Volba mezi partnerským vztahem virtuální sítě a bránami sítě VPN

Azure Active Directory
Virtual Network
VPN Gateway

Tento článek porovnává dva způsoby propojení virtuálních sítí v Azure: partnerský vztah virtuálních sítí a brány VPN.

Virtuální síť je virtuální izolovaná část veřejné sítě Azure. Ve výchozím nastavení není možné směrovat provoz mezi dvěma virtuálními sítěmi. Je však možné propojit virtuální sítě, a to buď v rámci jedné oblasti, nebo mezi dvěma oblastmi, aby mezi nimi bylo možné směrovat provoz.

Typy připojení k virtuální síti

Partnerský vztah virtuálních sítí. Partnerský vztah virtuálních sítí propojuje dvě virtuální sítě Azure. Po navázání partnerského vztahu se virtuální sítě pro účely připojení jeví jako jedna síť. Provoz mezi virtuálními počítači v partnerských virtuálních sítích se směruje přes páteřní infrastrukturu Microsoftu jenom přes privátní IP adresy. Není zapojen žádný veřejný internet. Můžete také vytvořit partnerský vztah virtuálních sítí mezi oblastmi Azure (globální partnerský vztah).

Brány VPN Gateway. Brána VPN gateway je specifický typ brány virtuální sítě, která se používá k odesílání provozu mezi virtuální sítí Azure a místním umístěním přes veřejný internet. Bránu VPN můžete použít také k odesílání provozu mezi virtuálními sítěmi Azure. Každá virtuální síť může mít maximálně jednu bránu VPN. Službu Azure DDOS Protection úrovně Standard byste měli povolit v jakékoli hraniční virtuální síti.

Partnerský vztah virtuálních sítí poskytuje připojení s nízkou latencí a velkou šířkou pásma. V cestě není žádná brána, takže neexistují žádné další segmenty směrování, které zajišťují připojení s nízkou latencí. Je to užitečné ve scénářích, jako je replikace dat mezi oblastmi a převzetí služeb při selhání databáze. Vzhledem k tomu, že provoz je privátní a zůstává na páteřní síti Microsoftu, zvažte také peering virtuálních sítí, pokud máte přísné zásady pro data a chcete se vyhnout odesílání jakéhokoli provozu přes internet.

Brány VPN Gateway poskytují připojení s omezenou šířkou pásma a jsou užitečné ve scénářích, kde potřebujete šifrování, ale můžou tolerovat omezení šířky pásma. V těchto scénářích zákazníci také nejsou tak citliví na latenci.

Průchod bránou

Peering virtuálních sítí a brány VPN Gateway můžou také existovat společně prostřednictvím průchodu bránou.

Průchod bránou umožňuje použít bránu partnerské virtuální sítě pro připojení k místnímu prostředí místo vytvoření nové brány pro připojení. Při zvyšování zatížení v Azure potřebujete škálovat sítě napříč oblastmi a virtuálními sítěmi, abyste udrželi krok s růstem. Průchod bránou umožňuje sdílet bránu ExpressRoute nebo VPN se všemi partnerskými virtuálními sítěmi a umožňuje spravovat připojení na jednom místě. Sdílení umožňuje úsporu nákladů a snížení režijních nákladů na správu.

Pokud je v partnerském vztahu virtuální sítě povolený průchod bránou, můžete vytvořit tranzitní virtuální síť, která obsahuje bránu VPN, síťové virtuální zařízení a další sdílené služby. S tím, jak vaše organizace roste s novými aplikacemi nebo organizačními jednotkami a při vytváření nových virtuálních sítí, se můžete připojit ke své tranzitní virtuální síti pomocí peeringu. Tím se zabrání složitosti sítě a sníží se režijní náklady na správu při správě více bran a dalších zařízení.

Konfigurace připojení

Partnerské vztahy virtuálních sítí i brány VPN podporují následující typy připojení:

  • Virtuální sítě v různých oblastech
  • Virtuální sítě v různých tenantech Azure Active Directory
  • Virtuální sítě v různých předplatných Azure
  • Virtuální sítě, které používají kombinaci modelů nasazení Azure (Resource Manager a classic).

Další informace najdete v následujících článcích:

Porovnání partnerských vztahů virtuálních sítí a VPN Gateway

Položka Peering virtuálních sítí VPN Gateway
Omezení Až 500 partnerských vztahů virtuálních sítí na jednu virtuální síť (viz Omezení sítě). Jedna brána VPN na virtuální síť. Maximální počet tunelů na bránu závisí na SKU brány.
Cenový model Příchozí/výchozí přenos dat Hodinově + výchozí přenos dat
Šifrování Doporučuje se šifrování na úrovni softwaru. Vlastní zásady IPsec/IKE je možné použít pro nová nebo existující připojení. Viz Informace o kryptografických požadavcích a branách Azure VPN.
Limity šířky pásma Žádná omezení šířky pásma. Liší se v závislosti na SKU. Viz Skladové položky brány podle tunelu, připojení a propustnosti.
Soukromé? Ano. Směrováno přes páteřní a privátní síť Microsoftu. Bez veřejného internetu. Jedná se o veřejnou IP adresu.
Tranzitivní relace Připojení peeringu jsou nepřenosná. Přenosnou síť je možné dosáhnout pomocí síťových virtuálních zařízení nebo bran v centrální virtuální síti. Příklad najdete v tématu Hvězdicová topologie sítě . Pokud jsou virtuální sítě připojené přes brány VPN a v připojeních virtuálních sítí je povolený protokol BGP, tranzitivita funguje.
Čas počátečního nastavení Rychlý ~30 minut
Typické scénáře Replikace dat, převzetí služeb při selhání databáze a další scénáře vyžadující časté zálohování velkých objemů dat. Scénáře specifické pro šifrování, které nejsou citlivé na latenci a nevyžadují vysokou latenci.

Přispěvatelé

Tento článek spravuje Microsoft. Původně ji napsali následující přispěvatelé.

Hlavní autor:

  • Anavi Nahar | Hlavní správce PDM

Další kroky