仮想ネットワーク ピアリングの問題をトラブルシューティングする

概要

このトラブルシューティング ガイドでは、ほとんどの 仮想ネットワーク ピアリング の問題を解決するのに役立つ手順について説明します。

仮想ネットワーク ピアリングの図

2 つの仮想ネットワーク間の仮想ネットワーク ピアリングを構成する

仮想ネットワークは、同じサブスクリプションまたは異なるサブスクリプション内にありますか?

仮想ネットワークが同じサブスクリプション内にある

同じサブスクリプション内の仮想ネットワークの仮想ネットワーク ピアリングを構成するには、次の記事の方法を使用します。

• 仮想ネットワークが 同じリージョンにある場合は、「 ピアリングの作成」を参照してください。
• 仮想ネットワークが 異なるリージョンにある場合は、「 仮想ネットワーク ピアリング」を参照してください。

詳細については、グローバル ピアリングの 要件と制約 を参照してください。

仮想ネットワークが異なるサブスクリプションまたはActive Directoryテナントにある

異なるサブスクリプションまたはActive Directory テナント内の仮想ネットワークの仮想ネットワーク ピアリングを構成するには、「異なるサブスクリプション間で仮想ネットワーク ピアリングを作成するを参照してください。

オンプレミス リソースを使用するハブスポーク トポロジを使用して仮想ネットワーク ピアリングを構成する

オンプレミス スポークを使用した仮想ネットワーク ピアリングの図

サイト間接続または ExpressRoute 接続の場合

「 仮想ネットワーク ピアリング用に VPN ゲートウェイ転送を構成する」の手順に従います。

ポイント対サイト接続の場合

1. 「 仮想ネットワーク ピアリング用に VPN ゲートウェイ転送を構成する」の手順に従います。
2. 仮想ネットワーク ピアリングが確立または変更されたら、ポイント対サイト クライアントがスポーク仮想ネットワークへの更新されたルートを取得できるように、ポイント対サイト パッケージをダウンロードして再インストールします。

ハブスポーク トポロジ仮想ネットワークを使用して仮想ネットワーク ピアリングを構成する

仮想ネットワーク スポークを使用した仮想ネットワーク ピアリングの図

仮想ネットワークが同じリージョンにある

1. ハブ仮想ネットワークで、ネットワーク仮想アプライアンス (NVA) を構成します。
2. スポーク仮想ネットワークでは、次ホップの種類として「ネットワーク仮想アプライアンス」を使用するユーザー定義のルートを設定します。

詳細については、「 サービスチェーン」を参照してください。

NVA デバイスのセットアップとルーティングのトラブルシューティングについては、Azureの Network 仮想アプライアンスの問題に関する説明を参照してください。

仮想ネットワークが異なるリージョンにある

グローバル仮想ネットワーク ピアリング経由のトランジットがサポートされるようになりました。 次のリソースのグローバル仮想ネットワーク ピアリングを介した接続は機能しません。

• Basic ILB SKU の後ろにある仮想マシン
• Redis Cache (Basic ILB SKU を使用)
• アプリケーション ゲートウェイ (Basic ILB SKU を使用)
• スケール セット (Basic ILB SKU を使用)
• Service Fabric クラスター（Basic ILB SKU を使用しています）
• SQL Server Always On (Basic ILB SKU を使用)
• App Service Environment（Basic ILB SKU を使用）
• API Management (Basic ILB SKU を使用)
• Microsoft Entra Domain Services (Basic ILB SKU を使用)

グローバル ピアリングの要件と制約の詳細については、「 仮想ネットワーク ピアリング」を参照してください。

2 つのピアリングされた仮想ネットワーク間の接続の問題のトラブルシューティング

Azureポータルに、必要なロールとアクセス許可を持つアカウントでサインインします。 仮想ネットワークを選択し、[ ピアリング] を選択して、[ 状態] フィールドを確認します。 状態は何ですか?

ピアリングの状態が "接続済み" である

この問題のトラブルシューティングを行うには:

1. ネットワーク トラフィック フローを確認します。

   送信元 VM から宛先 VM への 接続のトラブルシューティング と IP フロー検証 を使用して、トラフィック フローに干渉を引き起こしている NSG または UDR があるかどうかを判断します。

   ファイアウォールまたは NVA を使用している場合:

   1. この手順の完了後に復元できるように、UDR パラメーターを文書化します。
   2. 次ホップとして NVA を指すソース VM サブネットまたは NIC から UDR を削除します。 ソース VM から NVA をバイパスしている宛先への直接接続を確認します。 この手順が機能しない場合は、 NVA トラブルシューティング ツールを参照してください。

2. ネットワーク トレースを取得します。

   1. 宛先 VM でネットワーク トレースを開始します。 Windowsでは、Netsh を使用できます。 Linux の場合は、 TCPDump を使用します。

   2. ソースから宛先 IP への TcpPing または PsPing を実行します。

      TcpPing コマンドの例を次に示します。

   3. TcpPing が完了したら、宛先のネットワーク トレースを停止します。

   4. 送信元からパケットが到着した場合、ネットワークの問題はありません。 VM ファイアウォールと、そのポートでリッスンしているアプリケーションの両方を調べて、構成の問題を特定します。

   注

   グローバル仮想ネットワーク ピアリング (異なるリージョンの仮想ネットワーク) を介して、次のリソースの種類に接続することはできません。

   • Basic ILB SKU の後ろにある仮想マシン
   • Redis Cache (Basic ILB SKU を使用)
   • アプリケーション ゲートウェイ (Basic ILB SKU を使用)
   • スケール セット (Basic ILB SKU を使用)
   • Service Fabric クラスター（Basic ILB SKU を使用しています）
   • SQL Server Always On (Basic ILB SKU を使用)
   • App Service Environment（Basic ILB SKU を使用）
   • API Management (Basic ILB SKU を使用)
   • Microsoft Entra Domain Services (Basic ILB SKU を使用)

詳細については、グローバル ピアリングの 要件と制約 を参照してください。

ピアリングの状態が "切断済み" です

この問題を解決するには、両方の仮想ネットワークからピアリングを削除してから、再作成します。

ハブスポーク仮想ネットワークとオンプレミス リソース間の接続の問題のトラブルシューティング

ネットワークでサードパーティの NVA または VPN ゲートウェイが使用されていますか?

ネットワークでサードパーティの NVA または VPN ゲートウェイを使用する

サードパーティの NVA または VPN ゲートウェイに影響する接続の問題をトラブルシューティングするには、次の記事を参照してください。

• NVA トラブルシューティング ツール
• サービス チェーン

ネットワークでサードパーティの NVA または VPN ゲートウェイが使用されない

ハブ仮想ネットワークとスポーク仮想ネットワークには VPN ゲートウェイがありますか?

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがあります

リモート ゲートウェイの使用はサポートされていません。

スポーク仮想ネットワークに既に VPN ゲートウェイがある場合、[ リモート ゲートウェイの使用 ] オプションはスポーク仮想ネットワークではサポートされていません。 これは、仮想ネットワーク ピアリングの制限が原因です。

ハブ仮想ネットワークとスポーク仮想ネットワークの両方に VPN ゲートウェイがありません

サイト間接続またはAzure ExpressRoute接続の場合は、オンプレミスからリモート仮想ネットワークへの接続の問題の主な原因を次に示します。

• ゲートウェイがある仮想ネットワークで、[ 転送されたトラフィックを許可する ] チェック ボックスがオンになっていることを確認します。
• ゲートウェイがない仮想ネットワークで、[ リモート ゲートウェイを使用 する] チェック ボックスがオンになっていることを確認します。
• ネットワーク管理者にオンプレミスのデバイスを確認して、すべてのデバイスにリモート仮想ネットワーク アドレス空間が追加されていることを確認させます。

ポイント対サイト接続の場合:

• ゲートウェイがある仮想ネットワークで、[ 転送されたトラフィックを許可する ] チェック ボックスがオンになっていることを確認します。
• ゲートウェイがない仮想ネットワークで、[ リモート ゲートウェイを使用 する] チェック ボックスがオンになっていることを確認します。
• ポイント対サイト クライアント パッケージをダウンロードして再インストールします。 新しくピアリングされた仮想ネットワーク ルートは、ポイント対サイト クライアントにルートを自動的に追加しません。

同じリージョン内のスポーク仮想ネットワーク間のハブスポーク ネットワーク接続の問題のトラブルシューティング

ハブ ネットワークには NVA を含める必要があります。 NVA が次ホップとして設定されているスポークの UDR を構成し、ハブ仮想ネットワークで 転送されたトラフィックを許可する を有効にします。

詳細については、「サービス チェーン」を参照し、選択した NVA ベンダーとの要件を協議してください。

異なるリージョンのスポーク仮想ネットワーク間のハブスポーク ネットワーク接続の問題のトラブルシューティング

グローバル仮想ネットワーク ピアリング経由のトランジットがサポートされるようになりました。 接続は、次のリソースのグローバル仮想ネットワーク ピアリングでは機能しません。

• Basic ILB SKU の後ろにある仮想マシン
• Redis Cache (Basic ILB SKU を使用)
• アプリケーション ゲートウェイ (Basic ILB SKU を使用)
• スケール セット (Basic ILB SKU を使用)
• Service Fabric クラスター（Basic ILB SKU を使用しています）
• SQL Server Always On (Basic ILB SKU を使用)
• App Service Environment（Basic ILB SKU を使用）
• API Management (Basic ILB SKU を使用)
• Microsoft Entra Domain Services (Basic ILB SKU を使用)

詳細については、グローバル ピアリングと異なる VPN トポロジの要件と制約を参照してください。

Web アプリとスポーク仮想ネットワークの間のハブスポーク ネットワーク接続の問題のトラブルシューティング

この問題のトラブルシューティングを行うには:

1. Azure ポータルにサインインします。
2. Web アプリで、[ ネットワーク] を選択し、[ VNet 統合] を選択します。
3. リモート仮想ネットワークが表示されるかどうかを確認します。 リモート仮想ネットワークのアドレス空間を手動で入力します (ネットワークの同期 と ルートの追加)。

詳細については、次の記事を参照してください。

• Azure仮想ネットワークを使用してアプリを統合します
• ポイント対サイト VPN ルーティングについて

仮想ネットワーク ピアリング構成のエラー メッセージのトラブルシューティング

現在のテナント は、リンクされたサブスクリプションにアクセスする権限がありません

この問題を解決するには、「 異なるサブスクリプション間で仮想ネットワーク ピアリングを作成する」を参照してください。

接続されていません

この問題を解決するには、両方の仮想ネットワークからピアリングを削除し、再作成します。

Databricks 仮想ネットワークをピアリングできませんでした

この問題を解決するには、Azure Databricks で仮想ネットワーク ピアリングを構成し、Resource ID を使用してターゲット仮想ネットワークを指定します。 詳細については、「 Databricks 仮想ネットワークをリモート仮想ネットワークにピアリングする」を参照してください。

リモート仮想ネットワークにゲートウェイがない

この問題は、異なるテナントの仮想ネットワークをピアリングし、後で を構成する場合に発生します。 Azure ポータルの制限事項は、別のテナントの仮想ネットワークに仮想ネットワーク ゲートウェイが存在することを検証できないことです。

この問題を解決するには、次の 2 つの方法があります。

• ピアリングを削除し、新しいピアリングを作成するときに オプションをアクティブにします。
• Azure ポータルではなく PowerShell または CLI を使用して、Use Remote Gateways を有効にします。

次のステップ

• Azure VM 間の接続の問題をトラブルシューティングする