Criar, alterar ou excluir o emparelhamento de rede virtual do Azure

2025-07-29

Este artigo explica como criar, alterar ou excluir o emparelhamento de rede virtual do Azure. O emparelhamento de rede virtual conecta redes virtuais entre regiões usando a rede de backbone do Azure. Saiba mais na visão geral do emparelhamento de rede virtual ou no tutorial de emparelhamento de rede virtual.

Prerequisites

Caso você não tenha uma conta do Azure com assinatura ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante do artigo:

Entre no portal do Azure com uma conta do Azure que tenha as permissões necessárias para trabalhar com emparelhamentos.

Execute os comandos no Azure Cloud Shell ou localmente no PowerShell a partir do seu computador. O Azure Cloud Shell é um shell interativo grátis que pode ser usado para executar as etapas neste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta. Na guia do navegador do Azure Cloud Shell, localize a lista suspensa Selecionar ambiente e escolha PowerShell se ainda não estiver selecionado.

Se estiver executando o PowerShell localmente, use a versão 1.0.0 ou posterior do módulo do Azure PowerShell. Execute Get-Module -ListAvailable Az.Network para localizar a versão instalada. Se você precisar instalá-lo ou atualizá-lo, confira Instalar o módulo do Azure PowerShell. Execute Connect-AzAccount para entrar no Azure com uma conta que tenha as permissões necessárias para trabalhar com emparelhamentos de rede virtual.

Execute os comandos no Azure Cloud Shell ou localmente na CLI do Azure a partir do seu computador. O Azure Cloud Shell é um shell interativo grátis que pode ser usado para executar as etapas neste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta. Na guia do navegador do Azure Cloud Shell, localize a lista suspensa Selecionar ambiente e escolha Bash se ainda não estiver selecionado.

Se for executar a CLI do Azure localmente, use a CLI do Azure versão 2.0.31 ou posterior. Execute az --version para localizar a versão instalada. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure. Execute az login para entrar no Azure com uma conta que tenha as permissões necessárias para trabalhar com emparelhamentos de rede virtual.

A conta usada para conectar-se ao Azure deve estar atribuída à função colaborador de rede ou a uma função personalizada que receba as ações apropriadas listadas em Permissões.

Criar um emparelhamento de rede virtual

Antes de criar um emparelhamento, familiarize-se com os requisitos e restrições e as permissões necessárias.

Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Em redes virtuais, selecione a rede para a qual você deseja criar um emparelhamento.
Selecione Emparelhamentos em Configurações.
Selecione + Adicionar.

Inserir ou selecionar valores para as seguintes configurações e, em seguida, selecionar Adicionar.

Settings	Description
Resumo da rede virtual remota
Nome do link de emparelhamento	O nome do emparelhamento da rede virtual local. O nome deve ser exclusivo na rede virtual.
Modelo de implantação de rede virtual	selecione com qual modelo a rede virtual que você deseja emparelhar foi implantada.
Conheço minha ID do recurso	se você tem acesso de leitura à rede virtual com a qual deseja emparelhar, deixe essa caixa de seleção desmarcada. Se você não tiver acesso de leitura à rede virtual ou à assinatura com a qual deseja fazer o emparelhamento, marque esta caixa de seleção.
Resource ID	Esse campo é exibido quando você marca a caixa de seleção Conheço minha ID de recurso. A ID de recurso que você digitar deverá ser para uma rede virtual existente na mesma região ou região diferente com suporte do Azure que essa rede virtual. O ID completo do recurso é semelhante a `/subscriptions/<Id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-name>`. Você pode obter o ID do recurso de uma rede virtual exibindo as propriedades de uma rede virtual. Para saber como exibir as propriedades de uma rede virtual, confira Gerenciar as redes virtuais. As permissões de usuário devem ser atribuídas se a assinatura estiver associada a um locatário diferente do Microsoft Entra ao invés da assinatura com a rede virtual que você está emparelhando. Adicione um usuário de cada locatário como usuário convidado no locatário oposto.
Subscription	Selecione a assinatura da rede virtual que você deseja emparelhar. Uma ou mais assinaturas estão listadas, de acordo com quantas assinaturas a que sua conta tem acesso.
Virtual network	Selecione a rede virtual remota.
Configurações do emparelhamento da rede virtual remota
Permitir que a rede virtual emparelhada acesse 'vnet-1'	Por padrão, essa opção fica selecionada. – Selecione essa opção para permitir o tráfego da rede virtual emparelhada para a ‘vnet-1’. Essa configuração permite a comunicação entre hub e spoke na topologia de rede hub-spoke e permite que uma VM na rede virtual emparelhada se comunique com uma VM em 'vnet-1'. A marca de serviço VirtualNetwork para grupos de segurança de rede inclui a rede virtual e a rede virtual emparelhada quando essa configuração está selecionada. Para saber mais sobre marcas de serviço, confira Marcas de serviço do Azure.
Permitir que a rede virtual emparelhada receba tráfego encaminhado de 'vnet-1'	Essa opção não é selecionada por padrão. - Habilitar essa opção permite que a rede virtual emparelhada receba tráfego de redes virtuais emparelhadas com 'vnet-1'. Por exemplo, se a vnet-2 tiver uma NVA que receba tráfego de fora da vnet-2 que é encaminhado para a vnet-1, você poderá selecionar essa configuração para permitir que esse tráfego chegue à vnet-1, vindo da vnet-2. Embora a habilitação desta funcionalidade encaminhe o tráfego por meio do emparelhamento, ela não cria nenhuma rota definida pelo usuário ou dispositivo de rede virtual. Rotas definidas pelo usuário e dispositivos de rede virtual são criados separadamente.
Permitir que o gateway ou o servidor de rota na rede virtual emparelhada encaminhe o tráfego para 'vnet-1'	Essa opção não fica selecionada por padrão. - Habilitar essa configuração permite que 'vnet-1' receba tráfego do gateway ou servidor de rota das redes virtuais emparelhadas. Para que essa opção seja habilitada, a rede virtual emparelhada precisa conter um gateway ou um servidor de rota.
Habilitar a rede virtual emparelhada para usar o gateway remoto 'vnet-1' ou o servidor de rota	Essa opção não é selecionada por padrão. - Essa opção só poderá ser habilitada se 'vnet-1' tiver um gateway remoto ou servidor de rota e 'vnet-1' habilitar "Permitir gateway em 'vnet-1' para encaminhar o tráfego para a rede virtual emparelhada.". Essa opção pode ser habilitada em apenas um dos emparelhamentos das redes virtuais emparelhadas. Você também pode selecionar essa opção, se quiser que essa rede virtual use o Servidor de Rota remoto para trocar rotas, consulte o Servidor de Rotas do Azure. OBSERVAÇÃO:Você não poderá usar gateways remotos se já tiver um gateway configurado em sua rede virtual. Para saber mais sobre como usar um gateway para trânsito, consulte Configurar um gateway de VPN para trânsito em um emparelhamento de rede virtual.
Resumo da rede virtual local
Nome do link de emparelhamento	O nome do emparelhamento da rede virtual remota. O nome deve ser exclusivo na rede virtual.
Configurações de emparelhamento da rede virtual local
Permitir que 'vnet-1' acesse a rede virtual emparelhada	Por padrão, essa opção fica selecionada. - Selecione esta opção para permitir tráfego de 'vnet-1' para a rede virtual emparelhada. Essa configuração permite a comunicação entre hub e spoke na topologia de rede hub-spoke e permite que uma VM em 'vnet-1' se comunique com uma VM na rede virtual emparelhada.
Permitir que 'vnet-1' receba tráfego encaminhado da rede virtual emparelhada	Essa opção não é selecionada por padrão. - Habilitar essa opção permite que 'vnet-1' receba tráfego de redes virtuais emparelhadas para a rede virtual emparelhada. Por exemplo, se vnet-2 tiver uma NVA que receba tráfego de fora da vnet-2 e que seja encaminhado para vnet-1, você poderá selecionar esta configuração para permitir que esse tráfego alcance vnet-1 a partir de vnet-2. Embora a habilitação desta funcionalidade encaminhe o tráfego por meio do emparelhamento, ela não cria nenhuma rota definida pelo usuário ou dispositivo de rede virtual. Rotas definidas pelo usuário e dispositivos de rede virtual são criados separadamente.
Permitir que o gateway ou o servidor de rota em 'vnet-1' encaminhe o tráfego para a rede virtual emparelhada	Essa opção não fica selecionada por padrão. - Habilitar essa configuração permite que a rede virtual emparelhada receba tráfego do gateway ou servidor de rota da 'vnet-1'. Para que essa opção esteja habilitada, 'vnet-1' precisa conter um gateway ou servidor de rota.
Habilitar 'vnet-1' para usar o gateway remoto ou o servidor de rotas das redes virtuais emparelhadas	Essa opção não é selecionada por padrão. - Essa opção só poderá ser habilitada se a rede virtual emparelhada tiver um gateway remoto ou um servidor de rota e a rede virtual emparelhada habilitar "Permitir que o gateway na rede virtual emparelhada encaminhe o tráfego para 'vnet-1'" Essa opção pode ser habilitada em apenas um dos emparelhamentos 'vnet-1's'.

Captura de tela do portal do Azure mostrando a página de configuração de emparelhamento de rede virtual.

Note

Se você usar um Gateway de Rede Virtual para enviar tráfego local de forma transitiva para uma rede virtual emparelhada, o intervalo de IP da rede virtual emparelhada para o dispositivo VPN local deverá ser definido como tráfego 'interessante'. Talvez seja necessário adicionar todos os endereços CIDR da rede virtual do Azure à configuração do Túnel VPN IPsec do Site 2-Site no dispositivo VPN local. Os endereços CIDR incluem recursos como Hub, Spokes e pools de endereços IP de Point-2-Site. Caso contrário, seus recursos locais não poderão se comunicar com recursos na rede virtual emparelhada. O tráfego interessante é comunicado por meio de associações de segurança da Fase 2. A associação de segurança cria um túnel VPN dedicado para cada sub-rede especificada. A camada local e do Gateway de VPN do Azure precisa dar suporte ao mesmo número de túneis VPN site a site e sub-redes de rede virtual do Azure. Caso contrário, seus recursos locais não poderão se comunicar com recursos na rede virtual emparelhada. Consulte a documentação de VPN local para obter instruções para criar associações de segurança da Fase 2 para cada sub-rede de rede virtual do Azure especificada.

Selecione o botão Atualizar após alguns segundos e o status do emparelhamento será alterado de Atualizando para Conectado.

Para obter instruções passo a passo para a implementação de emparelhamento entre redes virtuais em diferentes assinaturas e modelos de implantação, consulte próximas etapas.

Use Add-AzVirtualNetworkPeering para criar emparelhamentos de rede virtual.

## Place the virtual network vnet-1 configuration into a variable. ##
$net-1 = @{
        Name = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
$vnet-1 = Get-AzVirtualNetwork @net-1

## Place the virtual network vnet-2 configuration into a variable. ##
$net-2 = @{
        Name = 'vnet-2'
        ResourceGroupName = 'test-rg-2'
}
$vnet-2 = Get-AzVirtualNetwork @net-2

## Create peering from vnet-1 to vnet-2. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        VirtualNetwork = $vnet-1
        RemoteVirtualNetworkId = $vnet-2.Id
}
Add-AzVirtualNetworkPeering @peer1

## Create peering from vnet-2 to vnet-1. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        VirtualNetwork = $vnet-2
        RemoteVirtualNetworkId = $vnet-1.Id
}
Add-AzVirtualNetworkPeering @peer2

Use az network virtual network peering create para criar emparelhamentos de rede virtual.

## Create peering from vnet-1 to vnet-2. ##
az network vnet peering create \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --remote-vnet vnet-2 \
    --resource-group test-rg \
    --allow-vnet-access \
    --allow-forwarded-traffic

## Create peering from vnet-2 to vnet-1. ##
az network vnet peering create \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2 \
    --remote-vnet vnet-1 \
    --resource-group test-rg-2 \
    --allow-vnet-access \
    --allow-forwarded-traffic

Exibir ou alterar as configurações de emparelhamento

Antes de alterar um emparelhamento, familiarize-se com os requisitos e restrições e as permissões necessárias.

Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione a rede virtual que você deseja exibir ou alterar as configurações de emparelhamento em Redes virtuais.
Selecione Emparelhamentos em Configurações e, em seguida, selecione o emparelhamento cujas configurações você deseja exibir ou alterar.
Altere a configuração apropriada. Leia sobre as opções de cada configuração na etapa 4 da criação de um emparelhamento. Em seguida, selecione Salvar para concluir as alterações da configuração.

Use Get-AzVirtualNetworkPeering para listar os emparelhamentos de uma rede virtual e suas configurações.

$peer = @{
        VirtualNetworkName = 'vnet-1'
        ResourceGroupName = 'test-rg'
}
Get-AzVirtualNetworkPeering @peer

Use Set-AzVirtualNetworkPeering para alterar as configurações de emparelhamento.

## Place the virtual network peering configuration into a variable. ##
$peer = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
$peering = Get-AzVirtualNetworkPeering @peer

# Allow traffic forwarded from remote virtual network. ##
$peering.AllowForwardedTraffic = $True

## Update the peering with changes made. ##
Set-AzVirtualNetworkPeering -VirtualNetworkPeering $peering

Use az network vnet peering list para listar emparelhamentos de uma rede virtual.

az network vnet peering list \
    --resource-group test-rg \
    --vnet-name vnet-1 \
    --out table

Use az network vnet peering show para mostrar as configurações de um emparelhamento específico.

az network vnet peering show \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

Use az network vnet peering update para alterar as configurações de emparelhamento.

## Block traffic forwarded from remote virtual network. ##
az network vnet peering update \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1 \
    --set allowForwardedTraffic=false

Excluir um emparelhamento

Antes de criar um emparelhamento, familiarize-se com os requisitos e restrições e com as permissões necessárias.

Quando um emparelhamento entre duas redes virtuais for excluído, o tráfego não poderá mais fluir entre as redes virtuais. Se você quiser que as redes virtuais se comuniquem às vezes, mas nem sempre, em vez de excluir um emparelhamento, desmarque a configuração Permitir tráfego para a rede virtual remota se desejar bloquear o tráfego para a rede virtual remota. Você pode achar que desabilitar e habilitar o acesso à rede é mais fácil do que excluir e recriar emparelhamentos.

Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.
Selecione a rede virtual que você deseja exibir ou alterar as configurações de emparelhamento em Redes virtuais.
Selecione Emparelhamentos em Configurações.
Selecione a caixa ao lado do emparelhamento que você deseja excluir e selecione Excluir.
Em Excluir Emparelhamentos, insira excluir na caixa de confirmação e selecione Excluir.

Note

Quando você exclui um emparelhamento de uma rede virtual, o emparelhamento da rede virtual remota também é excluído.
Selecione Excluir para confirmar a exclusão na Confirmação de exclusão.

Usar Remove-AzVirtualNetworkPeering para excluir emparelhamentos de rede virtual

## Delete vnet-1 to vnet-2 peering. ##
$peer1 = @{
        Name = 'vnet-1-to-vnet-2'
        ResourceGroupName = 'test-rg'
}
Remove-AzVirtualNetworkPeering @peer1

## Delete vnet-2 to vnet-1 peering. ##
$peer2 = @{
        Name = 'vnet-2-to-vnet-1'
        ResourceGroupName = 'test-rg-2'
}
Remove-AzVirtualNetworkPeering @peer2

Use az network vnet peering delete para excluir emparelhamentos de rede virtual.

## Delete vnet-1 to vnet-2 peering. ##
az network vnet peering delete \
    --resource-group test-rg \
    --name vnet-1-to-vnet-2 \
    --vnet-name vnet-1

## Delete vnet-2 to vnet-1 peering. ##
az network vnet peering delete \
    --resource-group test-rg-2 \
    --name vnet-2-to-vnet-1 \
    --vnet-name vnet-2

Requisitos e restrições

Você pode parear redes virtuais na mesma região ou em regiões diferentes. O emparelhamento de redes virtuais em diferentes regiões também é chamado de Emparelhamento de Rede Virtual Global.
Quando você cria um emparelhamento global, as redes virtuais emparelhadas podem existir em qualquer região de nuvem pública do Azure, na região de nuvem da China ou na região de nuvem do governo. No entanto, não é possível emparelhar redes virtuais entre nuvens diferentes. Por exemplo, uma rede virtual na nuvem pública do Azure não pode se conectar a uma rede virtual no Microsoft Azure operada pela nuvem 21Vianet.
Não é possível mover uma rede virtual enquanto ela faz parte de um emparelhamento. Para mover uma rede virtual para um grupo de recursos ou assinatura diferente, primeiro exclua o emparelhamento, depois mova a rede virtual e, por fim, recrie o emparelhamento.
Os recursos em uma rede virtual não podem se comunicar com o endereço IP de front-end de um balanceador de carga básico (interno ou público) em uma rede virtual com emparelhamento global. O suporte para balanceador de carga básico só existe na mesma região. O suporte para standard load balancer existe tanto para Emparelhamento de Rede Virtual quanto para Emparelhamento de Rede Virtual Global. Alguns serviços que usam um balanceador de carga básico não funcionam por meio do emparelhamento de rede virtual global. Para obter mais informações, confira Restrições relacionadas ao Emparelhamento de Rede Virtual Global e Load Balancers.
Você pode usar gateways remotos ou permitir o trânsito de gateway em redes virtuais emparelhadas globalmente e localmente.
As redes virtuais podem estar na mesma assinatura ou em assinaturas diferentes. Ao usar redes virtuais em diferentes assinaturas, ambas as assinaturas podem ser associadas ao mesmo locatário ou a um locatário diferente do Microsoft Entra. Se você ainda não tiver um locatário do AD, crie um.
As redes virtuais que você emparelha devem ter espaços de endereço IP não sobrepostos.
Quando você emparelha duas redes virtuais criadas por meio do Resource Manager, um emparelhamento deve ser configurado para cada rede virtual no emparelhamento. Você verá um dos seguintes tipos de status de emparelhamento:
- Iniciado: Quando você criar o primeiro emparelhamento seu status será Iniciado.
- Conectado: Quando você criar o segundo emparelhamento, o status de emparelhamento seráConectado em ambos os emparelhamentos. O emparelhamento não é estabelecido com êxito até que o status de emparelhamento para os dois emparelhamentos de rede virtual seja Conectado.
Um emparelhamento é estabelecido entre duas redes virtuais. Emparelhamentos não são transitivos por conta própria. Se você criar emparelhamentos entre:
- VirtualNetwork1 e VirtualNetwork2
- VirtualNetwork2 e VirtualNetwork3
  
  Não existe conectividade entre VirtualNetwork1 e VirtualNetwork3 por meio de VirtualNetwork2. Se você quiser que a VirtualNetwork1 e a VirtualNetwork3 se comuniquem diretamente, será necessário criar um emparelhamento explícito entre a VirtualNetwork1 e a VirtualNetwork3 ou passar por uma NVA na rede Hub. Para saber mais, confira Topologia de rede hub e spoke no Azure.
Você não pode resolver nomes em redes virtuais emparelhadas usando a resolução de nomes do Azure padrão. Para resolver nomes em outras redes virtuais, você deve usar o DNS privado do Azure ou um servidor DNS personalizado. Para saber como configurar seu próprio servidor DNS, consulte Resolução de nome usando seu próprio servidor DNS.
Recursos em redes virtuais emparelhadas na mesma região podem se comunicar entre si com a mesma latência como se estivessem na mesma rede virtual. A taxa de transferência de rede é baseada na largura de banda permitida para a máquina virtual, proporcional ao seu tamanho. Não existe restrição adicional quanto à largura de banda no emparelhamento. O tamanho de cada máquina virtual tem sua própria largura de banda de rede máxima. Para saber mais sobre a largura de banda de rede máxima para diferentes tamanhos de máquina virtual, consulte os Tamanhos de máquinas virtuais no Azure.
Uma rede virtual pode ser emparelhada a outra rede virtual e também estar conectada a outra rede virtual com um gateway de rede virtual do Azure. Quando as redes virtuais são conectadas por meio do emparelhamento e um gateway, fluxos de tráfego entre as redes virtuais por meio da configuração de emparelhamento, em vez do gateway.
Os clientes VPN ponto a site precisam ser baixados novamente após o emparelhamento de rede virtual ser configurado para garantir que as novas rotas sejam baixadas para o cliente.
Há um custo nominal para tráfego de entrada e de saída que utiliza um emparelhamento de rede virtual. Para saber mais, confira a página de preço.
Os Gateways de Aplicativo que não têm o Isolamento de Rede habilitado não permitem que o tráfego seja enviado entre VNETs emparelhadas quando Permitir tráfego para rede virtual remota está desabilitado.

Permissions

As contas que você usa para trabalhar com o emparelhamento de rede virtual precisam ser atribuídas à seguinte função:

Network Contributor

Se sua conta não estiver atribuída à função anterior, ela deverá ser atribuída a uma função personalizada atribuída às ações necessárias da tabela a seguir:

Action	Name
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write	Necessário para criar um emparelhamento da rede virtual A com a rede virtual B.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read	Ler um emparelhamento de rede virtual
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete	Excluir um emparelhamento de rede virtual

Important

Você deve ter o Colaborador de Rede ou as funções personalizadas de Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read e Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete atribuídas à rede virtual remota para que você possa remover o emparelhamento da rede virtual remota.

Next steps

Um emparelhamento de rede virtual pode ser criado entre redes virtuais que existem na mesma ou em diferentes assinaturas. Conclua um tutorial para um dos seguintes cenários:

Modelo de implantação do Azure Subscription

Resource Manager Same

Different
Saiba como criar um hub e topologia de rede de spoke
Criar um emparelhamento de rede virtual usando PowerShell ou os scripts de exemplo da CLI do Azure ou usando os modelos do Azure Resource Manager
Criar e atribuir definições do Azure Policy para redes virtuais

Modelo de implantação do Azure	Subscription
Resource Manager	Same
	Different

Comentários

Esta página foi útil?