафик от шлюза одноранговых виртуальных сетей или сервера маршрутизации. Чтобы включить этот параметр, пиринговая виртуальная сеть должна содержать шлюз или сервер маршрутов.
Включите пиринговую виртуальную сеть для использования удаленного шлюза или сервера маршрутов "vnet-1"	Этот параметр по умолчанию не выбран. — Этот параметр можно включить, только если "vnet-1" имеет удаленный шлюз или сервер маршрутизации, а "vnet-1" позволяет "Разрешить шлюзу в виртуальной сети-1" перенаправить трафик в пиринговую виртуальную сеть". Этот параметр можно включить только в одном из пиринговых виртуальных сетей. Этот параметр также можно выбрать, если вы хотите, чтобы эта виртуальная сеть использовал удаленный сервер маршрутизации для обмена маршрутами, см. раздел Azure Route Server. ПРИМЕЧАНИЕ.Выне можете использовать удаленные шлюзы, если у вас уже есть шлюз, настроенный в виртуальной сети. Дополнительные сведения об использовании шлюза для транзита см. в статье "Настройка VPN-шлюза для передачи в пиринг виртуальной сети".
Сводка по локальной виртуальной сети
Имя пиринговой связи	Имя пиринга из удаленной виртуальной сети. Имя должно быть уникальным в пределах виртуальной сети.
Параметры пиринга локальной виртуальной сети
Разрешить "vnet-1" доступ к одноранговой виртуальной сети	По умолчанию этот параметр выбран. — Выберите этот параметр, чтобы разрешить трафик из "vnet-1" в пиринговую виртуальную сеть. Этот параметр позволяет обмениваться данными между концентратором и периферийными сетевыми топологиями и позволяет виртуальной машине в виртуальной сети "vnet-1" взаимодействовать с виртуальной машиной в одноранговой виртуальной сети.
Разрешить "vnet-1" получать перенаправленный трафик из одноранговой виртуальной сети	Этот параметр по умолчанию не выбран. — Включение этого параметра позволяет "vnet-1" получать трафик из виртуальных сетей, связанных с одноранговой виртуальной сетью. Например, если у виртуальной сети-2 есть NVA, которая получает трафик извне виртуальной сети-2, который перенаправляется в виртуальную сеть-1, этот параметр можно выбрать, чтобы разрешить этот трафик для доступа к виртуальной сети-1 из виртуальной сети-2. Если эта возможность активирована, перенаправленный трафик передается с помощью пирингового подключения, но при этом определяемые пользователем маршруты или виртуальные модули сетей не создаются. Определяемые пользователем маршруты или виртуальные модули сетей создаются отдельно.
Разрешить шлюзу или серверу маршрутизации в vnet-1 перенаправить трафик в пиринговую виртуальную сеть.	Этот параметр по умолчанию не выбран. — Включение этого параметра позволяет пиринговой виртуальной сети получать трафик от шлюза "vnet-1" или сервера маршрутизации. Чтобы включить этот параметр, "vnet-1" должен содержать шлюз или сервер маршрутизации.
Разрешить "vnet-1" использовать удаленный шлюз или сервер маршрутизации одноранговых виртуальных сетей	Этот параметр по умолчанию не выбран. — Этот параметр можно включить, только если одноранговая виртуальная сеть имеет удаленный шлюз или сервер маршрутизации, а виртуальная сеть с пиринговым подключением позволяет "Разрешить шлюзу в пиринговой виртуальной сети перенаправить трафик в "vnet-1". Этот параметр можно включить только в одном из пирингов vnet-1.

Снимок экрана: портал Azure с страницей конфигурации пиринга виртуальной сети.

Примечание.

Если вы используете шлюз виртуальная сеть для передачи локального трафика транзитивно в пиринговую виртуальную сеть, то для локального VPN-устройства необходимо задать значение "интересный". Возможно, потребуется добавить все адреса CIDR виртуальной сети Azure в конфигурацию межсетевого VPN-туннеля типа Site-2-Site на локальном VPN-устройстве. Адреса CIDR включают такие ресурсы, как концентратор, периферийные устройства и пулы IP-адресов типа "Точка 2- сайта". В противном случае локальные ресурсы не могут взаимодействовать с ресурсами в одноранговой виртуальной сети. Интересный трафик передается через связи безопасности этапа 2. Связь безопасности создает выделенный VPN-туннель для каждой указанной подсети. Локальный шлюз и VPN-шлюз Azure должны поддерживать одинаковое количество межсетевых VPN-туннелей (Site-to-Site) и подсетей виртуальной сети Azure. В противном случае локальные ресурсы не могут взаимодействовать с ресурсами в одноранговой виртуальной сети. Обратитесь к локальной документации по VPN, чтобы создать ассоциации безопасности этапа 2 для каждой указанной подсети виртуальной сети Azure.

Нажмите кнопку "Обновить " через несколько секунд, а состояние пиринга изменится с обновления на подключенное.

Пошаговые инструкции по реализации пиринга между виртуальными сетями из разных подписок и с разными моделями развертывания приведены в разделе Дальнейшие действия.

Используйте Add-AzVirtualNetworkPeering для создания пирингов виртуальных сетей.

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

Используйте az network virtual network peering create для создания пирингов виртуальных сетей.

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

Просмотр или изменение параметров пиринга

Прежде чем изменять пиринг, ознакомьтесь с требованиями и ограничениями, а также с требуемыми разрешениями.

В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите виртуальную сеть, которую вы хотите просмотреть или изменить параметры пиринга в виртуальных сетях.
Выберите пиринги в параметрах , а затем выберите пиринг, для которого нужно просмотреть или изменить параметры.
Измените соответствующий параметр. С возможными значениями для каждого параметра можно ознакомиться в описании шага 4 в разделе о создании пиринга. Чтобы завершить изменение конфигурации, нажмите кнопку Сохранить.

Используйте Get-AzVirtualNetworkPeering для перечисления пирингов виртуальной сети и их параметров.

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

Используйте Set-AzVirtualNetworkPeering для изменения параметров пиринга.

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

Используйте az network vnet peering list to list peerings of a virtual network.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

Используйте az network vnet peering show , чтобы показать параметры для определенного пиринга.

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

Используйте az network vnet peering update для изменения параметров пиринга.

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

Удаление пиринга

Перед удалением пиринга ознакомьтесь с требованиями и ограничениями и необходимыми разрешениями.

При удалении пиринга между двумя виртуальными сетями трафик больше не может передаваться между виртуальными сетями. Если вы хотите, чтобы виртуальные сети могли взаимодействовать иногда, но не всегда, а не удалять пиринг, отмените выбор параметра "Разрешить трафик к удаленной виртуальной сети ", если вы хотите заблокировать трафик к удаленной виртуальной сети. Вы можете найти отключение и включение сетевого доступа проще, чем удаление и повторное создание пирингов.

В поле поиска в верхней части портал Azure введите виртуальную сеть. В результатах поиска выберите Виртуальные сети.
Выберите виртуальную сеть, которую вы хотите просмотреть или изменить параметры пиринга в виртуальных сетях.
Выберите пиринги в параметрах.
Выберите поле рядом с пирингом, который вы хотите удалить, и нажмите кнопку "Удалить".
В разделе "Удалить пиринги" введите удаление в поле подтверждения и нажмите кнопку "Удалить".

Примечание.

При удалении пиринга виртуальной сети из виртуальной сети также удаляется пиринг из удаленной виртуальной сети.
Выберите "Удалить" , чтобы подтвердить удаление в подтверждении удаления.

Удаление пирингов виртуальных сетей с помощью Remove-AzVirtualNetworkPeering

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

Используйте az network vnet peering delete для удаления пирингов виртуальных сетей.

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

Требования и ограничения

Пиринг между виртуальными сетями можно создать в одном регионе или в разных регионах. Пиринговые виртуальные сети в разных регионах также называются глобальными виртуальная сеть пиринга.
При создании глобальной пиринговой связи взаимосвязанные виртуальные сети могут существовать в любом общедоступном облачном регионе Azure, регионе китайской облачной среды или регионе облачной среды для государственных организаций. Однако вы не можете установить одноранговое соединение для виртуальных сетей между разными облаками. Например, виртуальная сеть в общедоступном облаке Azure не может подключиться к виртуальной сети в Microsoft Azure, управляемой облаком 21Vianet.
Вы не можете переместить виртуальную сеть, пока она находится в пиринговом соединении. Чтобы переместить виртуальную сеть в другую группу ресурсов или подписку, сначала удалите пиринг, а затем переместите виртуальную сеть и, наконец, повторно создайте пиринг.
Ресурсы в одной виртуальной сети не могут взаимодействовать с внешним IP-адресом базовой подсистемы балансировки нагрузки (внутренней или общедоступной) в глобально одноранговой виртуальной сети. Поддержка базовой подсистемы балансировки нагрузки существует только в одном регионе. Поддержка стандартной подсистемы балансировки нагрузки существует для пиринга виртуальная сеть и глобального пиринга виртуальная сеть. Некоторые службы, использующие базовую подсистему балансировки нагрузки, не работают над пирингом глобальной виртуальной сети. Дополнительные сведения см. в разделе "Ограничения, связанные с глобальными виртуальная сеть пирингом и подсистемами балансировки нагрузки".
Вы можете использовать удаленные шлюзы или разрешить транзит шлюза в одноранговых глобальных виртуальных сетях и одноранговых локальных виртуальных сетях.
Виртуальные сети могут находиться в одной или разных подписках. При одноранговых виртуальных сетях в разных подписках обе подписки могут быть связаны с тем же или другим клиентом Microsoft Entra. Если у вас еще нет клиента AD, можно создать его.
У одноранговых виртуальных сетей должны быть неперекрывающиеся IP-адреса.
При одноранговом подключении двух виртуальных сетей, созданных с помощью Resource Manager, необходимо настроить пиринг для каждой виртуальной сети в пиринге. Отображается состояние пиринга одного из следующих типов.
- Инициировано: при создании первого пиринга его состояние инициируется.
- Подключено: при создании второго пиринга состояние пиринга становится подключенным для обоих пирингов. Пиринг не будет успешно установлен до тех пор, пока состояние пиринга для обоих пирингов виртуальной сети не установлено.
Пиринговая связь устанавливается между двумя виртуальными сетями. Пиринги сами по себе не являются транзитивными. Предположим, что пиринг создается между:
- VirtualNetwork1 и VirtualNetwork2
- VirtualNetwork2 и VirtualNetwork3
  
  Между VirtualNetwork1 и VirtualNetwork3 через VirtualNetwork2 нет подключения. Если вы хотите, чтобы VirtualNetwork1 и VirtualNetwork3 напрямую взаимодействовали, необходимо создать явный пиринг между VirtualNetwork1 и VirtualNetwork3 или перейти через NVA в сети Концентратора. Дополнительные сведения см. в статье "Топология центральной сети" в Azure.
Разрешение имен Azure по умолчанию не поддерживается для пиринговых виртуальных сетей. Чтобы разрешить имена в других виртуальных сетях, необходимо использовать Azure Частная зона DNS или пользовательский DNS-сервер. Дополнительные сведения о настройке собственного DNS-сервера см. в разделе Разрешение имен с помощью собственного DNS-сервера.
Ресурсы в одноранговых виртуальных сетях в одном регионе могут взаимодействовать друг с другом с той же задержкой, что и в одной виртуальной сети. Пропускная способность сети основана на пропускной способности, допустимой для виртуальной машины, пропорционально ее размеру. Дополнительные ограничения пропускной способности при пиринге не применяются. Размер каждой виртуальной машины имеет собственную максимальную пропускную способность сети. Дополнительные сведения о максимальной пропускной способности сети для разных размеров виртуальных машин см. в статье "Размеры виртуальных машин" в Azure.
Можно создать пиринг между виртуальными сетями и установить между ними подключение через шлюз виртуальной сети Azure. Если виртуальные сети подключены при помощи пиринга и шлюза, трафик между ними проходит через конфигурацию пиринга, а не через шлюз.
VPN-клиенты типа 'точка-сеть' должны быть загружены снова после успешной настройки пиринга виртуальной сети, чтобы гарантировать загрузку новых маршрутов в клиент.
Существует номинальная плата за входящий трафик и исходящий трафик, который использует пиринг виртуальной сети. Дополнительные сведения см. на странице цен.
Шлюзы приложений без включенной сетевой изоляции не позволяют отправлять трафик между соединёнными виртуальными сетями, когда отключена возможность трафика в удалённую виртуальную сеть.

Разрешения

Учетные записи, используемые для работы с пирингом виртуальной сети, должны быть назначены следующей роли:

Участник сети

Если ваша учетная запись не назначена предыдущей роли, она должна быть назначена на пользовательскую роль, в которой назначены необходимые действия из следующей таблицы.

Действие	Имя.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	Необходимо создать пиринг между виртуальной сетью A и виртуальной сетью B.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	Чтение пиринга виртуальных сетей
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	Удаление пиринга виртуальных сетей

Это важно

Необходимо иметь роль Участник сети или пользовательские роли Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read и Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete, назначенные для работы с удаленной виртуальной сетью, чтобы удалить пиринг этой сети.

Следующие шаги

Пиринг виртуальных сетей можно создать между сетями, существующими в одной или разных подписках. Изучите руководство одного из следующих сценариев:

Модель развертывания Azure Отток подписок

Менеджер ресурсов Та же

Разные
Узнайте, как создать топологию сети концентратора и периферийной сети.
Создание пиринга виртуальных сетей с помощью образцов скриптов PowerShell или Azure CLI либо на основе шаблонов Azure Resource Manager
Создайте и назначьте определения Политики Azure для виртуальных сетей.